Impostazione di un indirizzo e-mail falso per intercettare gli spammer

10

Ho sentito che ha suggerito di impostare un indirizzo e-mail speciale , con l'unico scopo di essere raccolti . Quindi inserire nella lista nera tutti i mittenti che hanno come target questo indirizzo.

Mi sto chiedendo:

  • se qualcun altro ha provato questo
  • come si fa a farlo (ovvero - inserire l'indirizzo in un campo nascosto sul sito Web - o modi migliori?)
  • funziona?
  • C'è qualcosa a cui fare attenzione quando si prova questo (ad es. Mittenti legittimi che utilizzano indirizzi raccolti?)
email  spam  honeypot 
Brent
fonte

Risposte:

13

Qualcun altro ha provato questo:

  • Certamente si. Quasi tutti i servizi anti-spam là fuori li usano, il termine del settore è "spamtraps"

Come fai a farlo?

  • Normalmente, trova un indirizzo in uno dei domini che riceve molto spam e conferma con il proprietario che non è in uso e che non ha in programma di resuscitarlo. Questo processo può essere (parzialmente) automatizzato.

Funziona?

  • Sì. La cosa più utile è che, poiché puoi garantire che i messaggi inviati alle trap sono spam, puoi usarlo per calibrare l'efficacia di un motore in qualsiasi momento, per misurare quanto stai facendo nel bloccare lo spam (falsi negativi) - purché tu abbia un campione sufficientemente ampio di spamtraps; la maggior parte delle compagnie anti-spam ne avrebbe centinaia o migliaia
  • Possono anche essere utilizzati dai sistemi di apprendimento automatico per "apprendere" cose sugli spam. Ma questo potrebbe conoscere lo spam inviato anche a indirizzi non spamtrap (ovviamente, non sei mai sicuro al 100% che sia uno spam se viene inviato a un indirizzo non spamtrap)
  • Gli indirizzi mittente "nella lista nera" non vengono normalmente utilizzati. Questo perché gli spammer apparenti di solito inventano comunque indirizzi mittenti di immondizia e perché gli spammer apparenti occasionalmente riformano i loro modi e iniziano a inviare posta pulita
  • La lista nera degli indirizzi IP non viene utilizzata (in una forma semplicistica), per lo stesso motivo; Gli indirizzi IP "cattivi" possono iniziare a essere "buoni", quindi se si avesse un divieto generale, la posta legittima finirebbe per essere bloccata.

Normalmente non useresti un solo indirizzo; non sarebbe abbastanza. Prova alcune centinaia di diffusione in tutti i tuoi domini (per cominciare).

Puoi pubblicizzarli se lo desideri, ma se i tuoi domini sono sufficientemente noti agli spammer, probabilmente al loro interno esistono già indirizzi spamtrap candidati (probabilmente sono caselle di posta che non esistono sui sistemi dell'utente finale).

È possibile impostare interi domini spamtrap - sono sicuro che molte aziende li usano - acquistare domini di seconda mano o registrare quelli dal suono realistico con un sito web plausibile (anche se falso). Anche i sottodomini possono funzionare. I domini Spamtrap sono utili perché puoi configurarli con parole chiave o in domini di primo livello specifici che gli spammer potrebbero prendere di mira.

MarkR
fonte
1
Ho dimenticato di menzionare, lavoro per un'importante compagnia antispam :)
MarkR,
Nota che se stai impostando trappole su un dominio che riceve anche posta legittima, dovresti scegliere indirizzi che, sebbene plausibili, siano sufficientemente distinti da qualsiasi indirizzo esistente e legittimo per escludere la possibilità di un refuso che porti a una lista nera. Allo stesso modo, capire il compromesso tra l'uso di un indirizzo "inattivo" e un nuovo indirizzo come spamtrap: il primo offre una maggiore copertura, ma rischia falsi positivi da, ad esempio, e-mail inoltrate da mittenti legittimi e non commerciali a un numero elevato di indirizzi.
user70549
5

non ho provato questo metodo, ma penso che [a meno che tu non gestisca decine di migliaia di cassette postali] starai molto meglio usando il sistema anti-spam che prende decisioni basate su più rbls e controlli del contenuto come dcc / razor / pyzor .

molti rbl usano trappole antispam su scala molto più ampia di quanto io possa pensare.

PQD
fonte
Abbiamo già un buon filtro antispam in atto. Lo sto prendendo in considerazione come misura aggiuntiva, poiché la lista nera ridurrebbe il carico sui filtri di posta.
Brent,
5

Project Honey Pot può darti alcune idee su metodi ed efficacia. Se lo desideri, puoi iscriverti alla loro lista nera e lasciare che gestiscano tutto ciò.

Sono confuso su cosa intendi per "mittenti legittimi che utilizzano indirizzi raccolti" - in quasi tutti i casi riterrei un mittente illegittimo per definizione.

ceejayoz
fonte
1
Questo sembra un buon posto per usare il duro lavoro di qualcun altro per creare / gestire la lista nera.
GreenKiwi,
3

La mia preoccupazione con la lista nera di ogni mittente è che è abbastanza facile falsificare chi ha inviato un'e-mail.

