Combattere lo spamming: cosa posso fare come amministratore della posta elettronica, proprietario del dominio o utente?


107

Questa è una domanda canonica sulla lotta allo spamming.
Correlati anche:

Ci sono così tante tecniche e tante cose da sapere sulla lotta contro lo SPAM. Quali tecniche e tecnologie ampiamente utilizzate sono disponibili per amministratori, proprietari di domini e utenti finali per aiutare a mantenere la spazzatura fuori dalle nostre caselle di posta?

Stiamo cercando una risposta che copra tecnologie diverse da varie angolazioni. La risposta accettata dovrebbe includere una varietà di tecnologie (ad esempio SPF / SenderID, DomainKeys / DKIM, Graylisting, DNS RBLs, Reputation Services, Filtering Software [SpamAssassin, etc]); migliori pratiche (ad es. la posta sulla porta 25 non dovrebbe mai essere autorizzata a inoltrare, la porta 587 dovrebbe essere utilizzata; ecc.), la terminologia (ad es. Open Relay, Backscatter, MSA / MTA / MUA, Spam / Ham) e possibilmente altre tecniche.


13
Canonico o no, questo non è il posto giusto per chiedere informazioni a livello di utente.
John Gardeniers,

Risposte:


97

Per sconfiggere il tuo nemico, devi conoscere il tuo nemico.

Cos'è lo spam?

Per i nostri scopi, lo spam è qualsiasi messaggio elettronico di massa non richiesto. Lo spamming in questi giorni ha lo scopo di indurre gli utenti ignari a visitare un sito Web (di solito ombreggiato) in cui verrà chiesto loro di acquistare prodotti o di consegnare malware ai loro computer o entrambi. Alcuni spam distribuiranno malware direttamente.

Potrebbe sorprenderti apprendere che il primo spam è stato inviato nel 1864. Era una pubblicità per servizi dentali, inviata tramite il telegramma Western Union. La stessa parola è un riferimento a una scena di Flying Circus di Monty Python .

Spam, in questo caso, non senza fare riferimento al traffico di mailing list di un utente iscritto a, anche se hanno cambiato idea in seguito (o dimenticato a questo proposito), ma non hanno ancora effettivamente sottoscritte.

Perché lo spam è un problema?

Lo spam è un problema perché funziona per gli spammer . Lo spam in genere genera vendite più che sufficienti (o consegna di malware o entrambi) per coprire i costi - per lo spammer - dell'invio. Lo spammer non considera i costi per il destinatario, tu e i tuoi utenti. Anche quando una piccola minoranza di utenti che ricevono spam risponde, è sufficiente.

Quindi puoi pagare le bollette per larghezza di banda, server e tempo dell'amministratore per gestire lo spam in arrivo.

Blocciamo lo spam per questi motivi: non vogliamo vederlo, ridurre i nostri costi di gestione della posta elettronica e rendere lo spamming più costoso per gli spammer.

Come funziona lo spam?

Lo spam in genere viene recapitato in modi diversi dall'e-mail normale e legittima.

Gli spammer vogliono quasi sempre oscurare l'origine dell'e-mail, quindi uno spam tipico conterrà informazioni false sull'intestazione. L' From:indirizzo è generalmente falso. Alcuni spam includono Received:righe false nel tentativo di mascherare il percorso. Molto spam viene consegnato tramite relè SMTP aperti, server proxy aperti e botnet. Tutti questi metodi rendono più difficile determinare chi ha originato lo spam.

Una volta nella posta in arrivo dell'utente, lo scopo dello spam è di invogliare l'utente a visitare il sito Web pubblicizzato. Lì, l'utente sarà invitato ad effettuare un acquisto o il sito tenterà di installare malware sul computer dell'utente o entrambi. In alternativa, lo spam chiederà all'utente di aprire un allegato che contiene malware.

Come posso bloccare lo spam?

Come amministratore di sistema di un server di posta, configurerai il tuo server di posta e il tuo dominio per rendere più difficile agli spammer consegnare il loro spam ai tuoi utenti.

Tratterò questioni specificamente incentrate sullo spam e potrei saltare cose non direttamente correlate allo spam (come la crittografia).

Non eseguire un relè aperto

Il grande server di posta sin è quello di eseguire un relay aperto , un server SMTP che accetterà la posta per qualsiasi destinazione e la consegnerà in seguito. Gli spammer adorano i relè aperti perché garantiscono praticamente la consegna. Si assumono il carico di recapitare i messaggi (e riprovare!) Mentre lo spammer fa qualcos'altro. Rendono lo spamming economico .

I relè aperti contribuiscono anche al problema del backscatter. Si tratta di messaggi che sono stati accettati dal relè ma che sono risultati non recapitabili. Il relay aperto invierà quindi un messaggio di rimbalzo From:all'indirizzo che contiene una copia dello spam.

  • Configura il tuo server di posta per accettare la posta in arrivo sulla porta 25 solo per i tuoi domini. Per la maggior parte dei server di posta, questo è il comportamento predefinito, ma almeno devi dire al server di posta quali sono i tuoi domini.
  • Metti alla prova il tuo sistema inviando al tuo server SMTP un'e-mail dall'esterno della tua rete in cui entrambi gli indirizzi From:e To:non si trovano all'interno del tuo dominio. Il messaggio dovrebbe essere respinto. (Oppure, utilizza un servizio online come MX Toolbox per eseguire il test, ma tieni presente che alcuni servizi online invieranno il tuo indirizzo IP alle liste nere se il tuo server di posta non supera il test.)

Rifiuta tutto ciò che sembra troppo sospetto

Varie errate configurazioni ed errori possono essere un suggerimento che un messaggio in arrivo è probabilmente spam o comunque illegittimo.

