Вопрос: Борьба со спамом - что я могу сделать как: администратор электронной почты, владелец домена или пользователь?


Это Канонический вопрос о борьбе со спамом.
  Также связаны:

Существует так много методов и столько знаний о борьбе с СПАМ. Какие широко используемые технологии и технологии доступны Администратору, Владельцам Доменов и Конечным пользователям, чтобы помочь сохранить мусор из наших почтовых ящиков?

Мы ищем ответ, который охватывает различные технологии с разных точек зрения. Принятый ответ должен включать в себя множество технологий (например, SPF / SenderID, DomainKeys / DKIM, Graylisting, DNS RBL, службы репутации, программное обеспечение для фильтрации [SpamAssassin и т. Д.]); передовые методы (например, почта на порт 25 никогда не должна разрешаться, должен использоваться порт 587 и т. д.), терминология (например, Open Relay, обратное рассеяние, MSA / MTA / MUA, спам / ветчина) и, возможно, другие методы.


99
2017-08-20 20:30


Источник


Каноническое или нет, это не то место, где можно задавать вопросы о уровне пользователя. - John Gardeniers


Ответы:


Чтобы победить своего врага, вы должны знать своего врага.

Что такое спам?

Для наших целей спам - это любое нежелательное массовое электронное сообщение. Спам в эти дни предназначен, чтобы заманить ничего не подозревающих пользователей на посещение (обычно теневого) веб-сайта, на котором им будет предложено покупать продукты или иметь вредоносное ПО, доставленное на их компьютеры, или и то, и другое. Некоторые спам будет предоставлять вредоносное ПО напрямую.

Это может удивить вас, узнав, что первый спам был отправлен в 1864 году. Это была реклама стоматологических услуг, отправленная через телеграмму Western Union. Само слово является Справка к сцена в Летающий цирк Монти Питона,

Спам в этом случае делает не ссылайтесь на трафик списка рассылки, на который подписался пользователь, даже если они изменили свое мнение позже (или забыли об этом), но пока еще не были отписаны.

Почему спам - проблема?

Спам - проблема, потому что он работает для спамеров, Спам обычно генерирует более чем достаточно продаж (или доставки вредоносных программ, или и того и другого), чтобы покрывать расходы - спамеру - отправить его. Спамер не учитывает затраты получателя, вас и ваших пользователей. Даже когда небольшое количество пользователей, получающих спам, реагируют на это, этого достаточно.

Таким образом, вы можете оплачивать счета за пропускную способность, серверы и время администратора для борьбы со входящим спамом.

Мы блокируем спам по этим причинам: мы не хотим его видеть, чтобы снизить затраты на обработку электронной почты и сделать спам более дорогим для спамеров.

Как работает спам?

Спам обычно поставляется по-разному от обычного, законного письма.

Спамеры почти всегда хотят затмить происхождение электронной почты, поэтому типичный спам будет содержать фальшивую информацию заголовка. From: адрес обычно подделка. Некоторый спам включает подделку Received: линии в попытке замаскировать след. Много спама поставляется через открытые SMTP-реле, открытые прокси-серверы и бот-сети. Все эти методы затрудняют определение того, кто создал спам.

Однажды во входящей папке пользователя цель спама - побудить пользователя посетить рекламируемый веб-сайт. Там пользователь будет заманивать, чтобы совершить покупку, или сайт попытается установить вредоносное ПО на компьютер пользователя или и то, и другое. Или спам попросит пользователя открыть вложение, содержащее вредоносное ПО.

Как остановить спам?

Как системный администратор почтового сервера, вы настроите свой почтовый сервер и домен, чтобы затруднить спамерам возможность отправлять спам своим пользователям.

Я буду освещать вопросы, специально ориентированные на спам, и может пропускать вещи, не связанные непосредственно со спамом (например, шифрование).

Не запускайте открытое реле

Большой почтовый сервер - это запуск открытое реле, SMTP-сервер, который будет принимать почту для любого адресата и доставить его вперед. Спамеры любят открытые реле, потому что они фактически гарантируют доставку. Они берут на себя нагрузку на доставку сообщений (и повторяют!), В то время как спамер делает что-то еще. Они делают спам дешево,

Открытые реле также способствуют возникновению проблемы обратного рассеяния. Это сообщения, которые были приняты ретранслятором, но затем были найдены недопустимыми. Открытое реле затем отправит сообщение об отказе From: адрес, который содержит копию спама.

  • Настройте почтовый сервер для приема входящей почты на порт 25 только для собственных доменов. Для большинства почтовых серверов это поведение по умолчанию, но вам, по крайней мере, нужно сообщить почтовому серверу, что такое ваши домены.
  • Проверьте свою систему, отправив SMTP-серверу почту из-за пределов вашей сети, где оба From: а также To: адреса не входят в ваш домен. Сообщение должно быть отклонено. (Или используйте онлайн-сервис, например MX Toolbox чтобы выполнить тест, но имейте в виду, что некоторые онлайн-службы отправят ваш IP-адрес в черные списки, если ваш почтовый сервер не прошел тест.)

Отклонить все, что выглядит слишком подозрительным

Различные неправильные конфигурации и ошибки могут быть причиной того, что входящее сообщение скорее всего будет спамом или иным образом незаконным.

