Vraag Spam bestrijden - Wat kan ik doen als: e-mailbeheerder, domeineigenaar of gebruiker?


Dit is een Canonical Question over het bestrijden van spam.
  Ook gerelateerd:

Er zijn zoveel technieken en zoveel te weten over het bestrijden van spam. Welke algemeen gebruikte technieken en technologieën zijn beschikbaar voor beheerders, domeineigenaren en eindgebruikers om de rommel uit onze postvakken te houden?

We zijn op zoek naar een antwoord dat verschillende technologieën vanuit verschillende invalshoeken behandelt. Het geaccepteerde antwoord moet een verscheidenheid aan technologieën omvatten (bijv. SPF / SenderID, DomainKeys / DKIM, Graylisting, DNS RBL's, Reputatieservices, Filtersoftware [SpamAssassin, enz.]); best practices (bijv. e-mail op poort 25 mag nooit worden doorgestuurd, poort 587 moet worden gebruikt, enz.), terminologie (bijv. open relais, backscatter, MSA / MTA / MUA, spam / ham) en mogelijk andere technieken.


101
2017-08-20 20:30


oorsprong


Canonisch of niet, dit is niet de plek om vragen te stellen over dingen op gebruikersniveau. - John Gardeniers


antwoorden:


Om je vijand te verslaan, moet je je vijand kennen.

Wat is spam?

Voor onze doeleinden is spam een ​​ongevraagd elektronisch bulkbericht. Spam is tegenwoordig bedoeld om nietsvermoedende gebruikers naar een (meestal schaduwrijke) website te lokken waar ze worden gevraagd om producten te kopen of malware op hun computers of beide te laten bezorgen. Sommige spam levert rechtstreeks malware op.

Het zal je misschien verbazen om te horen dat de eerste spam werd verzonden in 1864. Het was een advertentie voor tandheelkundige diensten, verstuurd via Western Union-telegram. Het woord zelf is a referentie naar een scène in Monty Python's Flying Circus.

Spam, in dit geval, doet niet refereer naar mailinglijstverkeer waarop een gebruiker geabonneerd is, zelfs als ze later van gedachten zijn veranderd (of het vergeten zijn) maar zich nog niet echt hebben afgemeld.

Waarom is spam een ​​probleem?

Spam is een probleem omdat het werkt voor de spammers. Spam genereert doorgaans meer dan voldoende verkoop (of levering van malware of beide) aan dekking van de kosten - naar de spammer - van het versturen ervan. De spammer houdt geen rekening met de kosten voor de ontvanger, u en uw gebruikers. Zelfs wanneer een kleine minderheid van gebruikers die spam ontvangen hierop reageren, is het genoeg.

U kunt dus de rekeningen betalen voor bandbreedte, servers en beheerders om inkomende spam te verwerken.

We blokkeren spam om deze redenen: we willen het niet zien, om onze kosten voor het verwerken van e-mail te verminderen en om spammen duurder te maken voor de spammers.

Hoe werkt spam?

Spam wordt meestal op verschillende manieren afgeleverd van normale, legitieme e-mail.

Spammers willen bijna altijd de herkomst van de e-mail verbergen, dus een typische spam bevat valse header-informatie. De From: adres is meestal nep. Sommige spam bevat nep Received: lijnen in een poging om het pad te verbergen. Veel spam wordt geleverd via open SMTP-relays, open proxyservers en botnets. Al deze methoden maken het moeilijker om te bepalen wie de spam is ontstaan.

Eenmaal in de inbox van de gebruiker is het doel van de spam om de gebruiker te verleiden de geadverteerde website te bezoeken. Daar wordt de gebruiker ertoe verleid om een ​​aankoop te doen, of probeert de site malware te installeren op de computer van de gebruiker, of beide. Of de spam zal de gebruiker vragen om een ​​bijlage te openen die malware bevat.

Hoe stop ik spam?

Als systeembeheerder van een mailserver configureert u uw e-mailserver en -domein om het voor spammers moeilijker te maken hun spam aan uw gebruikers te bezorgen.

Ik zal onderwerpen behandelen die specifiek gericht zijn op spam en dingen overslaan die niet direct gerelateerd zijn aan spam (zoals versleuteling).

Loop geen open relais

De zonde van de grote mailserver is het uitvoeren van een open relais, een SMTP-server die e-mail voor elke bestemming accepteert en doorgeeft. Spammers houden van open relais omdat ze vrijwel de levering garanderen. Ze nemen de lading van het afleveren van berichten over (en proberen het opnieuw!) Terwijl de spammer iets anders doet. Ze maken spamming goedkoop.

Open relais dragen ook bij aan het probleem van terugverstrooiing. Dit zijn berichten die werden geaccepteerd door het relais maar vervolgens onbestelbaar bleken te zijn. Het open relais zal dan een teruggebeld bericht naar de verzenden From: adres dat een kopie van de spam bevat.