  • Contrassegna come spam o rifiuta i messaggi per i quali l'indirizzo IP non ha DNS inverso (record PTR). Tratta la mancanza di un record PTR più duramente per le connessioni IPv4 che per le connessioni IPv6, poiché molti indirizzi IPv6 non hanno ancora DNS inverso e potrebbero non durare diversi anni, fino a quando il software del server DNS non sarà in grado di gestire queste zone potenzialmente molto grandi.
  • Rifiuta i messaggi per i quali non esiste il nome di dominio negli indirizzi mittente o destinatario.
  • Rifiuta i messaggi che non utilizzano nomi di dominio pienamente qualificati per i domini mittente o destinatario, a meno che non provengano dal tuo dominio e siano destinati a essere recapitati all'interno del tuo dominio (ad es. Servizi di monitoraggio).
  • Rifiuta connessioni in cui l'altra estremità non invia un HELO/ EHLO.
  • Rifiuta connessioni dove è HELO/ EHLOè:
    • non un nome di dominio completo e non un indirizzo IP
    • palesemente sbagliato (ad es. il proprio spazio di indirizzi IP)
  • Rifiutare le connessioni che utilizzano tubazioni senza essere autorizzati a farlo.

Autentica i tuoi utenti

La posta che arriva ai tuoi server dovrebbe essere considerata in termini di posta in entrata e posta in uscita. La posta in entrata è qualsiasi posta in arrivo sul tuo server SMTP che è in definitiva destinata al tuo dominio; la posta in uscita è qualsiasi posta in arrivo sul server SMTP che verrà trasferita altrove prima di essere recapitata (ad esempio, verrà inviata a un altro dominio). La posta in arrivo può essere gestita dai filtri antispam e può provenire da qualsiasi luogo ma deve essere sempre destinata ai tuoi utenti. Questa posta non può essere autenticata, perché non è possibile fornire credenziali a tutti i siti che potrebbero inviarti posta.

La posta in uscita, ovvero la posta che verrà inoltrata, deve essere autenticata. Questo è il caso che provenga da Internet o dall'interno della rete (anche se è necessario limitare gli intervalli di indirizzi IP autorizzati a utilizzare il proprio server di posta se possibile dal punto di vista operativo); questo perché gli spambots potrebbero essere in esecuzione all'interno della tua rete. Quindi, configura il tuo server SMTP in modo tale da eliminare la posta associata ad altre reti (verrà negato l'accesso all'inoltro) a meno che quella posta non sia autenticata. Meglio ancora, utilizzare server di posta separati per la posta in entrata e in uscita, non consentire affatto l'inoltro per quelli in entrata e non consentire l'accesso non autenticato a quelli in uscita.

Se il tuo software lo consente, dovresti anche filtrare i messaggi in base all'utente autenticato; se l'indirizzo di posta elettronica della posta non corrisponde all'utente che ha effettuato l'autenticazione, deve essere rifiutato. Non aggiornare silenziosamente l'indirizzo del mittente; l'utente deve essere consapevole dell'errore di configurazione.

È inoltre necessario registrare il nome utente utilizzato per inviare la posta o aggiungere un'intestazione identificativa. In questo modo, se si verifica un abuso, si dispone di prove e si sa quale account è stato utilizzato per farlo. Ciò consente di isolare account compromessi e utenti problematici ed è particolarmente utile per i provider di hosting condiviso.

Filtra traffico

Vuoi essere certo che la posta che esce dalla tua rete sia effettivamente inviata dai tuoi utenti (autenticati), non da robot o persone esterne. I dettagli su come farlo dipendono esattamente dal tipo di sistema che si sta amministrando.

Generalmente, bloccare il traffico in uscita sulle porte 25, 465 e 587 (SMTP, SMTP / SSL e invio) per tutto tranne i server di posta in uscita è una buona idea se si è una rete aziendale. Questo in modo che i robot che eseguono malware sulla tua rete non possano inviare spam dalla tua rete né per aprire relè su Internet o direttamente all'MTA finale per un indirizzo.

Gli hotspot sono un caso speciale perché la loro posta legittima proviene da molti domini diversi, ma (a causa di SPF, tra le altre cose) un mailserver "forzato" è inappropriato e gli utenti dovrebbero utilizzare il server SMTP del proprio dominio per inviare la posta. Questo caso è molto più difficile, ma l'utilizzo di uno specifico IP pubblico o un intervallo IP per il traffico Internet da questi host (per proteggere la reputazione del tuo sito), la limitazione del traffico SMTP e l'ispezione approfondita dei pacchetti sono soluzioni da considerare.

Storicamente, gli spambots hanno emesso spam principalmente sulla porta 25, ma nulla impedisce loro di utilizzare la porta 587 per lo stesso scopo, quindi cambiare la porta utilizzata per la posta in entrata ha un valore dubbio. Tuttavia, l'utilizzo della porta 587 per l'invio di posta è raccomandato da RFC 2476 e consente una separazione tra invio di posta (al primo MTA) e trasferimento di posta (tra MTA) laddove ciò non sia evidente dalla topologia di rete; se hai bisogno di tale separazione, dovresti farlo.

Se sei un ISP, un host VPS, un fornitore di servizi di colocation o simili o stai fornendo un hotspot per l'utilizzo da parte dei visitatori, il blocco del traffico SMTP in uscita può essere problematico per gli utenti che inviano posta utilizzando i propri domini. In tutti i casi ad eccezione di un hotspot pubblico, è necessario richiedere agli utenti che necessitano dell'accesso SMTP in uscita perché eseguono un server di posta per richiederlo in modo specifico. Fai sapere loro che i reclami per abuso alla fine comporteranno la chiusura di tale accesso per proteggere la tua reputazione.

Gli IP dinamici e quelli utilizzati per l'infrastruttura desktop virtuale non dovrebbero mai avere accesso SMTP in uscita se non al server di posta specifico che quei nodi dovrebbero usare. Questi tipi di IP dovrebbero apparire anche nelle blacklist e non dovresti cercare di costruirti una reputazione. Questo perché è estremamente improbabile che eseguano un MTA legittimo.

