Quali blacklist DNS anti spam devono essere utilizzate?


21

voglio proteggere il mio mailserver con blacklist dns per combattere lo spam.

ci sono così tante liste nere là fuori.

attualmente uso:

ix.dnsbl.manitu.net
cbl.abuseat.org
bl.spamcop.net
safe.dnsbl.sorbs.net
dnsbl.njabl.org

dovrei aggiungere / rimuovere alcune voci? quali sono le migliori liste nere? quali blacklist non dovrebbero essere usate (come lo spamhaus)?


3
safe.dnsbl.sorbs.net dovrebbe essere definitivamente rimosso fino a / a meno che GFI non diventi responsabile per la pulizia delle sorbs. Attualmente non escludono gli indirizzi su richiesta in modo tempestivo lasciando molte aziende innocenti nell'elenco sulla base di un blocco eccessivamente ampio degli intervalli di indirizzi.
pplrppl,

Risposte:


41

Ecco la mia lista e perché li uso:

zen.spamhaus.org - RBL completo, cattura un sacco di fonti di spam, aggiornato regolarmente. Hanno una lunga storia e una buona reputazione nella comunità dei filtri antispam. Ho sentito alcune cose negative su di loro di volta in volta, ma quelle sono generalmente prive di merito. L'unico inconveniente è che se il tuo volume di traffico è abbastanza alto, bloccherà l'accesso all'elenco gratuito e dovrai impostare un account a pagamento. I server di posta personali o per piccole aziende di solito non presentano questo problema.

b.barracudacentral.org - Un'altra ottima lista di un altro importante player del settore. Ho sentito molte cose negative sugli stessi dispositivi Barracuda, ma il loro RBL è di prim'ordine. Unico inconveniente è che devi registrarti con loro per poterlo usare. Non abbiamo mai avuto falsi positivi segnalati da questo elenco e ci blocca molto traffico. Vedi http://www.barracudacentral.org/rbl per i dettagli.

Abbiamo scoperto che utilizzando questi due elenchi da soli, vediamo una significativa riduzione dell'assunzione di spam sul server. Gli altri elenchi che abbiamo provato non si sono nemmeno avvicinati alla produttività di nessuno di questi elenchi e essenzialmente hanno perso tempo e risorse di rete durante l'elaborazione dei messaggi in arrivo.

Eccone alcuni che non utilizzo e perché (la tua esperienza può variare):

bl.spamcop.net - Troppi falsi positivi per i nostri gusti. Si basano quasi interamente sull'invio da parte degli utenti per alimentare l'elenco, e le persone che inviano di solito si innescano felici e inviano anche messaggi legittimi come spam al loro servizio, causando il blocco dei provider popolari quando probabilmente non dovrebbero esserlo. Ho sentito che questo è stato migliorato di recente, ma ci siamo bruciati troppe volte per tornare indietro e riprovare ancora.

dnsbl.sorbs.net - Gestiscono un elenco completo, ma ci sono troppe opzioni per i miei gusti. Hanno molta copertura e bloccano molto traffico, ma trovare il giusto mix di liste che forniscono richiede molta prova ed errore. Il processo di rimozione per la loro lista di spam richiede una donazione minima verificabile a uno dei loro enti di beneficenza approvati. Se uno dei miei clienti finisce nella loro lista (qualunque sia la causa) e blocciamo il loro traffico, non voglio dire loro che devono fare una donazione in beneficenza per placare una lista nera che usiamo. Sono, ovviamente, liberi di gestire la loro lista come preferiscono, ma non è il tipo di notizie che voglio consegnare ai miei clienti se finiscono nella lista SORBS e non riescono a mandarmi e-mail.