  • Configureer uw mailserver om inkomende e-mail op poort 25 alleen voor uw eigen domein (en) te accepteren. Voor de meeste mailservers is dit het standaardgedrag, maar u moet op zijn minst de e-mailserver vertellen wat uw domeinen zijn.
  • Test uw systeem door uw SMTP-server een e-mail te sturen van buiten uw netwerk waar beide From: en To: adressen zijn niet binnen uw domein. Het bericht moet worden afgewezen. (Of gebruik een online service zoals MX Toolbox om de test uit te voeren, maar houd er rekening mee dat sommige online services uw IP-adres zullen indienen op zwarte lijsten als uw e-mailserver de test niet doorstaat.)

Alles afkeuren dat te verdacht lijkt

Verschillende verkeerde configuraties en fouten kunnen een aanwijzing zijn dat een binnenkomend bericht waarschijnlijk spam is of anderszins onwettig.

  • Markeren als spam of berichten weigeren waarvoor het IP-adres geen omgekeerde DNS (PTR-record) heeft. Behandel het ontbreken van een PTR-record strenger voor IPv4-verbindingen dan voor IPv6-verbindingen, aangezien veel IPv6-adressen nog geen omgekeerde DNS hebben en mogelijk pas over een aantal jaren, totdat de DNS-serversoftware beter in staat is om deze mogelijk zeer grote zones te verwerken.
  • Weigeren berichten waarvoor de domeinnaam in de afzender of ontvanger adressen niet bestaat.
  • Weigeren berichten die geen volledig gekwalificeerde domeinnamen gebruiken voor de afzender- of ontvangerdomeinen, tenzij ze afkomstig zijn uit uw domein en bedoeld zijn om in uw domein te worden afgeleverd (bijvoorbeeld bewakingsservices).
  • Verwerp verbindingen waar het andere einde geen verzendt HELO/EHLO.
  • Verbreek verbindingen waar de HELO/EHLO is:
    • geen volledig gekwalificeerde domeinnaam en geen IP-adres
    • schaamteloos verkeerd (bijvoorbeeld uw eigen IP-adresruimte)
  • Verwerp verbindingen die pijplijnen gebruiken zonder daartoe geautoriseerd te zijn.

Verifieer uw gebruikers

E-mail die aankomt op uw servers moet worden beschouwd in termen van inkomende e-mail en uitgaande e-mail. Inkomende e-mail is elke e-mail die aankomt op uw SMTP-server en die uiteindelijk bestemd is voor uw domein; uitgaande e-mail is elke e-mail die aankomt op uw SMTP-server en die elders zal worden overgedragen voordat deze wordt bezorgd (bijvoorbeeld wanneer deze naar een ander domein gaat). Inkomende mail kan worden afgehandeld door uw spamfilters en kan overal vandaan komen, maar moet altijd bestemd zijn voor uw gebruikers. Deze e-mail kan niet worden geverifieerd omdat het niet mogelijk is om inloggegevens te geven aan elke site die u e-mail zou kunnen sturen.

Uitgaande post, dat wil zeggen post die zal worden gerelayeerd, moet worden geverifieerd. Dit is het geval, ongeacht of deze afkomstig is van internet of van binnenuit uw netwerk (hoewel u de IP-adresbereiken die zijn toegestaan ​​om uw mailserver te gebruiken indien operationeel mogelijk zou moeten beperken); dit komt omdat spambots binnen uw netwerk kunnen draaien. Configureer uw SMTP-server dus zodanig dat e-mail die is verbonden met andere netwerken wordt verwijderd (relaistoegang wordt geweigerd), tenzij die e-mail is geverifieerd. Beter nog, gebruik aparte e-mailservers voor inkomende en uitgaande e-mail, sta helemaal geen doorschakeling toe voor de binnenkomende e-mail en laat geen ongeverifieerde toegang toe tot de uitgaande e-mailservers.

Als uw software dit toestaat, moet u ook berichten filteren volgens de geverifieerde gebruiker; Als het adres van de e-mail niet overeenkomt met de gebruiker die heeft geverifieerd, moet dit worden afgewezen. Werk het inkomende adres niet stil bij; de gebruiker moet op de hoogte zijn van de configuratiefout.

U moet ook de gebruikersnaam die wordt gebruikt om e-mail te verzenden, registreren of een identificerende header toevoegen. Op deze manier, als misbruik optreedt, hebt u bewijsmateriaal en weet u welk account daarvoor is gebruikt. Hiermee kunt u gecompromitteerde accounts en probleemgebruikers isoleren, en dit is vooral waardevol voor shared-hostingproviders.

Verkeer filteren

U wilt er zeker van zijn dat mail die uw netwerk verlaat, feitelijk wordt verzonden door uw (geverifieerde) gebruikers, niet door bots of mensen van buitenaf. De details van hoe u dit doet, zijn afhankelijk van het soort systeem dat u beheert.

