Боротьба зі спамом - Що я можу зробити: адміністратор електронної пошти, власник домену чи користувач?


107

Це канонічне запитання про боротьбу зі спамом.
Також пов'язані:

Існує так багато методик і стільки знати про боротьбу зі СПАМ. Які широко використовувані методи та технології доступні для адміністратора, власників домену та кінцевих користувачів, щоб не допустити потрапляння сміття з наших вхідних?

Ми шукаємо відповідь, яка охоплює різні технології з різних куточків. Прийнята відповідь повинна включати різні технології (наприклад, SPF / SenderID, DomainKeys / DKIM, грайліст, DNS RBL, репутаційні послуги, фільтрувальне програмне забезпечення [SpamAssassin тощо]); кращі практики (наприклад, пошту на порт 25 ніколи не можна допускати до ретрансляції, використовувати порт 587 тощо), термінологію (наприклад, Open Relay, Backscatter, MSA / MTA / MUA, Spam / Ham) та, можливо, інші методи.


13
Канонічно чи ні, це не місце, щоб запитувати про речі на рівні користувача.
Джон Гарденєр

Відповіді:


97

Щоб перемогти ворога, ти повинен знати свого ворога.

Що таке спам?

Для наших цілей спам - це будь-яке небажане масове електронне повідомлення. Спам в ці дні призначений для того, щоб заманювати користувачів, які нічого не підозрюють, відвідати веб-сайт (як правило, тінистий), де їм буде запропоновано придбати продукти або доставити зловмисне програмне забезпечення на їх комп’ютери або обидва. Деякий спам доставить зловмисне програмне забезпечення безпосередньо.

Можливо, ви здивуєте, дізнавшись, що перший спам був надісланий у 1864 році. Це була реклама стоматологічних послуг, надіслана телеграмою Western Union. Саме слово є посиланням на сцену в Літаючому цирку Монті Пітона .

Спам у цьому випадку не стосується трафіку списку розсилки, на який підписався користувач, навіть якщо вони згодом передумали (або забули про нього), але насправді ще не скасували підписку.

Чому проблема спаму?

Спам - це проблема, оскільки він працює для спамерів . Спам, як правило, генерує більше, ніж достатньо продажів (або доставки зловмисного програмного забезпечення, або обох), щоб покрити витрати, спрямовані на спамер - на його відправлення. Спамер не враховує витрат на одержувача, вас та ваших користувачів. Навіть коли на нього відгукується крихітна частина користувачів, які отримують спам, цього достатньо.

Таким чином, ви можете платити рахунки за пропускну здатність, сервери та час адміністратора, щоб розібратися зі вхідною спамом.

Ми блокуємо спам з цих причин: ми не хочемо його бачити, щоб зменшити витрати на обробку електронної пошти та зробити спам дорожчим для спамерів.

Як працює спам?

Спам, як правило, доставляється різними способами від звичайного, законного електронного листа.

Спамери майже завжди хочуть приховати походження електронної пошти, тому типовий спам міститиме помилкову інформацію заголовка. From:Адреса, як правило , підроблені. Деякий спам включає підроблені Received:рядки, намагаючись замаскувати слід. Багато спаму доставляється через відкриті SMTP-реле, відкриті проксі-сервери та ботнети. Усі ці методи ускладнюють визначення того, хто виник спам.

Потрапивши у папку "Вхідні", мета спаму полягає в тому, щоб спокусити користувача відвідувати рекламований веб-сайт. Там користувач буде запропонований здійснити покупку, або сайт спробує встановити зловмисне програмне забезпечення на комп'ютер користувача, або обидва. Або спам попросить користувача відкрити вкладення, яке містить зловмисне програмне забезпечення.

Як зупинити спам?

Будучи системним адміністратором поштового сервера, ви налаштуєте свій поштовий сервер та домен, щоб ускладнити доставку спаму для своїх користувачів.

Я висвітлюю питання, спеціально зосереджені на спамі, і можу пропустити речі, не пов’язані безпосередньо зі спамом (наприклад, шифрування).

Не запускайте відкрите реле

Гріхом великого поштового сервера є запуск відкритого ретранслятора , SMTP-сервера, який прийме пошту для будь-якого пункту призначення та доставить її вперед. Спамери люблять відкриті реле, оскільки вони практично гарантують доставку. Вони беруть на себе навантаження доставки повідомлень (і повторних спроб!), А спамер робить щось інше. Вони роблять спам дешевим .

Відкриті реле також сприяють проблемі зворотного розбиття. Це повідомлення, які були прийняті естафетою, але потім виявились недостатніми. Відкрите реле потім надішле повідомлення відмов на From:адресу, що містить копію спаму.

  • Налаштуйте свій поштовий сервер приймати вхідну пошту на порт 25 лише для вашого власного домену. Для більшості поштових серверів це поведінка за замовчуванням, але вам потрібно принаймні повідомити поштовому серверу, якими є ваші домени.
  • Перевірте свою систему, надіславши своєму SMTP-серверу пошту за межі вашої мережі, де обидва адреси From:та To:адреси не знаходяться у вашому домені. Повідомлення слід відхилити. (Або використовуйте Інтернет-сервіс, наприклад MX Toolbox, щоб виконати тест, але пам’ятайте, що деякі інтернет-служби подадуть вашу IP-адресу в чорні списки, якщо ваш поштовий сервер не виконає тест.)

Відхиліть все, що виглядає занадто підозріло

Різні неправильні конфігурації та помилки можуть підказати, що вхідне повідомлення, ймовірно, буде спамом або іншим чином неправомірним.