  • Отметьте как спам или отклоните сообщения, для которых IP-адрес не имеет обратного DNS (запись PTR). Относитесь к отсутствию записи PTR более жестко для соединений IPv4, чем к соединениям IPv6, так как многие адреса IPv6 еще не имеют обратного DNS и могут не работать в течение нескольких лет, пока программное обеспечение DNS-сервера не сможет обрабатывать эти потенциально очень большие зоны.
  • Отклонить сообщения, для которых имя домена в адресах отправителя или получателя не существует.
  • Отклонить сообщения, которые не используют полностью квалифицированные имена доменов для доменов отправителя или получателя, если они не происходят в вашем домене и предназначены для доставки в вашем домене (например, службы мониторинга).
  • Отклонить соединения, если другой конец не отправляет HELO/EHLO,
  • Отклонить соединения, в которых HELO/EHLO является:
    • не полное доменное имя, а не IP-адрес
    • (например, ваше собственное IP-адрес)
  • Отклонить соединения, которые используют конвейерную обработку, не допуская этого.

Аутентификация пользователей

Почта, поступающая на ваши серверы, должна учитываться исходящей почтой и исходящей почтой. Входящая почта - это любая почта, прибывающая на ваш SMTP-сервер, который в конечном итоге предназначен для вашего домена; исходящая почта - это любая почта, отправляемая на ваш SMTP-сервер, который будет передан в другое место до его доставки (например, он перейдет в другой домен). Входящая почта может обрабатываться фильтрами спама и может появляться из любого места, но всегда должна быть предназначена для ваших пользователей. Эта почта не может быть аутентифицирована, потому что невозможно предоставить учетные данные для каждого сайта, который может отправить вам письмо.

Исходящая почта, то есть почта, которая будет передана, должен быть аутентифицированным. Это тот случай, если он поступает из Интернета или из вашей сети (хотя вы должны ограничить диапазоны IP-адресов, разрешенные для использования вашего почтового сервера, если это возможно); это связано с тем, что spambots могут работать внутри вашей сети. Итак, настройте свой SMTP-сервер таким образом, чтобы почта, связанная с другими сетями, была удалена (доступ к ретрансляции будет отклонен), если эта почта не будет аутентифицирована. Тем не менее, используйте отдельные почтовые серверы для входящей и исходящей почты, не допускайте никакой ретрансляции для входящих и не допускайте неавторизованный доступ к исходящим.

Если ваше программное обеспечение позволяет это, вы также должны фильтровать сообщения в соответствии с аутентифицированным пользователем; если адрес электронной почты не совпадает с именем пользователя, который прошел проверку подлинности, он должен быть отклонен. Не обновляйте адрес без ссылки; пользователь должен знать об ошибке конфигурации.

Вы также должны зарегистрировать имя пользователя, которое используется для отправки почты, или добавить к нему идентифицирующий заголовок. Таким образом, если происходит злоупотребление, у вас есть доказательства и известно, какая учетная запись использовалась для этого. Это позволяет изолировать скомпрометированные учетные записи и проблемных пользователей и особенно ценно для хостинг-провайдеров.

Фильтровать трафик

Вы хотите быть уверенным, что почта, покидающая вашу сеть, фактически отправляется вашими (прошедшими проверку подлинности) пользователями, а не ботами или людьми извне. Специфика того, как вы это делаете, зависит от того, какую систему вы администрируете.

Как правило, блокирование исходящего трафика на портах 25, 465 и 587 (SMTP, SMTP / SSL и подчинение) для всего, кроме ваших исходящих почтовых серверов, является хорошей идеей, если вы являетесь корпоративной сетью. Это значит, что вредоносные боты в вашей сети не могут отправлять спам из вашей сети либо для открытия реле в Интернете, либо непосредственно для окончательного MTA для адреса.

Горячие точки - это особый случай, поскольку законная почта от них происходит из разных доменов, но (из-за SPF, среди прочего) «принудительный» почтовый сервер неуместен, и пользователи должны использовать SMTP-сервер своего собственного домена для отправки почты. Этот случай намного сложнее, но с использованием определенного общедоступного IP или IP-диапазона для интернет-трафика с этих хостов (для защиты репутации вашего сайта), дросселирования SMTP-трафика и глубокой проверки пакетов являются решениями для рассмотрения.

Исторически спам-боты выпускали спам в основном на порт 25, но ничто не мешает им использовать порт 587 с той же целью, поэтому изменение порта, используемого для входящей почты, имеет сомнительную ценность. Однако использование порта 587 для отправки почты рекомендуется RFC 2476, и позволяет разделить между отправкой почты (первой MTA) и почтовой пересылкой (между MTA), где это не очевидно из сетевой топологии; если вам требуется такое разделение, вы должны это сделать.

Если вы являетесь интернет-провайдером, поставщиком VPS, поставщиком колокейшн или похожим или предоставляете точку доступа для использования посетителями, блокирование исходящего SMTP-трафика может быть проблематичным для пользователей, которые отправляют почту, используя свои собственные домены. Во всех случаях, кроме общедоступной точки доступа, вам должны потребоваться пользователи, которым необходим исходящий SMTP-доступ, поскольку они запускают почтовый сервер, чтобы запросить его. Сообщите им, что жалобы на злоупотребления в конечном итоге приведут к прекращению доступа к защите вашей репутации.

Динамические IP-адреса и те, которые используются для инфраструктуры виртуального рабочего стола, никогда не должны иметь исходящий SMTP-доступ, кроме определенного почтового сервера, который предполагается использовать этим узлам. Эти типы IP-адресов должен также появляются в черных списках, и вы не должны пытаться создавать репутацию для них. Это связано с тем, что они вряд ли будут использовать законный MTA.

