Utilizzo di record MX falsi per combattere lo spam

14

Ho un client che viene pesantemente spammato .. È il 15 del mese e la larghezza di banda POP3 è quasi 100 GB. Ci sono solo 7 account di posta elettronica su questo dominio. Ho installato SpamAssassin impostato su 5 e impostato 10-20 filtri che respingono la maggior parte della posta indesiderata. Non vedo molti cambiamenti nella larghezza di banda POP3. Correggimi se sbaglio, il server continua a ricevere il messaggio utilizzando la larghezza di banda per analizzare determinare un punteggio di spam.

Mi sono imbattuto in falsi record MX, anche se inconsapevoli: fondamentalmente hai impostato un server fasullo come record MX più basso e più alto con il record MX del server funzionante nel mezzo.

Per esempio:

fake.example.com    1
realmx.example.com  2
fake2.example.com   3

La teoria è che, poiché la maggior parte dello spam viene generato da zombi basati su Windows e molti chiederanno il record MX più alto allo spam poiché di solito sono server di backup che non filtrano lo spam. Il record MX falso più basso è per il resto degli spammer .. e generalmente gli spammer non riprovano dopo i fallimenti.

Qualcuno ha provato questo? Aiuta? Ritarda o causa problemi con la consegna della posta? Qualcun altro ha una soluzione migliore?

spam  mx-record  spamassassin 
Mikey1980
fonte

Risposte:

15

Fatevi un favore e configurateli con un servizio antispam gateway come Postini. Per pochi dollari al mese per cassetta postale, non c'è assolutamente motivo di non farlo e non solo eliminerai il 99% dello spam, ma ti godrai anche l'accesso al loro servizio di spool (utile per i tempi di inattività pianificati o non programmati), non per menzionare i risparmi sulla larghezza di banda consentendo a qualcun altro di ricevere ed elaborare tutto quello spam prima che raggiunga il limite della rete.

Non un dipendente Postini, solo un utente felice che ha anche configurato dozzine di clienti con esso.

gravyface
fonte
grazie per il suggerimento, questo è il piano B (il piano C sta rinominando il loro indirizzo e-mail ... lol) Mi piace l'idea di SaaS o filtro front-end
Mikey1980,
Anche se è la risposta che volevo sentire .. il mio cliente è andato con Google Postini, lo SPAM era fuori controllo e senza accesso root sembrava l'unica opzione - molte grazie per il suggerimento!
Mikey1980,
Lo adorerai amico. Scherzi a parte: essere in grado di attivare lo spooling quando si lavora sul server è fantastico. Inoltre, li utilizzo come smarthost a monte e blocco il firewall di conseguenza, quindi, indipendentemente dalle caselle che appartengono alla mia rete (compresi i server di posta), possono solo parlare con i server SMTP di Postini, che esegue il filtro in uscita anche.
gravyface,
Postini ... eh, allora perché non usare Gmail? ;-P
poige
@poige: eseguire un server di posta con un servizio gateway non equivale a ospitare la tua posta con Google Apps (gmail).
Gravyface,
12

Ho provato questo e posso consigliare vivamente di NON FARLO ! Mi è sembrata una buona idea al momento, ma dopo che la posta di vari mittenti ha iniziato a scomparire, ho capito che si trattava di un errore. Quello che non mi ero reso conto era che ci sono molti server SMTP terribilmente scritti là fuori, che non seguono le specifiche e sono abbastanza cattivi nella gestione degli errori, e la gente non lo sa o si preoccupa perché "quest'altro ragazzo ha ricevuto la mia email , quindi devi essere tu ".

Secondo alcuni degli altri suggerimenti per la gestione di SPAM. Postini è un ottimo servizio e persino le cose anti-spam integrate nelle app google gratuite non sono poi così male. Se desideri un maggiore controllo, puoi acquistare un IronPort o un altro dispositivo o crearne uno tuo.

Jed Daniels
fonte
1
Grazie Jed, esattamente quello che volevo ... un'esperienza di prima mano. Non ho mai pensato ai problemi SMTP, troppo focalizzati sul +1 in arrivo
Mikey1980,
1
Lavoro per un'azienda anti-spam (Red Condor) e abbiamo i record con la massima priorità per la maggior parte dei nostri clienti impostati su un indirizzo blackhole. Tuttavia, alcuni clienti lo rimuovono, perché le persone sciocche scrivono server di posta legittimi che bombardano solo quell'indirizzo. Tuttavia, andare con un provider ospitato SaaS ti consentirà di scaricare il carico della larghezza di banda a basso costo.
Ryan Gooler,
@ Ryan - grazie! Hai i tuoi rapporti "blackhole" server-busyo sono completamente morti?
Mikey1980,
6

Non ho mai sentito parlare di questo metodo prima e posso immaginare che ritarderebbe potenzialmente la posta elettronica legittima di diverse ore. Alla fine della giornata, i protocolli smtp devono consegnare la tua e-mail legittima. I server validi colpiranno il record falso mx e proveranno a consegnare a quel server ... Non so che cosa potresti avere in esecuzione lì (se non altro), ma continueranno a provare fino a quando non verrà accettato.

