Які найкращі методи вловлювання снігового спаму?

Я використовую Smartermail для свого маленького поштового сервера. Останнім часом у нас виникають проблеми з отриманням хвиль снігового спаму, що відповідають тій же схемі. Вони поставляються партіями по 3 або 4 одночасно. Тіла майже однакові, крім доменного імені, на яке вони посилаються. ІР-джерела джерела, як правило, з того самого / 24 блоку деякий час, потім вони переходять на інший / 24. Домени мають тенденцію бути абсолютно новими. Вони мають дійсні записи PTR та SPF та мають випадкові хитрощі в нижній частині тіла, щоб підробляти байєсові фільтри.

Я використовую кілька десятків різних RBL, включаючи Barracuda, Spamhaus, SURBL та URIBL. Вони роблять гідну роботу, охоплюючи більшість з них, але ми все ще отримуємо багато пробігу, оскільки IP-адреси та домени не потрапили в чорний список.

Чи можу я використовувати якісь стратегії, включаючи RBL, які блокують новостворені домени або мають справу зі спамом snoeshow? Я сподіваюсь уникнути необхідності користуватися сторонніми послугами фільтрації.

Це стає справжньою проблемою для ваших користувачів?

Я б рекомендував послугу фільтрації поштових повідомлень на повній основі. Байезіан вже не дуже гарячий. Репутація, RBL, заголовок / аналіз намірів та інші фактори, здається, допомагають більше. Розгляньте послугу хмарної фільтрації для комбінування декількох підходів ( і колективного обсягу ), щоб забезпечити кращий захист ( я використовую хмарне рішення Barracuda ESS для своїх клієнтів ).

І звичайно: Боротьба зі спамом - Що я можу зробити: адміністратор електронної пошти, власник домену чи користувач?

На нас не вплинуло негативно сприйняття нападів на снігоступах. Я бачив період, коли обсяг пошти втричі збільшувався з цими нападами щодня. Але жодне з поганих речей не пройшло. За 3 дні Барракуда звів обсяги до нормального рівня.

Я думаю, що фільтруючі рішення, які мають широкий огляд світової поштової активності, можуть реагувати на атаки краще, ніж окремі поштові фільтри.

Редагувати:

Це також обговорювалося нещодавно у списку розсилки LOPSA :

Мій внесок: https://www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
Інша думка: https://www.mail-archive.com/tech@lists.lopsa.org/msg04181 .html

Я хлопець DNS Ops, який тісно співпрацює з групою, яка часто зазнає цих атак. Справа з атаками Snowshoe - це перш за все проблема процесу, і як зазначає ewwhite, це може вийти за рамки вашої компанії для вирішення всередині компанії. Я б хотів сказати, що якщо у вас є значна операція та кілька комерційних каналів RBL, ви, ймовірно, не повинні намагатися вирішити це самостійно, використовуючи послугу комерційної фільтрації.

Однак, у нас є досвід з цим, і це цікавіше поділитися, ніж ні. Деякі точки дотику:

• Якщо можливо, навчіть свою поштову платформу для виявлення особливостей атаки снігоступа, що триває, та тимчасового відхилення повідомлень від відповідних мереж. Доброзичливі клієнти намагатимуться надсилати повідомлення про тимчасовий збій, інші, як правило, не роблять.
• Переконайтесь, що ваші адміністратори DNS контролюють UDP-MIB::udpInErrorsза допомогою SNMP, оскільки поштові платформи дуже здатні переповнювати черги прийому слухачів UDP, коли відбувається атака Snowshoe. Якщо їх немає, швидкий спосіб сказати під Linux - це запуск netstat -s | grep 'packet receive errors'на відповідних DNS-серверах; велика кількість свідчить про те, що їм потрібно зійти з трусів і почати звертати увагу. Їм потрібно буде додати ємність або збільшити розмір приймальних буферів, якщо трапляються часті проливання. (що означає втрачені запити DNS та втрачені можливості для запобігання спаму)
• Якщо ви часто бачите ці атаки, використовуючи щойно створені домени, RBL, які виділяють ці, дійсно існують. Приклад одного з них є Farsight NOD (люди , які читають це повинні виконувати свої власні дослідження), але це не безкоштовно.

Повне розкриття інформації: Farsight Security був заснований Полом Віксі, який у мене погана звичка вентилюватися, коли люди порушують стандарти DNS.

Я встановив програму Declude (яка безкоштовна) і повідомлення Sniffer (що ні), і за останні 4 дні я бачив, як одне спам-повідомлення надходить у мій тестовий обліковий запис електронної пошти, на відміну від десятків, які він отримував в день. Наскільки я можу сказати, у нас не було добре відфільтровано електронну пошту. Spamassassin, ймовірно, також буде хорошим рішенням, хоча мені не пощастило, коли я спробував "Spass Assassin in Box".

Багато відповідей тут стосується загального анти-спаму. Певною мірою це має сенс, оскільки спамери, схоже, прямують до снігоступа як кращого способу доставки.

Спочатку Snowshoe завжди надсилався з центрів обробки даних у невеликому обсязі (на основі IP-адреси) і завжди містив посилання для скасування передплати (нічого не говорити про те, чи працює він). На сьогоднішній день сніговики майже ніколи не скасовують інформацію про підписку і надсилаються у великих обсягах із своїх IP-адрес, але надсилаються в пакет, так що до моменту отримання IP-адреси в чорний список вже відправляється відправка пошти. Це називається градом спаму .

Через це DNSBL і навіть жорсткі підписи на основі шаблону жахливі, коли ловлять сніговий спам. Існують деякі винятки, такі як список Spamhaus CSS (який спеціально спрямований на снігохідні мережі та є частиною як SBL, так і ZEN), але в цілому вам знадобиться відмітка / тарпітування (що може затримати доставку, поки DNSBL не наздожене ) і, що найголовніше, система машинного навчання, керована токенами, як байесівська фільтрація спаму . Байєс особливо добре виявляє снігохід.

У відповіді Ендрю Б згадуються нещодавні домени та імена хостів Farsight Security (NOD), які намагаються передбачити мережі снігоходів, як вони запускаються, але перед тим, як розпочати спам. Spamhaus CSS, ймовірно, робить щось подібне. CSS готовий до використання в блокувальному середовищі, тоді як NOD дійсно призначений для подачі в користувальницьку систему, а не окремої / блокуючої системи.