Рассмотрите возможность использования SpamAssassin

SpamAssassin - это почтовый фильтр, который можно использовать для идентификации спама на основе заголовков и содержимого сообщений. Он использует систему скоринга, основанную на правилах, для определения вероятности того, что сообщение является спамом. Чем выше оценка, тем скорее сообщение является спамом.

SpamAssassin также имеет байесовский движок, который может анализировать образцы спама и ветчины (законные электронные письма), возвращенные обратно в него.

Лучшая практика для SpamAssassin - не отклонять почту, а помещать ее в папку нежелательной почты или спама. MUA (почтовые пользовательские агенты), такие как Outlook и Thunderbird, могут быть настроены для распознавания заголовков, которые SpamAssassin добавляет к сообщениям электронной почты и соответствующим образом записывает их. Ложные срабатывания могут и происходят, и, хотя они редки, когда это случается с генеральным директором, вы узнаете об этом. Этот разговор будет намного лучше, если сообщение просто будет доставлено в папку нежелательной почты, а не отменено напрямую.

SpamAssassin является почти единственным в своем роде, хотя существует несколько альтернатив,

Подумайте о том, как использовать списки черной дыры на основе DNS и службы репутации

DNSBL (ранее известные как RBL или списки в реальном времени в черной дыре) предоставляют списки IP-адресов, связанных со спамом или другой вредоносной деятельностью. Они управляются независимыми третьими сторонами на основе их собственных критериев, поэтому тщательно изучите, соответствуют ли критерии листинга и делистинга, используемые DNSBL, для того, чтобы ваша организация получала электронную почту. Например, несколько DNSBL имеют драконовские правила делистинга, которые делают очень трудным для тех, кто был случайно указан для удаления. Другие автоматически делируют после того, как IP-адрес не отправил спам в течение определенного периода времени, что является более безопасным. Большинство DNSBL доступны для использования.

Услуги репутации похожи, но утверждают, что они обеспечивают лучшие результаты, анализируя больше данных, относящихся к любому данному IP-адресу. Большинство служб репутации требуют оплаты подписки или покупки оборудования или того и другого.

Существуют десятки служб DNSBL и репутации, хотя некоторые из наиболее известных и полезных я использую и рекомендую:

Консервативные списки:

Агрессивные списки:

Как упоминалось ранее, многие десятки других доступны и могут удовлетворить ваши потребности. Один из моих любимых трюков - это найти IP-адрес который доставил спам, который прошел через несколько DNSBL, чтобы увидеть, кто из них отклонил бы его.

  • Для каждого DNSBL и службы репутации изучите его политики для перечисления и исключения из IP-адресов и определите, совместимы ли они с потребностями вашей организации.
  • Добавьте DNSBL на ваш SMTP-сервер, если вы решили использовать эту услугу.
  • Рассмотрите возможность присвоения каждому DNSBL настройка его в SpamAssassin а не ваш SMTP-сервер. Это уменьшает влияние ложных срабатываний; такое сообщение будет доставлено (возможно, в Junk / Spam) вместо того, чтобы отскочить. Компромисс заключается в том, что вы много спама.
  • Или, отвергайте сразу, когда IP-адрес находится в одном из более консервативных списков, и настройте более агрессивные списки в SpamAssassin.

Использовать SPF

SPF (Framework политики отправителя; RFC 4408 а также RFC 6652) является средством предотвращения подмены адресов электронной почты, объявляя, какие интернет-хосты имеют право доставлять почту для данного доменного имени.

  • Настройте DNS для объявления SPF-записи на авторизованных исходящих почтовых серверах и -all отвергать все остальные.
  • Настройте свой почтовый сервер, чтобы проверить записи SPF входящей почты, если они существуют, и отклонить почту, которая не выполняет проверку SPF. Пропустите эту проверку, если в домене нет записей SPF.

Исследуйте DKIM

DKIM (DomainKeys Identified Mail; RFC 6376) является методом встраивания цифровых подписей в почтовые сообщения, которые могут быть проверены с использованием открытых ключей, опубликованных в DNS. это запатентован в США, что замедлило его принятие. Подписи DKIM также могут прерываться, если сообщение изменено в пути (например, SMTP-серверы иногда могут переупаковывать MIME-сообщения).

  • Рассмотрите возможность подписания исходящей почты с подписями DKIM, но имейте в виду, что подписи могут не всегда корректно проверяться даже на законной почте.

Рассмотрите возможность использования greylisting

Greylisting - это метод, при котором SMTP-сервер выдает временное отклонение для входящего сообщения, а не постоянное отклонение. Когда доставка будет проведена через несколько минут или часов, SMTP-сервер затем примет сообщение.

Greylisting может остановить некоторое спам-программное обеспечение, которое недостаточно устойчиво, чтобы различать временные и постоянные отклонения, но не помогает спама, который был отправлен на открытое реле или с более надежным программным обеспечением для спама. Он также вводит задержки доставки, которые пользователи могут не всегда терпеть.

  • Рассмотрите возможность использования greylisting только в крайних случаях, так как он сильно нарушает законный трафик электронной почты.

