Jakie są najlepsze metody przechwytywania spamu na rakietach śnieżnych?

21

Używam Smartermail do mojego małego serwera pocztowego. Ostatnio mieliśmy problem z otrzymywaniem fal spamu na rakietach śnieżnych, które mają ten sam wzór. Występują w partiach po 3 lub 4 na raz. Treści są prawie identyczne, z wyjątkiem nazwy domeny, do której prowadzą. Źródłowe adresy IP są przez pewien czas z tego samego bloku / 24, a następnie przełączają się na inny / 24. Domeny są zazwyczaj nowe. Posiadają ważne rekordy PTR i SPF i mają przypadkowy bełkot na dole ciała, aby sfałszować filtry bayesowskie.

Używam kilkunastu różnych RBL, w tym Barracuda, Spamhaus, SURBL i URIBL. Wykonują przyzwoitą robotę, łapiąc większość z nich, ale wciąż mamy wiele problemów, ponieważ adresy IP i domeny nie zostały umieszczone na czarnej liście.

Czy są jakieś strategie, które mogę zastosować, w tym RBL, które blokują nowo utworzone domeny lub zajmują się konkretnie spamem snoeshow? Mam nadzieję, że uniknę konieczności korzystania z usługi filtrowania innej firmy.

blacklist spam rbl email pooter03
źródło
2
Zalecam edytowanie tytułu, aby nie wskazywało to na „który produkt powinienem użyć”, ponieważ pytania dotyczące zakupów są nie na temat w przypadku witryn Stack Exchange. Łagodzenie ataków na rakietach śnieżnych jest dobrym tematem dla ServerFault i poproszę mojego kolegę o komentarz.
Andrew B,
Pomocne, aby dowiedzieć się, czym jest spam Snoeshow .
ewwhite
1
Większość RBL to bezpłatne usługi, z których może korzystać każdy administrator poczty. Czy to się liczy jako zakupy?
pooter03
Tak, ponieważ niezależnie od tego, czy są one bezpłatne, czy nie, odpowiedź jest ważna tylko dla określonego przedziału czasu. (których dotyczy ten link) Firmy cały czas rezygnują z działalności, w tym te, które świadczą bezpłatne usługi.
Andrew B.
1
Zmieniłem pytanie. Daj mi znać, jeśli jest to bardziej odpowiednie.
pooter03

Odpowiedzi:

14

Czy to staje się prawdziwym problemem dla twoich użytkowników?

W tym momencie poleciłbym pełną usługę filtrowania poczty. Bayesian nie jest już tak gorący. Reputacja, RBL, analiza nagłówków / intencji i inne czynniki wydają się bardziej pomagać. Rozważ usługę filtrowania w chmurze, aby połączyć wiele podejść ( i wolumin zbiorowy ) w celu zapewnienia lepszej ochrony ( korzystam z rozwiązania chmurowego Barracuda ESS dla moich klientów ).

I oczywiście: Walka ze spamem - Co mogę zrobić jako: Administrator poczty e-mail, Właściciel domeny lub Użytkownik?

Upośledzenie ataków w rakietach śnieżnych nie wpłynęło negatywnie na nas. Widziałem okres, w którym liczba maili potroiła się z tymi atakami. Ale żadna z tych złych rzeczy nie przetrwała. W ciągu 3 dni Barracuda sprowadził wolumeny do normalnego poziomu.

Myślę, że rozwiązania filtrujące, które mają szeroki wgląd w ogólnoświatową aktywność poczty, mogą lepiej reagować na ataki niż pojedyncze filtry poczty.