Prendi in considerazione l'utilizzo di SpamAssassin

SpamAssassin è un filtro di posta che può essere utilizzato per identificare lo spam in base alle intestazioni e al contenuto del messaggio. Utilizza un sistema di punteggio basato su regole per determinare la probabilità che un messaggio sia spam. Più alto è il punteggio, maggiore è la probabilità che il messaggio sia spam.

SpamAssassin ha anche un motore bayesiano in grado di analizzare i campioni di spam e ham (e-mail legittima) restituiti al suo interno.

La migliore pratica per SpamAssassin non è rifiutare la posta, ma inserirla in una cartella Junk o Spam. I MUA (agenti utente di posta elettronica) come Outlook e Thunderbird possono essere configurati per riconoscere le intestazioni che SpamAssassin aggiunge ai messaggi di posta elettronica e per archiviarli in modo appropriato. I falsi positivi possono e accadono, e mentre sono rari, quando succede al CEO, ne sentirete parlare. Quella conversazione andrà molto meglio se il messaggio fosse semplicemente recapitato nella cartella Junk piuttosto che rifiutato in modo definitivo.

SpamAssassin è quasi unico nel suo genere, anche se esistono alcune alternative .

  • Installa SpamAssassin e configura l'aggiornamento automatico per le sue regole usando sa-update.
  • Prendi in considerazione l'utilizzo di regole personalizzate ove appropriato.
  • Valuta di impostare il filtro bayesiano .

Prendi in considerazione l'utilizzo di elenchi blackhole e servizi di reputazione basati su DNS

I DNSBL (precedentemente noti come RBL o elenchi blackhole in tempo reale) forniscono elenchi di indirizzi IP associati a spam o altre attività dannose. Questi sono gestiti da terze parti indipendenti in base ai propri criteri, quindi cerca attentamente se l'elenco e i criteri di delisting utilizzati da un DNSBL sono compatibili con la necessità della tua organizzazione di ricevere e-mail. Ad esempio, alcuni DNSBL hanno politiche di delisting draconiane che rendono molto difficile la rimozione di qualcuno che è stato accidentalmente elencato. Altri eliminano automaticamente dopo che l'indirizzo IP non ha inviato spam per un periodo di tempo, il che è più sicuro. La maggior parte dei DNSBL sono gratuiti.

I servizi di reputazione sono simili, ma pretendono di fornire risultati migliori analizzando un numero maggiore di dati relativi a un determinato indirizzo IP. La maggior parte dei servizi di reputazione richiede un pagamento in abbonamento o l'acquisto dell'hardware o entrambi.

Ci sono dozzine di DNSBL e servizi di reputazione disponibili, anche se alcuni dei più noti e utili che utilizzo e raccomando sono:

Elenchi conservativi:

Elenchi aggressivi:

Come accennato in precedenza, molte dozzine di altre sono disponibili e possono soddisfare le tue esigenze. Uno dei miei trucchi preferiti è cercare l'indirizzo IP che ha consegnato uno spam che è passato attraverso più DNSBL per vedere chi di loro lo avrebbe rifiutato.

  • Per ogni servizio DNSBL e reputazione, esaminare le sue politiche per l'elenco e il delisting degli indirizzi IP e determinare se questi sono compatibili con le esigenze della propria organizzazione.
  • Aggiungi DNSBL al tuo server SMTP quando hai deciso che è appropriato usare quel servizio.
  • Valuta di assegnare a ogni DNSBL un punteggio e configurarlo in SpamAssassin anziché nel tuo server SMTP. Ciò riduce l'impatto di un falso positivo; tale messaggio verrebbe recapitato (possibilmente a Junk / Spam) anziché rimbalzato. Il compromesso è che consegnerai molto spam.
  • Oppure, rifiutare apertamente quando l'indirizzo IP si trova in uno degli elenchi più prudenti e configurare gli elenchi più aggressivi in ​​SpamAssassin.

Usa SPF

SPF (Sender Policy Framework; RFC 4408 e RFC 6652 ) è un mezzo per prevenire lo spoofing dell'indirizzo e-mail dichiarando quali host Internet sono autorizzati a consegnare la posta per un determinato nome di dominio.

  • Configurare il DNS per dichiarare un record SPF con i server di posta in uscita autorizzati e -allrifiutare tutti gli altri.
  • Configurare il server di posta in modo che controlli i record SPF della posta in arrivo, se presenti, e rifiuta la posta che non supera la convalida SPF. Salta questo controllo se il dominio non ha record SPF.

Indaga su DKIM

DKIM (DomainKeys Identified Mail; RFC 6376 ) è un metodo per incorporare le firme digitali nei messaggi di posta che possono essere verificati utilizzando le chiavi pubbliche pubblicate nel DNS. È gravato da brevetti negli Stati Uniti, che ha rallentato la sua adozione. Le firme DKIM possono anche rompersi se un messaggio viene modificato durante il trasporto (ad es. I server SMTP occasionalmente possono reimballare i messaggi MIME).

  • Considera di firmare la tua posta in uscita con le firme DKIM, ma tieni presente che le firme potrebbero non essere sempre verificate correttamente anche sulla posta legittima.

Prendi in considerazione l'utilizzo del greylisting

Il greylisting è una tecnica in cui il server SMTP emette un rifiuto temporaneo per un messaggio in arrivo, piuttosto che un rifiuto permanente. Quando la consegna viene ritentata entro pochi minuti o ore, il server SMTP accetterà quindi il messaggio.

Il greylisting può bloccare alcuni software di spam che non sono abbastanza robusti da distinguere tra rifiuti temporanei e permanenti, ma non aiutano con lo spam che è stato inviato a un relay aperto o con un software di spam più robusto. Inoltre introduce ritardi nella consegna che gli utenti potrebbero non tollerare sempre.