  • Позначити як спам або відхилити повідомлення, для яких IP-адреса не має зворотного DNS (запис PTR). Ставтесь до відсутності запису PTR для з'єднань IPv4, ніж для з'єднань IPv6, оскільки багато IPv6-адрес ще не мають зворотного DNS і не можуть протягом декількох років, поки програмне забезпечення сервера DNS не зможе краще обробляти ці потенційно дуже великі зони.
  • Відхиліть повідомлення, для яких доменне ім’я в адресах відправника або одержувача не існує.
  • Відхиліть повідомлення, які не використовують повнокваліфікованих доменних імен для домену відправника або одержувача, якщо вони не походять з вашого домену і не мають на меті бути доставлені у вашому домені (наприклад, служби моніторингу).
  • Відхиліть з'єднання, коли інший кінець не надсилає HELO/ EHLO.
  • Відхиліть з'єднання, де HELO/ EHLOє:
    • не повноцінне доменне ім’я та не IP-адреса
    • явно неправильно (наприклад, власний простір IP-адрес)
  • Відхиліть з'єднання, які використовують трубопроводи, не маючи на це уповноваження.

Аутентифікуйте своїх користувачів

Пошта, що надходить на ваші сервери, повинна розглядатися з точки зору вхідної та вихідної пошти. Вхідна пошта - це будь-яка пошта, що надходить на ваш SMTP-сервер, яка в кінцевому рахунку призначена для вашого домену; вихідна пошта - це будь-яка пошта, що надходить на ваш SMTP-сервер, яка буде передана в інше місце до її доставки (наприклад, перехід на інший домен). Вхідна пошта може оброблятися вашими спам-фільтрами і може надходити з будь-якого місця, але завжди повинна бути призначена для ваших користувачів. Цей електронний лист не може бути підтверджено автентичністю, оскільки неможливо надати облікові дані кожному сайту, який може надіслати вам пошту.

Вихідна пошта, тобто пошта, яка буде передана, повинна бути автентифікована. Це так, незалежно від того, приходить він з Інтернету або зсередини вашої мережі (хоча слід обмежувати діапазони IP-адрес, дозволених використовувати ваш поштовий сервер, якщо це можливо оперативно); це тому, що спам-боти можуть працювати у вашій мережі. Отже, налаштуйте ваш SMTP-сервер таким чином, що пошта, пов'язана з іншими мережами, буде відхилена (ретрансляційний доступ буде відмовлено), якщо ця пошта не буде засвідчена автентифікацією. Ще краще використовувати окремі поштові сервери для вхідної та вихідної пошти, не дозволяти взагалі не ретранслювати вхідні та не допускати несанкціонованого доступу до вихідних.

Якщо це програмне забезпечення дозволяє, ви також повинні фільтрувати повідомлення відповідно до автентифікованого користувача; якщо адреса пошти не відповідає користувачеві, який пройшов автентифікацію, її слід відхилити. Не мовчки оновлювати адресу з адреси; користувач повинен знати про помилку конфігурації.

Ви також повинні ввести ім'я користувача, яке використовується для надсилання пошти, або додати до нього ідентифікаційний заголовок. Таким чином, якщо трапляються зловживання, ви маєте докази та знаєте, який обліковий запис використовувався для цього. Це дозволяє ізолювати компрометовані облікові записи та проблемних користувачів, і це особливо цінно для провайдерів спільного хостингу.

Фільтруйте трафік

Ви хочете бути впевнені, що пошту, що виходить з вашої мережі, насправді надсилають ваші (автентифіковані) користувачі, а не боти чи люди ззовні. Специфіка того, як це зробити, залежить від того, якою саме системою ви керуєте.

Як правило, блокування вихідного трафіку на порти 25, 465 та 587 (SMTP, SMTP / SSL та Submission) для всього, крім ваших вихідних поштових серверів - це гарна ідея, якщо ви є корпоративною мережею. Це так, що боти, запущені зловмисним програмним забезпеченням у вашій мережі, не можуть надсилати спам з вашої мережі ні для відкриття ретрансляцій в Інтернеті, ні безпосередньо до кінцевої MTA за адресою.

Точкові точки є особливим випадком, оскільки легальна пошта від них походить з багатьох різних доменів, але (через SPF, серед іншого) "примусовий" поштовий сервер є недоцільним, і користувачі повинні використовувати SMTP-сервер власного домену для надсилання пошти. Це набагато складніше, але використання конкретного загальнодоступного IP або IP-діапазону для інтернет-трафіку від цих хостів (для захисту репутації вашого сайту), зменшення трафіку SMTP та глибока перевірка пакетів - це рішення, які слід розглянути.

Історично спам-боти видавали спам в основному на порт 25, але ніщо не заважає їм використовувати порт 587 з тією ж метою, тому зміна порту, використовуваного для вхідної пошти, має сумнівне значення. Однак використання порта 587 для надсилання пошти рекомендується RFC 2476 і дозволяє розділити між поданням пошти (до першого MTA) та передачею пошти (між MTA), де це не очевидно з топології мережі; якщо вам потрібна така розлука, ви повинні це зробити.

Якщо ви є провайдером, VPS-хостом, постачальником локації або подібним або надаєте точку доступу для відвідувачів, блокування вихідного SMTP-трафіку може бути проблематичним для користувачів, які надсилають пошту за допомогою власних доменів. У всіх випадках, окрім загальнодоступної точки доступу, ви повинні вимагати від користувачів, яким потрібен вихідний SMTP-доступ, оскільки вони працюють з поштовим сервером, щоб спеціально його вимагати. Повідомте їм, що скарги на зловживання в кінцевому рахунку призведуть до припинення доступу для захисту вашої репутації.

