Używanie fałszywych rekordów MX do zwalczania spamu

14

Mam klienta, który jest mocno spamowany. Jest 15. dnia miesiąca, a przepustowość POP3 wynosi prawie 100 GB. W tej domenie jest tylko 7 kont e-mail. Zainstalowałem SpamAssassin ustawiłem na 5, a ustawienia 10-20 filtrów odrzucają większość śmieci. Nie widzę dużej zmiany w przepustowości POP3. Popraw mnie, jeśli się mylę, serwer nadal odbiera wiadomość, wykorzystując przepustowość w celu analizy określenia wyniku spamu.

Natknąłem się na fałszywe rekordy MX, bo nieświadomi thoes - w zasadzie ustawiasz fałszywy serwer jako najniższy i najwyższy rekord MX z rekordem MX działającego serwera pośrodku.

Na przykład:

fake.example.com    1
realmx.example.com  2
fake2.example.com   3

Teoria polega na tym, że większość spamu generowana jest przez zombie oparte na systemie Windows, a wielu z nich zapyta o najwyższy rekord MX jako spam, ponieważ zwykle są to serwery zapasowe, które nie filtrują spamu. Najniższy fałszywy rekord MX jest dla pozostałych spamerów ... i generalnie spamerzy nie ponawiają prób po awarii.

Czy ktoś tego próbował? Czy to pomaga? Czy opóźnia lub powoduje problemy z dostarczaniem poczty? Czy ktoś ma lepsze rozwiązanie?

Mikey1980
źródło

Odpowiedzi:

15

Zrób sobie przysługę i skonfiguruj je z bramową usługą antyspamową, taką jak Postini. Za kilka dolarów za skrzynkę pocztową miesięcznie nie ma absolutnie żadnego powodu, aby tego nie robić i nie tylko wyeliminujesz 99% spamu, będziesz również mieć dostęp do ich usługi buforowania (przydatnej w przypadku planowego lub nieplanowanego przestoju), a nie wspomnij o oszczędnościach przepustowości, pozwalając komuś innemu otrzymywać i przetwarzać cały ten spam, zanim dotrze on do krawędzi Twojej sieci.

Nie jest pracownikiem Postini, tylko szczęśliwym użytkownikiem, który konfiguruje także dziesiątki klientów.

gravyface
źródło
dzięki za sugestię, to jest plan B (plan C zmienia nazwę swojego adresu e-mailowego .. lol) Podoba mi się pomysł SaaS lub filtrowania
frontonu
Chociaż to była odpowiedź, którą chciałem usłyszeć ... mój klient korzystał z Google Postini, SPAM wymknął się spod kontroli i bez dostępu do roota wydawał się jedyną opcją - wielkie dzięki za wskazówkę!
Mikey1980,
Pokochasz to, stary. Poważnie: świetna jest możliwość buforowania podczas pracy na serwerze. Używam ich również jako hosta nadrzędnego i odpowiednio blokuję zaporę ogniową, więc bez względu na to, jakie urządzenia są własnością mojej sieci (w tym serwerów pocztowych), mogą one komunikować się tylko z serwerami SMTP Postini, które filtrują dane wychodzące także.
gravyface
Postini ... co, dlaczego nie skorzystać z Gmaila? ;-P
poige
@poige: uruchamianie serwera poczty z usługą bramy to nie to samo, co hostowanie poczty w Google Apps (Gmail).
gravyface
12

Próbowałem tego i zdecydowanie mogę polecić, że NIE ROBIĆ ! W tamtym czasie wydawało się to dobrym pomysłem, ale po tym, jak poczta od różnych nadawców zaczęła znikać, zdałem sobie sprawę, że to pomyłka. Nie zdawałem sobie sprawy, że istnieje wiele strasznie napisanych serwerów SMTP, które nie są zgodne ze specyfikacją i są dość kiepskie w obsłudze błędów, a ludzie nie wiedzą ani nie dbają o to, ponieważ „ten inny facet dostał mój e-mail , więc to musisz być Ty ”.

Popieram kilka innych sugestii dotyczących obsługi spamu. Postini to świetna usługa, a nawet wbudowane funkcje antyspamowe w bezpłatnych aplikacjach Google nie są takie złe. Jeśli chcesz mieć większą kontrolę, możesz kupić IronPort lub inne urządzenie albo rzucić własne.