  • Prendi in considerazione l'utilizzo del greylisting solo in casi estremi, dal momento che è altamente distruttivo legittimare il traffico e-mail.

Prendi in considerazione l'utilizzo di nolisting

Il nolisting è un metodo di configurazione dei record MX in modo tale che il record con priorità più alta (numero di preferenza più basso) non abbia un server SMTP in esecuzione. Ciò si basa sul fatto che molti software spam tenteranno solo il primo record MX, mentre i server SMTP legittimi provano tutti i record MX in ordine crescente di preferenza. Alcuni software di spam inoltre tentano di inviare direttamente il record MX con la priorità più bassa (numero di preferenza più elevato) in violazione di RFC 5321 , in modo che possa essere impostato anche su un indirizzo IP senza un server SMTP. Questo è segnalato per essere sicuro, anche se come con qualsiasi cosa, dovresti testarlo attentamente prima.

  • Valuta di impostare il record MX con la priorità più alta in modo che punti a un host che non risponde sulla porta 25.
  • Considera di impostare il tuo record MX a priorità più bassa in modo che punti a un host che non risponde sulla porta 25.

Prendi in considerazione un'appliance di filtro antispam

Posiziona un'appliance di filtro antispam come Cisco IronPort o Barracuda Spam & Virus Firewall (o altre appliance simili) di fronte al tuo server SMTP esistente per fare gran parte del lavoro per ridurre lo spam che ricevi. Queste appliance sono preconfigurate con DNSBL, servizi di reputazione, filtri bayesiani e le altre funzionalità che ho trattato e vengono aggiornate regolarmente dai loro produttori.

  • Ricerca sui costi dell'abbonamento e dell'hardware dell'appliance di filtro antispam.

Prendi in considerazione i servizi di posta elettronica ospitati

Se è troppo per te (o per il tuo personale IT oberato di lavoro) puoi sempre avere un fornitore di servizi di terze parti a gestire la tua posta elettronica per te. Servizi come Postini di Google , Symantec MessageLabs Email Security (o altri) filtreranno i messaggi per te. Alcuni di questi servizi possono anche gestire requisiti normativi e legali.

  • La ricerca ha ospitato i costi di abbonamento al servizio di posta elettronica.

Quale consiglio dovrebbero fornire gli amministratori di sistema agli utenti finali riguardo alla lotta contro lo spam?

La cosa n. 1 assoluta che gli utenti finali dovrebbero fare per combattere lo spam è:

  • NON RISPONDERE ALLO SPAM.

    Se sembra divertente, non fare clic sul collegamento al sito Web e non aprire l'allegato. Non importa quanto sia attraente l'offerta. Quel Viagra non è poi così economico, non avrai davvero foto di nessuno, e non ci sono $ 15 milioni di dollari in Nigeria o altrove se non per i soldi presi da persone che hanno risposto allo spam.

  • Se vedi un messaggio di spam, contrassegnalo come Junk o Spam a seconda del tuo client di posta.

  • NON contrassegnare un messaggio come junk / spam se in realtà ti sei registrato per ricevere i messaggi e vuoi solo smettere di riceverli. Invece, annulla l'iscrizione alla mailing list utilizzando il metodo di annullamento dell'iscrizione fornito.

  • Controlla regolarmente la cartella Junk / Spam per vedere se sono stati inviati messaggi legittimi. Contrassegna questi come Non spazzatura / Non spam e aggiungi il mittente ai tuoi contatti per evitare che i loro messaggi vengano contrassegnati come spam in futuro.


5
@MichaelHampton: UCEPROTECT è un'organizzazione losca.
InternetSeriousBusiness

10
@Stephane Se non è possibile impostare / modificare il record PTR, non si ha il controllo dell'indirizzo IP. Non c'è niente di sbagliato nel rifiutare la posta in base a questo.
Michael Hampton

1
@ewwhite È piuttosto draconiano, e 3 settimane è abbastanza ridicolo. Ma rifiutare la posta in assenza di record PTR è abbastanza comune, quindi sono sicuro che abbiano tutti i tipi di problemi.
Michael Hampton

2
Il rifiuto è comune ma sostengo che sia inutile e non necessario. In effetti, ho esaurito un rapido controllo delle mie statistiche sullo spam e si scopre che il numero di spam proveniente da IP senza reverse è inferiore al 5% e che sembra essere praticamente lo stesso numero di quello che vedo nel complesso Connessioni SMTP. Da qui la mia conclusione: è una limitazione inutile.
Stephane,

2
Quali prove hai a sostegno della tua affermazione che è inefficace? I miei registri mostrano che è straordinariamente efficace nella posta elettronica pre-screening. Un certo numero di altre persone che conosco hanno esperienze simili.
Chris S,

30

Nel corso degli anni ho gestito oltre 100 ambienti di posta separati e ho utilizzato numerosi processi per ridurre o aiutare a eliminare lo spam.

La tecnologia si è evoluta nel tempo, quindi questa risposta illustrerà alcune delle cose che ho provato in passato e descriverà in dettaglio l'attuale stato delle cose.

Alcune riflessioni sulla protezione ...

  • Vuoi proteggere la porta 25 del tuo server di posta in arrivo dall'essere un relay aperto , dove chiunque può inviare posta attraverso la tua infrastruttura. Questo è indipendente dalla particolare tecnologia del server di posta che potresti utilizzare. Gli utenti remoti dovrebbero utilizzare una porta di invio alternativa e una qualche forma di autenticazione richiesta per l'inoltro della posta. La porta 587 o la porta 465 sono le alternative comuni a 25.
  • Anche la crittografia è un vantaggio. Molto traffico di posta viene inviato in chiaro. Siamo ora al punto in cui la maggior parte dei sistemi di posta può supportare una qualche forma di crittografia; qualche evento se lo aspetta.
  • Questi sono approcci più proattivi per impedire che il tuo sito di posta venga classificato come fonte di spam ...