I server corretti continueranno a provare i record MX fino alla consegna della posta. Gli spammer tendono a diventare più intelligenti e se questo funziona per alcuni software di spam ora, dubito che funzionerà a lungo. Non posso raccomandarlo.

Il mio suggerimento è invece di utilizzare un tarpit smtp oltre al filtro antispam esistente. Ce ne sono alcuni disponibili ora. Penso che troverai molto più efficace del falso metodo di registrazione mx.

Tali teloni vengono forniti con smtpd su BSD. Ci sono anche alcune funzionalità di tarpitting in sendmail 8.13.

Fondamentalmente, un tarpit funziona legando le risorse del server spam. Lo fanno ritardando le risposte che ottengono. ad es. il server spam si connette e riceve circa 1 byte al secondo.
Alcuni server tarpit cercano schemi di spam e possono riconoscere un server di spam. I server legittimi saranno pronti ad attendere una risposta lenta. In alcuni server tarpits spostano automaticamente il server legittimamente riconosciuto in una whitelist in modo che non ci siano ritardi in futuro.

Tarpit di Google SMTP e dai un'occhiata.

opaco
fonte
Grazie per il suggerimento, ma il mio cliente è una società di Web Design (il loro cliente è quello con il problema) che esegue centinaia di siti a basso traffico su host condiviso e WHM non ha accesso root o SSH .. bloccato con SpamAssassin .. btw Exim è lo scambio. Perdonami se questo non è chiaro .. il mio fordy è la programmazione .. Probabilmente farei un orribile amministratore di sistema!
Mikey1980,
Anch'io sono un programmatore, ma ho trascorso parecchie ore a gestire i server freebsd della mia vecchia azienda facendo tutto.
Matt,
5

Non l'hai detto, quindi c'è un motivo per cui non stai usando un DNSBL ?

Modifica: SpamAssassin include il supporto per alcuni di essi - senza di essi, sprecherai molti cicli della CPU per analizzare lo spam.

danlefree
fonte
Un altro grande suggerimento, tuttavia sono molto limitato dal momento che i miei clienti WHM non sono root .. secondo il webalizer, abilitare SpamAssassin non ha avuto alcun impatto sulla larghezza di banda nelle ultime 12 ore
Mikey1980,
1
... quindi la soluzione migliore sarebbe quella di inviare tutti i servizi di posta tramite Google Apps o utilizzare un altro servizio di terze parti per mitigare lo spam se il provider di hosting del tuo cliente non è disposto a modificare la configurazione di SpamAssassin.
danlefree
Qualche idea se DNSBL o RBL sono abilitati da non udenti? Penseresti che lo sarebbero. Sono d'accordo, sto iniziando a pensare che un filtro MX front-end sarà l'unica soluzione.
Mikey1980,
@ Mikey1980 - "Qualche idea se DNSBL o RBL sono abilitati dai non udenti?" Siamo spiacenti, non posso dire - è meglio informarsi direttamente con il fornitore in ogni caso perché esiste la possibilità che applichino la propria configurazione.
danlefree
Puoi verificare se il server di posta elettronica filtra lo spam in base al DNSBL: spamhaus.org/faq/answers.lasso?section=DNSBL%20Usage#205
ZippyV
4

Uso questo falso MX (una variante del nolisting ) e funziona molto bene.

Ho usato un MX postfix con tutti i soliti filtri e dopo qualche spambot riesco a sovraccaricare il server per 2 o 3 volte ho deciso di provarlo ... ecco il risultato: fake-mx, prima e dopo

prova a indovinare quando ho implementato il fake-mx! 8)

Il risultato è lo stesso di postgrey, ma a differenza di postgrey, non è necessario modificare il server di posta

Gli spambots ora proveranno l'MX alto o l'MX basso, liberando l'MX reale dal carico di provare a filtrare poi (anche con DNSBL, il carico era elevato) e l'email reale arriva con un ritardo minimo.

