To jest kanoniczne pytanie dotyczące walki ze spamem.
Powiązane również:
Jest tak wiele technik i tyle do nauczenia się o walce ze SPAMEM. Jakie szeroko stosowane techniki i technologie są dostępne dla administratora, właścicieli domen i użytkowników końcowych, aby pomóc w usuwaniu śmieci z naszych skrzynek odbiorczych?
Szukamy odpowiedzi obejmującej różne technologie z różnych stron. Akceptowana odpowiedź powinna obejmować różne technologie (np. SPF / SenderID, DomainKeys / DKIM, Graylisting, DNS RBLs, usługi reputacji, oprogramowanie filtrujące [SpamAssassin itp.]); najlepsze praktyki (np. poczta na porcie 25 nigdy nie powinna być przekazywana, należy użyć portu 587; itp.), terminologia (np. Open Relay, Backscatter, MSA / MTA / MUA, Spam / Ham) i ewentualnie inne techniki.
Odpowiedzi:
Aby pokonać wroga, musisz go znać.
Co to jest spam?
Do naszych celów spamem jest każda niezamawiana masowa wiadomość elektroniczna. Obecnie spam ma na celu zachęcenie niczego niepodejrzewających użytkowników do odwiedzenia (zwykle podejrzanej) strony internetowej, na której zostaną poproszeni o zakup produktów, złośliwe oprogramowanie dostarczone na ich komputery lub jedno i drugie. Niektóre spamy dostarczają złośliwe oprogramowanie bezpośrednio.
Może cię zaskoczyć informacja, że pierwszy spam został wysłany w 1864 roku. Była to reklama usług dentystycznych wysyłana za pośrednictwem telegramu Western Union. Samo słowo nawiązuje do sceny z Latającego cyrku Monty Pythona .
Spam w tym przypadku nie odnosi się do ruchu na liście mailingowej, który subskrybował użytkownik, nawet jeśli później zmienił zdanie (lub zapomniał o tym), ale jeszcze się nie wypisał.
Dlaczego spam jest problemem?
Spam stanowi problem, ponieważ działa dla spamerów . Spam zazwyczaj generuje więcej niż wystarczającą sprzedaż (lub dostarczanie złośliwego oprogramowania lub obie te rzeczy ), aby pokryć koszty - spamerowi - jego wysłania. Spamer nie bierze pod uwagę kosztów dla odbiorcy, ciebie i twoich użytkowników. Nawet gdy niewielka mniejszość użytkowników otrzymujących spam odpowiada na to, wystarczy.
Więc musisz płacić rachunki za przepustowość, serwery i czas administratora, aby poradzić sobie z przychodzącym spamem.
Blokujemy spam z następujących powodów: nie chcemy go widzieć, aby obniżyć koszty obsługi poczty e-mail i zwiększyć koszt spamowania dla spamerów.
Jak działa spam?
Spam jest zazwyczaj dostarczany na różne sposoby niż zwykły, legalny e-mail.
Spamerzy prawie zawsze chcą ukryć pochodzenie wiadomości e-mail, więc typowy spam zawiera fałszywe informacje nagłówka.
From:
Adres jest zwykle fałszywy. Niektóre spamy zawierają fałszyweReceived:
linie, które próbują ukryć ślad. Wiele spamu jest dostarczanych przez otwarte przekaźniki SMTP, otwarte serwery proxy i botnety. Wszystkie te metody utrudniają ustalenie, kto powstał spam.Po wejściu do skrzynki odbiorczej spam ma na celu zachęcenie użytkownika do odwiedzenia reklamowanej strony internetowej. Tam użytkownik zostanie zachęcony do zakupu lub witryna spróbuje zainstalować złośliwe oprogramowanie na komputerze użytkownika lub w obu przypadkach. Lub spam poprosi użytkownika o otwarcie załącznika zawierającego złośliwe oprogramowanie.
Jak zatrzymać spam?
Jako administrator systemu serwera pocztowego skonfigurujesz swój serwer pocztowy i domenę, aby utrudnić spamerom dostarczanie spamu użytkownikom.
Będę omawiać problemy związane ze spamem i mogę pomijać rzeczy niezwiązane bezpośrednio ze spamem (takie jak szyfrowanie).