Динамічні IP-адреси та ті, які використовуються для інфраструктури віртуальних робочих столів, ніколи не повинні мати вихідний SMTP-доступ, за винятком конкретного поштового сервера, який ці вузли повинні використовувати. Ці типи IP-адрес також повинні з’являтися в чорних списках, і ви не повинні намагатися створювати репутацію для них. Це тому, що навряд чи вони матимуть законний MTA.

Подумайте про використання SpamAssassin

SpamAssassin - це поштовий фільтр, який можна використовувати для ідентифікації спаму на основі заголовків та вмісту повідомлень. Він використовує систему балів на основі правил, щоб визначити ймовірність того, що повідомлення є спамом. Чим вище бал, тим більше шансів на те, що повідомлення є спамом.

SpamAssassin також має механізм Bayesian, який може аналізувати зразки спаму та шинки (законне повідомлення електронної пошти), що надходять у нього.

Найкраща практика для SpamAssassin - не відхиляти пошту, а поміщати її у папку "Небажана чи спам". MUA (агенти користувачів пошти), такі як Outlook та Thunderbird, можна налаштувати, щоб розпізнавати заголовки, які SpamAssassin додає до електронних повідомлень, і подавати їх належним чином. Помилкові позитиви можуть і траплятися, і хоча вони рідкісні, коли це трапляється з генеральним директором, ви почуєте про це. Ця розмова піде набагато краще, якщо повідомлення було просто доставлено у папку Небажана, а не відкинуто прямо.

SpamAssassin майже єдиний у своєму роді, хоча існує декілька альтернатив .

Подумайте про використання списків чорних каналів на основі DNS та служб репутації

DNSBL (раніше відомі як RBL або списки чорних дзвінків у режимі реального часу) надають списки IP-адрес, пов’язаних зі спамом або іншою шкідливою діяльністю. Вони керуються незалежними третіми сторонами на основі власних критеріїв, тому уважно вивчіть, чи перелік та делістизація критеріїв, використовуваних DNSBL, сумісні з потребою вашої організації отримувати електронну пошту. Наприклад, кілька DNSBL мають драконієву політику делістінгу, яка дуже ускладнює вилучення того, кого випадково було внесено до списку. Інші автоматично припиняються після того, як IP-адреса протягом періоду часу не надсилає спам, що безпечніше. Більшість DNSBL безкоштовно використовувати.

Репутаційні служби схожі, але стверджують, що вони дають кращі результати, аналізуючи більше даних, що стосуються будь-якої IP-адреси. Більшість сервісів репутації вимагають оплати підписки або придбання обладнання або обох.

Доступні десятки DNSBL та репутаційних служб, хоча деякі з найбільш відомих і корисних, які я використовую та рекомендую:

Консервативні списки:

Агресивні списки:

Як згадувалося раніше, багато десятків інших доступні і можуть відповідати вашим потребам. Один з моїх улюблених хитрощів - знайти IP-адресу, яка доставила спам, який пройшов проти декількох DNSBL, щоб побачити, хто з них би відхилив його.

  • Для кожної служби DNSBL та репутації вивчіть її політику щодо переліку та усунення списку IP-адрес та визначте, чи сумісні вони з потребами вашої організації.
  • Додайте DNSBL на ваш SMTP-сервер, коли ви вирішили, що доречно використовувати цю послугу.
  • Подумайте про призначення кожному DNSBL балу та конфігуруйте його на SpamAssassin, а не на ваш SMTP-сервер. Це зменшує вплив хибного позитиву; таке повідомлення буде доставлене (можливо, для небажаної / спаму), а не відхиленого. Компроміс полягає в тому, що ви доставите багато спаму.
  • Або відхиліть прямо, коли IP-адреса знаходиться в одному з більш консервативних списків, і налаштуйте більш агресивні списки в SpamAssassin.

Використовуйте SPF

SPF (Sender Policy Framework; RFC 4408 та RFC 6652 ) - це засіб запобігання підробленню електронних адрес, оголошуючи, яким Інтернет-хости мають право доставляти пошту для даного доменного імені.

  • Налаштуйте DNS для оголошення SPF-запису з уповноваженими серверами вихідної пошти та -allвідхиленням усіх інших.
  • Налаштуйте свій поштовий сервер для перевірки SPF-записів вхідної пошти, якщо вони існують, та відхилити пошту, яка не може перевірити SPF. Пропустіть цю перевірку, якщо у домену немає записів SPF.

Дослідіть ДКІМ

DKIM (DomainKeys Identified Mail; RFC 6376 ) - метод вбудовування цифрових підписів у поштові повідомлення, які можна перевірити за допомогою відкритих ключів, опублікованих у DNS. Він обмежений патентом у США, що сповільнило його прийняття. Підписи DKIM також можуть порушуватися, якщо повідомлення змінюється під час транзиту (наприклад, SMTP-сервери періодично можуть переупаковувати MIME-повідомлення).

  • Подумайте про те, щоб підписувати вихідну пошту підписами DKIM, але пам’ятайте, що підписи можуть не завжди перевірятись правильно навіть на законній пошті.

Подумайте про використання списку

Greylisting - це техніка, коли сервер SMTP видає тимчасове відхилення вхідного повідомлення, а не постійне відхилення. Коли доставку буде повторено через кілька хвилин або години, SMTP-сервер прийме повідомлення.

Грайлістинг може зупинити деяке спам-програмне забезпечення, яке недостатньо надійне для розмежування тимчасових та постійних відхилень, але не допомагає зі спамом, який був надісланий у відкрите реле або з більш надійним програмним забезпеченням спаму. Він також вводить затримки доставки, які користувачі можуть не завжди терпіти.