Рассмотрите возможность использования nolisting

Nolisting является методом настройки записей MX, так что запись с наивысшим приоритетом (самый низкий номер) не имеет работающего SMTP-сервера. Это зависит от того, что многие спам-программы будут использовать только первую запись MX, в то время как законные SMTP-серверы пробуют все записи MX в порядке возрастания предпочтений. Некоторое спам-программное обеспечение также пытается отправить непосредственно на MX-запись с наименьшим приоритетом (наивысшим номером предпочтения) в нарушение RFC 5321, так что также можно установить IP-адрес без SMTP-сервера. Сообщается, что это безопасно, хотя, как ни с чем, вы должны сначала тщательно протестировать.

  • Рассмотрите возможность установки записи MX с наивысшим приоритетом, указывающей на хост, который не отвечает на порт 25.
  • Подумайте о том, чтобы установить запись MX с самым низким приоритетом, чтобы указать на хост, который не отвечает на порт 25.

Рассмотрите устройство фильтрации спама

Поместите устройство фильтрации спама, например Cisco IronPort или Barracuda Spam & Virus Firewall (или других подобных устройств) перед вашим существующим сервером SMTP, чтобы выполнить большую часть работы по сокращению получаемого вами спама. Эти устройства предварительно сконфигурированы с DNSBL, услугами репутации, байесовскими фильтрами и другими функциями, которые я рассмотрел, и регулярно обновляются их производителями.

  • Исследуйте оборудование для фильтрации спама и затраты на подписку.

Рассмотрите размещенные службы электронной почты

Если это слишком много для вас (или вашего перегруженного ИТ-персонала), вы всегда можете иметь стороннего поставщика услуг, который обрабатывает вашу электронную почту для вас. Такие услуги, как Google Postini, Безопасность электронной почты Symantec MessageLabs (или другие) будут фильтровать сообщения для вас. Некоторые из этих услуг могут также регулировать нормативные и правовые требования.

  • Исследование проводило расходы на подписку на почтовые службы.

Какое руководство должны предоставить системным администраторам конечным пользователям в отношении борьбы со спамом?

Абсолютная вещь № 1, которую конечные пользователи должны делать, чтобы бороться со спамом:

  • НЕ ОТВЕЧАЙТЕ НА СПАМ.

    Если это выглядит забавным, не нажимайте ссылку на веб-сайт и не открывайте вложение. Как бы ни привлекательно это предложение. Эта виагра не так дешева, вы на самом деле не собираетесь обнажать фотографии кого-либо, и нет 15 миллионов долларов в Нигерии или в других местах, за исключением денег, полученных от людей, которые сделал реагировать на спам.

  • Если вы видите спам-сообщение, отметьте его как нежелательный или спам в зависимости от вашего почтового клиента.

  • НЕ отметьте сообщение как нежелательный / спам, если вы действительно подписались на получение сообщений и просто хотите прекратить их получать. Вместо этого отмените подписку на рассылку, используя предоставленный метод отмены подписки.

  • Регулярно проверяйте папку нежелательной почты / спама, чтобы узнать, прошли ли какие-либо законные сообщения. Отметьте их как нежелательные / не спам и добавьте отправителя к своим контактам, чтобы в будущем их нежелательные сообщения не были помечены как спам.


93
2017-08-20 23:02



@MichaelHampton: UCEPROTECT - теневая организация. - InternetSeriousBusiness
@Stephane Если вы не можете установить / изменить запись PTR, вы не контролируете IP-адрес. Нет ничего плохого в отказе от почты, основанной на этом. - Michael Hampton♦
@ewwhite Это довольно драконов, и 3 недели довольно смешно. Но отказ от почты, когда нет записи PTR, довольно распространен, поэтому я уверен, что у них есть всевозможные проблемы. - Michael Hampton♦
Отказ распространен, но я утверждаю, что это бесполезно и ненужно. Фактически, я проверил быструю проверку собственной статистики спама, и выясняется, что количество спама, поступающего с IP-адресов без обратного, составляет менее 5%, и это, похоже, почти такое же число, как и то, что я вижу из общей SMTP-соединения. Отсюда мой вывод: это бессмысленное ограничение. - Stephane
Какие доказательства вы подтверждаете, утверждая, что они неэффективны? Мои журналы показывают, что это чрезвычайно эффективно при предварительной проверке электронной почты. Ряд других людей, которых я знаю, имеют сходный опыт. - Chris S


За последние годы я управлял более чем 100 отдельными почтовыми средами и использовал многочисленные процессы для сокращения или устранения спама.

Технология эволюционировала со временем, поэтому этот ответ будет проходить через некоторые из вещей, которые я пробовал в прошлом, и детализировать текущее состояние дел.

Несколько соображений о защите ...

  • Вы хотите защитить порт 25 вашего входящего почтового сервера от открытое реле, где каждый может отправлять почту через вашу инфраструктуру. Это не зависит от конкретной технологии почтового сервера, которую вы можете использовать. Удаленным пользователям следует использовать альтернативный порт представления а также некоторая форма требуемой аутентификации для ретрансляции почты. Порт 587 или порт 465 являются общими альтернативами 25.
  • Шифрование также является плюсом. Много почтового трафика отправляется в открытом виде. Сейчас мы находимся в точке, где большинство почтовых систем могут поддерживать некоторую форму шифрования; какое-то событие ожидают этого.
  • Это более активные подходы к предотвращению ваш почтовый сайт не классифицируется как источник спама ...

Что касается входящего спама ...