Andy
fonte
5
se qualcuno sta per inserire nella blacklist qualcosa lo farei definitivamente in base all'indirizzo IP e non al mittente.
pQd
Buon punto. Ma gli spammer hanno più difficoltà a falsificare un IP? sinceramente curioso
Andy,
1
Sì, è più difficile. Inoltre hanno meno motivi per farlo.
Draemon,
Cosa succede quando ricevi spam da qualcuno dietro un grande indirizzo NAT? Interi hotel, scuole ecc. Verranno bloccati quando si utilizza questa tecnica se il trasgressore / il computer infetto entra in queste reti.
Ben Ashton,
3

Hmm ... Sto solo aggiungendo la mia opinione alla discussione.

Non credo che questo metodo abbia un buon tasso di successo. Ho appena dato un'occhiata a un sacco di spam. Generalmente gli spammer usano indirizzi e-mail falsi durante lo spamming e non usano mai lo stesso indirizzo ancora e ancora. Quindi inserire nella blacklist gli indirizzi e-mail o i domini non sarebbe una buona soluzione.

Ma il tuo indirizzo nascosto sembra essere una buona idea. Dal momento che gli utenti effettivi non lo vedono e solo un crawler può filtrare l'indirizzo e-mail, puoi presumere che solo gli spammer otterranno quell'indirizzo.

Quindi è possibile integrare quell'idea con gli indirizzi IP. Se le e-mail inviate all'indirizzo nascosto provengono da un certo intervallo IP, puoi semplicemente supporre che l'intervallo IP sia un intervallo di spamming.

Ma dal mio punto di vista il risultato che stai ottenendo da questo non vale la pena riguardo allo sforzo. Penso che i meccanismi di filtraggio basati sul contenuto siano fruttuosi di questo macanismo "Honey pot"

Chathuranga Chandrasekara
fonte
"Penso che i meccanismi di filtraggio basati sul contenuto siano fruttuosi di questo macanismo" Honey pot "." I vasi di miele possono essere meravigliosi per ottenere il contenuto da filtrare. Ne configuri uno e lo usi per eseguire il seeding dei filtri dei contenuti.
Ceejayoz,
2

Ho fatto questo. Ho notato nei miei registri alcuni indirizzi non validi che venivano colpiti ancora e ancora. Questi sono indirizzi che non sono mai stati attivi o pubblicati da nessuna parte. Quindi ho installato una casella di posta che invia quelle e-mail a sa-learning per aiutare a formare il database bayesiano di spamassassin. Non ho mai testato l'efficacia di questo in alcun modo, ma non sono troppo preoccupato per questo in quanto è costato poco tempo per l'installazione.

sherbang
fonte
2

Il mio primo pensiero è stato che questo sarebbe di scarso valore poiché gli indirizzi cambiano sempre.

Ma nella mia esperienza, gli spammer spesso inviano a un carico di indirizzi@tuodominio.com - quasi in modo brutale e forzato.

Potrebbe valere la pena impostare un indirizzo (diciamo adam@tuodominio.com) e filtrare non sull'indirizzo di provenienza o sull'IP, ma sul contenuto: filtrare qualsiasi e-mail inviata anche a "adam". Vorresti scegliere un indirizzo e-mail lessicograficamente prima di qualsiasi indirizzo reale per aumentare le tue possibilità. Inoltre, dovresti tenere conto di piccole differenze di contenuto.

Sospetto ancora che rientri nella categoria di troppo sforzo, troppo poco guadagno, ma è un pensiero se stai sperimentando.

DRAEMON
fonte
2

Il nostro prodotto anti-spam ci consente di farlo, una lista nera automatizzata di tutto ciò che viene inviato a un honeypot. Ecco un paio di punti elenco:

  • Pubblica un indirizzo e-mail sul tuo sito Web in modo che i robot possano trovarlo e raccoglierlo, ma nessuna persona reale lo vedrebbe o invierebbe messaggi a quell'indirizzo.

  • Dite al vostro prodotto anti-spam di monitorare le e-mail in arrivo inviate all'indirizzo e tutte le e-mail che arrivano a quel honeypot verranno inserite nella lista nera.

  • Funziona a livello dell'indirizzo IP di invio e non dell'indirizzo DA di invio, in questo modo evita il problema del mittente falsificato menzionato.

  • Anche se abbiamo un honeypot per la segnalazione di spam, non utilizziamo questa funzione, ecco perché. Spammer invierà regolarmente alcuni messaggi da hotmail, yahoo, gmail, ecc. Questi sono in genere i 419 messaggi di truffa che sono difficili da bloccare. Sebbene la percentuale non sia elevata, sarebbe sufficiente che se dovessimo utilizzare un sistema automatico, bloccherebbe la posta elettronica legittima.

In sintesi, non abbiamo usato il sistema di blacklist automatico come hai menzionato, tuttavia avere un honeypot è ancora una funzione utile. Lo monitoriamo e utilizziamo la posta elettronica ricevuta per segnalare lo spam e per determinare l'efficacia delle nostre misure antispam.

Aaron
fonte
1

Ho inserito un indirizzo in un commento sulla mia pagina principale. Riceve circa 5 email al giorno.

Paul Tomblin
fonte
1

Uso ASSP ( asspsmtp.org ), un filtro SPAM open source. Se si imposta l'autenticazione, può creare automaticamente indirizzi spamtrap per indirizzi sconosciuti dopo un certo numero di tentativi ... quindi se ricevo ripetutamente e-mail per "invaliduser@domain.com", dopo aver provato il numero X, il sistema inizierà a raccogliere tutti messaggi inviati a quell'indirizzo come spam. X è impostato abbastanza in alto che errori di battitura normali ed errori non lo faranno scattare, ma lo faranno gli spammer.

Jim G.
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.