Over het algemeen is het blokkeren van uitstapverkeer op poorten 25, 465 en 587 (SMTP, SMTP / SSL en verzending) voor alles behalve uw uitgaande e-mailservers een goed idee als u een bedrijfsnetwerk bent. Dit is zo dat malware-werkende bots in uw netwerk geen spam van uw netwerk kunnen verzenden om relais te openen op internet of rechtstreeks naar de uiteindelijke MTA voor een adres.

Hotspots zijn een speciaal geval omdat legitieme e-mail van hen afkomstig is van veel verschillende domeinen, maar (vanwege SPF, onder andere) een "geforceerde" mailserver ongepast is en gebruikers de SMTP-server van hun eigen domein moeten gebruiken om e-mail in te dienen. Deze zaak is veel moeilijker, maar het gebruik van een specifiek openbaar IP- of IP-bereik voor internetverkeer van deze hosts (ter bescherming van de reputatie van uw site), beperking van SMTP-verkeer en diepgaande pakketinspectie zijn oplossingen om te overwegen.

Spambots hebben in het verleden vooral spam op poort 25 uitgegeven, maar niets weerhoudt hen ervan poort 587 voor hetzelfde doel te gebruiken, dus het veranderen van de poort die wordt gebruikt voor inkomende e-mail is van dubieuze waarde. Het gebruik van poort 587 voor het verzenden van e-mail wordt echter aanbevolen door RFC 2476en maakt een scheiding mogelijk tussen het verzenden van e-mail (naar de eerste MTA) en e-mailoverdracht (tussen MTA's) waar dat niet duidelijk is uit de netwerktopologie; als u een dergelijke scheiding wenst, moet u dit doen.

Als u een ISP, VPS-host, colocatieprovider of soortgelijk bent of een hotspot voor gebruik door bezoekers aanbiedt, kan het blokkeren van uitgaande SMTP-verkeer problematisch zijn voor gebruikers die e-mail verzenden met behulp van hun eigen domeinen. In alle gevallen behalve een openbare hotspot, moet u gebruikers vereisen die uitgaande SMTP-toegang nodig hebben omdat ze een mailserver gebruiken om dit specifiek te vragen. Laat hen weten dat klachten over misbruik er uiteindelijk toe zullen leiden dat de toegang wordt beëindigd om uw reputatie te beschermen.

Dynamische IP's, en die voor virtuele desktopinfrastructuur, zouden nooit uitgaande SMTP-toegang moeten hebben, behalve naar de specifieke mailserver die van deze knooppunten wordt verwacht. Dit soort IP's moeten verschijnen ook op zwarte lijsten en je moet niet proberen om een ​​reputatie voor hen op te bouwen. Dit komt omdat het zeer onwaarschijnlijk is dat ze een legitieme MTA gebruiken.

Overweeg om SpamAssassin te gebruiken

SpamAssassin is een e-mailfilter dat kan worden gebruikt om spam te identificeren op basis van de berichtkoppen en inhoud. Het gebruikt een op regels gebaseerd scoresysteem om de waarschijnlijkheid te bepalen dat een bericht spam is. Hoe hoger de score, hoe groter de kans dat het bericht spam is.

SpamAssassin heeft ook een Bayesiaanse engine die spam en ham (legitieme e-mail) monsters kan analyseren die eraan worden toegevoegd.

Best practice voor SpamAssassin is niet om de e-mail te weigeren, maar om het in een map Ongewenste of Spam te plaatsen. MUA's (mail user agents) zoals Outlook en Thunderbird kunnen worden ingesteld om de headers te herkennen die SpamAssassin toevoegt aan e-mailberichten en deze op de juiste manier te archiveren. Valse positieven kunnen en zullen gebeuren, en hoewel ze zeldzaam zijn, wanneer het de CEO overkomt, zult u erover horen. Dat gesprek zal veel beter gaan als het bericht gewoon in de map Junk wordt bezorgd in plaats van volledig te worden geweigerd.

SpamAssassin is echter bijna one-of-a-kind er zijn een paar alternatieven.

  • Installeer SpamAssassin en configureer automatische update voor zijn regels met behulp van sa-update.
  • Overweeg het gebruik van aangepaste regels waar passend.
  • Overweeg het instellen Bayesiaanse filtering.

Overweeg om blackhole-lijsten en reputatieservices op basis van DNS te gebruiken

DNSBL's (voorheen bekend als RBL's of realtime blackhole-lijsten) bieden lijsten met IP-adressen die zijn gekoppeld aan spam of andere kwaadwillige activiteit. Deze worden beheerd door onafhankelijke derde partijen op basis van hun eigen criteria, dus onderzoek zorgvuldig of de criteria voor lijsten en delisting die worden gebruikt door een DNSBL, compatibel zijn met de behoefte van uw organisatie om e-mail te ontvangen. Een paar DNSBL's hebben bijvoorbeeld een schrappingbeleid van draconische aard, waardoor het erg moeilijk wordt voor iemand die per ongeluk werd verwijderd om te worden verwijderd. Anderen verwijderen automatisch nadat het IP-adres gedurende een bepaalde periode geen spam heeft verzonden, wat veiliger is. De meeste DNSBL's zijn gratis te gebruiken.

