Mam klienta, który jest mocno spamowany. Jest 15. dnia miesiąca, a przepustowość POP3 wynosi prawie 100 GB. W tej domenie jest tylko 7 kont e-mail. Zainstalowałem SpamAssassin ustawiłem na 5, a ustawienia 10-20 filtrów odrzucają większość śmieci. Nie widzę dużej zmiany w przepustowości POP3. Popraw mnie, jeśli się mylę, serwer nadal odbiera wiadomość, wykorzystując przepustowość w celu analizy określenia wyniku spamu.
Natknąłem się na fałszywe rekordy MX, bo nieświadomi thoes - w zasadzie ustawiasz fałszywy serwer jako najniższy i najwyższy rekord MX z rekordem MX działającego serwera pośrodku.
Na przykład:
fake.example.com 1
realmx.example.com 2
fake2.example.com 3
Teoria polega na tym, że większość spamu generowana jest przez zombie oparte na systemie Windows, a wielu z nich zapyta o najwyższy rekord MX jako spam, ponieważ zwykle są to serwery zapasowe, które nie filtrują spamu. Najniższy fałszywy rekord MX jest dla pozostałych spamerów ... i generalnie spamerzy nie ponawiają prób po awarii.
Czy ktoś tego próbował? Czy to pomaga? Czy opóźnia lub powoduje problemy z dostarczaniem poczty? Czy ktoś ma lepsze rozwiązanie?
źródło
Próbowałem tego i zdecydowanie mogę polecić, że NIE ROBIĆ ! W tamtym czasie wydawało się to dobrym pomysłem, ale po tym, jak poczta od różnych nadawców zaczęła znikać, zdałem sobie sprawę, że to pomyłka. Nie zdawałem sobie sprawy, że istnieje wiele strasznie napisanych serwerów SMTP, które nie są zgodne ze specyfikacją i są dość kiepskie w obsłudze błędów, a ludzie nie wiedzą ani nie dbają o to, ponieważ „ten inny facet dostał mój e-mail , więc to musisz być Ty ”.
Popieram kilka innych sugestii dotyczących obsługi spamu. Postini to świetna usługa, a nawet wbudowane funkcje antyspamowe w bezpłatnych aplikacjach Google nie są takie złe. Jeśli chcesz mieć większą kontrolę, możesz kupić IronPort lub inne urządzenie albo rzucić własne.
źródło
server-busy
czy jest całkowicie martwy?Nigdy wcześniej nie słyszałem o tej metodzie i wyobrażam sobie, że opóźniłoby to wysłanie legalnej wiadomości e-mail o kilka godzin. Na koniec protokoły smtp muszą dostarczyć prawidłowy adres e-mail. Prawidłowe serwery uderzą w fałszywy rekord MX i spróbują dostarczyć na ten serwer ... Nie wiem, co mógłbyś tam uruchomić (jeśli w ogóle), ale będą próbować, dopóki nie zostanie zaakceptowany.
Właściwe serwery będą próbowały rekordów MX, dopóki poczta nie zostanie dostarczona. Spamerzy stają się mądrzejsi, a jeśli teraz działa to w przypadku niektórych programów spamowych, wątpię, aby działało to długo. Nie mogę tego polecić.
Moją propozycją jest, aby zamiast tego użyć istniejącego filtra antyspamowego, użyć tarczy smtp. Obecnie dostępnych jest wiele takich. Myślę, że przekonasz się, że jest znacznie bardziej skuteczny niż metoda fałszywego nagrywania MX.
Takie tarpity pochodzą z smtpd na BSD. Istnieją również pewne funkcje plandeki w sendmail 8.13.
Zasadniczo tarpit działa poprzez wiązanie zasobów serwera spamu. Robią to, opóźniając otrzymywane odpowiedzi. np. serwer spamu łączy się i otrzymuje około 1 bajta na sekundę.
Niektóre serwery tarpit szukają wzorców spamu i mogą rozpoznać serwer spamu. Uzasadnione serwery będą przygotowane do oczekiwania na powolną odpowiedź. Na niektórych serwerach plandek automatycznie przenoszą uznany serwer na białą listę, aby nie było opóźnień w przyszłości.
Google SMTP Tarpit i spójrz.
źródło
Nie wspomniałeś o tym, więc czy istnieje powód, dla którego nie używasz DNSBL ?
Edycja: SpamAssassin obejmuje obsługę kilku z nich - bez nich marnujesz wiele cykli procesora analizując spam.
źródło
Używam tego fałszywego MX ( wariant nolistingu ) i działa bardzo dobrze.