Nie uruchamiaj otwartego przekaźnika
Grzechem dużego serwera pocztowego jest uruchomienie otwartego przekaźnika , serwera SMTP, który przyjmie pocztę do dowolnego miejsca docelowego i dostarczy ją dalej. Spamerzy uwielbiają otwarte przekaźniki, ponieważ praktycznie gwarantują dostawę. Biorą na siebie ciężar dostarczania wiadomości (i ponawiają próbę!), Podczas gdy spamer robi coś innego. Sprawiają, że spamowanie jest tanie .
Otwarte przekaźniki również przyczyniają się do problemu rozproszenia wstecznego. Są to wiadomości, które zostały zaakceptowane przez przekaźnik, ale okazały się niemożliwe do dostarczenia. Otwarty przekaźnik wyśle następnie wiadomość zwrotną na
From:
adres zawierający kopię spamu.From:
iTo:
nie znajdują się w Twojej domenie. Wiadomość powinna zostać odrzucona. (Lub skorzystaj z usługi online, takiej jak MX Toolbox, aby wykonać test, ale pamiętaj, że niektóre usługi online prześlą twój adres IP na czarne listy, jeśli serwer pocztowy nie przejdzie testu.)Odrzuć wszystko, co wygląda na zbyt podejrzane
Różne błędne konfiguracje i błędy mogą być wskazówką, że wiadomość przychodząca może być spamem lub w inny sposób niezgodna z prawem.
HELO
/EHLO
.HELO
/EHLO
to:Uwierzytelnij swoich użytkowników
Poczta docierająca na twoje serwery powinna być rozpatrywana w kategoriach poczty przychodzącej i wychodzącej. Poczta przychodząca to każda poczta przychodząca na Twój serwer SMTP, która ostatecznie jest przeznaczona dla Twojej domeny; poczta wychodząca to każda poczta przychodząca na Twój serwer SMTP, która zostanie przeniesiona w inne miejsce przed dostarczeniem (np. trafi do innej domeny). Poczta przychodząca może być obsługiwana przez filtry antyspamowe i może pochodzić z dowolnego miejsca, ale zawsze musi być przeznaczona dla użytkowników. Nie można uwierzytelnić tej poczty, ponieważ nie można podać poświadczeń dla każdej witryny, która może wysłać Ci pocztę.
Poczta wychodząca, to znaczy poczta, która zostanie przekazana, musi zostać uwierzytelniona. Dzieje się tak, niezależnie od tego, czy pochodzi on z Internetu, czy z sieci (należy jednak ograniczyć zakresy adresów IP, z których można korzystać z serwera poczty, jeśli jest to operacyjnie możliwe); dzieje się tak, ponieważ w twojej sieci mogą działać spamboty. Skonfiguruj serwer SMTP tak, aby poczta powiązana z innymi sieciami była usuwana (dostęp do przekazywania będzie odmawiany), chyba że poczta ta zostanie uwierzytelniona. Co więcej, używaj osobnych serwerów pocztowych dla poczty przychodzącej i wychodzącej, nie zezwalaj wcale na przekazywanie dla serwerów przychodzących i nie zezwalaj na nieuwierzytelniony dostęp do serwerów wychodzących.
Jeśli oprogramowanie na to pozwala, należy również filtrować wiadomości według uwierzytelnionego użytkownika; jeśli adres nadawcy poczty nie zgadza się z użytkownikiem, który uwierzytelnił, należy go odrzucić. Nie aktualizuj po cichu adresu z; użytkownik powinien zdawać sobie sprawę z błędu konfiguracji.
Należy także zalogować się do nazwy użytkownika używanej do wysyłania poczty lub dodać do niej nagłówek identyfikujący. W ten sposób, jeśli nastąpi nadużycie, masz dowody i wiesz, które konto zostało użyte do tego. Pozwala to izolować zagrożone konta i problematycznych użytkowników i jest szczególnie cenne dla dostawców hostingu współdzielonego.
Filtruj ruch
Chcesz mieć pewność, że poczta opuszczająca twoją sieć jest faktycznie wysyłana przez (uwierzytelnionych) użytkowników, a nie przez boty lub osoby z zewnątrz. Szczegóły tego, jak to zrobić, zależą dokładnie od tego, jakim systemem administrujesz.