Reputatieservices zijn vergelijkbaar, maar claimen betere resultaten te bieden door meer gegevens te analyseren die relevant zijn voor een bepaald IP-adres. De meeste reputatieservices vereisen een abonnementsbetaling of hardware-aankoop of beide.

Er zijn tientallen DNSBL's en reputatieservices beschikbaar, hoewel enkele van de bekendste en nuttigere die ik gebruik en aanbevelen zijn:

Conservatieve lijsten:

Agressieve lijsten:

Zoals eerder vermeld, zijn er vele tientallen andere beschikbaar die aan uw behoeften kunnen voldoen. Een van mijn favoriete trucs is om zoek het IP-adres op die een spam opleverde die tegen meerdere DNSBL's was gepasseerd om te zien wie van hen de spam zou hebben afgewezen.

  • Bekijk voor elke DNSBL en reputatieservice zijn beleid voor het weergeven en verwijderen van IP-adressen en bepaal of deze compatibel zijn met de behoeften van uw organisatie.
  • Voeg de DNSBL toe aan uw SMTP-server wanneer u hebt besloten dat het geschikt is om die service te gebruiken.
  • Overweeg om elke DNSBL een score en te geven configureren in SpamAssassin in plaats van uw SMTP-server. Dit vermindert de impact van een vals positief; zo'n bericht zou worden afgeleverd (mogelijk naar Junk / Spam) in plaats van gebounced. De afweging is dat je een lot van spam.
  • Of, regel helemaal als het IP-adres op een van de conservatievere lijsten staat en configureer de meer agressieve lijsten in SpamAssassin.

Gebruik SPF

SPF (Sender Policy Framework; RFC 4408 en RFC 6652) is een manier om spoofing van e-mailadressen te voorkomen door te verklaren welke internethosts gemachtigd zijn om e-mail voor een bepaalde domeinnaam af te leveren.

  • Configureer uw DNS om een ​​SPF-record te declareren bij uw geautoriseerde uitgaande mailservers en -all om alle anderen te verwerpen.
  • Configureer uw mailserver om de SPF-records van inkomende e-mail te controleren, als deze bestaan, en e-mail te weigeren die SPF-validatie mislukt. Sla deze controle over als het domein geen SPF-records heeft.

Onderzoek DKIM

DKIM (DomainKeys Identified Mail; RFC 6376) is een methode voor het insluiten van digitale handtekeningen in e-mailberichten die kunnen worden geverifieerd met openbare sleutels die zijn gepubliceerd in de DNS. Het is -Patenten belaste in de VS, wat de acceptatie ervan heeft vertraagd. DKIM-handtekeningen kunnen ook breken als een bericht tijdens het transport wordt gewijzigd (zo kunnen SMTP-servers af en toe MIME-berichten opnieuw inpakken).

  • Overweeg om uw uitgaande e-mail te ondertekenen met DKIM-handtekeningen, maar houd er rekening mee dat de handtekeningen niet altijd correct kunnen worden geverifieerd, zelfs niet op legitieme e-mail.

Overweeg om greylisting te gebruiken

Greylisting is een techniek waarbij de SMTP-server een tijdelijke weigering afgeeft voor een binnenkomend bericht, in plaats van een permanente afwijzing. Wanneer de levering binnen enkele minuten of uren opnieuw wordt geprobeerd, accepteert de SMTP-server het bericht.

Greylisting kan sommige spamsoftware stoppen die niet robuust genoeg is om onderscheid te maken tussen tijdelijke en permanente afwijzingen, maar niet helpt bij spam die naar een open relay of met meer robuuste spamsoftware is verzonden. Het introduceert ook vertragingen in de levering die gebruikers mogelijk niet altijd tolereren.

  • Overweeg om greylisting alleen in extreme gevallen te gebruiken, omdat dit zeer verstorend is voor legitiem e-mailverkeer.

Overweeg om nolisting te gebruiken

Nolisting is een methode om uw MX-records zodanig te configureren dat de record met de hoogste prioriteit (laagste voorkeursnummer) geen actieve SMTP-server heeft. Dit is afhankelijk van het feit dat veel spam-software alleen het eerste MX-record probeert, terwijl legitieme SMTP-servers alle MX-records in oplopende volgorde van voorkeur proberen. Sommige spam-software probeert ook rechtstreeks naar de MX-record met de laagste prioriteit (hoogste voorkeursnummer) te verzenden in strijd met RFC 5321, dus dat kan ook worden ingesteld op een IP-adres zonder een SMTP-server. Dit is naar verluidt veilig, maar zoals bij alles moet je eerst zorgvuldig testen.