Ma attenzione, ci sono dei rischi:

  • Alcuni server potrebbero avere tempi di ripetizione elevati. La maggior parte dei server ritenterà il MX successivo dopo il primo timeout, altri proveranno nei pochi minuti successivi, ma ho già visto server che riprovano solo dopo un'ora o un giorno. Sono molto rari e per quelli che ho potuto catturare è stata una brutta configurazione. parlare con l'altro postmaster risolve il problema

  • Tutte le email avranno un ritardo. In realtà non vedo alcun ritardo, quasi tutti i veri server di posta riproveranno al MX successivo dopo il primo timeout, quindi stiamo parlando di un ritardo di 30 secondi. Di solito provano almeno 3 MX prima di mettere in coda il messaggio per un ritardo più lungo. ma potresti avere un contatto con un mailserver rotto che potrebbe non farlo e ritardare ogni messaggio di minuti. Quindi questa è una cosa da monitorare quando si distribuisce questa soluzione.

  • Siti rotti. Alcuni server web inviano e-mail per password, notifiche, ecc. E invece di consegnare per un vero server di posta interno, provano a essere un server di posta "falso" e consegnano direttamente. Essendo un server web, non riproveranno mai e l'e-mail andrà persa. Ancora una volta è una cattiva configurazione da parte del webmaster / sviluppatori web, poiché solo i veri server di posta elettronica dovrebbero inviare e-mail. ogni volta che trovo questo problema, parlo con il webmaster del problema e di solito il problema viene risolto.

  • Nessun registro. Dato che il falso MX si avvicina agli IP non connessi, non hai registri di ciò che ha tentato di essere consegnato. sai che qualcosa è andato storto quando qualcuno si lamenta. ma anche questo è buono. Puoi sempre affermare di non aver tentato di recapitare alcuna e-mail, quindi è un problema remoto. L'altra parte deve controllare i loro registri e risolvere il problema. Posso dimostrare che non esiste alcuna connessione con il mio vero server, spostando la pressione per risolvere il problema dall'altra parte. Se l'altra parte non è in grado di risolvere il problema, sembra non fidato, inaffidabile.

  • Nessuna lista bianca. questo vale per tutti i server tramite DNS, quindi non è possibile inserire nella whitelist un server ... in realtà è solo mezzo vero, ma è più difficile. la soluzione della whitelist è che l'MX più basso punta a un IP su cui è in esecuzione un smtp, ma filtrato dal firewall per tutti. Quei server che desideri whilelist dovevano essere autorizzati nel firewall. In questo modo tutti i server verranno rifiutati dal firewall e gli utenti autorizzati saranno in grado di consegnare al server di posta. Funziona, ma solo per la whitelist IP, non per la whitelist e-mail.

A differenza di postgrey, in cui il mittente remoto ha un registro di una consegna "rifiutata" (e quindi può indicarci il problema), il fake-MX mostrerà che il server web non potrebbe nemmeno connettersi e non riprovare, senza alcuna scusa per il lato remoto sul problema. Un MX in errore è meglio accettato su postgrey, poiché possiamo sempre rivendicare alcuni "problemi di routing, ma il MX di backup funziona bene, riceviamo tutte le altre e-mail"

Detto questo, ricevo pochissime lamentele (circa 1 ogni 3 mesi), quindi lo considero abbastanza sicuro (ogni filtro antispam ha dei rischi).

Nota che uso un indirizzo IPv4 valido per tutti i MX, ma per quelli falsi uso un IP che controllo che non è in uso (e quindi dà timeout / host irraggiungibili su qualsiasi connessione). queste regole si applicano anche se non lo usi. Esistono server DNS e SMTP che richiedono una configurazione DNS perfettamente valida affinché l'e-mail funzioni. anche il fake-MX deve essere valido, non dovrebbe essere raggiungibile.

Non utilizzare IP privati ​​o IP che non controlli per il falso MX (se aggiungi l'indirizzo ipv6, aggiungi anche uno ipv4). Questo evita problemi con DNS e mailserver non funzionanti e sorprese di altri che ricevono la tua e-mail (installando un server smtp sull'IP che non controlli). Inoltre, CNAME è vietato per MX, quindi non usarlo anche, solo un semplice record A.

Infine, è necessario inviare un reset tcp per il falso MX, per migliorare le prestazioni (host o porta non raggiungibili) invece di un semplice timeout (rilasciando il pacchetto), quindi si consiglia di aggiungerlo al firewall.

comunque, non solo lo uso ancora, come consiglio a tutti di usarlo

Higuita
fonte
Questo è nolisting , non solo una variante. Funziona davvero, ma è difficile da misurare dato che stai annerendo i dati dei server falsi (il grafico sopra è semplicemente aneddotico!). Raccomando un server ad alta priorità che è un vero server (che controlli!) Con la porta 25 chiusa - ma NON è stato eliminato, vuoi un errore molto veloce - e un server a bassa priorità (nello spazio IP che controlli!) che non è attivo oppure elimina in modo trasparente le connessioni di quella porta.
Adam Katz,
1
@AdamKatz Nolisting è solo per MX con la massima priorità, questa variante ha anche un server falso con la priorità più bassa ... questa è la differenza! Inoltre, se leggi i miei ultimi paragrafi vedrai che dico esattamente quello che hai scritto! :)
Higuita,
2