Zasadniczo blokowanie ruchu wychodzącego na portach 25, 465 i 587 (SMTP, SMTP / SSL i wysyłanie) dla wszystkiego oprócz serwerów poczty wychodzącej jest dobrym pomysłem, jeśli jesteś siecią korporacyjną. Dzieje się tak, aby szkodliwe roboty działające w Twojej sieci nie mogły wysyłać spamu z Twojej sieci ani w celu otwarcia przekaźników w Internecie, ani bezpośrednio do ostatecznej MTA adresu.
Hotspoty to szczególny przypadek, ponieważ legalna poczta z nich pochodzi z wielu różnych domen, ale (między innymi z powodu SPF) „wymuszony” serwer pocztowy jest nieodpowiedni i użytkownicy powinni używać serwera SMTP własnej domeny do przesyłania poczty. Ten przypadek jest znacznie trudniejszy, ale użycie określonego publicznego adresu IP lub zakresu adresów IP dla ruchu internetowego z tych hostów (w celu ochrony reputacji witryny), dławienie ruchu SMTP i szczegółowa kontrola pakietów to rozwiązania, które należy rozważyć.
Historycznie, spamboty wysyłały spam głównie na port 25, ale nic nie stoi na przeszkodzie, aby korzystały z portu 587 w tym samym celu, dlatego zmiana portu używanego do poczty przychodzącej ma wątpliwą wartość. Jednak użycie portu 587 do przesyłania poczty jest zalecane przez RFC 2476 i pozwala na oddzielenie wysyłania poczty (do pierwszego MTA) i przesyłania poczty (między MTA), jeśli nie jest to oczywiste z topologii sieci; jeśli potrzebujesz takiej separacji, powinieneś to zrobić.
Jeśli jesteś usługodawcą internetowym, usługodawcą VPS, dostawcą kolokacji lub podobnym, lub zapewniasz hotspot do użytku przez odwiedzających, blokowanie wychodzącego ruchu SMTP może być problematyczne dla użytkowników, którzy wysyłają pocztę za pomocą własnych domen. We wszystkich przypadkach, z wyjątkiem publicznego hotspotu, należy wymagać od użytkowników, którzy potrzebują wychodzącego dostępu SMTP, ponieważ używają serwera pocztowego, specjalnego żądania. Poinformuj ich, że skargi związane z nadużyciami ostatecznie spowodują zakończenie dostępu w celu ochrony Twojej reputacji.
Dynamiczne adresy IP i te używane w infrastrukturze wirtualnego pulpitu nigdy nie powinny mieć wychodzącego dostępu SMTP, z wyjątkiem określonego serwera poczty, z którego powinny korzystać te węzły. Tego rodzaju adresy IP powinny również pojawiać się na czarnych listach i nie należy próbować budować ich reputacji. Wynika to z faktu, że bardzo mało prawdopodobne jest, aby przeprowadzili legalny MTA.
Rozważ użycie SpamAssassin
SpamAssassin to filtr poczty, którego można użyć do identyfikacji spamu na podstawie nagłówków i treści wiadomości. Wykorzystuje oparty na regułach system oceniania, aby określić prawdopodobieństwo, że wiadomość jest spamem. Im wyższy wynik, tym bardziej prawdopodobne, że wiadomość jest spamem.
SpamAssassin ma również silnik bayesowski, który może analizować spam i próbki ham (legalne wiadomości e-mail) z powrotem do niego przesyłane.
Najlepszą praktyką dla SpamAssassin nie jest odrzucanie wiadomości, ale umieszczanie jej w folderze Spam lub Spam. MUA (agenty użytkownika poczty), takie jak Outlook i Thunderbird, można skonfigurować tak, aby rozpoznawały nagłówki dodawane przez SpamAssassin do wiadomości e-mail i odpowiednio je zapisywały. Fałszywe pozytywy mogą się zdarzyć i zdarzają się, a chociaż są rzadkie, gdy stanie się to z CEO, usłyszysz o tym. Ta rozmowa pójdzie znacznie lepiej, jeśli wiadomość zostanie po prostu dostarczona do folderu śmieci, a nie odrzucona.