  • Overweeg om uw MX-record met de hoogste prioriteit zodanig in te stellen dat deze verwijst naar een host die niet op poort 25 antwoordt.
  • Overweeg om uw MX-record met de laagste prioriteit zodanig in te stellen dat deze verwijst naar een host die niet antwoordt op poort 25.

Overweeg een apparaat voor spam-filtering

Plaats een spamfilterapparaat zoals Cisco IronPort of Barracuda Spam & Virus Firewall (of andere soortgelijke apparaten) voor uw bestaande SMTP-server om veel van het werk uit het verminderen van de spam die u ontvangt te nemen. Deze apparaten zijn vooraf geconfigureerd met DNSBL's, reputatieservices, Bayes-filters en de andere functies die ik heb gedekt en worden regelmatig bijgewerkt door hun fabrikanten.

  • Onderzoekspam die apparaathardware en abonnementskosten filtert.

Overweeg gehoste e-mailservices

Als het u teveel is (of uw overwerkte IT-personeel), kunt u altijd een externe serviceprovider uw e-mail laten verwerken. Diensten zoals Google's Postini, E-mailbeveiliging van Symantec MessageLabs (of anderen) filtert berichten voor u. Sommige van deze services kunnen ook voldoen aan wettelijke en wettelijke vereisten.

  • Door het onderzoek gehoste abonnementskosten voor e-mailservices.

Welke richtlijnen moeten sysadmins geven aan eindgebruikers met betrekking tot het bestrijden van spam?

Het absolute nummer 1 ding dat eindgebruikers zouden moeten doen om spam te bestrijden is:

  • REAGEER NIET OP DE SPAM.

    Als het er grappig uitziet, klik dan niet op de websitelink en open de bijlage niet. Het maakt niet uit hoe aantrekkelijk het aanbod lijkt. Die viagra is niet zo goedkoop, je krijgt niet echt naaktfoto's van wie dan ook, en er is geen $ 15 miljoen dollar in Nigeria of elders, behalve het geld van mensen die deed reageren op de spam.

  • Als u een spam-bericht ziet, markeert u het als Junk of Spam, afhankelijk van uw e-mailclient.

  • NIET DOEN markeer een bericht als Junk / Spam als je je hebt aangemeld om de berichten te ontvangen en deze gewoon wilt ontvangen. In plaats daarvan, meldt u zich af voor de mailinglijst met behulp van de verstrekte afmeldmethode.

  • Controleer regelmatig in uw map met ongewenste e-mails of er legitieme berichten zijn ontvangen. Markeer deze als Niet-ongewenste / geen spam en voeg de afzender toe aan uw contacten om te voorkomen dat hun berichten in de toekomst als spam worden gemarkeerd.


93
2017-08-20 23:02



@MichaelHampton: UCEPROTECT is een duistere organisatie. - InternetSeriousBusiness
@Stephane Als u de PTR-record niet kunt instellen / wijzigen, hebt u geen controle over het IP-adres. Er is niets mis met het afwijzen van mail op basis hiervan. - Michael Hampton♦
@ewwhite Dat is behoorlijk draconisch en 3 weken is behoorlijk belachelijk. Maar e-mail weigeren wanneer er geen PTR-record is, is gebruikelijk, dus ik weet zeker dat ze allerlei problemen hebben. - Michael Hampton♦
De afwijzing komt vaak voor maar ik beweer dat het zowel nutteloos als onnodig is. Sterker nog, ik heb een snelle controle van mijn eigen spamstatistieken uitgevoerd en het blijkt dat het aantal spam afkomstig van IP's zonder reverse minder is dan 5% en dat lijkt ongeveer hetzelfde aantal te zijn als wat ik overal zie SMTP-verbindingen. Vandaar mijn conclusie: het is een zinloze beperking. - Stephane
Welk bewijs heb je om je bewering te ondersteunen dat het niet effectief is? Mijn logs laten zien dat het overweldigend effectief is in het vooraf screenen van e-mail. Een aantal andere mensen die ik ken, hebben vergelijkbare ervaringen. - Chris S


Ik heb in de loop van de jaren meer dan 100 verschillende e-mailomgevingen beheerd en talloze processen gebruikt om spam te verminderen of te helpen elimineren.

De technologie is in de loop van de tijd geëvolueerd, dus dit antwoord zal door enkele van de dingen gaan die ik in het verleden heb geprobeerd en de huidige stand van zaken beschrijven.

Een paar gedachten over bescherming ...