  • Розгляньте можливість використання грайлінгу лише в крайніх випадках, оскільки це дуже руйнівно для легального трафіку електронної пошти.

Подумайте про використання списку

Nolisting - це метод налаштування записів MX таким чином, що запис найвищого пріоритету (найнижчий номер уподобань) не має працюючого SMTP-сервера. Це покладається на той факт, що багато програмного забезпечення, що надсилаються на спам, спробують лише першу MX-запис, тоді як законні SMTP-сервери випробовують усі записи MX у порядку зростання. Деякі програми для спаму також намагаються надсилати безпосередньо MX-запис із найнижчим пріоритетом (найвищим номером переваг) з порушенням RFC 5321 , щоб також можна було встановити IP-адресу без SMTP-сервера. Повідомляється, що це безпечно, хоча, як і з усім, слід спершу перевірити ретельно.

  • Подумайте про встановлення запису MX з найвищим пріоритетом, щоб вказати на хост, який не відповідає на порт 25.
  • Подумайте про встановлення запису MX з найнижчим пріоритетом, щоб вказати на хост, який не відповідає на порт 25.

Розгляньте прилад для фільтрування спаму

Помістіть пристрій для фільтрування спаму, такий як Cisco IronPort або Barracuda Spam & Virus Firewall (або інші подібні пристрої) перед наявним SMTP-сервером, щоб значною мірою попрацювати над зменшенням отриманого вами спаму. Ці прилади попередньо налаштовані за допомогою DNSBL, репутаційних служб, байєсівських фільтрів та інших функцій, які я охоплював, і регулярно оновлюються їх виробниками.

  • Дослідження апаратних засобів для фільтрації спаму та витрат на підписку.

Розгляньте розміщені сервіси електронної пошти

Якщо для вас (або для ваших ІТ-співробітників) все занадто багато, ви завжди можете мати стороннього постачальника послуг, який обробляє вашу електронну пошту за вас. Такі сервіси, як Postini , Symantec MessageLabs Google Security (або інші), фільтруватимуть повідомлення для вас. Деякі з цих служб також можуть вирішувати нормативно-правові вимоги.

  • Витрати на підписку на послуги електронної пошти.

Які вказівки повинні дати системним адміністраторам кінцевим користувачам щодо боротьби зі спамом?

Абсолютна річ №1, яку повинні зробити кінцеві користувачі для боротьби зі спамом:

  • НЕ ВІДПОВІДАЙТЕ СПАМУ.

    Якщо це виглядає смішно, не натискайте посилання на веб-сайт і не відкривайте вкладення. Як би не виглядала приваблива пропозиція. Це віагра не так дешево, ви на самому ділі не збирається отримати оголені фотографії кого - або, і немає $ 15 мільйонів доларів в Нігерії або в інших місцях за гроші , отримані від людей, за винятком того, навіть відповідають на спам.

  • Якщо ви бачите спам-повідомлення, позначте його як небажаний або спам залежно від вашого поштового клієнта.

  • НЕ позначайте повідомлення як небажану / спам, якщо ви фактично підписалися на отримання повідомлень і просто хочете припинити їх отримання. Натомість скасуйте підписку зі списку розсилки за допомогою наданого методу відписки.

  • Регулярно перевіряйте папку "Небажана / спам", щоб побачити, чи не потрапили законні повідомлення. Позначте їх як "Небажана / Не спам" та додайте відправника до своїх контактів, щоб у майбутньому їх повідомлення не було позначено як спам.


5
@MichaelHampton: UCEPROTECT - це тіниста організація.
InternetSeriousBusiness

10
@Stephane Якщо ви не можете встановити / змінити запис PTR, ви не контролюєте IP-адресу. Немає нічого поганого у відхиленні пошти на основі цього.
Майкл Хемптон

1
@ewwhite Це досить драконічно, і 3 тижні досить смішні. Але відхилення пошти, коли немає запису PTR, є досить поширеним явищем, тому я впевнений, що у них виникають всілякі проблеми.
Майкл Хемптон

2
Відмова є загальним, але я вважаю, що це і марне, і непотрібне. Насправді я пропустив швидку перевірку моєї власної статистики про спам, і виявилося, що кількість спаму, що надходить із IP-адрес без зворотного зв'язку, становить менше 5%, і, здається, це приблизно та сама кількість, що я бачу в цілому З'єднання SMTP. Звідси мій висновок: це безглузде обмеження.
Стефан

2
Які докази ви маєте підтвердити, що це неефективно? Мої журнали показують, що він є надзвичайно ефективним для попереднього екранізації електронної пошти. Ряд інших людей, яких я знаю, мають подібний досвід.
Chris S

30

Я протягом багатьох років керував понад 100 окремими поштовими середовищами і використовував численні процеси, щоб зменшити або допомогти усунути спам.

Технологія розвивалася з часом, тож ця відповідь дозволить ознайомитись із деякими речами, які я намагався в минулому, та деталізувати сучасний стан справ.

Кілька думок про захист ...

  • Ви хочете захистити порт 25 вашого вхідного поштового сервера від відкритого реле , куди кожен може відправляти пошту через вашу інфраструктуру. Це не залежить від конкретної технології поштового сервера, яку ви можете використовувати. Віддалені користувачі повинні використовувати альтернативний порт для надсилання та певну форму необхідної автентифікації для передачі пошти. Порт 587 або порт 465 є загальною альтернативою 25.
  • Шифрування - теж плюс. Багато поштового трафіку надсилається в чіткому тексті. Зараз ми перебуваємо в точці, коли більшість поштових систем може підтримувати певну форму шифрування; якась подія очікує цього.
  • Це більш ініціативні підходи щодо запобігання класифікації вашого веб-сайту як джерела спаму ...

