Quali sono i metodi migliori per catturare lo spam con le ciaspole?


21

Sto usando Smartermail per il mio piccolo mailserver. Ultimamente abbiamo avuto problemi a ricevere ondate di spam con le ciaspole che seguono lo stesso schema. Vengono in lotti di 3 o 4 alla volta. I corpi sono quasi identici, tranne per il nome di dominio a cui si collegano. Gli IP di origine tendono a appartenere allo stesso blocco / 24 per un po ', quindi passano a un altro / 24. I domini tendono ad essere nuovi di zecca. Hanno record PTR e SPF validi e hanno incomprensibili casuali nella parte inferiore del corpo per falsificare i filtri bayesiani.

Sto usando una dozzina di RBL diversi tra cui Barracuda, Spamhaus, SURBL e URIBL. Fanno un lavoro decente catturandone la maggior parte, ma abbiamo ancora molto da fare perché IP e domini non sono stati inseriti nella lista nera.

Esistono strategie che posso utilizzare, compresi gli RBL che bloccano i domini di nuova creazione o gestiscono in modo specifico lo spam snoeshow? Spero di evitare di dover utilizzare un servizio di filtro di terze parti.


2
Ti consiglio di modificare il tuo titolo per renderlo meno puntato nella direzione di "quale prodotto dovrei usare", perché le domande di acquisto sono fuori tema per i siti Stack Exchange. La mitigazione degli attacchi con le racchette da neve è un buon argomento per ServerFault e chiederò a un mio collega di commentare.
Andrew B,

Utile sapere cos'è lo spam di Snoeshow .
ewwhite,

1
La maggior parte degli RBL sono servizi gratuiti che qualsiasi amministratore della posta può utilizzare. Conta come shopping?
pooter03,

Sì, perché siano liberi o meno, la risposta è valida solo per una determinata finestra temporale. (che tocca quel link) Le aziende cessano di funzionare continuamente, comprese quelle che forniscono servizi gratuiti.
Andrew B,

1
Ho cambiato la domanda. Per favore fatemi sapere se questo è più appropriato.
pooter03

Risposte:


14

Sta diventando un vero problema per i tuoi utenti?

A questo punto consiglierei un servizio di filtro della posta completo. Bayesian non è più così caldo. Reputazione, RBL, analisi dell'intestazione / intento e altri fattori sembrano aiutare di più. Prendi in considerazione un servizio di filtro cloud per combinare più approcci ( e volume collettivo ) per fornire una migliore protezione ( utilizzo la soluzione cloud ESS di Barracuda per i miei clienti ).

E ovviamente: Spam di combattimento - Cosa posso fare come amministratore di posta elettronica, proprietario del dominio o utente?

Non siamo stati colpiti negativamente dall'innalzamento degli attacchi con le racchette da neve. Ho visto un periodo in cui il volume della posta triplicava di giorno in giorno con questi attacchi. Ma nessuna delle cose cattive ce l'ha fatta. In 3 giorni, Barracuda ha portato i volumi a livelli normali.

Penso che le soluzioni di filtro che hanno un'ampia visione dell'attività di posta in tutto il mondo possano reagire agli attacchi meglio dei singoli filtri di posta.

Modificare:

Questo è stato anche discusso di recente sulla mailing list di LOPSA :

Il mio contributo: https://www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
Un'altra opinione: https://www.mail-archive.com/tech@lists.lopsa.org/msg04181 .html


1
Stanno iniziando a lamentarsi. Sono solo poche decine di clienti e stiamo offrendo il nostro servizio di posta a basso costo o addirittura gratuitamente in bundle con altri servizi che acquistiamo, quindi speravamo di evitare i servizi a pagamento, se possibile. Investirò quel prodotto comunque.
pooter03,

È di circa $ 8 / utente / anno.
ewwhite,

Grazie. Consideralo un voto virtuale fino a quando non avrò il rappresentante per farlo. :)
pooter03

+1 per Barrucada.
colpì il

2
Consiglio ancora il filtraggio della posta Barracuda Cloud. È probabilmente la soluzione più pulita al tuo attuale problema.
ewwhite,

8

Sono un ragazzo delle operazioni DNS che lavora a stretto contatto con un gruppo che è spesso soggetto a questi attacchi. Affrontare gli attacchi con le racchette da neve è principalmente un problema di processo e, come sottolineato da ewwhite, potrebbe andare al di là dello scopo della tua azienda di risolvere internamente. Direi che a meno che tu non abbia un'operazione considerevole e diversi feed RBL commerciali, probabilmente non dovresti provare a risolverlo tu stesso usando un servizio di filtro commerciale.