  • U wilt poort 25 van uw inkomende mailserver beschermen tegen een open relais, waar iedereen e-mail kan verzenden via uw infrastructuur. Dit is onafhankelijk van de specifieke mailservertechnologie die u mogelijk gebruikt. Externe gebruikers moeten een alternatieve indieningspoort gebruiken en een vorm van vereiste authenticatie voor het doorsturen van post. Poort 587 of poort 465 zijn de gebruikelijke alternatieven voor 25.
  • Encryptie is ook een plus. Veel e-mailverkeer wordt op eenvoudige manier verzonden. We zijn op het punt waar de meeste e-mailsystemen een vorm van codering kunnen ondersteunen; sommige evenementen verwachten het.
  • Dit zijn meer proactieve benaderingen om te voorkomen jouw e-mailsite wordt niet als spambron geclassificeerd ...

Met betrekking tot inkomende spam ...

  • Greylisting was een interessante benadering voor een korte periode van tijd. Een tijdelijke afwijzing / vertraging forceren in de hoop dat een spammer de verbinding verliest en blootstelling of de tijd en bronnen die nodig zijn om berichten te corrigeren, vermijdt. Dit had het effect van onvoorspelbare vertragingen bij het bezorgen van e-mail, werkte niet goed met mail van grote server farms en spammers ontwikkelden uiteindelijk workarounds. De grootste impact was het doorbreken van de gebruikersverwachting van een snelle bezorging van e-mail.
  • Meerdere MX-relais hebben nog steeds bescherming nodig. Sommige spammers zouden proberen te verzenden naar een back-up of MX met lagere prioriteit in de hoop dat het minder robuust filterde.
  • Realtime zwarte (gaten) lijsten (RBL / DNSBL) - Deze verwijzen naar centraal onderhouden databases om te controleren of een verzendende server wordt vermeld. Veel vertrouwen op RBL's wordt geleverd met kanttekeningen. Sommigen waren niet zo achtenswaardig als anderen. Het aanbod van Spamhaus zijn altijd goed voor me geweest. Anderen, zoals SORBS, hebben een slechte benadering voor het vermelden van IP's en blokkeren vaak legitieme e-mail. Het is in sommige gevallen vergeleken met een afpersingsplot, omdat delisting vaak betrekking heeft op $$$.
  • Sender Policy Framework (SPF) - In principe een middel om ervoor te zorgen dat een bepaalde host gemachtigd is om e-mail voor een bepaald domein te verzenden, zoals gedefinieerd door een DNS TXT-record. Het is een goede gewoonte om SPF-records voor uw uitgaande e-mail te maken, maar dit is een slechte praktijk vereisenhet van de servers die naar u verzenden.
  • Domain Keys - Niet op grote schaal gebruikt ... tot nu toe.
  • Bounce-onderdrukking - Voorkom dat ongeldige e-mail wordt teruggestuurd naar de bron. Sommige spammers zouden proberen te zien welke adressen live / geldig waren door te analyseren backscatter om een ​​kaart met bruikbare adressen te maken.
  • Reverse DNS / PTR-controles - Controleer of een verzendende server een geldige omgekeerde PTR-record heeft. Dit hoeft niet overeen te komen met het oorspronkelijke domein, omdat het mogelijk is om een ​​veel-op-één toewijzing van domeinen aan een host te hebben. Maar het is goed om te bepalen wie de eigenaar is van een IP-ruimte en om te bepalen of de oorspronkelijke server deel uitmaakt van een dynamisch IP-blok (bijvoorbeeld thuisbreedband - lees: gecompromitteerde spambots).
  • Content filtering - (onbetrouwbaar) - Proberen om permutaties van "(Viagra, v \ | agra, viagra, vilgra.) Tegen te gaan" is tijdrovend voor de beheerder en schaalt niet in een grotere omgeving.
  • Bayesiaanse filtering - Meer geavanceerde spam-oplossingen bieden wereldwijde of per gebruiker training van e-mail. Lees het gekoppelde artikel over de heuristiek, maar het belangrijkste punt is dat mail handmatig als goed (Ham) of slecht (Spam) kan worden geclassificeerd en de resulterende berichten een Bayes-database vullen waarnaar kan worden verwezen om de categorisering van toekomstige berichten te bepalen. Dit is meestal gekoppeld aan een spamscore of -weging en kan een van een paar technieken zijn die worden gebruikt om te bepalen of een bericht moet worden afgeleverd.
  • Rate controlling / throttling - Eenvoudige aanpak. Beperk het aantal berichten dat een bepaalde server kan proberen af ​​te leveren binnen een bepaalde periode. Alle berichten over die drempel uitstellen. Dit wordt meestal geconfigureerd aan de kant van de mailserver.
  • Gehost en cloudfiltering. Postini komt voor de geest, want dat was een wolk oplossing vóór wolk was een modewoord. Nu eigendom van Google, is de kracht van een gehoste oplossing dat er schaalvoordelen zijn inherent aan het verwerken van het volume mail dat ze tegenkomen. Gegevensanalyse en eenvoudig geografisch bereik kunnen een gehoste spamfilteroplossing helpen aanpassen aan trends. De uitvoering is echter eenvoudig. 1). Richt uw MX-record op de gehoste oplossing, 2). een afleveradres voor naaffilterserver leveren. 3). Winst.