Per quanto riguarda lo spam in arrivo ...

  • Il greylisting è stato un approccio interessante per un breve periodo di tempo. Forzare un rifiuto / ritardo temporaneo nella speranza che uno spammer si disconnetta ed eviti l'esposizione o il tempo e le risorse necessarie per riqualificare i messaggi. Ciò ha avuto l'effetto di ritardi imprevedibili nella consegna della posta, non ha funzionato bene con la posta proveniente da server farm di grandi dimensioni e gli spammer hanno infine sviluppato soluzioni alternative. L'impatto peggiore è stato infrangere le aspettative degli utenti di una consegna rapida della posta.
  • Più relè MX necessitano ancora di protezione. Alcuni spammer proverebbero a inviare a un backup o MX a priorità inferiore nella speranza che avesse un filtro meno robusto.
  • Elenchi neri (buche) in tempo reale (RBL / DNSBL): fanno riferimento a database gestiti centralmente per verificare se è elencato un server di invio. La forte dipendenza da RBL viene fornita con avvertenze. Alcuni non erano affidabili come altri. Le offerte di Spamhaus sono sempre state buone per me. Altri, come SORBS , adottano un approccio scadente per elencare gli IP e spesso bloccano la posta elettronica legittima. In alcuni casi è stato paragonato a un complotto di estorsione, perché il delisting spesso coinvolge $$$.
  • Sender Policy Framework (SPF) - Fondamentalmente un mezzo per garantire che un determinato host sia autorizzato a inviare posta per un determinato dominio, come definito da un record TXT DNS. È buona norma creare record SPF per la posta in uscita, ma è una cattiva pratica richiederlo dai server che ti inviano.
  • Chiavi di dominio - Non ancora in uso diffuso ...
  • Soppressione del rimbalzo: impedisce che la posta non valida venga restituita alla sua fonte. Alcuni spammer proverebbero a vedere quali indirizzi erano attivi / validi analizzando il backscatter per creare una mappa di indirizzi utilizzabili.
  • Controlli DNS / PTR inversi: verificare che un server mittente abbia un record PTR inverso valido. Non è necessario che corrisponda al dominio di origine, poiché è possibile disporre di un mapping molti-a-uno dei domini su un host. Ma è bene determinare la proprietà di uno spazio IP e determinare se il server di origine fa parte di un blocco IP dinamico (ad es. Banda larga domestica - leggi: spambots compromessi).
  • Filtro dei contenuti - (inaffidabile) - Cercare di contrastare le permutazioni di "(Viagra, v \ | agra, viagra, vilgra.)" Richiede tempo per l'amministratore e non si adatta in un ambiente più ampio.
  • Filtro bayesiano : soluzioni di spam più avanzate consentono la formazione globale o per utente della posta. Leggi l'articolo collegato sull'euristica, ma il punto principale è che la posta può essere classificata manualmente come buona (Ham) o cattiva (Spam) e i messaggi risultanti popolano un database bayesiano a cui è possibile fare riferimento per determinare la categorizzazione dei messaggi futuri. In genere, questo è associato a un punteggio o ponderazione dello spam e può essere una delle poche tecniche utilizzate per determinare se un messaggio deve essere recapitato.
  • Controllo della velocità / limitazione - Approccio semplice. Limitare il numero di messaggi che un determinato server può tentare di recapitare entro un determinato periodo di tempo. Rinvia tutti i messaggi oltre quella soglia. Questo è generalmente configurato sul lato server di posta.
  • Hosting e filtro cloud. Postini viene in mente, visto che è stata una nuvola soluzione prima nuvola era una parola d'ordine. Ora di proprietà di Google, il punto di forza di una soluzione ospitata è che esistono economie di scala inerenti all'elaborazione del volume di posta che incontrano. L'analisi dei dati e la semplice copertura geografica possono aiutare una soluzione di filtro dello spam ospitato ad adattarsi alle tendenze. L'esecuzione è semplice, però. 1). Punta il tuo record MX sulla soluzione ospitata, 2). fornire un indirizzo di consegna del server post-filtro. 3). Profitto .

Il mio approccio attuale:

Sono un forte sostenitore delle soluzioni antispam basate su dispositivi. Voglio rifiutare sul perimetro della rete e salvare i cicli della CPU a livello del server di posta. L'uso di un'appliance fornisce anche una certa indipendenza dalla soluzione effettiva del server di posta (agente di consegna della posta).

Raccomando gli apparecchi Barracuda Spam Filter per una serie di motivi. Ho schierato diverse dozzine di unità e l'interfaccia web-driven, la condivisione del pensiero nel settore e la natura dell'apparecchiatura imposta e dimentica la rendono vincente. La tecnologia di backend incorpora molte delle tecniche sopra elencate.