  • Greylisting был интересным подходом на короткий период времени. Принудительное временное отклонение / задержка в надежде, что спамер будет отключать и избегать воздействия, а также время и ресурсы, необходимые для запроса сообщений. Это привело к непредсказуемым задержкам в доставке почты, не очень хорошо работало с почтой из крупных серверных ферм, а спамеры в конечном итоге разработали обходные пути. Наихудшим результатом стало прерывание ожидания пользователей быстрой доставкой почты.
  • Множественные реле MX по-прежнему нуждаются в защите. Некоторые спамеры попытаются отправить резервное копирование или более низкий приоритет MX в надежде, что он имеет менее надежную фильтрацию.
  • Списки в реальном времени (дыры) (RBL / DNSBL). Эти справочные базы данных, поддерживающие централизованное обслуживание, для проверки того, указан ли сервер отправки. Тяжелая зависимость от RBL поставляется с оговорками. Некоторые из них не так уважаемы, как другие. Предложения от Spamhaus всегда были хороши для меня. Другие, как SORBS, имеют плохой подход к перечислению IP-адресов и часто блокируют законную электронную почту. В некоторых случаях он уподобляется вымогательству, потому что делистинг часто включает $$$.
  • Структура политики отправителя (SPF). В основном это средство обеспечения того, чтобы данный хост был уполномочен отправлять почту для определенного домена, как определено в записи DNS TXT. Хорошая практика создания записей SPF для исходящей почты, но плохая практика требоватьэто с серверов, отправляемых вам.
  • Ключи домена - Не в широком использовании ... пока.
  • Подавление отказов - предотвращение возврата недопустимой почты в исходный код. Некоторые спамеры будут пытаться увидеть, какие адреса были живыми / действительными, анализируя обратное рассеяние для создания карты используемых адресов.
  • Обратные проверки DNS / PTR - убедитесь, что на отправляющем сервере имеется действительная обратная запись PTR. Это не обязательно должно соответствовать исходному домену, так как возможно иметь много-к-одному сопоставление доменов с хостом. Но хорошо определить право собственности на IP-пространство и определить, является ли исходный сервер частью динамического IP-блока (например, домашний широкополосный доступ - читать: скомпрометированные спам-боты).
  • Фильтрация содержимого - (ненадежная) - попытка противодействия перестановкам «(Viagra, v \ | agra, viagra, vilgra.)» Занимает много времени для администратора и не масштабируется в более крупной среде.
  • Байесовская фильтрация - Более продвинутые спам-решения позволяют осуществлять глобальную или индивидуальную подготовку почты. Прочтите связанную статью по эвристике, но главное, что почта может быть классифицирована вручную как хорошая (ветхая) или плохая (спам), а полученные сообщения заполняют байесовскую базу данных, на которую можно ссылаться, чтобы определить категоризацию будущих сообщений. Как правило, это связано с оценкой спама или взвешиванием и может быть одним из нескольких методов, используемых для определения того, должно ли сообщение быть доставлено.
  • Контроль скорости / дросселирование - Простой подход. Ограничьте количество сообщений, которые данный сервер может выполнить в течение определенного периода времени. Отложите все сообщения на этот порог. Обычно это настраивается на стороне почтового сервера.
  • Хостинг и облачная фильтрация. Postini приходит на ум, поскольку это было облако решение до облако было модным словом. Теперь, принадлежащая Google, сила размещенного решения заключается в том, что существует экономия от масштаба, присущая обработке объема почты, с которой они сталкиваются. Анализ данных и простой географический охват могут помочь принятому фильтру фильтрации спама адаптироваться к тенденциям. Однако выполнение просто. 1). Направьте свою запись MX на размещенное решение, 2). предоставить адрес доставки после фильтрации. 3). прибыль,

Мой нынешний подход:

Я сильный сторонник решений для спама на основе устройств. Я хочу отклонить по периметру сети и сохранить циклы процессора на уровне почтового сервера. Использование устройства также обеспечивает некоторую независимость от решения реального почтового сервера (агента доставки почты).

я рекомендую Оборудование для защиты от спама Barracuda по ряду причин. Я развернул несколько десятков юнитов, и веб-интерфейс, промышленный ум и созданный и забытый тип устройства делают его победителем. Бэкэнд-технология включает многие из перечисленных выше методов.

  • Я блокирую порт 25 на IP-адресе моего почтового сервера и вместо этого устанавливаю запись MX для домена на адрес, адресующий адрес устройства Barracuda. spam.domain.com. Порт 25 будет открыт для доставки почты.
  • Ядро SpamAssassin- с помощью простого интерфейса к журналу сообщений (и байесовской базе данных), который можно использовать для классификации хорошей почты с плохой в течение начального периода обучения.
  • Barracuda использует несколько RBL по умолчанию, включая Spamhaus.org, и их собственные База данных репутации BRBL, Обратите внимание BRBL можно бесплатно использовать в качестве стандартного RBL для других почтовых систем,
  • База данных репутации Barracuda составлена ​​из живых данных, приманок, крупномасштабного анализа и любого количества проприетарных методов. У этого есть зарегистрированный белый список и список блокировок. Высококачественные почтовые отправители с высокой видимостью часто регистрируются в Barracuda для автоматического «белого списка». Примеры включают Blackberry, Постоянный контакт, и т.д.
  • Проверки SPF могут быть включены (хотя я их не разрешаю).
  • Существует интерфейс для просмотра почты и повторной доставки из почтового кеша устройства, если необходимо. Это полезно в случаях, когда пользователь ожидал сообщения, которые, возможно, не прошли все проверки спама.
  • Проверка пользователя LDAP / Active Directory помогает ускорить обнаружение недопустимых почтовых получателей. Это экономит полосу пропускания и предотвращает обратное рассеяние,
  • IP / адрес отправителя / домен / страна происхождения могут быть настроены. Если я хочу отрицать всю почту из суффиксов итальянских доменов, это возможно. Если я хочу предотвратить почту из определенного домена, ее легко настроить. Если я хочу заблокировать Сталкер от отправки электронной почты пользователю, это выполнимо (истинная история).
  • Barracuda предоставляет ряд консервированных отчетов и хороший визуальный дисплей состояния устройства и показателей спама.
  • Мне нравится иметь устройство на месте, чтобы сохранить эту обработку на собственном предприятии и, возможно, иметь почтовое журналирование после фильтра (в средах, где требуется удержание почты).
  • плюс Прибор может находиться в виртуальная инфраструктура,