SpamAssassin jest prawie jedyny w swoim rodzaju, choć istnieje kilka alternatyw .
sa-update
.Rozważ skorzystanie z list blackhole opartych na DNS i usług reputacyjnych
DNSBL (wcześniej znane jako RBL lub listy czarnych dziur w czasie rzeczywistym) zapewniają listy adresów IP powiązanych ze spamem lub inną złośliwą aktywnością. Są one prowadzone przez niezależne strony trzecie w oparciu o ich własne kryteria, dlatego dokładnie sprawdź, czy kryteria listy i usuwania stosowane przez DNSBL są zgodne z potrzebą Twojej organizacji do otrzymywania wiadomości e-mail. Na przykład kilka DNSBL ma drakońskie zasady usuwania, które bardzo utrudniają usunięcie przypadkowo osoby wymienionej na liście. Inni automatycznie usuwają się z listy, gdy adres IP nie wysyła spamu przez pewien okres czasu, co jest bezpieczniejsze. Z większości DNSBL można korzystać bezpłatnie.
Usługi reputacji są podobne, ale twierdzą, że zapewniają lepsze wyniki, analizując więcej danych związanych z danym adresem IP. Większość usług związanych z reputacją wymaga płatności subskrypcji lub zakupu sprzętu lub obu.
Dostępnych jest kilkadziesiąt DNSBL i usług reputacyjnych, choć niektóre z bardziej znanych i przydatnych, których używam i polecam, to:
Listy konserwatywne:
Agresywne listy:
Jak wspomniano wcześniej, dostępnych jest kilkadziesiąt innych, które mogą odpowiadać Twoim potrzebom. Jedną z moich ulubionych sztuczek jest sprawdzenie adresu IP, który dostarczył spam, który przeszedł przez wiele DNSBL, aby zobaczyć, który z nich by go odrzucił.
Użyj SPF
SPF (Sender Policy Framework; RFC 4408 i RFC 6652 ) to sposób zapobiegania fałszowaniu adresów e-mail poprzez deklarowanie, którzy hosty internetowe są upoważnione do dostarczania poczty dla danej nazwy domeny.
-all
odrzucał wszystkie inne.Zbadaj DKIM
DKIM (DomainKeys Identified Mail; RFC 6376 ) to metoda osadzania podpisów cyfrowych w wiadomościach pocztowych, które można zweryfikować za pomocą kluczy publicznych opublikowanych w DNS. Jest obciążony patentem w USA, co spowolniło jego przyjęcie. Podpisy DKIM mogą również zostać zerwane, jeśli wiadomość zostanie zmodyfikowana podczas przesyłania (np. Serwery SMTP mogą czasami przepakować wiadomości MIME).
Rozważ użycie greylistingu
Greylisting to technika, w której serwer SMTP wydaje tymczasowe odrzucenie przychodzącej wiadomości, a nie trwałe odrzucenie. Gdy dostawa zostanie ponowiona za kilka minut lub godzin, serwer SMTP zaakceptuje wiadomość.
Greylisting może zatrzymać niektóre programy spamowe, które nie są wystarczająco solidne, aby rozróżnić tymczasowe i trwałe odrzucenia, ale nie pomaga spamowi wysłanemu do otwartego przekaźnika lub bardziej niezawodnemu oprogramowaniu spamowemu. Wprowadza również opóźnienia w dostawie, które użytkownicy nie zawsze mogą tolerować.
Rozważ użycie nolistingu
Nolisting to metoda konfigurowania rekordów MX w taki sposób, aby rekord o najwyższym priorytecie (najniższy numer preferencji) nie miał działającego serwera SMTP. Polega to na tym, że wiele programów spamujących próbuje tylko pierwszego rekordu MX, podczas gdy legalne serwery SMTP próbują wszystkich rekordów MX w kolejności rosnącej. Niektóre programy spamowe próbują również wysłać bezpośrednio do rekordu MX o najniższym priorytecie (najwyższym numerze preferencji) z naruszeniem RFC 5321 , aby można było ustawić adres IP bez serwera SMTP. Uważa się, że jest to bezpieczne, jednak podobnie jak w przypadku innych elementów, najpierw należy dokładnie przetestować.