Edytować:

Zostało to również niedawno omówione na temat LOPSA liście mailingowej :

Mój wkład: https://www.mail-archive.com/[email protected]/msg04180.html
Inna opinia: https://www.mail-archive.com/[email protected]/msg04181 .html

ewwhite
źródło
1
Zaczynają narzekać. To tylko kilkudziesięciu klientów i oferujemy naszą usługę pocztową w niskiej cenie lub nawet bezpłatnie jako pakiet z innymi usługami, które kupujemy, więc mieliśmy nadzieję, że w miarę możliwości unikniemy płatnych usług. Zainwestuję jednak ten produkt.
pooter03
To około 8 USD / użytkownika / rok.
ewwhite
Dzięki. Rozważ to wirtualne głosowanie, dopóki nie otrzymam tego od przedstawiciela. :)
pooter03
+1 dla Barrucady.
poke
2
I nadal zaleca filtrowanie poczty Barracuda chmurze. To prawdopodobnie najczystsze rozwiązanie twojego obecnego problemu.
ewwhite
8

Jestem facetem DNS Ops, który ściśle współpracuje z grupą, która często jest atakowana. Radzenie sobie z atakami na rakietach śnieżnych jest przede wszystkim problemem procesowym, a jak zauważa ewwhite, rozwiązywanie we własnym zakresie może wykraczać poza zakres firmy. Chciałbym powiedzieć, że jeśli nie masz sporej operacji i kilku komercyjnych kanałów RBL, prawdopodobnie nie powinieneś próbować rozwiązać tego samodzielnie, korzystając z komercyjnej usługi filtrowania.

To powiedziawszy, mamy z tym pewne doświadczenie i dzielenie się nim jest ciekawsze niż nie. Niektóre punkty dotykowe to:

  • Jeśli to możliwe, należy przeszkolić platformę pocztową w zakresie identyfikowania trwającego ataku na rakietę śnieżną i tymczasowo odrzucać wiadomości z danych sieci. Dobrze wychowani klienci będą próbować ponownie wysyłać wiadomości w przypadku tymczasowej awarii, inni zwykle tego nie robią.
  • Upewnij się, że Twoi administratorzy DNS monitorują UDP-MIB::udpInErrorsza pośrednictwem SNMP, ponieważ platformy pocztowe są bardzo zdolne do przepełnienia kolejek odbiorczych odbiorników UDP, gdy trwa atak na rakietę śnieżną. Jeśli tak nie jest, szybkim sposobem na stwierdzenie pod Linuksem jest uruchomienie netstat -s | grep 'packet receive errors'na danych serwerach DNS; duża liczba wskazuje, że muszą zejść ze swoich mokradeł i zacząć zwracać uwagę. Będą musieli zwiększyć pojemność lub zwiększyć wielkość buforów odbiorczych, jeśli występuje częste wycieki. (co oznacza utracone zapytania DNS i utracone możliwości zapobiegania spamowi)
  • Jeśli często widzisz te ataki wykorzystujące świeżo utworzone domeny, RBL, które je podkreślają, istnieją. Przykładem może być FarSight NOD (osoby czytające to powinny przeprowadzić własne badania), ale nie jest to bezpłatne.

Pełne ujawnienie: Farsight Security został założony przez Paula Vixie, który mam zły nawyk odejścia, gdy ludzie naruszają standardy DNS.