Що стосується вхідного спаму ...

  • Грайлістинг був цікавим підходом протягом короткого періоду часу. Примушуйте тимчасово відхилити / затримати сподівання на те, що спамер відключиться та уникне викриття або часу та ресурсів, необхідних для отримання запиту на отримання повідомлень. Це призвело до непередбачуваних затримок доставки пошти, не спрацювало з поштою з великих фермерських серверів, і з часом спамери розробили обхідні шляхи. Найгірший вплив було порушити сподівання користувачів на швидку доставку пошти.
  • Кілька реле MX все ще потребують захисту. Деякі спамери намагаються надсилати резервну копію або MX з нижчим пріоритетом у надії, що вона матиме менш надійну фільтрацію.
  • Чорні списки в реальному часі (отвір) (RBL / DNSBL) - Ці посилання на централізовано підтримувані бази даних для перевірки наявності списку серверів, що відправляють. Сильна залежність від RBL є з попередженнями. Деякі не були такими авторитетними, як інші. Пропозиції від Spamhaus для мене завжди були хорошими. Інші, як SORBS , мають поганий підхід до переліку IP-адрес і часто блокують законну електронну пошту. У деяких випадках це було уподібнено змові про вимагання, оскільки делістація часто включає $$$.
  • Рамка політики щодо відправника (SPF) - це в основному спосіб забезпечення того, що даному хосту надано право надсилати пошту для певного домену, як визначено записом TNS TNS DNS. Доброю практикою є створення SPF-записів для вихідної пошти, але погана практика вимагати цього від серверів, що надсилають вам.
  • Ключі домену - ще не широко використовуються ... поки що.
  • Придушення відмов - запобігання поверненню недійсної пошти до її джерела. Деякі спамери намагаються побачити, які адреси були живими / дійсними, аналізуючи зворотний розбір, щоб створити карту корисних адрес.
  • Зворотні перевірки DNS / PTR - Перевірте, чи має сервер, що надсилає, дійсний зворотний запис PTR. Для цього не потрібно співставляти початковий домен, оскільки можливе багатодоступне зіставлення доменів для хоста. Але добре визначити право власності на ІР-простір та визначити, чи є вихідний сервер частиною динамічного блоку IP (наприклад, домашня широкосмугова програма - читай: компрометовані спам-боти).
  • Фільтрація вмісту - (недостовірна) - спроба протидіяти перестановкам "(Viagra, v \ | agra, viagra, vilgra.)" Для адміністратора трудомістка і не масштабує у більшому середовищі.
  • Байєсівська фільтрація - Більш просунуті рішення щодо спаму дозволяють проводити глобальну підготовку пошти або для користувачів. Прочитайте пов’язану статтю з евристики, але головний момент полягає в тому, що пошту можна вручну класифікувати як добру (Хам) або погану (Спам), а отримані повідомлення заповнюють байєсівську базу даних, на яку можна посилатися, щоб визначити категоризацію майбутніх повідомлень. Як правило, це пов’язано зі шкалою спаму або зважуванням, і може бути одним із кількох прийомів, які використовуються для визначення, чи слід надсилати повідомлення.
  • Контроль швидкості / дроселювання - простий підхід. Обмежте кількість повідомлень, які може намагатися доставити даний сервер протягом певного періоду часу. Відкласти всі повідомлення над цим порогом. Зазвичай це налаштовано на стороні поштового сервера.
  • Хостинг та хмарна фільтрація. Постіні приходить на думку, оскільки це було хмарне рішення, перш ніж хмара була моторошною. Зараз власником Google є потужність прийнятого рішення в тому, що існують економії масштабу, притаманні обробці обсягу пошти, з якою вони стикаються. Аналіз даних та просте географічне охоплення можуть допомогти розробленому рішенню для фільтрації спаму адаптуватися до тенденцій. Однак виконання є простим. 1). Наведіть свій MX запис на розміщене рішення, 2). надати адресу доставки сервера після фільтрації. 3). Прибуток .

Мій сучасний підхід:

Я твердий прихильник рішень щодо спаму на основі приладів. Я хочу відхилити по периметру мережі і зберегти цикли процесора на рівні поштового сервера. Використання пристрою також забезпечує певну незалежність від фактичного рішення поштового сервера (агента доставки пошти).

Рекомендую прилади Barramuda Spam Filter з кількох причин. Я розгорнув кілька десятків одиниць, а керований веб-інтерфейсом, індустрією mindshare та природою приладів та забудьте перетворити його на перемогу. Резервна технологія включає багато перерахованих вище методів.