Zastanów się nad urządzeniem do filtrowania spamu
Umieść urządzenie do filtrowania spamu, takie jak Cisco IronPort lub Barracuda Spam & Virus Firewall (lub inne podobne urządzenia) przed istniejącym serwerem SMTP, aby znacznie zredukować otrzymywany spam. Urządzenia te są wstępnie skonfigurowane z DNSBL, usługami reputacji, filtrami bayesowskimi i innymi funkcjami, które omówiłem, i są regularnie aktualizowane przez ich producentów.
Rozważ hostowane usługi e-mail
Jeśli to za dużo dla ciebie (lub twojego przepracowanego personelu IT), zawsze możesz poprosić zewnętrznego usługodawcę o obsługę twojego e-maila. Usługi takie jak Google Postini , Symantec MessageLabs Email Security (lub inne) będą filtrować wiadomości za Ciebie. Niektóre z tych usług mogą również spełniać wymogi prawne i prawne.
Jakie wskazówki powinni przekazać użytkownikom końcowym w zakresie zwalczania spamu?
Bezwzględnie najważniejszą rzeczą, którą powinni zrobić użytkownicy końcowi w walce ze spamem:
NIE REAGUJ NA SPAM.
Jeśli wygląda to śmiesznie, nie klikaj linku do witryny i nie otwieraj załącznika. Bez względu na to, jak atrakcyjna wydaje się oferta. Że Viagra nie jest tak tanie, że nie są naprawdę dostanie nagie zdjęcia każdego, i nie ma 15 milionów dolarów dolarów w Nigerii czy gdzie indziej, z wyjątkiem pieniędzy pobranych z ludzi, którzy nie odpowiadają na spam.
Jeśli zobaczysz wiadomość spamową, oznacz ją jako Spam lub Spam, w zależności od klienta pocztowego.
NIE oznaczaj wiadomości jako Spam / Spam, jeśli faktycznie zapisałeś się na otrzymywanie wiadomości i po prostu chcesz przestać je otrzymywać. Zamiast tego wypisz się z listy mailingowej, używając podanej metody anulowania subskrypcji.
Regularnie sprawdzaj folder Spam / Spam, aby sprawdzić, czy nie dotarły do niego prawidłowe wiadomości. Oznacz je jako Nie śmieci / Nie spam i dodaj nadawcę do swoich kontaktów, aby zapobiec oznaczaniu ich wiadomości jako spam w przyszłości.
źródło
Przez lata zarządzałem ponad 100 oddzielnymi środowiskami pocztowymi i korzystałem z wielu procesów w celu zmniejszenia lub pomocy w eliminacji spamu.
Technologia ewoluowała w miarę upływu czasu, więc ta odpowiedź omówi niektóre z rzeczy, które próbowałem w przeszłości i szczegółowo opisał obecny stan rzeczy.
Kilka przemyśleń na temat ochrony ...
W odniesieniu do przychodzącego spamu ...
Moje obecne podejście:
Jestem zdecydowanym zwolennikiem rozwiązań spamowych opartych na urządzeniach. Chcę odrzucić na obwodzie sieci i zapisać cykle procesora na poziomie serwera pocztowego. Korzystanie z urządzenia zapewnia również pewną niezależność od rzeczywistego rozwiązania serwera pocztowego (agenta dostarczającego pocztę).
Z wielu powodów polecam urządzenia Barracuda Spam Filter . Wdrożyłem kilkadziesiąt urządzeń, a interfejs oparty na sieci Web, udostępnianie myśli w branży oraz natura urządzeń typu „ustaw i zapomnij” czynią go zwycięzcą. Technologia zaplecza obejmuje wiele technik wymienionych powyżej.
Konsola stanu Barracuda Spam & Virus Firewall 300
Nowsze podejście:
W ciągu ostatniego miesiąca eksperymentowałem z opartą na chmurze Barracuda Email Security Service . Jest to podobne do innych rozwiązań hostowanych, ale dobrze nadaje się do mniejszych witryn, w których kosztowne urządzenie jest nieopłacalne. Za nominalną roczną opłatę ta usługa zapewnia około 85% tego, co robi urządzenie sprzętowe. Usługę można również uruchomić w połączeniu z urządzeniem na miejscu, aby zmniejszyć przepustowość i zapewnić kolejną warstwę bezpieczeństwa. Jest to również ładny bufor, który może buforować pocztę w przypadku awarii serwera. Analityki są nadal przydatne, choć nie tak szczegółowe jak jednostki fizyczne.