Detto questo, abbiamo una certa esperienza con questo ed è più interessante da condividere che no. Alcuni punti di contatto sono:

  • Se possibile, addestrare la propria piattaforma di posta per identificare le caratteristiche di un attacco con racchette da neve in corso e rifiutare temporaneamente i messaggi dalle reti in questione. I clienti ben educati proveranno a inviare nuovamente i messaggi in caso di errore temporaneo, altri invece non lo fanno.
  • Assicurati che i tuoi amministratori DNS stiano monitorando UDP-MIB::udpInErrorstramite SNMP, perché le piattaforme di posta sono in grado di sovraccaricare le code di ricezione dei listener UDP quando è in corso un attacco con le racchette da neve. In caso contrario, un modo rapido per dirlo sotto Linux è di eseguire netstat -s | grep 'packet receive errors'sui server DNS in questione; un grande conteggio indica che hanno bisogno di togliersi le coperte e iniziare a prestare attenzione. Dovranno aggiungere capacità o aumentare la dimensione dei buffer di ricezione se si verificano perdite frequenti. (il che significa perdita di query DNS e perdita di opportunità per la prevenzione dello spam)
  • Se si verificano frequentemente questi attacchi che utilizzano domini appena creati, esistono RBL che ne evidenziano l'esistenza. Un esempio è FarSight NOD (le persone che leggono questo documento dovrebbero svolgere le proprie ricerche), ma non è gratuito.

Divulgazione completa: Farsight Security è stata fondata da Paul Vixie, a cui ho la brutta abitudine di sfogarmi quando le persone violano gli standard DNS.


Il tuo secondo punto è particolarmente interessante. Ho sospettato che mancassero le query DNS agli RBL che avevano già inserito nella lista nera l'IP o l'URL, ma non sono stato in grado di dimostrarlo. Tuttavia, il mailserver si trova su Windows 2012 e utilizza il server DNS di Windows. È un server di volume piuttosto basso ma voglio approfondire ulteriormente. Sfortunatamente non spiega tutto perché alcune delle cose che scivolano non avevano ancora avuto il tempo per i loro domini o IP di essere catturati dai principali RBL.
pooter03,

Il volume medio del server DNS non avrà molta importanza. La caratteristica principale di un overflow della coda di ricezione non è la capacità di elaborare i pacchetti in entrata abbastanza velocemente da farli uscire dalla coda, e l'attacco con racchette da neve basato sul volume è più che in grado di raggiungere questo a seconda di quante ricerche DNS stai eseguendo per spam.
Andrew B,

2
Il tuo primo suggerimento è comunemente noto come greylisting .
Nate Eldredge,

2
@Nate È una forma di greylisting, ma l'uso di quel termine non qualificato suggerirebbe alla maggior parte delle persone che questa azione dovrebbe essere intrapresa in risposta al nuovo IP osservato. Le reti attaccanti tendono a passare il tempo a stabilire connessioni (senza inviare intestazioni) in preparazione della consegna del payload sincronizzata. Quel tratto è ciò su cui stai agendo, in quanto ti consente di prevedere che gli IP che non hai ancora visto siano coinvolti nell'attacco.
Andrew B,

Per quanto valga la pena, ho attivato un greylisting (più generale) sul server e gli spammer rispondono correttamente dopo un certo periodo. A tutti gli effetti, l'e-mail sembra provenire da server di posta legittimi con record PTR, record SPF configurati correttamente, ecc.
pooter03

1

Ho installato Declude (che è gratuito) e Message Sniffer (che non lo è) e negli ultimi 4 giorni ho visto un messaggio di spam nel mio account e-mail di prova, al contrario delle dozzine che riceveva ogni giorno. Per quanto ne so, non abbiamo filtrato la posta elettronica. Anche lo Spamassassin sarebbe probabilmente una buona soluzione, anche se non ho avuto fortuna con questo quando ho provato Spam Assassin in a Box ..


0

Molte delle risposte qui sono per l'anti-spam generale. In una certa misura, questo ha senso dal momento che gli spammer sembrano dirigersi verso le racchette da neve come metodo di consegna preferito.

In origine, le racchette da neve venivano sempre inviate da datacenter a basso volume (su base IP) e includevano sempre un link per annullare l'iscrizione (per non dire se funzionasse). Al giorno d'oggi, le racchette da neve non hanno quasi mai cancellato le informazioni e vengono inviate ad alto volume dai suoi IP, ma vengono inviate in modo tale che quando l'IP viene inserito nella lista nera, ha già finito di inviare posta. Questo si chiama spam durante la grandinata .

Per questo motivo , DNSBL e persino firme basate su schemi rigidi sono orribili nel catturare lo spam con le ciaspole. Ci sono alcune eccezioni, come l' elenco CSS di Spamhaus (che è specificamente destinato alle reti con racchette da neve e fa parte sia di SBL che di ZEN), ma in generale avrai bisogno di greylisting / tarpitting (che può ritardare la consegna fino a quando i DNSBL non raggiungono ) e, soprattutto, un sistema di apprendimento automatico basato su token come il filtro antispam bayesiano . Bayes è particolarmente bravo a rilevare le racchette da neve.

La risposta di Andrew B menziona i domini e i nomi host (NOD) di Farsight Security , che cercano di anticipare le reti con le racchette da neve quando vengono spinte ma prima che inizino a fare spam. Spamhaus CSS probabilmente fa qualcosa di simile. CSS è pronto per l'uso in un ambiente di blocco, mentre NOD è davvero progettato per essere un feed per un sistema personalizzato piuttosto che un sistema autonomo / di blocco.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.