Jed Daniels
źródło
1
Dzięki Jed, dokładnie to, czego chciałem ... doświadczenie z pierwszej ręki. Nigdy nie myślałem o problemach SMTP, zbyt skoncentrowanych na nadchodzących +1
Mikey1980
1
Pracuję dla firmy Anti-Spam (Red Condor) i mamy rekordy o najwyższym priorytecie dla większości naszych klientów ustawione na adres czarnej dziury. Jednak niektórzy klienci usuwają to, ponieważ głupi ludzie piszą prawidłowe serwery pocztowe, które bombardują tylko ten adres. Jednak współpraca z dostawcą hostowanym przez SaaS pozwoli ci taniej odciążyć przepustowość.
Ryan Gooler
@ Ryan - dzięki! Czy masz raport na temat „czarnej dziury”, server-busyczy jest całkowicie martwy?
Mikey1980,
6

Nigdy wcześniej nie słyszałem o tej metodzie i wyobrażam sobie, że opóźniłoby to wysłanie legalnej wiadomości e-mail o kilka godzin. Na koniec protokoły smtp muszą dostarczyć prawidłowy adres e-mail. Prawidłowe serwery uderzą w fałszywy rekord MX i spróbują dostarczyć na ten serwer ... Nie wiem, co mógłbyś tam uruchomić (jeśli w ogóle), ale będą próbować, dopóki nie zostanie zaakceptowany.

Właściwe serwery będą próbowały rekordów MX, dopóki poczta nie zostanie dostarczona. Spamerzy stają się mądrzejsi, a jeśli teraz działa to w przypadku niektórych programów spamowych, wątpię, aby działało to długo. Nie mogę tego polecić.

Moją propozycją jest, aby zamiast tego użyć istniejącego filtra antyspamowego, użyć tarczy smtp. Obecnie dostępnych jest wiele takich. Myślę, że przekonasz się, że jest znacznie bardziej skuteczny niż metoda fałszywego nagrywania MX.

Takie tarpity pochodzą z smtpd na BSD. Istnieją również pewne funkcje plandeki w sendmail 8.13.

Zasadniczo tarpit działa poprzez wiązanie zasobów serwera spamu. Robią to, opóźniając otrzymywane odpowiedzi. np. serwer spamu łączy się i otrzymuje około 1 bajta na sekundę.
Niektóre serwery tarpit szukają wzorców spamu i mogą rozpoznać serwer spamu. Uzasadnione serwery będą przygotowane do oczekiwania na powolną odpowiedź. Na niektórych serwerach plandek automatycznie przenoszą uznany serwer na białą listę, aby nie było opóźnień w przyszłości.

Google SMTP Tarpit i spójrz.

Matt
źródło
Dziękuję za sugestię, ale mój klient jest firmą zajmującą się projektowaniem stron internetowych (ich klient ma problem) z setkami witryn o niskim natężeniu ruchu na współdzielonym hoście, a WHM nie ma dostępu do roota ani SSH .. utknął z SpamAssassin .. btw Exim jest wymiana. Wybacz mi, jeśli nie jest to jasne ... mój fortay programuje ... Prawdopodobnie zrobiłbym okropnego administratora systemu!
Mikey1980,
Jestem również programistą, ale spędziłem sporo godzin na zarządzaniu serwerami freebsd mojej starej firmy, wykonując różne czynności.
Matt
5

Nie wspomniałeś o tym, więc czy istnieje powód, dla którego nie używasz DNSBL ?

Edycja: SpamAssassin obejmuje obsługę kilku z nich - bez nich marnujesz wiele cykli procesora analizując spam.

danlefree
źródło
Kolejna świetna sugestia, ale jestem naprawdę ograniczony, ponieważ WHM moich klientów nie jest rootem. Według webalizera, włączenie SpamAssassin prawie nie wpłynęło na przepustowość w ciągu ostatnich 12 godzin
Mikey1980
1
... wtedy najlepszym rozwiązaniem byłoby przepchnięcie wszystkich usług pocztowych za pośrednictwem Google Apps lub skorzystanie z innej usługi innej firmy w celu ograniczenia spamu, jeśli dostawca usług hostingowych Twojego klienta nie chce majstrować przy konfiguracji SpamAssassin.
danlefree
Masz pomysł, czy DNSBL lub RBL są włączone przez niesłyszących? Można by pomyśleć, że będą. Zgadzam się, zaczynam myśleć, że front-endowe filtrowanie MX będzie jedynym rozwiązaniem.
Mikey1980,
@ Mikey1980 - „Masz pomysł, czy DNSBL lub RBL są włączone przez niesłyszących?” Przykro mi, nie mogę powiedzieć - najlepiej w każdym przypadku zapytać bezpośrednio dostawcę, ponieważ istnieje możliwość zastosowania własnej konfiguracji.
danlefree
Możesz sprawdzić, czy serwer poczty e-mail filtruje spam na podstawie DNSBL: spamhaus.org/faq/answers.lasso?section=DNSBL%20Usage#205
ZippyV
4