Консоль управления Barracuda Spam & Virus Firewall 300 enter image description here


Новый подход:

Я экспериментировал с Служба безопасности электронной почты Barracuda Cloud за последний месяц. Это похоже на другие размещенные решения, но хорошо подходит для небольших сайтов, где дорогостоящее устройство является дорогостоящим. За номинальную годовую плату эта услуга обеспечивает около 85% того, что делает аппаратное устройство. Услуга также может запускаться совместно с устройством на месте, чтобы уменьшить входящую полосу пропускания и обеспечить еще один уровень безопасности. Это также хороший буфер, который может генерировать почту в случае сбоя сервера. Аналитики по-прежнему полезны, хотя и не так подробно, как физическая единица.

Консоль безопасности Barracuda Cloud Email enter image description here

В целом, я пробовал много решений, но, учитывая масштабы определенных сред и возрастающие требования к базе пользователей, я хочу, чтобы были самые элегантные решения. Разумеется, использование многоцелевого подхода и «сворачивание ваших собственных» возможно, но я хорошо справился с некоторыми базовыми функциями безопасности и хорошего использования устройства Barracuda. Результат очень радует.

Заметка: Cisco Ironport тоже замечательно ... Просто дороже.


27
2017-08-23 14:08





Отчасти я поддерживаю то, что говорили другие; отчасти, я этого не делаю.

Spamassassin

Это очень хорошо работает для меня, но вам нужно потратить некоторое время на подготовку байесовского фильтра с ветчиной и спамом,

Greylisting

ewwhite может почувствовать, что его день пришел и ушел, но я не могу согласиться. Один из моих клиентов спросил, насколько эффективны мои различные фильтры, поэтому здесь приведены приблизительные данные за июль 2012 года для моего личного почтового сервера:

  • 46000 сообщений попытка доставки
  • 1750 прошли через greylisting
  • 250 прошли через greylisting + обученный spamassassin

Так что около 44000 никогда не делали это через greylisting; если бы у меня не было greylisting, и они приняли все это, у них была бы вся необходимая фильтрация спама, все с использованием процессора и памяти, а также пропускной способности.

редактировать: поскольку этот ответ, по-видимому, был полезен некоторым людям, я думал, что принесу статистику актуальной. Поэтому я повторно запустил анализ в почтовых журналах с января 2015 года, через 2,5 года.

  • 115 500 попыток доставки сообщений
  • 13 300 прошли через greylisting (и некоторые основные проверки на работоспособность, например, действительный домен отправителя)
  • 8500 человек прошли через зелёный + обученный спамассасин

Цифры не сопоставимы напрямую, потому что я больше не помню, как я достиг цифры 2012 года, поэтому я не могу быть уверенным в том, что методологии были идентичны. Но я уверен, что мне тогда не пришлось запускать дорогостоящую фильтрацию спама на огромном количестве контента, и я все еще этого не делаю из-за greylisting.

SPF

На самом деле это не анти-спам-метод, но он может уменьшить количество обратного рассеяния, с которым вам приходится иметь дело, если вы работаете на joe-jobbed. Вы должны использовать его как внутри, так и вне, то есть: вы должны проверить запись SPF отправителя для входящей электронной почты и принять / отклонить соответственно. Вы также должны публиковать свои собственные записи SPF, перечисляя полностью все машины, которые одобрены для отправки почты, как вы, и заблокировать всех остальных -all, Записи SPF, которые не заканчиваются -all абсолютно бесполезны.

Списки Blackhole

RBL являются проблематичными, поскольку они могут попасть на них не по своей вине, и их может быть трудно выйти. Тем не менее, они имеют законное применение в борьбе со спамом, но Я бы настоятельно сказал, что ни один RBL никогда не должен использоваться как яркий тест для приема почты, Путь spamassassin обрабатывает RBL - с помощью многих, каждый из которых вносит свой вклад в общий балл, и именно эта оценка делает принятие / отклонение решения - намного лучше.

Dropbox

Я не имею в виду коммерческую услугу, я имею в виду, что у моего почтового сервера есть один адрес, который разрешает все мои greylisting и фильтрацию спама, но который вместо того, чтобы доставлять кому-то INBOX, он переходит в папку, записываемую в мире, в /var, который автоматически обрезается каждую ночь по электронной почте в течение 14 дней.