  • Я блокую порт 25 на IP-адресі мого поштового сервера і замість цього встановлюю MX-запис для домену на загальнодоступну адресу пристрою Barracuda - наприклад, spam.domain.com. Порт 25 буде відкритий для доставки пошти.
  • Основою є SpamAssassin, отриманий з простим інтерфейсом до журналу повідомлень (та базі даних Байєса), який можна використовувати для класифікації хорошої пошти від поганої в початковий навчальний період.
  • Barracuda за замовчуванням використовує декілька RBL, включаючи дані Spamhaus.org та власну базу даних репутації BRBL . Примітка - BRBL можна використовувати безкоштовно, як стандартну RBL для інших поштових систем .
  • База даних репутації Барракуди складається з даних живих даних, медових кашпо, масштабного аналізу та будь-якої кількості фірмових методик. Він має зареєстрований білий список і список блоків. Передавачі пошти з високою гучністю та високою видимістю часто реєструються у Barracuda для автоматичного створення списків. Приклади включають ожину, постійний контакт тощо.
  • Перевірки SPF можна включити (однак я їх не вмикаю).
  • Існує інтерфейс для перегляду пошти та повторної доставки з поштового кешу приладу за необхідності. Це корисно в тих випадках, коли користувач очікував повідомлення, яке, можливо, не пройшло всіх перевірок спаму.
  • Підтвердження користувача LDAP / Active Directory допомагає прискорити виявлення недійсних одержувачів пошти. Це економить пропускну здатність і запобігає зворотному розсіюванню .
  • IP / адреса відправника / домен / країна походження можуть бути налаштовані. Якщо я хочу заборонити всю пошту з італійських суфіксів домену, можливо. Якщо я хочу заборонити пошту з певного домену, це легко налаштовується. Якщо я хочу заблокувати сталкера користувача від надсилання електронного листа користувачеві, це можливо (правдива історія).
  • Barracuda надає ряд звітів із консервацією та хорошим візуальним відображенням стану пристрою та показників спаму.
  • Мені подобається мати пристрій на місці, щоб зберігати цю обробку вдома та, можливо, мати підключення журналу після фільтру електронної пошти (у середовищах, де необхідне збереження пошти).
  • Плюс прилад може перебувати у віртуалізованій інфраструктурі .

Консоль статусу Baramuda Spam & Virus Firewall 300 введіть тут опис зображення


Новіший підхід:

Я експериментував із обласною службою безпеки електронної пошти Barracuda протягом останнього місяця. Це схоже з іншими розміщеними рішеннями, але добре підходить для менших сайтів, де дорогий прилад не є витратним. За номінальну щорічну плату ця послуга забезпечує близько 85% того, що робить апаратний прилад. Послуга також може бути запущена в тандемі з приладом на місці, щоб зменшити пропускну здатність вхідних даних і забезпечити ще один рівень безпеки. Це також приємний буфер, який може зіпсувати пошту у разі відключення сервера. Аналітика все ще корисна, хоча не така детальна, як фізична одиниця.

Консоль безпеки електронної пошти Barracuda Cloud введіть тут опис зображення

Загалом, я спробував багато рішень, але, враховуючи масштаби певного середовища та зростаючі вимоги користувачів, я хочу отримати найелегантніші рішення. Застосування багатостороннього підходу та "прокат свого" - це, безумовно, можливо, але я добре вмів з базовою безпекою та хорошим моніторингом використання пристрою Barracuda. Користувачі дуже задоволені результатом.

Примітка: Cisco Ironport також чудово ... Просто дорожче.


25

Частково я схвалюю те, що сказали інші; почасти я не знаю.

Спамассасин

Це дуже добре працює для мене, але вам потрібно витратити трохи часу на підготовку байєсівського фільтра як із шинкою, так і зі спамом .

Грайліст

ewwhite може відчути, що його день прийшов і пішов, але я не можу погодитися. Один із моїх клієнтів запитав, наскільки ефективні мої різні фільтри, тому ось приблизні статистичні дані щодо липня 2012 року для мого особистого сервера пошти:

  • 46000 повідомлень намагалися доставити
  • 1750 р. Потрапив через грайлінг
  • 250 потрапили через грайлінг + тренований спамассасин

Таким чином, близько 44000 ніколи не проходили через грайлінг; якби я не мав списку сімейства, і прийняв би все це, вони мали б всю необхідну фільтрацію спаму, а все це використовувало процесор і пам'ять, і справді пропускну здатність.

Редагувати : оскільки ця відповідь, здається, була корисною для деяких людей, я думав, що я ставлю актуальні статистичні дані. Тому я повторно провів аналіз поштових журналів з січня 2015 року, через 2,5 роки.

  • 115 500 повідомлень намагалися доставити
  • 13,300 отримано за допомогою грайлінгу (і деяких основних перевірок правильності, наприклад, дійсного домену відправника)
  • 8 500 потрапили через грайлінг + навчений спамас-массин

Цифри прямо не порівнянні, тому що я більше не маю відомостей про те, як я дійшов до показників 2012 року, тому не можу бути впевненим, що методології були однаковими. Але я впевнений, що тоді мені не довелося запускати обчислювально-дорогу фільтрацію спаму на дуже багато вмісту, і досі цього не роблю, із-за грайлінгу.

SPF

Це насправді не метод спаму, але це може зменшити кількість зворотних розбірок, з якими вам доведеться мати справу, якщо ви на робочому місці. Ви повинні використовувати його як у, так і поза ним, тобто: Ви повинні перевірити SPF-запис відправника на наявність вхідної електронної пошти та прийняти / відхилити відповідно. Ви також повинні опублікувати свої власні записи SPF, перелічивши повністю всі машини, яким дозволено надсилати пошту як вам, і заблокувати всі інші-all . Записи SPF, які не закінчуються -all, абсолютно марні.

Списки Blackhole

RBL є проблематичними, оскільки потрапити на них можна не з власної вини, і їм важко зійти. Тим не менш, вони мають легальне використання у боротьбі зі спамом, але я настійно рекомендую, щоб жоден RBL ніколи не використовувався як яскравий тест для прийняття пошти . Те, як спамас-массин обробляє RBL, використовуючи багато, кожен з яких сприяє загальному балу, і саме цей рахунок приймає рішення прийняти / відхилити - набагато краще.

Dropbox

Я не маю на увазі комерційну послугу, я маю на увазі, що на моєму поштовому сервері є одна адреса, яка прорізає всі мої сірі списки та фільтрування спаму, але яка замість того, щоб доставляти будь-який INBOX, переходить у папку /var, що записується у світі , яка є автоматично обрізати щоночі будь-які електронні листи старше 14 днів.