Konsola Barracuda Cloud Email Security
Podsumowując, wypróbowałem wiele rozwiązań, ale biorąc pod uwagę skalę niektórych środowisk i rosnące wymagania bazy użytkowników, chcę najbardziej eleganckich dostępnych rozwiązań. Przyjmowanie podejścia wielozakresowego i „rozwijanie własnego” jest z pewnością możliwe, ale dobrze sobie poradziłem z podstawowymi zabezpieczeniami i dobrym monitorowaniem urządzenia Barracuda. Użytkownicy są bardzo zadowoleni z wyniku.
Uwaga: Cisco Ironport jest również świetny ... Po prostu droższy.
źródło
Częściowo popieram to, co powiedzieli inni; częściowo nie.
Spamassassin
Działa to dla mnie bardzo dobrze, ale musisz poświęcić trochę czasu na szkolenie filtru bayesowskiego zarówno z szynką, jak i spamem .
Greylisting
ewwhite może czuć, że jego dzień już minął, ale nie mogę się zgodzić. Jeden z moich klientów zapytał, jak skuteczne były moje różne filtry, więc oto przybliżone statystyki z lipca 2012 r. Dla mojego osobistego serwera poczty:
Tak więc około 44000 nigdy nie przeszło przez szarą listę; gdybym nie miał greylistingu i zaakceptowałby je wszystkie, wszyscy potrzebowaliby filtrowania spamu, wszyscy używali procesora i pamięci, a nawet przepustowości.
Edycja : ponieważ ta odpowiedź wydaje się być przydatna dla niektórych osób, pomyślałem, że zaktualizuję statystyki. Ponownie uruchomiłem analizę dzienników poczty od stycznia 2015 r., 2,5 roku później.
Liczby nie są bezpośrednio porównywalne, ponieważ nie mam już informacji o tym, jak doszedłem do liczb z 2012 r., Więc nie jestem pewien, czy metody były identyczne. Ale mam pewność, że nie musiałem wtedy przeprowadzać kosztownego obliczeniowo filtrowania spamu na ogromnej ilości treści, a ja nadal nie, z powodu szarej listy.
SPF
To nie jest tak naprawdę technika antyspamowa, ale może zmniejszyć ilość rozproszenia wstecznego, z którą musisz sobie poradzić, jeśli jesteś zabójcą. Powinieneś używać go zarówno na wejściu, jak i na zewnątrz, to znaczy: powinieneś sprawdzić rekord SPF nadawcy pod kątem przychodzących wiadomości e-mail i odpowiednio zaakceptować / odrzucić. Powinieneś również opublikować swoje własne rekordy SPF, wymieniając w pełni wszystkie maszyny, które są upoważnione do wysyłania poczty jako ty, i blokuj wszystkie inne za pomocą
-all
. Rekordy SPF, które nie kończą się,-all
są całkowicie bezużyteczne.Listy Blackhole
RBL są problematyczne, ponieważ można się na nie dostać z własnej winy, a ciężko się z nich wydostać. Niemniej jednak mają one uzasadnione zastosowanie w walce ze spamem, ale zdecydowanie sugeruję, że żaden RBL nigdy nie powinien być używany jako jasny test akceptacji poczty . Sposób, w jaki spamassassin radzi sobie z RBL - przy użyciu wielu, z których każdy przyczynia się do całkowitego wyniku, i właśnie ten wynik decyduje o przyjęciu / odrzuceniu - jest znacznie lepszy.