Я призываю всех пользователей использовать его, например, при заполнении почтовых форм, для которых требуется подтвержденный адрес электронной почты, где вы будете получать одно электронное письмо, которое вам нужно сохранить, но от которого вы никогда не захотите слышать снова или при покупке от онлайн-продавцов, которые, вероятно, будут продавать и / или спамить их адрес (особенно те, которые недоступны европейским законам о конфиденциальности). Вместо того, чтобы давать свой реальный адрес, пользователь может указать адрес Dropbox и смотреть в Dropbox только тогда, когда она ожидает что-то от корреспондента (обычно это машина). Когда он прибудет, она сможет вытащить его и сохранить в своей почтовой коллекции. В любом случае пользователю не нужно смотреть в Dropbox.


23
2017-08-21 03:10



Мне очень нравится идея адресата Dropbox. - blalor
Greylisting - это «эгоистичное» решение; это задерживает много законной почты, и по мере того, как все больше и больше почтовых серверов развертывают ее, все больше и больше спамеров обеспечат их спам. В конце концов, мы проигрываем. Я бы рекомендовал greylisting для небольших развертываний и сильно рекомендовать против этого для более крупных развертываний. Рассматривать Tarpitting вместо. Milter-серый список может сделать тоже. - Adam Katz
@AdamKatz, что, безусловно, точка зрения. Я не уверен, как спамеры должны сделать свой спам устойчивым к greylisting, не отказываясь от спама и забыть спам, и в этом случае работа выполнена - в отличие от победы над tarpitting, которая требует только небольшого улучшения кода у зомби. Но я не согласен с тобой по поводу эгоизма. Когда объясняется компромисс (если вы хотите, чтобы в режиме реального времени электронная почта для нерегулярных корреспондентов, бюджет почты и comms увеличивался в двадцать раз), большинство предпочитает задержку. - MadHatter
@AdamKatz отметьте также, что мой «dropbox», выше, не попадает в greylisting. Таким образом, любой пользователь, который отчаянно нуждается в своевременном получении заранее подготовленной электронной почты, имеет автоматическое обходное решение - они знают, чтобы дать «немедленный» адрес, и следить за Dropbox до тех пор, пока не будет получен конкретный элемент. - MadHatter
@AdamKatz, так как мой greylisting настаивает на 10-минутном промежутке между первой и успешной попытками доставки, 15-минутная пауза не является серьезной проблемой. Что касается ожиданий пользователей, то они могут (и, конечно же, должны) управляться, как и любые другие. Остальная часть вашего аргумента гораздо более убедительна - возможно, вы могли бы добавить свой собственный ответ, представив некоторые конкретные данные о эффективности tarpitting в ваших развертываниях? Мы можем теоретически обосновать ожидаемую относительную эффективность навсегда, но данные гораздо более просветительские - nullius в verba! - MadHatter


Я использую ряд методов, которые уменьшают спам до приемлемых уровней.

Задержка приема соединений с неправильно настроенных серверов. Большинство спама, которые я получаю, - это Spambots, запущенные на зараженной вредоносной системой. Почти все они не проходят проверку подлинности rDNS. Задержка в течение 30 секунд или около того перед каждым ответом заставляет большинство Spambots сдаваться, прежде чем они отправят свое сообщение. Применяя это только к серверам, которые не работают, rDNS избегает штрафования правильно настроенных серверов. Некоторые неправильно настроенные законные массовые или автоматизированные отправители получают штраф, но доставляют с минимальной задержкой.

Настройка SPF для всех ваших доменов защищает ваши домены. Большинство поддоменов не должны использоваться для отправки электронной почты. Основное исключение - это MX-домены, которые должны иметь возможность отправлять почту самостоятельно. Ряд законных отправителей делегируют массовую и автоматическую почту серверам, которые не разрешены их политикой. Отсрочка, а не отклонение на основе SPF позволяют им фиксировать их конфигурацию SPF, или вы их переименовываете в белый список.

Требование полного доменного имени (Fully Qualified Domain Name) в команде HELO / EHLO. Спам часто использует неквалифицированное имя хоста, адресные литералы, IP-адреса или неверный TLD (домен верхнего уровня). К сожалению, некоторые законные отправители используют недействительные TLD, поэтому в этом случае может быть более целесообразным отсрочить. Это может потребовать мониторинга и «белых списков» для обеспечения возможности отправки почты.

DKIM помогает с отказом от отказа, но в остальном не очень полезен. Мой опыт в том, что спам вряд ли будет подписан. Вероятнее всего, Хэм будет подписан, поэтому он имеет определенную ценность в подсчете спама. Ряд законных отправителей не публикуют свои открытые ключи или иным образом ненадлежащим образом настраивают свою систему.

Greylisting полезно для серверов, которые показывают некоторые признаки неправильной конфигурации. Сервера, которые правильно настроены, в конечном итоге пройдут, поэтому я стараюсь исключить их из greylisting. Это полезно для Greylist freemailers, поскольку они, как правило, используются иногда для Spam. Задержка дает некоторые из входных данных фильтра спама, чтобы поймать спамера. Он также имеет тенденцию отклонять Spambots, поскольку они обычно не повторяются.

Blacklists и Whitelists могут помочь.

  • Я нашел Spamhaus надежным черным списком.
  • Auto WhiteListing в спам-фильтре помогает сгладить рейтинг частых отправителей, которые иногда являются Spamish или Spammers, которые иногда бывают Hamish.
  • Я также нашел полезный белый список dnsl.org.