Mijn huidige aanpak:

Ik ben een groot voorstander van op apparaten gebaseerde spamoplossingen. Ik wil afwijzen aan de rand van het netwerk en de CPU-cycli op het niveau van de mailserver opslaan. Het gebruik van een apparaat biedt ook enige onafhankelijkheid ten opzichte van de eigenlijke mail server (mail delivery agent) oplossing.

ik raad aan Barracuda Spam Filter-apparaten voor een aantal redenen. Ik heb een tiental units geïmplementeerd en de webgestuurde interface, de industrie-mindshare en het set-and-forget-apparaat maken hem tot een winnaar. De backend-technologie bevat veel van de hierboven genoemde technieken.

  • Ik blokkeer poort 25 op het IP-adres van mijn mailserver en stel in plaats daarvan het MX-record voor het domein in op het openbare adres van het Barracuda-apparaat, bijvoorbeeld spam.domain.com. Poort 25 is open voor bezorging van e-mail.
  • De kern is SpamAssassin-Geadresseerd met een eenvoudige interface naar een berichtenlogboek (en Bayes-database) dat kan worden gebruikt om goede e-mail van kwaad te classificeren tijdens een initiële trainingsperiode.
  • Barracuda maakt standaard gebruik van verschillende RBL's, inclusief die van Spamhaus.orgen die van henzelf BRBL reputatiedatabase. Merk op BRBL is gratis te gebruiken als standaard RBL voor andere mailsystemen.
  • De reputatiedatabase van Barracuda is samengesteld uit live gegevens, honeypots, grootschalige analyses en een aantal eigen technieken. Het heeft een geregistreerde witte lijst en een geblokkeerde lijst. Postverzenders met een hoog volume en hoge zichtbaarheid registreren zich vaak bij Barracuda voor automatische witte lijsten. Voorbeelden zijn Blackberry, Constant contact, enz.
  • SPF-controles kunnen worden ingeschakeld (ik schakel ze echter niet in).
  • Er is een interface om e-mail en herlevering van de e-mailcache van het apparaat te controleren als dat nodig is. Dit is handig in gevallen waarin een gebruiker een bericht verwachtte dat mogelijk niet alle spamcontroles heeft doorstaan.
  • LDAP / Active Directory-gebruikersverificatie helpt de detectie van ongeldige e-mailontvangers te versnellen. Dit bespaart bandbreedte en voorkomt backscatter.
  • IP / afzenderadres / domein / land van herkomst kan allemaal worden geconfigureerd. Als ik alle e-mail van Italiaanse domeinachtervoegsels wil ontkennen, is het mogelijk. Als ik e-mail van een bepaald domein wil voorkomen, kan dit eenvoudig worden geconfigureerd. Als ik een gebruiker wil blokkeren stalker van het verzenden van e-mail naar de gebruiker, het is uitvoerbaar (waargebeurd verhaal).
  • Barracuda biedt een aantal ingeblikte rapporten en een goede visuele weergave van de apparaatstatus en spamstatistieken.
  • Ik vind het leuk om ter plekke een apparaat te hebben om deze verwerking intern te houden en mogelijk een post-filter e-mail journaalverbinding te hebben (in omgevingen waar mailretentie noodzakelijk is).
  • Plus Het apparaat kan in een gevirtualiseerde infrastructuur.

Barracuda Spam & Virus Firewall 300-statusconsole enter image description here


Nieuwere aanpak:

Ik heb geëxperimenteerd met Barracuda's cloudgebaseerde e-mailbeveiligingsservice in de afgelopen maand. Dit is vergelijkbaar met andere gehoste oplossingen, maar is goed geschikt voor kleinere sites, waar een duur apparaat kostenbesparend is. Voor een nominaal jaarlijks bedrag biedt deze service ongeveer 85% van wat het hardwareapparaat doet. De service kan ook worden uitgevoerd in combinatie met een onsite-apparaat om de binnenkomende bandbreedte te verminderen en een andere beveiligingslaag te bieden. Het is ook een mooie buffer die e-mail kan spoolen in het geval van een serverstoring. De analyses zijn nog steeds nuttig, hoewel niet zo gedetailleerd als die van een fysieke eenheid.

Barracuda Cloud Email Security-console enter image description here

Al met al heb ik veel oplossingen geprobeerd, maar gezien de schaal van bepaalde omgevingen en de toenemende eisen van de gebruikers, wil ik de meest elegante oplossing (en) die beschikbaar zijn. Het is zeker mogelijk om de veelzijdige aanpak te volgen en 'zelf te rollen', maar ik heb het goed gedaan met een aantal basisbeveiligings- en goed gebruiksbewaking van het Barracuda-apparaat. Gebruikers zijn erg blij met het resultaat.