Я закликаю всіх користувачів скористатися цим, наприклад, заповнюючи форми електронної пошти, для яких потрібна перевірена електронна адреса, де ви отримаєте один електронний лист, який вам потрібно зберегти, але від якого ви більше не хочете більше чути або при покупці від інтернет-продавців, які, ймовірно, продаватимуть та / або спамуватимуть свою адресу (особливо ті, що не входять у рамки європейських законів про конфіденційність). Замість того, щоб вказати їй справжню адресу, користувач може дати адресу Drobox і заглянути в dropbox лише тоді, коли вона чекає чогось від кореспондента (як правило, машини). Коли вона надійде, вона може забрати її та зберегти у власній колекції пошти. Жодному користувачеві не потрібно дивитись у вікно, що випадає.


Мені дуже подобається ідея адреси Dropbox.
блалер

Greylisting - це "егоїстичне" рішення; він затримує багато законної пошти, і оскільки все більше і більше поштових серверів розгортають її, все більше і більше спамерів забезпечать надійність їх спаму. Врешті-решт ми програємо. Я б рекомендував відмітити список для невеликих розгортань і настійно рекомендую проти нього для більшого розміщення. Розгляньте замість цього тарифікацію . Мілтер-грайліст може робити будь-яке.
Адам Кац

1
@AdamKatz це, безумовно, точка зору. Я не впевнений, як спамері повинні зробити свій спам надійним до грайлістингу, не відмовляючись від спаму, що не забувся, і в цьому випадку виконана робота - на відміну від перемоги над tarpitting, що вимагає лише невеликого поліпшення коду зомбі. Але я не згоден з тобою щодо егоїзму. Коли пояснення компромісу пояснено (якщо ви хочете, щоб електронні листи в режимі реального часу для нерегулярних кореспондентів, бюджет пошти та комісій збільшувався в двадцять разів), більшість надає перевагу затримці.
MadHatter

@AdamKatz зауважимо також, що мій "dropbox", вище, не потрапляє в сірий список. Тож будь-який користувач, який відчайдушно потребує своєчасного отримання попередньо домовленого електронного листа, має автоматичне вирішення - вони знають вказати "негайну" адресу та стежать за папкою, доки конкретний товар не буде отриманий.
MadHatter

1
@AdamKatz, оскільки моя грайлінг наполягає на 10-хвилинному розриві між першими та успішними спробами доставки, пауза 15+ хвилин не становить великих труднощів. Що стосується очікувань користувачів, ними можна (і звичайно слід) керувати, як і будь-яким іншим. Решта ваших аргументів набагато переконливіша - можливо, ви могли б додати власну відповідь, представивши конкретні цифри щодо ефективності tarpitting у своїх розгортаннях? Ми можемо теоретизувати відносну очікувану відносну ефективність назавжди, але дані набагато просвічуючі - нуль у вербі !
MadHatter

14

Я використовую ряд методів, які знижують спам до прийнятного рівня.

Затримка прийому з'єднань з неправильно налаштованих серверів. Більшість спаму, який я отримую, є від спам-ботів, які працюють на зараженій зловмисною системою системі. Майже всі вони не проходять перевірку rDNS. Затримка на 30 секунд або приблизно до кожної відповіді змушує більшість спам-ботів відмовитись, перш ніж вони доставлять своє повідомлення. Застосовуючи це лише до серверів, які виходять з ладу, rDNS дозволяє уникнути штрафу надлежно налаштованих серверів. Деякі неправильно налаштовані легальні масові або автоматизовані відправники отримують штрафні санкції, але доставляють їх з мінімальною затримкою.

Налаштування SPF для всіх ваших доменів захищає ваші домени. Більшість субдоменів не слід використовувати для надсилання електронної пошти. Основний виняток - домени MX, які повинні мати можливість самостійно надсилати пошту. Ряд законних відправників делегують групову та автоматизовану пошту серверам, що заборонено їх політикою. Відхилення, а не відхилення на основі SPF, дозволяють їм виправити свою конфігурацію SPF або ви можете додати їх до списку.

Потрібна FQDN (повністю кваліфіковане ім'я домену) в команді HELO / EHLO. Спам часто використовує некваліфіковане ім’я хоста, адресні літерали, ip-адреси або недійсний TLD (домен верхнього рівня). На жаль, деякі законні відправники використовують недійсні TLD, тому в цьому випадку може бути доцільніше відкласти. Це може зажадати моніторингу та білого списку, щоб включити пошту.

DKIM допомагає не відмовлятися, але в іншому випадку не є дуже корисним. Мій досвід полягає в тому, що спам, швидше за все, не буде підписаний. Хам скоріше буде підписаний, тому він має деяку цінність при забиванні спаму. Кілька законних відправників не публікують свої відкриті ключі або іншим чином неправильно налаштовують свою систему.

Грайлістинг корисний для серверів, які виявляють деякі ознаки неправильної конфігурації. Сервери, які налаштовані належним чином, пройдуть врешті-решт, тому я схильний виключати їх із списку грайлінгу. Це корисно грайлістським фрілейлерам, оскільки вони, як правило, періодично використовуються для спаму. Затримка дає деякий час входів спам-фільтра, щоб зловити спамер. Він також має тенденцію відхиляти спам-боти, оскільки вони зазвичай не намагаються повторити.

Також можуть допомогти чорні списки та білі списки.

  • Я знайшов Spamhaus надійним чорним списком.
  • Автоматичне WhiteListing у фільтрі спаму допомагає згладити рейтинг часто відправників, які періодично є спамом або спамерів, які періодично є хамішами.
  • Я вважаю, що білий список dnsl.org також корисний.