Dropbox
Nie mam na myśli usługi komercyjnej, mam na myśli to, że mój serwer pocztowy ma jeden adres, który przecina całą moją greylisting i filtrowanie spamu, ale który zamiast dostarczać do skrzynki INBOX, trafia do folderu, w
/var
którym można zapisać świat , w którym jest automatycznie oczyszczane co noc z e-maili powyżej 14 dni.Zachęcam wszystkich użytkowników do korzystania z niego, np. Podczas wypełniania formularzy e-mail, które wymagają weryfikowalnego adresu e-mail, na który otrzymasz jeden e-mail, który musisz zachować, ale od którego nigdy więcej nie chcesz słyszeć, lub przy zakupie od dostawców internetowych, którzy prawdopodobnie sprzedadzą i / lub spamują swój adres (szczególnie ci, którzy są poza zasięgiem europejskich przepisów dotyczących prywatności). Zamiast podać swój prawdziwy adres, użytkownik może podać adres skrzynki odbiorczej i przeglądać ją tylko wtedy, gdy spodziewa się czegoś od korespondenta (zazwyczaj komputera). Kiedy nadejdzie, może ją wybrać i zapisać w swojej kolekcji pocztowej. Żaden użytkownik nie musi w tym czasie szukać.
źródło
Używam wielu technik, które redukują spam do akceptowalnego poziomu.
Opóźnij przyjmowanie połączeń z niepoprawnie skonfigurowanych serwerów. Większość spamu, który otrzymuję, pochodzi od Spambotów działających na systemie zainfekowanym złośliwym oprogramowaniem. Prawie wszystkie z nich nie przechodzą walidacji rDNS. Opóźnianie o około 30 sekund przed każdą odpowiedzią powoduje, że większość Spambotów poddaje się, zanim dostarczy wiadomość. Zastosowanie tego tylko do serwerów, które zawiodły rDNS, pozwala uniknąć karania odpowiednio skonfigurowanych serwerów. Niektóre niepoprawnie skonfigurowane legalne lub automatyczne nadawcy są karane, ale dostarczają z minimalnym opóźnieniem.
Konfigurowanie SPF dla wszystkich domen chroni domeny. Większość subdomen nie powinna być używana do wysyłania wiadomości e-mail. Głównym wyjątkiem są domeny MX, które muszą mieć możliwość samodzielnego wysyłania poczty. Wielu legalnych nadawców przekazuje pocztę masową i zautomatyzowaną na serwery, które nie są dozwolone przez ich zasady. Odroczenie zamiast odrzucenia w oparciu o SPF pozwala im naprawić konfigurację SPF lub dodać je do białej listy.
Wymaganie nazwy FQDN (w pełni kwalifikowanej nazwy domeny) w poleceniu HELO / EHLO. Spam często używa niekwalifikowanej nazwy hosta, literału adresu, adresu IP lub nieprawidłowej TLD (domena najwyższego poziomu). Niestety, niektórzy legalni nadawcy używają nieprawidłowych domen TLD, więc w tym przypadku bardziej odpowiednie może być odroczenie. Aby włączyć pocztę, może to wymagać monitorowania i dodania do białej listy.
DKIM pomaga w niezaprzeczalności, ale poza tym nie jest bardzo przydatny. Z mojego doświadczenia wynika, że spam prawdopodobnie nie zostanie podpisany. Szynka jest częściej podpisywana, więc ma pewną wartość w punktowaniu spamu. Wielu legalnych nadawców nie publikuje swoich kluczy publicznych ani w inny sposób niewłaściwie konfiguruje swój system.
Greylisting jest pomocny dla serwerów, które wykazują pewne oznaki błędnej konfiguracji. Serwery, które są odpowiednio skonfigurowane, w końcu przejdą, więc zwykle wykluczam je z szarej listy. Przydaje się szarej liście freemailerów, ponieważ zwykle są one wykorzystywane do spamowania. Opóźnienie daje niektórym wejściom filtra spamu czas na złapanie spamera. Ma również tendencję do odchylania Spambotów, ponieważ zwykle nie próbują ponownie.
Czarne listy i białe listy również mogą pomóc.
Oprogramowanie do filtrowania spamu jest dość dobre w znajdowaniu spamu, chociaż niektóre się przedostaną. Doprowadzenie fałszywego negatywu do rozsądnego poziomu może być trudne, bez zbytniego zwiększania fałszywego pozytywu. Uważam, że Spamassassin łapie większość spamu, który do niego dociera. Dodałem kilka niestandardowych reguł, które pasują do moich potrzeb.
Postmasterzy powinni skonfigurować wymagane adresy nadużyć i adresy postmasterów. Potwierdź informacje zwrotne na te adresy i działaj na ich podstawie. Pozwala to innym pomóc Ci upewnić się, że Twój serwer jest poprawnie skonfigurowany i nie pochodzi ze spamu.
