Каковы лучшие методы для ловли спама на снегоступах?

21

Я использую Smartermail для своего небольшого почтового сервера. В последнее время у нас возникла проблема получения волн спама на снегоступах, которые следуют той же схеме. Они приходят партиями по 3 или 4 за один раз. Тела почти идентичны, за исключением доменного имени, на которое они ссылаются. Исходные IP-адреса, как правило, некоторое время находятся в одном и том же блоке / 24, а затем переключаются на другой / 24. Домены имеют тенденцию быть совершенно новыми. Они имеют действительные записи PTR и SPF и имеют случайную тарабарщину внизу тела, чтобы подделать байесовские фильтры.

Я использую дюжину разных RBL, включая Barracuda, Spamhaus, SURBL и URIBL. Они делают приличную работу, отлавливая большинство из них, но мы по-прежнему часто сталкиваемся с ошибками, поскольку IP-адреса и домены не попали в черный список.

Могу ли я использовать какие-либо стратегии, в том числе RBL, которые блокируют вновь созданные домены или имеют дело со спамом в snoeshow? Я надеюсь избежать использования сторонней службы фильтрации.

blacklist spam rbl email pooter03
источник
2
Я рекомендую изменить заголовок, чтобы он не указывал на то, «какой продукт мне следует использовать», потому что вопросы о покупках не по теме для сайтов Stack Exchange. Хотя защита от снегоступов - хорошая тема для ServerFault, и я попрошу одного из моих коллег прокомментировать.
Андрей Б
Полезно знать, что такое спам в Snoeshow .
ewwhite
1
Большинство RBL являются бесплатными услугами, которые может использовать любой почтовый администратор. Это считается покупками?
pooter03
Да, потому что независимо от того, свободны они или нет, ответ действителен только в течение определенного промежутка времени. (что касается этой ссылки) Компании все время выходят из бизнеса, включая те, которые предоставляют бесплатные услуги.
Андрей Б
1
Я изменил вопрос. Пожалуйста, дайте мне знать, если это более уместно.
pooter03

Ответы:

14

Это становится реальной проблемой для ваших пользователей?

Я бы порекомендовал полный сервис фильтрации почты на этом этапе. Байесовский уже не такой горячий. Репутация, RBL, анализ заголовка / намерения и другие факторы, кажется, помогают больше. Рассмотрим службу облачной фильтрации, которая объединяет несколько подходов ( и общий объем ) для обеспечения лучшей защиты ( я использую облачное решение ESS от Barracuda для своих клиентов ).

И конечно: Борьба со спамом - Что я могу сделать как: администратор электронной почты, владелец домена или пользователь?

На нас не повлияло отрицательное влияние нападений на Снегоступах. Я действительно видел период, когда объем почты увеличивался в день с этими атаками. Но ничего плохого не удалось. За 3 дня Барракуда снизил объемы до нормального уровня.

Я думаю, что решения для фильтрации, которые имеют широкое представление о почтовой активности во всем мире, могут реагировать на атаки лучше, чем отдельные почтовые фильтры.

Редактировать:

Это также обсуждалось недавно в списке рассылки LOPSA :

Мой вклад: https://www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
Другое мнение: https://www.mail-archive.com/tech@lists.lopsa.org/msg04181 .html

ewwhite
источник
1
Они начинают жаловаться. Это всего лишь несколько десятков клиентов, и мы предлагаем наши почтовые услуги по низкой цене или даже бесплатно в комплекте с другими покупаемыми нами услугами, поэтому мы надеялись по возможности избежать платных услуг. Я буду инвестировать этот продукт как бы то ни было.
pooter03
Это около $ 8 / пользователь / год.
ewwhite
Спасибо. Считайте это виртуальным повышением, пока я не получу представителя, чтобы сделать это. :)
pooter03
+1 для Баррукады.
тыкай
2
Я все еще рекомендую фильтрацию почты Barracuda Cloud. Это, вероятно, самое чистое решение вашей текущей проблемы.
ewwhite
8

Я парень DNS Ops, который тесно сотрудничает с группой, которая часто подвергается этим атакам. Работа с атаками на снегоступах - это, прежде всего, проблема процесса, и, как указывает ewwhite, решение вашей компании может выходить за рамки вашей компании. Я бы даже сказал, что если у вас нет значительной операции и нескольких коммерческих каналов RBL, вам, вероятно, не следует пытаться решить эту проблему самостоятельно, используя коммерческую службу фильтрации.

