Что случилось со всем спамом?

29

Не поймите меня неправильно, я в основном рад, что это произошло. Тем не менее, я хочу убедиться, что причины этого случаются, а не проблемы с нашими методами. Я хотел бы проиллюстрировать, что здесь происходит, с помощью графика:

http://lightspeed.ca/personalpage/ernied/spam_junk-year.png

Ярко-зеленая линия показывает частоту, с которой наш сервер отклонял сообщения с IP-адресов, перечисленных в черных списках в реальном времени в течение последних 12 месяцев. В мае прошлого года мы отклоняли в среднем около 175 сообщений каждые 5 минут, или 35 в минуту, используя только этот фильтр. Совершенно очевидно, что с октября этот показатель уменьшился до доли этого - теперь мы в среднем используем около 8 отклоненных сообщений в минуту с помощью этого фильтра:

http://lightspeed.ca/personalpage/ernied/spam_junk-week.png

Поскольку мы не видим соответствующего увеличения количества сообщений, захваченных Spamassassin (чирная линия в основном заглушена внизу графика) или любыми другими фильтрами, я могу прийти к одному из двух выводов на основе этой статистики:

1) Все наши фильтры стали неэффективными.

или

2) Спамеры не спамят так часто, как раньше.

Исторически говоря, я считаю, что 1 гораздо более вероятно, чем 2. Однако, исходя из опыта и жалоб клиентов (скорее, их отсутствия), 1 не соответствует действительности, потому что мы больше не видим большого количества спама в наших почтовых ящиках. Так что, черт возьми, здесь происходит? Я не могу понять, что спам как-то стал убыточным. Они перешли на более мягкие цели? Я почти не вижу спама на Facebook, Twitter или HTTP-форумах. Были ли массовые аресты, удаление спамеров с дикой природы и препятствование выходу новых преступников на ринг?

Безотносительно причины это звучит для меня как упорная победа для кого-то там. Но я все еще хочу убедиться, что пришло время разбить шампанское или начать точить наши мечи.

Эрни
источник
1
+1, хорошо написанный вопрос для интересного субъекта
Майк Пеннингтон,
1
Все пошло на мой аккаунт в Yahoo ...
Justin808

Ответы:

6

Несколько месяцев назад «Rustock» (который я считаю самым крупным спамом, производящим спам) был снят ( http://blogs.technet.com/b/microsoft_on_the_issues/archive/2011/03/17/taking-down- botnets-microsoft-and-the-rustock-botnet.aspx )
Несмотря на то, что он не производил 100% спама, я думаю, что это был довольно большой вклад. Также, как правило, компании добавляют методы, которые замедляют спам-роботов, даже если вы ничего не делаете, скажем, если GMail изменил что-то, из-за чего BotNets доставлял каждое сообщение на 1 секунду дольше, это также замедляло бы доставку спама на ваши серверы.

мазаться
источник
Что ж, это объясняет падение на моем графике в марте, когда входящий спам снова сократился вдвое, но как насчет общего снижения в период с октября по декабрь и еще одного резкого падения в декабре?
Эрни
Не уверен насчет этого, поскольку я говорю, что это могут быть другие люди, делающие вещи, которые замедляют ботов. Если вы посмотрите на графики в этой статье, bbc.co.uk/news/technology-12126880?cmpid=prblog они показывают примерно аналогичную тенденцию к вашим графикам
Smudge
1
Статья BBC, кажется, предполагает, что многие спамеры добровольно прекратили спам. Учитывая, что Rustock почти замолчал до того, как Microsoft его похитил, можно заподозрить, что те, кто управлял ботнетом Rustock, заметили попытки остановить их (и считали, что это законная угроза), и, таким образом, большинство из них бежали до того, как кто-то поставил их в тюрьме. Возможно, его также продали какой-то ничего не подозревающей киске, чтобы поймать эту горячую картошку.
Эрни
5

Спам приливы и отливы, как прилив сточных вод, плеск на берегах наших любимых островов электронной почты.

На самом деле, это сочетание двух основных факторов - как отметил Самарж, по крайней мере, один большой ботнет был недавно удален. Я слышал и о том, что несколько других тоже недавно потерпели поражение, и я полагаю, что MS, возможно, оказала некоторое влияние на недавние патчи (хотя я тоже мог вспомнить несколько наборов патчей назад).

Другой фактор заключается в том, что - да - спаммеры проскальзывают мимо фильтров. Я заметил небольшое увеличение количества спама в некоторых моих учетных записях, которое только начинает уменьшаться, поскольку SpamAssassin догоняет новую горячность спама.


Если ваша статистика более или менее похожа на статистику SpamCop, то ваши фильтры, вероятно, работают нормально. Наслаждайтесь отсрочкой и знайте, что, когда снова начнется прилив, ваши пользователи будут плакать, что их заставят пробираться сквозь неочищенные сточные воды. опять таки.

voretaq7
источник
4

Из того, что я вижу, самая большая разница между сегодняшним днем ​​и несколькими месяцами тому назад заключается в том, что спам, исходящий из российских систем, заметно сократился, что говорит о том, что кто-то предпринял позитивные действия. Кроме того, мне кажется, что уровень просто вернулся к тому, что было долгосрочной нормой после некоторого пика за последний год.

На этом изображении показана статистика для нашей системы примерно с августа 2009 года. Игнорируйте цифры, важен только тренд.

введите описание изображения здесь

Статистика была довольно стабильной в течение примерно 5 лет до этого, когда я впервые начал составлять графики этого материала. У меня больше нет старых данных.

Джон Гарденье
источник
-5

Настоящей причиной, по которой количество спам-сообщений уменьшается, является список http://www.uceprotect.net/ . Этот список не заботится о том, кто отправляет и почему ... Они внесут в черный список полного провайдера, занеся в черный список его номер AS (что означает, что все почтовые серверы провайдера будут занесены в черный список, независимо от того, отправляли ли они спам).

Основная цель - заставить сетевых администраторов заблокировать порт 25 и пропустить через брандмауэр только легальные почтовые серверы. Тогда скомпрометированные компьютеры не могут быть использованы в качестве почтовых серверов.

Заставить пользователей использовать ваш почтовый сервер - это вторая часть веревки ...

Mangia
источник
Это только один из множества черных списков и довольно незначительный. Вы действительно предполагаете, что это единственный, который имеет какой-либо реальный эффект?
Джон Гарденье
Да. Этот список является одним из крупнейших движений в борьбе со спамом. Представьте, что полный провайдер занесен в черный список только потому, что 10 пользователей заражены спам-ботами ...
Мания
1
И это полный идиотизм идеи. Как администратор почты, я бы никогда не подумал о блокировке почты из-за этого списка RBL из- за сопутствующего ущерба, который он создает. Я бы даже не придал этому никакого значения при подсчете баллов за спам.
The Wabbit
2
-1. Syneticon-dj прав. Этот сайт не только немного проигрывает, но и является одним из самых серьезных системных администраторов, который никогда не использовал бы его для сервера с любым разнообразием клиентов. Не менее важно то, что его миссия «заставить сетевых администраторов блокировать порт 25» не является практическим решением.
Эрни
ХОРОШО. Ваши интернет-провайдеры оставили порт 25 открытым для всех пользователей? Все интернет-провайдеры в БиГ закрыли порт 25 для динамических пулов IP (пулы, предназначенные для обычных пользователей)
Мания