Ora ha più di 5 anni. Ha bisogno di aggiornamenti?
Mike,

8

'zen.spamhaus.org' è abbastanza buono. Lo consiglio.


conosci questa storia di spamhaus: tentata estorsione (in tedesco - scusa) heise.de/netze/Kommentar-Spam-Ritter-auf-der-schiefen-Bahn--/… klausnahr.wordpress.com/2007/06/20 / ...
Bernd Ott,

Non conosco la storia, ma non c'è molta carne in quella storia.
Knox,

Traduzione tramite Google: translate.google.com/…
CoverosGene,

2
Non fraintendetemi, ma sembra in qualche modo che provengano le denunce del 99,9% sulle liste dei dns, come dovrei metterle politicamente corrette, inesperte (davvero, sta chiedendo una parola più forte qui) agli amministratori di sistema, che non sono in grado di impostare correttamente i propri server di posta non configurati correttamente. Se il server di posta / DNS è in ordine, non finirai in una lista di banchi DNS come spamhaus, questo è un dato di fatto.
shylent,

5

Non dovresti usare DNSBL direttamente. Causano troppi falsi positivi. L'obiettivo non è necessariamente quello di bloccare lo spam, ma di far passare tutta la posta buona. Se usi una lista nera come autorità su ciò che è spam, avrai i tuoi capi sconvolti e nessuno lo vuole.

Utilizzare invece un approccio composito. Strumenti come Spam Assassin o i vari dispositivi anti spam utilizzano più fonti e tecniche. Nessun test determina se un'email è spam.


4

L'obiettivo dell'utilizzo di una blacklist DNS non dovrebbe essere quello di bloccare tutto lo spam : dovrebbe essere quello di bloccare una buona percentuale dello spam, diciamo da 1/2 a forse 2/3 di esso. Lo stai facendo principalmente per ridurre il carico sui tuoi server.

Il passo successivo, il passo veramente efficace nella rimozione dello spam, è un motore di filtraggio bayesiano. Vedi l'articolo originale di Paul Grahams . Il principale vantaggio del filtro bayesiano è che fornisce un punteggio individuale per ciascuna e-mail, in base alla cronologia, agli interessi e alla lingua dell'email passata dei destinatari.

Se segui l'approccio sopra, diventa importante evitare i falsi positivi nella prima linea di difesa. Non ti interessa davvero massimizzare l'efficacia del primo filtro, poiché probabilmente catturerai lo spam rimanente con il secondo filtro. Ma non vuoi falsi positivi, poiché non possono essere annullati in seguito.

Per questo motivo mi piace il traplista dell'Università dell'Alberta come mio primo filtro . Contiene solo voci che hanno una probabilità molto grande di essere spammer e le voci vengono rimosse se non sono state viste spamming nelle ultime 24 ore.

L'elenco può essere scaricato da qui . Viene creato prima greylisting (ritardando i mittenti di posta per la prima volta) e quindi greytrapping (se un server di posta è già greylist e tenta di recapitare a un indirizzo e-mail non pubblicizzato, quindi greytrap).

Dopo 24 ore un host viene automaticamente rimosso dall'elenco ed è libero di inviare nuovamente e-mail. Pertanto, se lo spamming è terminato (ad esempio, è stato trovato e rimosso un trojan), l'host è libero di inviare nuovamente e-mail. E se sta ancora inviando spam, molto probabilmente finirà di nuovo tra poco nel greytrap.

Come detto, mi piace molto il traplista dell'Università dell'Alberta, ma per completezza dovrei anche menzionare Spamhaus DROP . Ha un approccio più minimalista rispetto alla maggior parte degli altri RBL e farebbe anche un buon primo filtro nella configurazione sopra.



3

Qualunque sia quello che usi, non dovresti fidarti.

Affidarsi a una terza parte per darti più di una piccola quantità (forse il 10%) dei punteggi di spam richiede problemi. In pratica queste liste nere contengono MOLTI falsi positivi. È molto facile accedere a una lista nera e molto difficile uscirne; la maggior parte delle persone che salgono accidentalmente non vengono mai rimosse (o rimangono a lungo).

DEFINITAMENTE NON rifiutare le consegne da mittenti che si trovano in una lista nera di terzi; probabilmente non dovresti nemmeno fidarti del tuo sistema di reputazione interno per questo. Gli indirizzi IP degli spammer vengono occasionalmente rilevati dai non spammer e i tuoi utenti saranno infastiditi se non possono ricevere posta pulita da loro.

Una lista nera di terze parti potrebbe essere utilizzata per fornire una piccola quantità di punteggio spam. Potrebbe anche essere usato per dare la priorità alla posta proveniente da fonti "più pulite", ma non dovrebbe assolutamente essere usato come un modo completamente autorevole per determinare che un determinato messaggio è spam.