  • Blocco la porta 25 sull'indirizzo IP del mio server di posta e imposto invece il record MX per il dominio sull'indirizzo pubblico del dispositivo Barracuda, ad esempio spam.domain.com. La porta 25 sarà aperta per la consegna della posta.
  • Il nucleo è SpamAssassin , creato con una semplice interfaccia per un registro dei messaggi (e database bayesiano) che può essere usato per classificare la posta buona da quella cattiva durante un periodo di addestramento iniziale.
  • Barracuda sfrutta diversi RBL di default, compresi quelli di Spamhaus.org , e il loro database di reputazione BRBL . Nota: BRBL è utilizzabile gratuitamente come RBL standard per altri sistemi di posta .
  • Il database di reputazione di Barracuda è compilato da dati in tempo reale, honeypot, analisi su larga scala e qualsiasi numero di tecniche proprietarie. Ha una whitelist e blocklist registrate. I mittenti di posta ad alto volume e alta visibilità spesso si registrano con Barracuda per la whitelisting automatica. Gli esempi includono Blackberry, Constant Contact , ecc.
  • I controlli SPF possono essere abilitati (non li abilito, però).
  • C'è un'interfaccia per rivedere la posta e riconsegnare dalla cache di posta dell'appliance, se necessario. Ciò è utile nei casi in cui un utente si aspettava un messaggio che potrebbe non aver superato tutti i controlli antispam.
  • La verifica dell'utente LDAP / Active Directory consente di accelerare il rilevamento di destinatari di posta non validi. Ciò consente di risparmiare larghezza di banda e prevenire il backscatter .
  • IP / indirizzo mittente / dominio / paese di origine possono essere tutti configurati. Se voglio negare tutta la posta dai suffissi di dominio italiani, è possibile. Se voglio impedire la posta proveniente da un determinato dominio, è facilmente configurabile. Se voglio impedire allo stalker di un utente di inviare e-mail all'utente, è fattibile (storia vera).
  • Barracuda fornisce una serie di report predefiniti e una buona visualizzazione visiva dello stato dell'appliance e delle metriche di spam.
  • Mi piace avere un dispositivo in loco per mantenere questa elaborazione internamente e possibilmente avere una connessione di journaling e-mail post-filtro (in ambienti in cui è necessaria la conservazione della posta).
  • Inoltre, l'appliance può risiedere in un'infrastruttura virtualizzata .

Barracuda Spam & Virus Firewall 300 console di stato inserisci qui la descrizione dell'immagine


Approccio più recente:

Ho sperimentato il servizio di sicurezza e-mail basato su cloud di Barracuda nell'ultimo mese. È simile ad altre soluzioni ospitate, ma è adatto a siti più piccoli, dove un dispositivo costoso è proibitivo in termini di costi. Per una tariffa annuale nominale, questo servizio fornisce circa l'85% di ciò che fa l'appliance hardware. Il servizio può anche essere eseguito in tandem con un dispositivo in loco per ridurre la larghezza di banda in entrata e fornire un altro livello di sicurezza. È anche un bel buffer in grado di eseguire lo spooling della posta in caso di interruzione del server. Le analisi sono comunque utili, sebbene non dettagliate come quelle di un'unità fisica.

Console Barracuda Cloud Email Security inserisci qui la descrizione dell'immagine

Tutto sommato, ho provato molte soluzioni, ma data la portata di determinati ambienti e le crescenti esigenze della base di utenti, voglio le soluzioni più eleganti disponibili. Adottare l'approccio su più fronti e "far rotolare il proprio" è certamente possibile, ma ho fatto bene con un po 'di sicurezza di base e un buon monitoraggio del dispositivo Barracuda. Gli utenti sono molto soddisfatti del risultato.

Nota: Cisco Ironport è eccezionale ... Solo più costoso.


25

In parte, approvo ciò che gli altri hanno detto; in parte no.

Spamassassin

Per me funziona molto bene, ma devi dedicare un po 'di tempo ad addestrare il filtro bayesiano sia con ham che con spam .

greylisting

ewwhite potrebbe sentire che il suo giorno è arrivato e passato, ma non posso essere d'accordo. Uno dei miei clienti mi ha chiesto quanto fossero efficaci i miei vari filtri, quindi ecco le statistiche approssimative per luglio 2012 per il mio mailserver personale:

  • 46000 messaggi tentati di recapito
  • 1750 ha superato il greylisting
  • 250 hanno superato greylisting + spamassassin addestrato

Quindi circa 44000 non sono mai riusciti a superare il greylisting; se non avessi avuto il greylisting e avessi accettato tutti quelli, avrebbero avuto tutti bisogno di filtri antispam, tutti usando CPU e memoria, e in effetti la larghezza di banda.

Modifica : poiché questa risposta sembra essere stata utile ad alcune persone, ho pensato di aggiornare le statistiche. Quindi ho rieseguito l'analisi sui registri della posta da gennaio 2015, 2,5 anni dopo.

  • 115.500 messaggi hanno tentato la consegna
  • 13.300 hanno superato il greylisting (e alcuni controlli di integrità di base, ad es. Dominio del mittente valido)
  • 8.500 hanno superato greylisting + spamassassin addestrato

I numeri non sono direttamente comparabili, perché non ho più una nota di come sono arrivato ai dati del 2012, quindi non posso essere sicuro che le metodologie fossero identiche. Ma sono fiducioso di non dover eseguire un filtro anti-spam costoso dal punto di vista computazionale su un sacco di contenuti all'epoca, e ancora non lo faccio, a causa del greylisting.

SPF

Questa non è in realtà una tecnica anti-spam, ma può ridurre la quantità di backscatter che devi affrontare, se sei joe jobb. Dovresti usarlo sia dentro che fuori, vale a dire: dovresti controllare il record SPF del mittente per la posta in arrivo e accettare / rifiutare di conseguenza. Dovresti anche pubblicare i tuoi record SPF, elencando completamente tutte le macchine che sono approvate per inviare la posta come te e bloccare tutte le altre-all . I record SPF che non finiscono -allsono completamente inutili.

Elenchi Blackhole

Gli RBL sono problematici, dal momento che uno può affrontarli senza colpa propria e può essere difficile scendere. Tuttavia, hanno un uso legittimo nella lotta allo spam ma suggerirei vivamente che nessun RBL dovrebbe mai essere usato come test per l'accettazione della posta . Il modo in cui lo spamassassin gestisce gli RBL - usando molti, ognuno dei quali contribuisce ad un punteggio totale, ed è questo punteggio che prende la decisione di accettare / rifiutare - è molto meglio.

Dropbox

Non intendo il servizio commerciale, intendo che il mio server di posta ha un indirizzo che taglia tutti i miei greylisting e filtri antispam, ma che invece di consegnare a INBOX di chiunque, va in una cartella scrivibile in tutto il mondo /var, che è elimina automaticamente ogni notte dalle e-mail di età superiore a 14 giorni.

