Використання підроблених записів MX для боротьби зі спамом


14

У мене є клієнт, який сильно спамується. Це 15 число місяця, а пропускна здатність POP3 майже 100 ГБ. У цьому домені є лише 7 облікових записів електронної пошти. Я встановив, що SpamAssassin встановив її 5, а встановлення 10-20 фільтрів відхиляє більшу частину сміття. Я не бачу великих змін у пропускній здатності POP3. Виправте мене, якщо я помиляюся, сервер все ще отримує повідомлення, використовуючи пропускну здатність, щоб проаналізувати визначення шкали спаму.

Я наткнувся на підроблені записи MX, бо тхі не знають - в основному ви встановлюєте фальшивий сервер як найнижчий і найвищий MX-запис із записом MX робочого сервера посередині.

Наприклад:

fake.example.com    1
realmx.example.com  2
fake2.example.com   3

Теорія полягає в тому, що більшість спаму генерується від зомбі на базі Windows, і досить багато хто запитує найвищий MX-запис для спаму, оскільки зазвичай це резервні сервери, які не фільтрують спам. Найнижча підроблена MX-запис для решти спамерів .. і, як правило, спамери не повторюються після відмов.

Хтось пробував це? Чи допомагає це? Це затримує чи спричиняє проблеми з доставкою пошти? У когось ще є краще рішення?

Відповіді:


15

Зробіть собі прихильність і налаштуйте їх за допомогою шлюзу, захищеного від спаму, такого як Postini. За кілька доларів за поштову скриньку на місяць, немає абсолютно ніяких причин цього не робити, і ви не тільки усунете 99% своєї спаму, ви також отримаєте задоволення від доступу до їх служб катушки (зручно для запланованого або позапланового простою), не згадайте про економію пропускної здатності, дозволяючи комусь іншому отримувати та обробляти весь той спам, перш ніж він потрапить на край вашої мережі.

Не працівник Postini, а щасливий користувач, який також налаштовує десятки клієнтів.


дякую за пропозицію, це план B (план C перейменовує свою адресу електронної пошти..lol) Мені подобається ідея SaaS або переднього фільтрування
Mikey1980

Хоча це відповідь, яку я хотів почути .. мій клієнт поїхав із Google Postini, СПАМ вийшов з-під контролю і без доступу до кореня здавався єдиним варіантом - велике спасибі за підказку!
Mikey1980

Вам сподобається чоловік. Серйозно: велика можливість увімкнути котушку під час роботи на сервері. Також я використовую їх як висхідний смартхост і відповідно блокую брандмауер, тому незалежно від того, якими коробками володіють мої мережі (включаючи поштовий сервер (и)), вони можуть спілкуватися лише з SMTP-серверами Postini, що робить вихідну фільтрацію так само.
gravyface

Постіні ... так, чому б тоді не скористатися Gmail? ;-P
poige

@poige: запуск поштового сервера з послугою шлюзу - це не те, що розміщення вашої пошти за допомогою Google Apps (gmail).
gravyface

12

Я спробував це, і настійно рекомендую вам НЕ РОБИТИ ! Тоді це здавалося гарною ідеєю, але після того, як пошта від різних відправників почала зникати, я зрозумів, що це помилка. Те, що я не усвідомлював, - це те, що там багато жахливо написаних SMTP-серверів, які не дотримуються специфікацій і досить погані в обробці помилок, а люди не знають і не хвилюються, тому що "цей інший хлопець отримав мій електронний лист , значить, це ти повинен бути ».

Я надсилаю деякі інші пропозиції щодо роботи зі СПАМ. Postini - це чудовий сервіс, і навіть вбудовані в анти-спам речі у безкоштовних програмах Google не так вже й погано. Якщо ви хочете отримати більше контролю, ви можете придбати IronPort або інший пристрій або прокатати свій власний.


1
Спасибі Джеде, саме те, що я хотів .. досвід з перших рук. Я ніколи не замислювався над проблемами SMTP, надто зосередженими на надходженні +1
Mikey1980,

1
Я працюю в компанії проти спаму (Red Condor), і ми маємо рекорди найвищого пріоритету для більшості наших клієнтів, встановлених за адресою чорного отвору. Однак у нас є деякі клієнти, які усувають це, тому що дурні люди пишуть легітимні поштові сервери, які лише бомбардують цю адресу. Однак співпраця з провайдером SaaS дозволить вам вивантажити пропускну здатність дешево.
Райан Гулер

@ Ryan - спасибі! Чи є у вас звіти про "чорний отвір" server-busyчи він зовсім мертвий?
Mikey1980

6

Я ніколи не чув про цей метод раніше, і можу уявити, що він би затримав законну пошту потенційно на кілька годин. Зрештою, протоколи smtp повинні доставити ваш законний електронний лист. Дійсні сервери вдарять про помилковий запис mx і намагаються доставити на цей сервер ... Я не знаю, що ви там можете працювати (якщо що), але вони будуть намагатися, поки це не буде прийнято.