Użyłem postfiksu MX ze wszystkimi zwykłymi filtrami i po jakimś czasie spambotu udało się przeciążyć serwer 2 lub 3 razy, postanowiłem spróbować ... oto wynik:
spróbuj zgadnąć, kiedy zaimplementowałem fake-mx! 8)
Rezultat jest taki sam jak postgrey, ale w przeciwieństwie do postgrey, nie trzeba zmieniać serwera poczty
Spamboty będą teraz albo próbować z wysokim MX, albo z niskim MX, uwalniając prawdziwy MX od obciążenia związanego z próbą filtrowania (nawet z DNSBL, obciążenie było wysokie) i prawdziwy e-mail dociera z minimalnym opóźnieniem.
Ale ostrzegamy, istnieje ryzyko:
Niektóre serwery mogą mieć długie czasy ponownych prób. Większość serwerów ponowi próbę następnego MX po pierwszych przekroczeniach limitu czasu, inne spróbują za kilka minut, ale już widziałem serwery, które ponawiają próbę dopiero po godzinie lub dniu. Są bardzo rzadkie i dla tych, których udało mi się złapać, była to zła konfiguracja. rozmowa z drugim postmasterem rozwiązuje problem
Wszystkie e-maile będą miały opóźnienie. Właściwie nie widzę żadnego opóźnienia, prawie wszystkie prawdziwe serwery pocztowe spróbują ponownie przejść do następnego MX po pierwszym limicie czasu, więc mówimy o opóźnieniu 30 sekund. Zazwyczaj próbują co najmniej 3 MX przed umieszczeniem wiadomości w kolejce dla dłuższego opóźnienia. ale możesz mieć kontakt z jednym uszkodzonym serwerem poczty, który może tego nie zrobić i opóźnić każdą wiadomość o kilka minut. Tak więc należy to monitorować podczas wdrażania tego rozwiązania.
Zepsute strony. Niektóre serwery WWW wysyłają e-maile z hasłami, powiadomieniami itp. Zamiast dostarczać wewnętrzny prawdziwy serwer pocztowy, starają się być „fałszywym” serwerem pocztowym i dostarczać bezpośrednio. Jako serwer sieciowy nigdy nie spróbują ponownie, a wiadomość e-mail zostanie utracona. Znowu jest to zła konfiguracja webmasterów / programistów, ponieważ tylko prawdziwe serwery e-mail powinny wysyłać wiadomości e-mail. Za każdym razem, gdy znajduję te problemy, rozmawiam z webmasterem o problemie i zwykle problem jest naprawiony.
Brak dzienników. Jako fałszywa pozycja MX dla niepołączonych adresów IP, nie masz dzienników tego, co próbowano dostarczyć. wiesz tylko, że coś poszło nie tak, gdy ktoś narzeka. ale to też dobrze. Zawsze możesz twierdzić, że nie próbujesz dostarczyć żadnej wiadomości e-mail, więc jest to zdalny problem. Druga strona musi sprawdzić swoje dzienniki i rozwiązać problem. Mogę udowodnić, że nie ma żadnego połączenia z moim prawdziwym serwerem, przenosząc presję rozwiązania problemu na drugą stronę. Jeśli druga strona nie jest w stanie rozwiązać problemu, wyglądało to na niezaufane, niewiarygodne.
Brak białej listy. dotyczy to wszystkich serwerów za pośrednictwem usługi dns, więc nie można dodać jednego serwera do białej listy ... w rzeczywistości jest to tylko połowa prawdy, ale jest trudniejsza. rozwiązaniem białej listy jest to, że najniższe MX wskazuje adres IP, na którym działa smtp, ale jest filtrowany przez zaporę ogniową dla wszystkich. Te serwery, które chcesz umieścić na liście, musiały być dozwolone w zaporze ogniowej. W ten sposób wszystkie serwery zostaną odrzucone przez zaporę ogniową, a biała lista będzie mogła dostarczyć serwer pocztowy. Działa, ale tylko dla białej listy adresów IP, nie dla białej listy adresów e-mail.
W przeciwieństwie do postgrey, gdzie zdalny nadawca ma dziennik „odrzuconej” dostawy (a więc może wskazywać na nas jako problem), fałszywy MX pokaże, że serwer sieciowy nie mógł się nawet połączyć i nie ponowił próby, nie dając żadnej wymówki dla odległej strony na temat problemu. Niepowodzenie MX lepiej jest zaakceptować w stosunku do postgrey, ponieważ zawsze możemy twierdzić, że istnieje „problem z routingiem, ale zapasowy MX działa dobrze, otrzymujemy wszystkie inne e-maile”
Mając to na uwadze, otrzymuję bardzo mało skarg (około 1 co 3 miesiące), więc uważam to za wystarczająco bezpieczne (każdy filtr antyspamowy ma ryzyko).