Używam tego fałszywego MX ( wariant nolistingu ) i działa bardzo dobrze.

Użyłem postfiksu MX ze wszystkimi zwykłymi filtrami i po jakimś czasie spambotu udało się przeciążyć serwer 2 lub 3 razy, postanowiłem spróbować ... oto wynik: fake-mx, przed i po

spróbuj zgadnąć, kiedy zaimplementowałem fake-mx! 8)

Rezultat jest taki sam jak postgrey, ale w przeciwieństwie do postgrey, nie trzeba zmieniać serwera poczty

Spamboty będą teraz albo próbować z wysokim MX, albo z niskim MX, uwalniając prawdziwy MX od obciążenia związanego z próbą filtrowania (nawet z DNSBL, obciążenie było wysokie) i prawdziwy e-mail dociera z minimalnym opóźnieniem.

Ale ostrzegamy, istnieje ryzyko:

  • Niektóre serwery mogą mieć długie czasy ponownych prób. Większość serwerów ponowi próbę następnego MX po pierwszych przekroczeniach limitu czasu, inne spróbują za kilka minut, ale już widziałem serwery, które ponawiają próbę dopiero po godzinie lub dniu. Są bardzo rzadkie i dla tych, których udało mi się złapać, była to zła konfiguracja. rozmowa z drugim postmasterem rozwiązuje problem

  • Wszystkie e-maile będą miały opóźnienie. Właściwie nie widzę żadnego opóźnienia, prawie wszystkie prawdziwe serwery pocztowe spróbują ponownie przejść do następnego MX po pierwszym limicie czasu, więc mówimy o opóźnieniu 30 sekund. Zazwyczaj próbują co najmniej 3 MX przed umieszczeniem wiadomości w kolejce dla dłuższego opóźnienia. ale możesz mieć kontakt z jednym uszkodzonym serwerem poczty, który może tego nie zrobić i opóźnić każdą wiadomość o kilka minut. Tak więc należy to monitorować podczas wdrażania tego rozwiązania.

  • Zepsute strony. Niektóre serwery WWW wysyłają e-maile z hasłami, powiadomieniami itp. Zamiast dostarczać wewnętrzny prawdziwy serwer pocztowy, starają się być „fałszywym” serwerem pocztowym i dostarczać bezpośrednio. Jako serwer sieciowy nigdy nie spróbują ponownie, a wiadomość e-mail zostanie utracona. Znowu jest to zła konfiguracja webmasterów / programistów, ponieważ tylko prawdziwe serwery e-mail powinny wysyłać wiadomości e-mail. Za każdym razem, gdy znajduję te problemy, rozmawiam z webmasterem o problemie i zwykle problem jest naprawiony.

  • Brak dzienników. Jako fałszywa pozycja MX dla niepołączonych adresów IP, nie masz dzienników tego, co próbowano dostarczyć. wiesz tylko, że coś poszło nie tak, gdy ktoś narzeka. ale to też dobrze. Zawsze możesz twierdzić, że nie próbujesz dostarczyć żadnej wiadomości e-mail, więc jest to zdalny problem. Druga strona musi sprawdzić swoje dzienniki i rozwiązać problem. Mogę udowodnić, że nie ma żadnego połączenia z moim prawdziwym serwerem, przenosząc presję rozwiązania problemu na drugą stronę. Jeśli druga strona nie jest w stanie rozwiązać problemu, wyglądało to na niezaufane, niewiarygodne.