Належні сервери продовжуватимуть пробу MX-записів до доставки пошти Спамери, як правило, стають розумнішими, і якщо це працює для деяких програм для спаму, я сумніваюся, що це буде працювати довго. Я не можу рекомендувати це.

Моя пропозиція, замість того, щоб подивитися на використання smtp tarpit на додаток до існуючого фільтра спаму. Зараз є ряд таких. Я думаю, ви виявите, що це набагато ефективніше, ніж метод підробленого запису mx.

Такі tarpits поставляються з smtpd на BSD. У sendmail 8.13 також є деякі функції відмітки.

В основному, tarpit працює, прив’язуючи ресурси спам-сервера. Вони роблять це, відкладаючи відповіді, які вони отримують. наприклад, спам-сервер підключається і отримує близько 1 байта в секунду.
Деякі з серверів tarpit шукають шаблони спаму та можуть розпізнати спам-сервер. Легальні сервери будуть готові чекати через повільну відповідь. На деяких серверах tarpits вони автоматично переміщують законно розпізнаний сервер на білий список, щоб в майбутньому не було затримок.

Google SMTP Tarpit і погляньте.


Дякую за пропозицію, але мій клієнт - компанія з веб-дизайну (їхній клієнт - це проблема), що працює на 100-ти сайтах із низьким трафіком на спільному хості, і WHM не має кореневого доступу або SSH .. застряг із SpamAssassin .. btw Exim це обмін. Пробачте, якщо це не зрозуміло .. моя фортеця програмує ... Я, мабуть, зробив би жахливий сисадмін!
Mikey1980

Я також програміст, але витратив досить багато годин, працюючи на серверах freebsd моєї старої компанії, роблячи всілякі речі.
Метт

5

Ви не згадали про це, тож є причина, що ви не використовуєте DNSBL ?

Редагувати: SpamAssassin включає підтримку декількох із них - без них ви будете витрачати багато циклів процесора, аналізуючи спам.


Ще одне велике пропозицію, але я дійсно обмежений , тому що мої клієнти WHM не є коренем .. згідно Webalizer, що дозволяє SpamAssassin зробив поруч не впливає на пропускну здатність протягом останніх 12 годин
Mikey1980

1
... тоді найкращим варіантом буде надіслати всі поштові послуги через Google Apps або використовувати інший сторонній сервіс для пом’якшення спаму, якщо хостинг-провайдер вашого клієнта не бажає поводитися з конфігурацією SpamAssassin.
danlefree

Будь-яка ідея, якщо DNSBL або RBL включені глухими? Ви б могли подумати, що вони будуть. Я погоджуюся, я починаю думати, що фільтрування MX-інтерфейсу буде єдиним рішенням.
Mikey1980

@ Mikey1980 - "Будь-яка ідея, якщо DNSBL або RBL включені глухими?" Вибачте, не можу сказати - найкраще в будь-якому випадку звернутися безпосередньо до постачальника, оскільки є можливість застосувати власну конфігурацію.
danlefree

Ви можете перевірити, чи сервер електронної пошти фільтрує спам на основі DNSBL: spamhaus.org/faq/answers.lasso?section=DNSBL%20Usage#205
ZippyV

4

Я використовую цей підроблений MX ( варіант із списку ), і він працює дуже добре.

Я використав постфікс MX зі всіма звичними фільтрами і після деякого спаму вдається перевантажити сервер у 2 або 3 рази, я вирішив спробувати ... ось результат: фейк-мх, до і після

спробуйте вгадати, коли я реалізував підробку-mx! 8)

Результат такий же, як постгрей, але на відміну від постгрей, вам не потрібно змінювати свій поштовий сервер

Тепер спам-боти спробують або високий MX, або низький MX, звільняючи реальну MX від навантаження, намагаючись потім фільтрувати (навіть при DNSBL, завантаження було високим) і справжня електронна пошта надходить з мінімальною затримкою.