Incoraggio tutti gli utenti a trarne vantaggio quando, ad esempio, compilando moduli e-mail che richiedono un indirizzo e-mail valido, in cui riceverai una e-mail che devi conservare, ma da cui non desideri più ascoltare o quando acquisti da venditori online che probabilmente venderanno e / o invieranno spam il loro indirizzo (in particolare quelli al di fuori della portata delle leggi europee sulla privacy). Invece di fornire il suo vero indirizzo, un utente può fornire l'indirizzo della casella personale e guardare nella casella personale solo quando si aspetta qualcosa da un corrispondente (di solito una macchina). Quando arriva, può sceglierlo e salvarlo nella sua corretta raccolta di posta. Nessun utente deve guardare nel riquadro in nessun altro momento.


Mi piace molto l'idea dell'indirizzo dropbox.
blalor,

Il greylisting è una soluzione "egoistica"; ritarda un sacco di posta legittima e man mano che sempre più server di posta la distribuiscono, sempre più spammer assicureranno che il loro spam sia affidabile. Alla fine, perdiamo. Consiglierei il greylisting per piccole distribuzioni e lo sconsiglio vivamente per le distribuzioni più grandi. Prendi invece in considerazione il tarpitting . Milter-greylist può fare entrambe le cose.
Adam Katz,

1
@AdamKatz che è sicuramente un punto di vista. Non sono sicuro di come gli spammer debbano rendere il loro spam resistente al greylisting senza abbandonare lo spam fire-and-dimenticare, nel qual caso, il lavoro svolto - al contrario di sconfiggere il tarpitting, che richiede solo un piccolo miglioramento del codice negli zombi. Ma non sono d'accordo con te sull'egoismo. Quando viene spiegato il compromesso (se si desidera che l'e-mail in tempo reale per i corrispondenti irregolari, il budget della posta e delle comunicazioni aumenti di venti volte), la maggior parte preferisce il ritardo.
MadHatter,

@AdamKatz nota anche che il mio "dropbox", sopra, non viene colpito dal greylisting. Pertanto, qualsiasi utente che ha un disperato bisogno di ricevere e-mail prestabilite in modo tempestivo ha una soluzione automatica: sanno fornire l'indirizzo "immediato" e tenere d'occhio il dropbox fino a quando non viene ricevuto l'elemento specifico.
MadHatter,

1
@AdamKatz poiché il mio greylisting insiste su un intervallo di 10 minuti tra il primo e il riuscito tentativo di consegna, la pausa di oltre 15 minuti non è un grosso problema. Per quanto riguarda le aspettative degli utenti, quelle possono (e ovviamente dovrebbero) essere gestite, proprio come qualsiasi altra. Il resto della tua discussione è molto più convincente: forse potresti aggiungere la tua risposta, introducendo alcune cifre concrete sull'efficacia del tarpitting nelle tue implementazioni? Possiamo teorizzare sull'efficacia relativa attesa per sempre, ma i dati sono molto più illuminanti - nullius in verba !
MadHatter,

14

Sto usando una serie di tecniche che riducono lo spam a livelli accettabili.

Ritardare l'accettazione delle connessioni da server configurati in modo errato. La maggior parte degli Spam che ricevo proviene da Spambots in esecuzione su un sistema infetto da malware. Quasi tutti questi non superano la convalida rDNS. Ritardare di circa 30 secondi prima che ogni risposta induca la maggior parte degli spambots a rinunciare prima di consegnare il loro messaggio. Applicando questo solo ai server che falliscono rDNS si evita di penalizzare i server correttamente configurati. Alcuni mittenti legittimi o automatici configurati in modo errato vengono penalizzati, ma vengono consegnati con un ritardo minimo.

La configurazione di SPF per tutti i tuoi domini protegge i tuoi domini. La maggior parte dei sottodomini non deve essere utilizzata per inviare e-mail. L'eccezione principale sono i domini MX che devono essere in grado di inviare la posta da soli. Un numero di mittenti legittimi delegano la posta in blocco e automatizzata ai server non consentiti dalla loro politica. Il differimento anziché il rifiuto basato su SPF consente loro di correggere la loro configurazione SPF o di autorizzarli.

Richiesta di un nome di dominio completo (nome di dominio completo) nel comando HELO / EHLO. Lo spam spesso utilizza un nome host non qualificato, valori letterali di indirizzi, indirizzi IP o TLD non validi (dominio di primo livello). Purtroppo alcuni mittenti legittimi utilizzano TLD non validi, quindi potrebbe essere più appropriato posticipare in questo caso. Ciò può richiedere il monitoraggio e la whitelist per abilitare la posta.

DKIM aiuta con il non ripudio, ma per il resto non è molto utile. La mia esperienza è che è probabile che lo spam non sia firmato. È più probabile che il prosciutto venga firmato, quindi ha un certo valore nel punteggio di spam. Un numero di mittenti legittimi non pubblica le proprie chiavi pubbliche o configura in altro modo il proprio sistema.

Il greylisting è utile per i server che mostrano alcuni segni di errata configurazione. I server che sono correttamente configurati alla fine riusciranno, quindi tendo ad escluderli dal greylisting. È utile greylist per i freemailer poiché tendono ad essere utilizzati occasionalmente per lo spam. Il ritardo dà ad alcuni degli ingressi del filtro Spam il tempo necessario per catturare lo Spammer. Inoltre tende a deviare gli Spambots poiché di solito non riprovano.

Anche le blacklist e le whitelist possono essere d'aiuto.

  • Ho trovato Spamhaus una lista nera affidabile.
  • La funzione WhiteList automatica nel filtro Spam aiuta a smussare la valutazione dei mittenti frequenti che occasionalmente sono Spamish o Spammer che occasionalmente sono Hamish.
  • Trovo utile anche la lista bianca di dnsl.org.