  • Brak białej listy. dotyczy to wszystkich serwerów za pośrednictwem usługi dns, więc nie można dodać jednego serwera do białej listy ... w rzeczywistości jest to tylko połowa prawdy, ale jest trudniejsza. rozwiązaniem białej listy jest to, że najniższe MX wskazuje adres IP, na którym działa smtp, ale jest filtrowany przez zaporę ogniową dla wszystkich. Te serwery, które chcesz umieścić na liście, musiały być dozwolone w zaporze ogniowej. W ten sposób wszystkie serwery zostaną odrzucone przez zaporę ogniową, a biała lista będzie mogła dostarczyć serwer pocztowy. Działa, ale tylko dla białej listy adresów IP, nie dla białej listy adresów e-mail.

W przeciwieństwie do postgrey, gdzie zdalny nadawca ma dziennik „odrzuconej” dostawy (a więc może wskazywać na nas jako problem), fałszywy MX pokaże, że serwer sieciowy nie mógł się nawet połączyć i nie ponowił próby, nie dając żadnej wymówki dla odległej strony na temat problemu. Niepowodzenie MX lepiej jest zaakceptować w stosunku do postgrey, ponieważ zawsze możemy twierdzić, że istnieje „problem z routingiem, ale zapasowy MX działa dobrze, otrzymujemy wszystkie inne e-maile”

Mając to na uwadze, otrzymuję bardzo mało skarg (około 1 co 3 miesiące), więc uważam to za wystarczająco bezpieczne (każdy filtr antyspamowy ma ryzyko).

Pamiętaj, że używam prawidłowego adresu IPv4 dla wszystkich MX, ale dla fałszywych używam kontrolowanego adresu IP, który nie jest używany (a więc daje limit czasu / hosta nieosiągalny dla żadnego połączenia). zasady te obowiązują nawet, jeśli z nich nie korzystasz. Istnieją serwery dns i smtp, które wymagają idealnie poprawnej konfiguracji dns, aby e-mail działał. Fake-MX musi być również ważny, po prostu nie powinny być osiągalne.

Nie używaj prywatnych adresów IP lub adresów IP, których nie kontrolujesz dla fałszywego MX (jeśli dodasz adres IPv6, RÓWNIEŻ dodaj adres IPv4). Pozwala to uniknąć problemów z uszkodzonymi serwerami DNS i serwerami pocztowymi oraz niespodzianek innych osób otrzymujących pocztę e-mail (instalując serwer smtp pod adresem IP, którego nie kontrolujesz). Ponadto CNAME jest zabronione dla MX, więc nie używaj go, tylko zwykły rekord A.

Na koniec należy wysłać reset tcp dla fałszywego MX, aby poprawić wydajność (host lub port nieosiągalny) zamiast zwykłego limitu czasu (po upuszczeniu pakietu), dlatego zaleca się dodanie go do zapory.

w każdym razie, nie tylko nadal go używam, ponieważ polecam wszystkim, aby z niego korzystali

higuita
źródło
To nie jest nic , a nie tylko wariant. To rzeczywiście działa, ale jest trudne do zmierzenia, ponieważ blackholujesz dane fałszywych serwerów (powyższy wykres jest jedynie anegdotyczny!). Polecam serwer o wysokim priorytecie, który jest prawdziwym serwerem (który kontrolujesz!) Z zamkniętym portem 25 - ale NIE został on upuszczony, potrzebujesz naprawdę szybkiej awarii - oraz serwer o niskim priorytecie (w przestrzeni IP, którą kontrolujesz!) to albo nie jest podniesione, albo przezroczyste zrywa połączenia tego portu.
Adam Katz
1
@AdamKatz Nolisting jest tylko dla MX o najwyższym priorytecie, ten wariant ma również fałszywy serwer o najniższym priorytecie ... to różnica! Ponadto, jeśli przeczytasz moje ostatnie akapity, zobaczysz, że mówię dokładnie to, co napisałeś! :)
higuita
2

Jeśli chodzi o filtrowanie poczty, jestem bardzo zadowolony z połączenia Spamassasin i wagi policyyd , która sprawdza nazwę hosta nadawcy i listy blokowania podczas połączenia SMTP. To wspaniała rzecz z dwóch powodów:

  1. nie musisz przetwarzać odrzuconej wiadomości e-mail za pomocą spamassasin, co oszczędza zasoby systemowe (analiza bayesowska zajmuje trochę czasu) i przepustowość
  2. hosty nadawcy są odrzucane, więc w mało prawdopodobnym przypadku zablokowania legalnej wiadomości e-mail nadawca otrzymuje powiadomienie o niepowodzeniu dostarczenia

Korzystam z instalacji na Postfix, ale podobno istnieje sposób na zainstalowanie policyyd-weight w Exim .

che
źródło
1

Szczerze mówiąc, nie wpadłem na ten pomysł.