Jeśli jesteś programistą, użyj istniejących usług e-mail zamiast konfigurować własny serwer. Z mojego doświadczenia wynika, że konfiguracja serwerów dla automatycznych nadawców poczty może być nieprawidłowo skonfigurowana. Przejrzyj RFC i wyślij poprawnie sformatowaną wiadomość e-mail z legalnego adresu w swojej domenie.
Użytkownicy końcowi mogą zrobić wiele rzeczy, aby zmniejszyć spam:
Właściciele domen / dostawcy usług internetowych mogą pomóc, ograniczając dostęp do Internetu na porcie 25 (SMTP) do oficjalnych serwerów poczty elektronicznej. Ograniczy to zdolność robotów spamujących do wysyłania do Internetu. Pomaga również, gdy adresy dynamiczne zwracają nazwy, które nie przechodzą walidacji rDNS. Jeszcze lepiej jest zweryfikować rekord PTR dla serwerów poczty, które przechodzą waloryzację rDNS. (Zweryfikuj błędy typograficzne podczas konfigurowania rekordów PTR dla swoich klientów).
Zacząłem klasyfikować wiadomości e-mail w trzech kategoriach:
źródło
o
) to znormalizowany termin odnoszący się do „poczty, której chcesz, ale nie teraz”. Inną kategorią poczty jest Graymail , czyli poczta masowa, która nie jest spamem technicznym i może być niechciana przez niektórych jej odbiorców, ale przez innych pożądana.Jedynym najbardziej skutecznym rozwiązaniem, jakie widziałem, jest skorzystanie z jednej z zewnętrznych usług filtrowania poczty.
Mam doświadczenie w następujących usługach u obecnych klientów. Jestem pewien, że są inni. Każdy z nich wykonał doskonałą pracę z mojego doświadczenia. Koszt jest rozsądny dla wszystkich trzech.
Usługi mają kilka ogromnych zalet w stosunku do lokalnych rozwiązań.
Zatrzymują większość (> 99%) spamu ZANIM dotrze on do twojego połączenia internetowego i serwera e-mail. Biorąc pod uwagę ilość spamu, jest to dużo danych, które nie dotyczą twojego pasma, a nie twojego serwera. Zaimplementowałem jedną z tych usług kilkanaście razy i każda z nich spowodowała zauważalną poprawę wydajności serwera e-mail.
Robią także filtrowanie antywirusowe, zwykle w obu kierunkach. Ogranicza to potrzebę posiadania rozwiązania „antywirusowego” na serwerze, a także całkowicie utrzymuje wirusy
Świetnie sobie radzą również w blokowaniu spamu. W ciągu 2 lat pracy w firmie korzystającej z MXLogic nigdy nie miałem fałszywych trafień i mogę policzyć wiarygodne wiadomości spamowe, które przeszły z jednej strony.
źródło
Żadne dwa środowiska pocztowe nie są takie same. Tak więc zbudowanie skutecznego rozwiązania będzie wymagało wielu prób i błędów w związku z wieloma dostępnymi technikami, ponieważ zawartość wiadomości e-mail, ruch, oprogramowanie, sieci, nadawcy, odbiorcy i wiele innych będą się znacznie różnić w różnych środowiskach.
Jednak uważam, że następujące listy bloków (RBL) dobrze nadają się do ogólnego filtrowania:
Jak już wspomniano SpamAssassin jest świetnym rozwiązaniem, jeśli jest poprawnie skonfigurowany, po prostu upewnij się, że zainstalowałeś jak najwięcej dodatkowych modułów Perla w CPAN, a także Razor, Pyzor i DCC. Postfix działa bardzo dobrze ze SpamAssassin i jest o wiele łatwiejszy w zarządzaniu i konfiguracji niż na przykład EXIM.
Wreszcie blokowanie klientów na poziomie IP za pomocą fail2ban i iptables lub podobnych przez krótki czas (powiedzmy od jednego dnia do tygodnia) po niektórych zdarzeniach, takich jak wywołanie trafienia w RBL z powodu niewłaściwego zachowania, może być również bardzo skuteczne. Po co marnować zasoby na rozmowę ze znanym hostem zainfekowanym wirusem?
źródło