Pamiętaj, że używam prawidłowego adresu IPv4 dla wszystkich MX, ale dla fałszywych używam kontrolowanego adresu IP, który nie jest używany (a więc daje limit czasu / hosta nieosiągalny dla żadnego połączenia). zasady te obowiązują nawet, jeśli z nich nie korzystasz. Istnieją serwery dns i smtp, które wymagają idealnie poprawnej konfiguracji dns, aby e-mail działał. Fake-MX musi być również ważny, po prostu nie powinny być osiągalne.
Nie używaj prywatnych adresów IP lub adresów IP, których nie kontrolujesz dla fałszywego MX (jeśli dodasz adres IPv6, RÓWNIEŻ dodaj adres IPv4). Pozwala to uniknąć problemów z uszkodzonymi serwerami DNS i serwerami pocztowymi oraz niespodzianek innych osób otrzymujących pocztę e-mail (instalując serwer smtp pod adresem IP, którego nie kontrolujesz). Ponadto CNAME jest zabronione dla MX, więc nie używaj go, tylko zwykły rekord A.
Na koniec należy wysłać reset tcp dla fałszywego MX, aby poprawić wydajność (host lub port nieosiągalny) zamiast zwykłego limitu czasu (po upuszczeniu pakietu), dlatego zaleca się dodanie go do zapory.
w każdym razie, nie tylko nadal go używam, ponieważ polecam wszystkim, aby z niego korzystali
źródło
Jeśli chodzi o filtrowanie poczty, jestem bardzo zadowolony z połączenia Spamassasin i wagi policyyd , która sprawdza nazwę hosta nadawcy i listy blokowania podczas połączenia SMTP. To wspaniała rzecz z dwóch powodów:
Korzystam z instalacji na Postfix, ale podobno istnieje sposób na zainstalowanie policyyd-weight w Exim .
źródło
Szczerze mówiąc, nie wpadłem na ten pomysł.
Ok, mówię, że mój główny serwer pocztowy to Fałszywy. Więc tak? Czy to w ogóle nie istnieje? (Przypuśćmy, że w końcu przecięła część SPAMerów w każdym razie.) „Ci, którzy przeżyli” użyliby drugorzędnego - nie ma problemu. Ale dlaczego w tej konfiguracji jest trzeci serwer?
Ponieważ to powinna być moja odpowiedź, a nie pytanie, wyciągnę taki wniosek: jest chory i blady cień szarej listy. Jeśli chcesz zobaczyć prawdziwy efekt, spróbuj Greylistingu, stary .
źródło
Opuszczam większość spamu, opóźniając połączenia z hostami wymienionymi na liście zen Spamhaus. Spamboty nie lubią opóźnień. Wykrywanie oczywistych fałszerstw serwerów w poleceniu HELO usuwa również wiele spamu. Warunki, które stwierdziłem, wskazują na podróbki serwerów obejmują.
Jeśli cenisz pocztę automatyczną lub marketingową, sprawdź polecenie HELO, które nie działa. Z mojego doświadczenia wynika, że cała inna poczta spełnia te warunki.
Podpisanie ścieżki zwrotnej pozwala zablokować część spamu. Chociaż ostatnio widzę znacznie mniej fałszywych odrzuceń.
Niestety wysoki odsetek automatycznych lub marketingowych wiadomości pocztowych fałszuje ich ścieżkę zwrotną. Te hosty często też nie mają prawidłowego adresu postmastera. Uważam, że wymaganie prawidłowej domeny na ścieżce zwrotnej jest wykonalne. Dostaję znacznie więcej odpowiedzi SPF na niepowodzenie w przypadku legalnego e-maila niż spam.
Niedawno opublikowałem swoje doświadczenia z blokowaniem spamu za pomocą Exim
źródło
Oprócz utraconych wiadomości e-mail od legalnych osób z uszkodzonymi bramami, wypróbowano go już dawno (jak 15 lat temu +/-) i spamerzy dostosowali się do niego niemal natychmiast. Podejrzewam, że okaże się to stratą netto na niezawodności e-maili, przy niewielkim wpływie na spam. Jeśli jednak spróbujesz, prześlij nam wyniki!
źródło
Niestety, istnieją niektórzy operatorzy, którzy nie wyślą ci poczty, jeśli pierwszy rekord MX nie będzie osiągalny. Niedawno napisałem swoje doświadczenia z tym na blogu, więc nie powiem tego tutaj. Podsumowując, mój pierwszy rekord MX był tak naprawdę rekordem MX opartym tylko na IPv6, ponieważ doszedłem do wniosku, że spamerzy nie używają IPv6 (jeszcze). Niestety spowodowało to problemy i ostatecznie musiałem dodać adres IPv4 do pierwszego rekordu MX w mojej strefie.
źródło