Andrew B.
źródło
Twój drugi punkt jest szczególnie interesujący. Podejrzewałem, że brakuje nam zapytań DNS do RBL, które już umieściły na czarnej liście adres IP lub URL, ale nie byłem w stanie tego udowodnić. Serwer poczty działa jednak w systemie Windows 2012 i korzysta z serwera DNS systemu Windows. Jest to dość cichy serwer, ale chcę to zbadać dalej. Niestety nie wyjaśnia wszystkiego, ponieważ niektóre rzeczy, które prześlizgnęły się, nie miały jeszcze czasu, aby ich domeny lub adresy IP zostały złapane przez główne RBL.
pooter03
Średnia objętość serwera DNS nie będzie miała tak wielkiego znaczenia. Główną cechą przepełnienia kolejki odbiorczej jest to, że nie jest w stanie przetworzyć przychodzących pakietów wystarczająco szybko, aby je wydostać z kolejki, a atak Snowshoe oparty na wolumenie jest więcej niż w stanie to osiągnąć w zależności od liczby wyszukiwań DNS na spam.
Andrew B,
2
Twoja pierwsza sugestia jest powszechnie znana jako szara lista .
Nate Eldredge
2
@Nate Jest to forma greylistingu, ale użycie tego terminu bez zastrzeżeń sugeruje większości ludzi, że to działanie zostanie podjęte w odpowiedzi na nowo zaobserwowane IP. Atakujące sieci spędzają czas na ustanawianiu połączeń (bez wysyłania nagłówków) w ramach przygotowań do zsynchronizowanego dostarczania ładunku. Ta cecha jest tym, na co działasz, ponieważ pozwala przewidzieć, że adresy IP, których jeszcze nie widziałeś, są zaangażowane w atak.
Andrew B,
Niezależnie od tego, co jest warte, mam (bardziej ogólną) szarą listę na serwerze, a spamerzy odpowiednio reagują po pewnym czasie. Wydaje się, że wiadomość e-mail pochodzi z legalnych serwerów pocztowych z odpowiednio skonfigurowanymi rekordami PTR, SPF itp.
pooter03,
1

Zainstalowałem Declude (który jest bezpłatny) i Message Sniffer (który nie jest) i przez ostatnie 4 dni widziałem jedną wiadomość spamową przychodzącą na moje testowe konto e-mail, w przeciwieństwie do dziesiątek, które otrzymywało dziennie. O ile wiem, nie przefiltrowaliśmy dobrego e-maila. Spamassassin prawdopodobnie byłby również dobrym rozwiązaniem, chociaż nie miałem szczęścia, gdy próbowałem Spam Assassin in Box ..

pooter03
źródło
0

Wiele odpowiedzi tutaj dotyczy ogólnego antyspamu. Do pewnego stopnia ma to sens, ponieważ spamerzy wydają się zmierzać w kierunku rakiety śnieżnej jako preferowanej metody dostarczania.

Snowshoe był początkowo zawsze wysyłany z centrów danych w małej ilości (na podstawie adresu IP) i zawsze zawierał link do rezygnacji z subskrypcji (nie mówiąc już o tym, czy to działa). W dzisiejszych czasach snowshoe prawie nigdy nie ma informacji o rezygnacji z subskrypcji i jest wysyłany w dużych ilościach ze swoich adresów IP, ale jest wysyłany w serii, tak że do czasu, gdy adres IP zostanie umieszczony na czarnej liście, wysyłanie poczty jest już zakończone. Nazywa się to spamem gradowym .

Z tego powodu DNSBL, a nawet ścisłe podpisy oparte na wzorach, są okropne w przechwytywaniu spamu na rakietach śnieżnych. Istnieją pewne wyjątki, takie jak listy CSS Spamhaus (który jest specjalnie ukierunkowane na sieci rakietach śnieżnych i jest częścią zarówno SBL i zen), ale generalnie trzeba greylisting / tarpitting (co może opóźnić dostawę aż do listy DNSBL dogonić ) i, co najważniejsze, oparty na tokenach system uczenia maszynowego, taki jak bayesowskie filtrowanie spamu . Bayes jest szczególnie dobry w wykrywaniu rakiet śnieżnych.

Odpowiedź Andrew B. wspomina o nowo posiadanych domenach i nazwach hostów Farsight Security (NOD), które próbują przewidywać sieci rakiet śnieżnych, gdy zostaną rozkręcone, ale zanim zaczną spamować. Spamhaus CSS prawdopodobnie robi coś podobnego. CSS jest gotowy do użycia w środowisku blokującym, podczas gdy NOD jest tak naprawdę zaprojektowany, aby być kanałem do niestandardowego systemu, a nie autonomicznego / blokującego systemu.

Adam Katz
źródło