Программное обеспечение для фильтрации спама достаточно полезно для поиска спама, хотя некоторые из них пройдут. Может быть сложно получить ложный негатив на разумном уровне, не увеличивая слишком много ложных срабатываний. Я нахожу, что Спамассасин ловит большую часть спама, который достигает его. Я добавил несколько пользовательских правил, которые соответствуют моим потребностям.

Постмастеры должны настраивать необходимые адреса злоупотреблений и почтовых сообщений. Подтвердите обратную связь, которую вы получаете по этим адресам, и действуйте на нее. Это позволяет другим помочь вам обеспечить правильную настройку вашего сервера, а не создание спама.

Если вы являетесь разработчиком, используйте существующие почтовые службы, а не настройте свой собственный сервер. По моему опыту, настройка серверов для автоматических почтовых отправителей, вероятно, будет неправильно настроена. Просмотрите RFC и отправьте правильно отформатированную электронную почту с законного адреса в вашем домене.

Конечные пользователи могут сделать несколько вещей, чтобы помочь уменьшить спам:

  • Не открывайте его. Отметьте его как спам или удалите его.
  • Убедитесь, что ваша система безопасна и вредоносная.
  • Контролируйте использование сети, особенно если вы не используете вашу систему. Если он генерирует много сетевого трафика, когда вы его не используете, он может отправлять спам.
  • Выключайте компьютер, когда вы его не используете. (Он не сможет создать спам, если его отключить.)

Владельцы доменов / интернет-провайдеры могут помочь, ограничив доступ к Интернету на порт 25 (SMTP) на официальные серверы электронной почты. Это ограничит возможность отправки Spamots в Интернет. Это также помогает, когда динамические адреса возвращают имена, которые не проходят проверку подлинности rDNS. Еще лучше проверить, что запись PTR для почтовых серверов пропускает валидацию rDNS. (Проверьте типографские ошибки при настройке записей PTR для ваших клиентов.)

Я начал классифицировать электронную почту в трех категориях:

  • Ham (почти всегда из правильно настроенных серверов, правильно отформатированных и обычно личных сообщений электронной почты).
  • Спам (в основном от Spambots, но определенный процент от freemailers или других отправителей с неправильно настроенными серверами).
  • Bacn; может быть Ham или Spam (включает много писем из списков рассылки и автоматизированных систем. Ham обычно заканчивается здесь из-за неправильной настройки DNS и / или сервера).

14
2017-08-25 22:16



Bacn (обратите внимание на недостающие o) является стандартным термином, относящимся к «почте, которую вы хотите, но не сейчас». Другая категория для почты - Graymail, который является массовой почтой, которая не является технически спамом и может быть нежелательной для некоторых из ее получателей, которые все же нужны другим. - Adam Katz


Единственным наиболее эффективным решением, которое я видел, является использование одной из внешних служб фильтрации почты.

У меня есть опыт работы со следующими службами у текущих клиентов. Я уверен, что есть и другие. Каждый из них отлично поработал в моем опыте. Стоимость разумна для всех трех.

  • Postini от Google
  • MXLogic от McAfee
  • SecureTide от AppRiver

Услуги имеют несколько огромных преимуществ перед локальными решениями.

  1. Они останавливают большинство (> 99%) спама, прежде чем он попадет в ваше интернет-соединение и ваш почтовый сервер. Учитывая объем спама, это много данных не по вашей пропускной способности, а не на вашем сервере. Я выполнил одну из этих служб десятки раз, и каждый из них привел к заметному повышению производительности почтового сервера.

  2. Они также выполняют антивирусную фильтрацию, как правило, в обоих направлениях. Это смягчает необходимость наличия на вашем сервере «почтового антивируса», а также полностью поддерживает virii

Они также отлично справляются с блокировкой спама. За 2 года работы в компании, использующей MXLogic, у меня никогда не было ложных положительных результатов, и я могу считать законные спам-сообщения, которые прошли с одной стороны.


5
2018-06-11 01:37



+1 для распознавания преимуществ размещенных решений и времени работы / масштабирования и снижения трафика. Единственная проблема, которую я нахожу, - это отсутствие настройки и ответа в некоторых случаях (с точки зрения того, кто должен ОТПРАВИТЬСЯ в доменах, защищенных этими службами). Кроме того, у некоторых фирм есть причины безопасности / соблюдения, поскольку они не могут использовать внешнюю фильтрацию. - ewwhite


Нет двух почтовых окружений. Поэтому для создания эффективного решения потребуется много проб и ошибок по многим различным технологиям, потому что содержание электронной почты, трафика, программного обеспечения, сетей, отправителей, получателей и многое другое будет сильно отличаться в разных средах.

Однако я считаю, что следующие списки блоков (RBL) хорошо подходят для общей фильтрации:

Как уже было сказано, SpamAssassin - отличное решение при правильной настройке, просто установите как можно больше модулей Perl в CPAN, а также Razor, Pyzor и DCC. Postfix отлично работает с SpamAssassin, и гораздо проще управлять и настраивать, чем EXIM, например.

Наконец, блокирование клиентов на уровне IP с использованием fail2ban и iptables или аналогичных в течение коротких периодов времени (скажем, один день в неделю) после того, как некоторые события, такие как запуск удара по RBL для злоупотребления, также могут быть очень эффективными. Зачем тратить ресурсы на разговоры с известным вирусом, зараженным хостом?


4