Il software di filtro antispam è ragionevolmente efficace nel trovare lo spam, anche se alcuni riusciranno a superarlo. Può essere difficile portare il falso negativo a un livello ragionevole senza aumentare troppo il falso positivo. Trovo che Spamassassin catturi la maggior parte dello spam che lo raggiunge. Ho aggiunto alcune regole personalizzate, adatte alle mie esigenze.

I postmaster dovrebbero configurare l'abuso e gli indirizzi postmaster richiesti. Riconosci il feedback che ricevi a questi indirizzi e agisci su di esso. Ciò consente ad altri di aiutarti a garantire che il tuo server sia configurato correttamente e che non generi Spam.

Se sei uno sviluppatore, utilizza i servizi di posta elettronica esistenti anziché configurare il tuo server. È mia esperienza che è probabile che l'installazione dei server per i mittenti automatici non sia configurata correttamente. Esamina gli RFC e invia e-mail correttamente formattate da un indirizzo legittimo nel tuo dominio.

Gli utenti finali possono fare una serie di cose per aiutare a ridurre lo spam:

  • Non aprirlo Contrassegna come spam o eliminalo.
  • Assicurati che il tuo sistema sia sicuro e privo di malware.
  • Monitorare l'utilizzo della rete, soprattutto quando non si utilizza il sistema. Se genera molto traffico di rete quando non lo stai utilizzando, potrebbe essere l'invio di spam.
  • Spegni il computer quando non lo usi. (Non sarà in grado di generare spam se è disattivato.)

I proprietari di domini / ISP possono aiutare limitando l'accesso a Internet sulla porta 25 (SMTP) ai server di posta elettronica ufficiali. Ciò limiterà la capacità degli Spambots di inviare a Internet. Aiuta anche quando gli indirizzi dinamici restituiscono nomi che non superano la convalida rDNS. Ancora meglio è verificare che il record PTR per i server di posta passi la valutazione rDNS. (Verificare la presenza di errori tipografici durante la configurazione dei record PTR per i client.)

Ho iniziato a classificare la posta elettronica in tre categorie:

  • Ham (quasi sempre da server correttamente configurati, formattati correttamente e posta elettronica comunemente personale).
  • Spam (principalmente da Spambots, ma una certa percentuale proviene da freemailer o altri mittenti con server configurati in modo errato.)
  • bacn; potrebbe essere Ham o Spam (include molta posta dalle mailing list e dai sistemi automatizzati. Ham di solito finisce qui a causa della configurazione errata del DNS e / o del server.)

Bacn (nota la parte mancanteo) è un termine standardizzato che si riferisce a "posta che vuoi, ma non adesso". Un'altra categoria per la posta è Graymail , che èposta in blocco che non è tecnicamente spam e potrebbe essere indesiderata da alcuni dei suoi destinatari eppure voluta da altri.
Adam Katz,

6

La SINGOLA soluzione più efficace che ho visto è quella di utilizzare uno dei servizi di filtro della posta esterni.

Ho esperienza con i seguenti servizi presso i clienti attuali. Sono sicuro che ce ne sono altri. Ognuno di questi ha fatto un ottimo lavoro nella mia esperienza. Il costo è ragionevole per tutti e tre.

  • Postini di Google
  • MXLogic di McAfee
  • SecureTide da AppRiver

I servizi presentano numerosi enormi vantaggi rispetto alle soluzioni locali.

  1. Bloccano la maggior parte (> 99%) dello spam PRIMA che colpisca la tua connessione Internet e il tuo server di posta elettronica. Dato il volume di spam, si tratta di molti dati non presenti sulla larghezza di banda e non sul server. Ho implementato uno di questi servizi una dozzina di volte e ognuno ha comportato un notevole miglioramento delle prestazioni del server di posta elettronica.

  2. Fanno anche il filtro antivirus, in genere in entrambe le direzioni. Ciò riduce la necessità di disporre di una soluzione "anti-virus di posta" sul server e mantiene completamente virii

Fanno anche un ottimo lavoro nel bloccare lo spam. In 2 anni di lavoro in un'azienda che utilizza MXLogic, non ho mai avuto un falso positivo e posso contare i messaggi di spam legittimi che sono passati da una parte.


2
+1 per il riconoscimento del vantaggio delle soluzioni ospitate e del tempo di attività / scala e riduzione dei vantaggi del traffico. L'unico problema che riscontro è la mancanza di personalizzazione e risposta in alcuni casi (dal punto di vista di qualcuno che deve INVIARE a domini protetti da tali servizi). Inoltre, alcune aziende hanno motivi di sicurezza / conformità per non poter utilizzare il filtro esterno.
ewwhite,

5

Non esistono due ambienti di posta uguali. Pertanto, la creazione di una soluzione efficace richiederà molte prove ed errori riguardo alle diverse tecniche disponibili, poiché il contenuto di e-mail, traffico, software, reti, mittenti, destinatari e molto altro varierà enormemente a seconda dei diversi ambienti.

Tuttavia trovo che i seguenti elenchi di blocchi (RBL) siano adatti per il filtro generale:

Come già detto SpamAssassin è un'ottima soluzione se configurato correttamente, assicurati di installare il maggior numero possibile di moduli Perl aggiuntivi in ​​CPAN, nonché Razor, Pyzor e DCC. Postfix funziona molto bene con SpamAssassin ed è molto più facile da gestire e configurare rispetto ad EXIM, ad esempio.

Infine, bloccare i client a livello IP utilizzando fail2ban e iptables o simili per brevi periodi di tempo (diciamo da un giorno a una settimana) dopo che alcuni eventi come l'attivazione di un hit su un RBL per comportamenti offensivi può anche essere molto efficace. Perché sprecare risorse parlando con un host noto infetto da virus giusto?

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.