Тем не менее, у нас есть некоторый опыт в этом, и поделиться им интереснее, чем нет. Некоторые точки соприкосновения:

  • Если возможно, обучите свою почтовую платформу определению характеристик выполняемой атаки Snowshoe и временно отклоните сообщения от рассматриваемых сетей. Клиенты с хорошим поведением будут пытаться пересылать сообщения при временном сбое, другие, как правило, этого не делают.
  • Убедитесь, что ваши администраторы DNS осуществляют мониторинг UDP-MIB::udpInErrorsчерез SNMP, потому что почтовые платформы очень способны переполнять очереди приема прослушивателей UDP, когда идет атака Snowshoe. Если это не так, быстрый способ определить это в Linux - запустить netstat -s | grep 'packet receive errors'на рассматриваемых DNS-серверах; большое количество указывает на то, что им нужно снять свои брюки и начать обращать внимание. Им потребуется увеличить емкость или увеличить размер приемных буферов, если происходит частая утечка. (что означает потерянные DNS-запросы и потерянные возможности для предотвращения спама)
  • Если вы часто видите эти атаки с использованием только что созданных доменов, RBL, которые их выделяют, существуют. Пример одного из них есть Farsight NOD (люди , читающие это должны выполнять свои собственные исследования), но это не бесплатно.

Полное раскрытие: Farsight Security была основана Полом Викси, у которого есть плохая привычка высказываться, когда люди нарушают стандарты DNS.

Андрей Б
источник
Ваш второй пункт особенно интересен. Я подозревал, что мы пропускаем DNS-запросы к спискам RBL, которые уже занесены в черный список IP-адреса или URL-адреса, но я не смог доказать это. Однако почтовый сервер работает в Windows 2012 и использует DNS-сервер Windows. Это довольно низкий объем сервера, но я хочу исследовать это дальше. К сожалению, это не объясняет все, потому что некоторые из проскакивающих вещей еще не успели поймать свои домены или IP-адреса крупными RBL.
pooter03
Средний объем DNS-сервера не будет иметь большого значения. Главная характеристика переполнения очереди приема - неспособность обрабатывать ваши входящие пакеты достаточно быстро, чтобы вывести их из очереди, а атака на снегоступах, основанная на томах, более чем способна достичь этого в зависимости от того, сколько поисков DNS вы выполняете за спам.
Андрей B
2
Ваше первое предложение широко известно как грейлистинг .
Нейт Элдридж
2
@Nate Это форма серых списков , но использование этого термина безоговорочно подсказывает большинству людей, что это действие должно быть предпринято в ответ на вновь наблюдаемую ИС. Атакующие сети обычно тратят время на установление соединений (без отправки заголовков) на подготовку к синхронизированной доставке полезной нагрузки. Эта черта - то, над чем вы действуете, поскольку она позволяет предсказать, что IP-адреса, которые вы еще не видели, вовлечены в атаку.
Андрей Б
Для чего бы это ни стоило, у меня (на более общем уровне) включены серые списки на сервере, и спамеры правильно реагируют после определенного периода. Судя по всему, электронная почта поступает с законных почтовых серверов с правильно настроенными записями PTR, SPF и т. Д.
pooter03
1

Я установил Declude (который бесплатен) и Message Sniffer (который не является), и за последние 4 дня я видел одно спам-сообщение, приходящее в мою тестовую учетную запись электронной почты, в отличие от десятков, которые он получал в день. Насколько я могу судить, мы не отфильтровали хорошую почту. Spamassassin, вероятно, также будет хорошим решением, хотя мне не повезло с ним, когда я попробовал Spam Assassin in a Box ...

pooter03
источник
0

Многие ответы здесь для общего антиспама. В некоторой степени это имеет смысл, поскольку спаммеры, похоже, направляются к снегоступам в качестве предпочтительного способа доставки.

Первоначально Snowshoe всегда отправлялась из центров обработки данных в небольшом объеме (для отдельных IP-адресов) и всегда включала ссылку для отмены подписки (не говоря уже о том, работает ли она). В настоящее время снегоступы почти никогда не имеют информации о подписке и отправляются в большом объеме со своих IP-адресов, но отправляются в виде пакета, так что к тому времени, когда IP-адрес занесен в черный список, он уже завершил отправку почты. Это называется градом спама .

Из-за этого DNSBL и даже жесткие подписи на основе шаблонов ужасны при ловле спама на снегоступах. Есть некоторые исключения, такие как список CSS Spamhaus (который специально направленных на снегоступах сетей и является частью как SBL и ZEN), но в целом вы будете нуждаться в серый список / искусственной задержки ответов (которые могут задержать доставку до тех пор , DNSBLs не догнать ) и, самое главное, система машинного обучения, основанная на использовании токенов, такая как байесовская фильтрация спама . Байес особенно хорош в обнаружении снегоступов.

В ответе Эндрю Б. упоминаются новые домены и имена хостов (NOD) Farsight Security , которые пытаются предвидеть сети на снегоступах, когда они раскручиваются, но до того, как начинают рассылаться спам. Spamhaus CSS, вероятно, делает что-то подобное. CSS готов к использованию в блокирующей среде, в то время как NOD действительно предназначен для подачи в пользовательскую систему, а не в автономную / блокирующую систему.

Адам Кац
источник