2

Quanto del tuo tempo e sforzi vuoi sprecare con gli spammer? Ero solito combattere il mio spam, ma alla fine l'ho esternalizzato a un servizio ospitato e, una volta fatto, avrei voluto averlo fatto anni prima. Il mio server di posta non deve nemmeno gestire le connessioni spammer e ho liberato il mio tempo per attività di amministrazione e business del sistema più utili.

MessageLabs, MessageOne, Postini, F-Prot AVES e molti altri offrono tali servizi. Come con qualsiasi servizio ospitato YMMV, ma una volta che si tiene conto del tempo e dell'altro personale impiegato per eliminare lo spam (e chiederti dello spam), questi servizi hanno un senso economico.


1

Spamhaus e spamcop sono gli unici due che consiglierei. sì, c'è sempre la possibilità di ottenere un falso positivo con un RBL. Ma Spamhaus e Spamcop sono RBL abbastanza affidabili quindi le tue possibilità sono piuttosto basse.

Personalmente consiglierei di utilizzare un apparecchio o una sorta di servizio ospitato. Postini è carino, ma può essere abbastanza costoso. MailFoundry è la soluzione che consiglierei a molte persone. Oltre ad avere alcuni apparecchi a basso costo, hanno anche un servizio ospitato. A seconda delle dimensioni del tuo dominio, penso che sia gratuito per i primi 5 o 10 account.


1

opm.blitzed.org

Il progetto OPM è terminato a maggio 2006. Interrompere la query sulla zona opm.blitzed.org. A partire da maggio 2007, al fine di ridurre il carico di query sui nostri server opm.blitzed.org punta a un nameserver blackholed - le query impiegheranno molto tempo e si tradurranno in un SERVFAIL.

Potrebbe voler evitare questo.

Sto usando la maggior parte delle liste nere che hai usato e sono stato abbastanza contento di loro. Potresti anche pensare alle black list IP dei paesi da dire ipdeny.com - bloccando molto la Cina e la Corea riducendo di molto lo spam e il Brasile probabilmente andrà avanti lì.

Questo ovviamente dipende dalla tua attività - se non puoi assolutamente perdere l'e-mail di un cliente, considera di utilizzare la blacklist DNS e gli IP dei paesi non come liste nere ma come un grosso aumento per segnare in SpamAssassin o un programma di filtro antispam simile.


1

gary, non potresti sbagliare di più se ci provassi. Ho usato circa 5 RBL "principali" per 7 anni con circa 5 falsi positivi in ​​tutti quegli anni. Quindi 100 dipendenti e 7 anni con solo 5 falsi positivi che penso provengano tutti da conti AOl!


Questo dovrebbe essere un commento allegato alla risposta di Gary, non una risposta separata.
Barry Brown,

@barry: hai bisogno di almeno 50 rappresentanti per lasciare commenti. shawn ha solo 1
cas

0

Prima di tutto, non esiste una lista nera come "spamhouse", ce n'è una in "spamhaus.org", è vero. Sono curioso di sapere perché non si dovrebbe usare uno spamhaus, ho visto zen.spamhaus.org (che è quello che combina tutti i banlisti spamhaus in uno) sfruttato molto bene.

Qualsiasi dnsbl ti procurerà falsi positivi, che non possono essere evitati. O meglio, - considera di non eliminare la posta che non supera il controllo, ma di eseguirla attraverso un sistema come spamassassin.


0

Utilizziamo il server MDaemon di Alt-N per il nostro piccolo ufficio ed è precaricato con:

opm.blitzed.org

dnsbl.ahbl.org

bl.spamcop.net

zen.spamhaus.org

Quelli audaci sembrano non essere nella tua lista. Non posso parlare per loro individualmente, ma in totale sono stati piuttosto utili per noi. Penso che ce ne fosse un altro, ma stava bloccando troppi clienti reali, quindi abbiamo dovuto tagliarlo. Vorrei ricordare l'elenco, mi dispiace ..


1
opm.blitzed.org è morto, per favore non usare quello wiki.blitzed.org/OPM_status Vedi la risposta di Aaron.
mxmissile,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.