Ok, mówię, że mój główny serwer pocztowy to Fałszywy. Więc tak? Czy to w ogóle nie istnieje? (Przypuśćmy, że w końcu przecięła część SPAMerów w każdym razie.) „Ci, którzy przeżyli” użyliby drugorzędnego - nie ma problemu. Ale dlaczego w tej konfiguracji jest trzeci serwer?


Ponieważ to powinna być moja odpowiedź, a nie pytanie, wyciągnę taki wniosek: jest chory i blady cień szarej listy. Jeśli chcesz zobaczyć prawdziwy efekt, spróbuj Greylistingu, stary .

poige
źródło
Niezwykłe sformułowanie, ale masz całkowitą rację. Greylisting JEST właściwym rozwiązaniem (innym niż porządny, kompletny system filtrowania antyspamowego). Będzie działał równie skutecznie, jak fałszywe rekordy MX, bez wszystkich wad.
John Gardeniers
1

Opuszczam większość spamu, opóźniając połączenia z hostami wymienionymi na liście zen Spamhaus. Spamboty nie lubią opóźnień. Wykrywanie oczywistych fałszerstw serwerów w poleceniu HELO usuwa również wiele spamu. Warunki, które stwierdziłem, wskazują na podróbki serwerów obejmują.

  • Używam mojej nazwy hosta lub adresu IP.
  • Używanie niekwalifikowanej nazwy hosta.
  • Używanie literału domeny ([192.0.2.15]) zamiast nazwy FQDN. (Tak, wymagają tego RFC, ale obecnie nie są używane przez serwery poczty internetowej).
  • Błąd SPF dla nazwy HELO, a nie Mail (blokuję na fail, softfail i neutralny).

Jeśli cenisz pocztę automatyczną lub marketingową, sprawdź polecenie HELO, które nie działa. Z mojego doświadczenia wynika, że ​​cała inna poczta spełnia te warunki.

  • Używanie nazwy hosta drugiego poziomu zamiast nazwy FQDN dla hosta.
  • Wymaganie nazwy IP lub HELO do weryfikacji rDNS.
  • Wymaganie prawidłowej domeny drugiego poziomu dla nazwy FQDN. (lokalny nie jest prawidłową domeną ani lokalna domena).

Podpisanie ścieżki zwrotnej pozwala zablokować część spamu. Chociaż ostatnio widzę znacznie mniej fałszywych odrzuceń.

Niestety wysoki odsetek automatycznych lub marketingowych wiadomości pocztowych fałszuje ich ścieżkę zwrotną. Te hosty często też nie mają prawidłowego adresu postmastera. Uważam, że wymaganie prawidłowej domeny na ścieżce zwrotnej jest wykonalne. Dostaję znacznie więcej odpowiedzi SPF na niepowodzenie w przypadku legalnego e-maila niż spam.

Niedawno opublikowałem swoje doświadczenia z blokowaniem spamu za pomocą Exim

BillThor
źródło
0

Oprócz utraconych wiadomości e-mail od legalnych osób z uszkodzonymi bramami, wypróbowano go już dawno (jak 15 lat temu +/-) i spamerzy dostosowali się do niego niemal natychmiast. Podejrzewam, że okaże się to stratą netto na niezawodności e-maili, przy niewielkim wpływie na spam. Jeśli jednak spróbujesz, prześlij nam wyniki!

Brian Knoblauch
źródło
0

Niestety, istnieją niektórzy operatorzy, którzy nie wyślą ci poczty, jeśli pierwszy rekord MX nie będzie osiągalny. Niedawno napisałem swoje doświadczenia z tym na blogu, więc nie powiem tego tutaj. Podsumowując, mój pierwszy rekord MX był tak naprawdę rekordem MX opartym tylko na IPv6, ponieważ doszedłem do wniosku, że spamerzy nie używają IPv6 (jeszcze). Niestety spowodowało to problemy i ostatecznie musiałem dodać adres IPv4 do pierwszego rekordu MX w mojej strefie.

Wes Hardaker
źródło