Але будьте попереджені, існують ризики:

  • Деякі сервери можуть мати високий час повтору. Більшість серверів повторно спробують наступний MX після першого тайм-аута, інші спробують через кілька хвилин наступного, але я вже бачив сервери, які повторюються лише через одну годину чи один день. Вони дуже рідкісні, і для тих, кого я міг би зловити, це була погана конфігурація. розмова з іншим поштовим майстром вирішує проблему

  • Усі електронні листи будуть затримані. Насправді я взагалі не бачу затримок, майже всі справжні сервери пошти повторно спробують перейти до наступного MX після першого тайм-ауту, тому ми говоримо про затримку 30-х. Зазвичай вони намагаються принаймні 3 MX, перш ніж чергати повідомлення на довшу затримку. але ви можете мати контакт з одним зламаним сервером поштового зв’язку, який може цього не робити і затримувати кожне повідомлення на хвилини. Тож це річ, яку слід контролювати при розгортанні цього рішення.

  • Зламані сайти. Деякі веб-сервери надсилають електронну пошту для паролів, сповіщень тощо, і замість того, щоб доставляти внутрішній реальний поштовий сервер, вони намагаються бути "фальшивим" поштовим сервером та доставкою безпосередньо. Як його веб-сервер, вони ніколи не повторюватимуться і електронна пошта буде втрачена. Знову погана конфігурація від веб-майстрів / веб-розробників, оскільки лише реальні сервери електронної пошти повинні надсилати електронну пошту. кожного разу, коли я знаходжу ці проблеми, я розмовляю з веб-майстром про проблему, і зазвичай проблема виправлена.

  • Без журналів. Оскільки підроблений MX позначає незаповнені IP-адреси, ви не маєте журналів того, що намагалися доставити. ви знаєте лише, що щось пішло не так, коли хтось скаржиться. але це теж добре. Ви завжди можете стверджувати, що у вас немає спроб доставити будь-яку електронну пошту, тому це віддалена проблема. Інша сторона повинна перевірити свої журнали та вирішити проблему. Я можу довести, що взагалі немає зв’язку з моїм реальним сервером, переміщуючи тиск, щоб вирішити проблему в іншу сторону. Якщо інша сторона не в змозі виправити проблему, вона виглядала ненадійною, ненадійною.

  • Немає білого списку. це стосується всіх серверів через dns, тому ви не можете додати білий список одного сервера ... насправді це просто напівправда, але складніше. рішення білого списку полягає в тому, що найнижчий MX вказує на IP, де працює smtp, але відфільтрований брандмауером для всіх. Ті сервери, які ви хочете додати до списку, потребували дозволу в брандмауері. Таким чином, всі сервери будуть відхилені брандмауером, а білі списки зможуть доставити на поштовий сервер. Він працює, але лише для білого списку IP-адрес, а не для білого списку електронної пошти.

На відміну від postgrey, де віддалений відправник має журнал "відхиленої" доставки (і так може вказувати на нас як на проблему), підроблений MX покаже, що веб-сервер навіть не міг підключитися і не намагався повторити, не даючи виправдання для віддаленої сторони про проблему. Невдалий MX краще прийняти за постгрей, оскільки ми завжди можемо стверджувати, що "проблема маршрутизації, але резервна копія MX працює нормально, ми отримуємо всі інші електронні листи"

з урахуванням сказаного, я отримую дуже мало скарг (приблизно 1 раз на 3 місяці), тому я вважаю це досить безпечним (кожен спам-фільтр ризикує).

Зверніть увагу, що я використовую дійсну ipv4 адресу для всіх MX, але для підроблених я використовую IP, яким я керую, який не використовується (і тому він дає час очікування / хост недоступним для будь-якого з'єднання). ці правила застосовуються, навіть якщо ви цим не користуєтесь. Існують dns та smtp-сервери, для роботи електронної пошти потрібна ідеально коректна dns-конфігурація. підроблені MX також повинні бути дійсними, вони просто не повинні бути доступними.

Не використовуйте приватні IP-адреси чи IP-адреси, які ви не контролюєте для підробленого MX (якщо ви додасте ipv6 адресу, ТАКОЖ додайте ipv4). Це дозволить уникнути проблем зі зламаним DNS та поштовими серверами та сюрпризів щодо отримання електронної пошти (встановивши smtp-сервер на IP, який ви не контролюєте). Крім того, CNAME заборонено для MX, тому не використовуйте його також, просто звичайний запис A

Нарешті, для підробленого MX слід надіслати tcp-скидання, щоб покращити продуктивність (хост або порт недоступний) замість простого тайм-ауту (відкинувши пакет), тому рекомендується додати його до вашого брандмауера.