Програмне забезпечення для фільтрування спаму досить добре знаходить спам, хоча деякі з них потраплять. Це може бути складним, щоб отримати помилковий негатив до розумного рівня, не надто збільшуючи помилковий позитив. Я вважаю, що Spamassassin ловить більшу частину спаму, який його охоплює. Я додав кілька спеціальних правил, які відповідають моїм потребам.

Поштові майстри повинні налаштувати потрібні адреси зловживань та пошти. Підтвердьте зворотний зв'язок, який ви отримаєте на ці адреси, і дійте за ним. Це дозволяє іншим допомогти вам переконатися, що ваш сервер правильно налаштований і не походить спам.

Якщо ви розробник, використовуйте наявні сервіси електронної пошти, а не налаштовуйте власний сервер. З мого досвіду, налаштування серверів для автоматичних відправників пошти, ймовірно, буде неправильно налаштовано. Перегляньте RFC та надішліть належним чином відформатований електронний лист з законної адреси у вашому домені.

Кінцеві користувачі можуть зробити ряд речей, щоб зменшити спам:

  • Не відкривайте. Позначити це як спам або видалити його.
  • Переконайтеся, що ваша система захищена від шкідливих програм і не має.
  • Контролюйте використання мережі, особливо коли ви не використовуєте свою систему. Якщо він генерує багато мережевого трафіку, коли ви не використовуєте його, можливо, він надсилає спам.
  • Вимкніть комп’ютер, коли ним не користуєтесь. (Він не зможе генерувати спам, якщо його вимкнено.)

Власники доменів / провайдери можуть допомогти, обмеживши доступ до Інтернету через порт 25 (SMTP) на офіційних серверах електронної пошти. Це обмежить можливість спам-ботів надсилати в Інтернет. Це також допомагає, коли динамічні адреси повертають імена, які не проходять перевірку rDNS. Ще краще - перевірити запис PTR для поштових серверів, які проходять перевірку rDNS. (Перевірте наявність помилок друку під час налаштування записів PTR для своїх клієнтів.)

Я почав класифікувати електронну пошту у трьох категоріях:

  • Хам (майже завжди з належним чином налаштованих серверів, правильно відформатованих та зазвичай особистої електронної пошти.)
  • Спам (здебільшого від спам-ботів, але певний відсоток припадає на вільних продавців або інших відправників з неправильно налаштованими серверами.)
  • Бакн; може бути Ham або Spam (включає багато пошти зі списків розсилки та автоматизованих систем. Ham зазвичай закінчується тут через неправильну конфігурацію DNS та / або сервера.)

Бакн (відзначте відсутніo) - це стандартизований термін, що посилається на "пошту, яку ви хочете, але не зараз". Іншою категорією пошти є Graymail , якає масовою поштою, яка технічно не є спамом і яка може бути небажаною для деяких її одержувачів, але інших шукати.
Адам Кац

6

Єдине найефективніше рішення, яке я бачив, - це використовувати один із зовнішніх послуг фільтрації пошти.

Я маю досвід роботи з наступними послугами у поточних клієнтів. Я впевнений, що є й інші. Кожен із них зробив чудову роботу з мого досвіду. Вартість розумна для всіх трьох.

  • Постіні від Google
  • MXLogic від McAfee
  • SecureTide від AppRiver

Послуги мають ряд величезних переваг перед місцевими рішеннями.

  1. Вони зупиняють більшу частину (> 99%) спаму, перш ніж воно потрапить у ваше інтернет-з'єднання та ваш електронний сервер. Зважаючи на об'єм спаму, це багато даних не про вашу пропускну здатність, а не на ваш сервер. Я реалізував одну з цих служб десяток разів, і кожен з них призвів до помітного поліпшення роботи сервера електронної пошти.

  2. Вони також роблять антивірусну фільтрацію, як правило, в обох напрямках. Це пом’якшує необхідність мати на вашому сервері рішення "поштового антивірусу", а також повністю зберігає virii

Вони також чудово справляються з блокуванням спаму. За 2 роки роботи в компанії, що використовує MXLogic, я ніколи не мав помилкового позитиву, і я можу перерахувати легальні спам-повідомлення, які потрапляли на одну руку.


2
+1 за визнання переваги розміщених рішень та безперервної роботи / масштабу та зменшення переваг руху. Єдине питання, яке я знаходжу, - це відсутність налаштування та реагування в деяких випадках (з точки зору того, хто має надсилати надсилання доменів, захищених цими службами). Також деякі фірми мають причини безпеки / дотримання вимог щодо неможливості використання зовнішньої фільтрації.
ewwhite

5

Немає двох середовищ пошти однакові. Таким чином, для створення ефективного рішення знадобиться багато спроб та помилок навколо багатьох доступних методів, оскільки вміст електронної пошти, трафіку, програмного забезпечення, мереж, відправників, одержувачів та багато іншого буде сильно відрізнятися в різних середовищах.

Однак я вважаю, що такі списки блоків (RBL) добре підходять для загальної фільтрації:

Як уже зазначалося, SpamAssassin - це чудове рішення при правильній налаштуваннях, просто переконайтеся, що встановіть якомога більше модулів Addon Perl в CPAN, як і Razor, Pyzor та DCC. Postfix дуже добре працює зі SpamAssassin, і керувати та конфігурувати його набагато простіше, ніж EXIM, наприклад.

Нарешті, блокування клієнтів на рівні IP з використанням fail2ban та iptables або подібних на короткий проміжок часу (скажімо, один день на тиждень) після деяких подій, таких як спричинення потрапляння на RBL для образливої ​​поведінки, також може бути дуже ефективним. Чому витрачаються ресурси, розмовляючи з відомим господарем, зараженим вірусом?

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.