Per quanto riguarda il filtraggio della posta, sono stato molto contento della combinazione di Spamassasin e peso polidico , che controlla il nome host del mittente e le liste di blocchi durante la connessione SMTP. Questa è un'ottima cosa per due motivi:

  1. non è necessario elaborare l'e-mail rifiutata con spamassasin, che risparmia risorse di sistema (l'analisi bayesiana richiede del tempo) e larghezza di banda
  2. gli host del mittente vengono rifiutati, quindi nell'improbabile caso di blocco della posta elettronica legittima, il mittente riceve una notifica di mancato recapito

Sto usando l'installazione su Postfix, ma presumibilmente c'è un modo per farlo installare il peso polyd con Exim .

Che
fonte
1

Onestamente non ho avuto completamente l'idea.

Ok, sto dicendo che il mio server di posta principale è falso. Dunque? Non esiste affatto o cosa? (Supponiamo che alla fine tagli una parte degli SPAM in entrambi i modi.) I "sopravvissuti" userebbero il secondario - nessun problema. Ma perché c'è il terzo server in questa configurazione?

Dato che questa dovrebbe essere la mia risposta, non una domanda, lo concluderei: è malato e una pallida ombra di Greylisting. Se vuoi vedere un effetto reale prova a usare Greylisting, amico .

poige
fonte
Formulazione straordinaria ma hai ragione. Il greylisting è la soluzione corretta (oltre a un discreto sistema di filtraggio antispam completo). Funzionerà in modo efficace come falsi record MX, senza tutti gli svantaggi.
John Gardeniers,
1

Lascio cadere la maggior parte del mio spam ritardando le connessioni agli host sono elencate nell'elenco zen di Spamhaus. Gli spambots non amano il ritardo. Il rilevamento di falsi server evidenti nel comando HELO cancella anche molto spam. Le condizioni che ho trovato per indicare i falsi del server includono.

  • Utilizzando il mio nome host o indirizzo IP.
  • Utilizzo di un nome host non qualificato.
  • Utilizzo di un dominio letterale ([192.0.2.15]) invece di un nome di dominio completo. (Sì, gli RFC lo richiedono, ma al giorno d'oggi non viene utilizzato dai server di posta Internet.)
  • Errore SPF per il nome HELO non Mail (blocco su fail, softfail e neutral).

Se apprezzi la posta automatica o di marketing, controlla il comando HELO che non funziona includi. La mia esperienza è che tutte le altre mail superano queste condizioni.

  • Utilizzo di un nome di dominio di secondo livello anziché di un nome di dominio completo (FQDN) per l'host.
  • Richiede il nome IP o HELO per verificare rDNS.
  • Richiesta di un dominio di secondo livello valido per il nome di dominio completo. (local non è un dominio valido né localdomain.)

La firma del tuo percorso di ritorno ti consente di bloccare alcuni spam. Anche se di recente sto vedendo molti meno rimbalzi falsi.

Sfortunatamente, trovo che un'alta percentuale di mail automatizzate o di marketing legittime forgia il loro percorso di ritorno. Questi host spesso non hanno neanche un indirizzo postmaster valido. Trovo che richiedere un dominio valido nel percorso di ritorno sia fattibile. Ricevo molte più risposte di errore SPF su e-mail legittime rispetto allo spam.

Di recente ho pubblicato le mie esperienze con il blocco dello spam con Exim

BillThor
fonte
0

Oltre alle e-mail perse da persone legittime con gateway rotti, è stato processato molto tempo fa (come 15 anni fa +/-) e gli spammer si sono adattati ad esso quasi immediatamente allora. Ho il sospetto che si rivelerà una perdita netta per la tua affidabilità e-mail pur avendo poco o nessun impatto sullo spam. Tuttavia, se lo provi, ti preghiamo di inviarci i risultati!

Brian Knoblauch
fonte
0

Sfortunatamente, ci sono alcuni corrieri là fuori che non ti invieranno posta se il primo record MX non è raggiungibile. Di recente ho scritto le mie esperienze con questo in un post sul blog, quindi non lo ripeterò qui. Il sommario però è che il mio primo record MX era in realtà un record MX solo per IPv6 poiché immaginavo che gli spammer non usassero IPv6 (ancora). Sfortunatamente, ciò ha causato problemi e alla fine ho dovuto aggiungere un indirizzo IPv4 al primo record MX nella mia zona.

Wes Hardaker
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.