у будь-якому випадку, не тільки я все ще використовую його, так як я рекомендую всім користуватися ним


Це не списки , не просто варіанти. Це дійсно спрацьовує, але важко виміряти, оскільки ти підробляєш дані фальшивих серверів (графік вище - лише анекдотичний!). Я рекомендую сервер з високим пріоритетом, який є справжнім сервером (яким ви керуєте!) Із закритим портом 25 - але НЕ випав, ви хочете по-справжньому швидкий збій-- і сервер з низьким пріоритетом (у ІР-просторі ви керуєте!) тобто або не вгору, або іншим чином прозоро скидає з'єднання цього порту.
Адам Кац

1
@AdamKatz Nolisting - це найвищий пріоритет MX, цей варіант також має підроблений сервер з найнижчим пріоритетом ... у цьому різниця! Крім того, якщо ви прочитаєте кілька останніх моїх абзаців, ви побачите, що я кажу саме те, що ви написали! :)
higuita

2

Що стосується фільтрації пошти, я був задоволений поєднанням спамасасіна та ваги політики , який перевіряє ім'я хоста відправника та списки блоків під час з'єднання SMTP. Це чудова річ з двох причин:

  1. вам не доведеться обробляти відхилену електронну пошту спамасасіном, який позбавляє вас системних ресурсів (байєсівський аналіз потребує певного часу) та пропускну здатність
  2. Хости відправника отримують відхилення, тому у випадку, коли вдається заблокувати законну електронну пошту, його відправник отримує повідомлення про помилку доставки

Я використовую налаштування на Postfix, але нібито є спосіб встановити policyd-weight за допомогою Exim .


1

Я не зрозумів повністю ідеї, чесно.

Гаразд, я кажу, що мій основний сервер пошти - це підробка. Тоді так? Це взагалі не існує чи що? (Припустимо, нарешті в будь-якому випадку відрізають частину СПАМЕРів.) "Вцілілі" скористалися б вторинними - жодних проблем. Але чому в цій установці є 3-й сервер?


Оскільки це повинно бути моєю відповіддю, а не питанням, я б зробив висновок так: це хворість і бліда тінь Greylisting. Якщо ви хочете побачити справжній ефект, спробуйте скористатися Greylisting, чоловіче .


Надзвичайне формулювання, але ви цілком правильні. Greylisting IS належне рішення (крім пристойної повномасштабної системи фільтрації проти спаму). Він буде працювати так само ефективно, як і підроблені записи MX, без усіх недоліків.
Джон Гарденєр

1

Я скидаю більшу частину спаму, затримуючи з'єднання з хостами, занесені до списку дзен Spamhaus. Спам-боти не люблять затримки. Виявлення очевидних підробок сервера в команді HELO також очищає багато спаму. Умови, які я встановив, що вказують на підробки серверів, включають.

  • Використання мого імені хоста або IP-адреси.
  • Використання некваліфікованого імені хоста.
  • Використання літералу домену ([192.0.2.15]) замість FQDN. (Так, RFC вимагають цього, але в наші дні не використовуються поштовими серверами Інтернет.)
  • Збій SPF для імені HELO не Mail (я блокую при відмові, softfail та нейтралі).

Якщо ви цінуєте автоматизовану чи маркетингову пошту, перевірте команду HELO, яка не працює. Мій досвід полягає в тому, що вся інша пошта проходить ці умови.

  • Використання доменного імені другого рівня, а не FQDN для хоста.
  • Потрібно ім'я IP або HELO для підтвердження rDNS.
  • Потрібна дійсна домен другого рівня для FQDN. (локальний не є дійсним доменом, а також не локальний домен.)

Підписання зворотного шляху дозволяє заблокувати деякий спам. Хоча останнім часом я бачу набагато менше підроблених відмов.

На жаль, я вважаю, що високий відсоток законної автоматизованої або маркетингової пошти формує їх шлях повернення. Ці хости часто також не мають дійсної пошти для пошти. Я вважаю, що вимагати дійсного домену на шляху повернення є працездатним. Я отримую набагато більше відмов SPF на законній пошті, ніж спам.

Нещодавно я опублікував свій досвід блокування спаму з Exim


0

Окрім втраченої електронної пошти від законних людей із зламаними шлюзами, її судили вже давно (як 15 років тому +/-), і спамери адаптувались до неї майже одразу тоді. Я підозрюю, що це виявиться чистим збитком для надійності вашої електронної пошти, не маючи впливу на спам. Однак якщо ви спробуєте, надішліть нам результати!


0

На жаль, є певні оператори, які не надсилатимуть вам пошту, якщо перший запис MX не буде доступний. Нещодавно я записав свій досвід з цим у записі в блозі, тому не повторю його тут. Підсумок, однак, полягає в тому, що мій перший запис MX насправді був MX-записом лише для IPv6, оскільки я вважав, що спамери не використовують IPv6 (поки що). На жаль, це спричинило проблеми, і врешті-решт мені довелося додати IPv4 адресу до першого запису MX у моїй зоні.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.