Notitie: Cisco Ironport is ook geweldig ... Alleen maar duurder.


27
2017-08-23 14:08





Gedeeltelijk onderschrijf ik wat anderen hebben gezegd; gedeeltelijk niet.

Spamassassin

Dit werkt heel goed voor mij, maar je moet wel wat tijd besteden aan het trainen van het Bayesiaanse filter met zowel ham als spam.

Greylisting

ewwhite kan voelen dat zijn dag is gekomen en weg is gegaan, maar ik ben het daar niet mee eens. Een van mijn klanten vroeg hoe effectief mijn verschillende filters waren, dus hier zijn globale statistieken voor juli 2012 voor mijn persoonlijke mailserver:

  • 46000 berichten hebben geprobeerd te bezorgen
  • 1750 is door greylisting geraakt
  • 250 is door greylisting + opgeleide spamassassin gekomen

Dus ongeveer 44000 zijn nooit door de greylisting geraakt; als ik geen greylisting had gehad en al die had geaccepteerd, hadden ze allemaal spamfiltering nodig, allemaal met behulp van CPU en geheugen, en inderdaad bandbreedte.

Bewerk: aangezien dit antwoord voor sommigen nuttig lijkt, dacht ik dat ik de statistieken up-to-date zou brengen. Dus heb ik de analyse van de maillogs opnieuw uitgevoerd vanaf januari 2015, 2,5 jaar later.

  • 115.500 berichten hebben geprobeerd te bezorgen
  • 13.300 is door greylisting gegaan (en enkele eenvoudige sanitaire controles, bijvoorbeeld een geldig afzenderdomein)
  • 8.500 is door greylisting + opgeleide spamassassin gekomen

De cijfers zijn niet direct vergelijkbaar, omdat ik niet meer weet hoe ik tot de cijfers van 2012 ben gekomen, dus ik weet niet zeker of de methodologieën identiek waren. Maar ik heb er vertrouwen in dat ik in die tijd computationeel dure spamfilters op heel veel content niet hoefde uit te voeren, en dat doe ik nog steeds niet, vanwege greylisting.

SPF

Dit is niet echt een antispamtechniek, maar het kan de hoeveelheid terugverstrooiing verminderen waarmee je te maken hebt, als je op je werk bent. U moet het zowel in als uit gebruiken, dat wil zeggen: u moet de SPF-record van de afzender controleren op inkomende e-mail en dienovereenkomstig accepteren / weigeren. U moet ook uw eigen SPF-records publiceren, waarbij u alle machines vermeldt die zijn goedgekeurd om e-mail te verzenden als u, en sluit alle anderen met -all. SPF-records die niet eindigen op -all zijn volkomen nutteloos.

Blackhole-lijsten

RBL's zijn problematisch, omdat je er buiten je eigen schuld op kunt komen, en ze kunnen moeilijk uitstappen. Niettemin hebben ze een legitiem gebruik in spam-gevechten, maar Ik zou sterk voorstellen dat geen enkele RBL ooit mag worden gebruikt als een heldere test voor het accepteren van e-mail. De manier waarop spamassassin omgaat met RBL's - door veel te gebruiken, die elk bijdragen aan een totaalscore, en het is deze score die de acceptatie / afwijzing besluit - is veel beter.

Dropbox

Ik bedoel niet de commerciële dienst, ik bedoel dat mijn mailserver één adres heeft dat al mijn grexyisting en spam-filtering doorsnijdt, maar dat in plaats van het afleveren aan iemands INBOX, het naar een wereldschrijfbare map gaat in /var, die automatisch wordt gesnoeid voor elke e-mail van meer dan 14 dagen oud.

Ik moedig alle gebruikers aan om hiervan te profiteren bij het invullen van e-mailformulieren waarvoor een geldig e-mailadres is vereist, waar je één e-mail zult ontvangen die je moet bewaren, maar van wie je nooit meer wilt horen of wanneer je iets koopt van online verkopers die hun adres waarschijnlijk zullen verkopen en / of spamgen (met name die buiten het bereik van de Europese privacywetgeving). In plaats van haar echte adres te geven, kan een gebruiker het dropbox-adres opgeven en alleen in de vervolgkeuzelijst kijken wanneer ze iets verwacht van een correspondent (meestal een computer). Wanneer het aankomt, kan ze het uitzoeken en opslaan in haar eigen mailcollectie. Geen enkele gebruiker hoeft op enig ander moment in de dropbox te zoeken.


23
2017-08-21 03:10



Ik vind het dropbox-adresidee erg leuk. - blalor
Greylisting is een "zelfzuchtige" oplossing; het vertraagt ​​veel legitieme mail en naarmate meer en meer mailservers het inzetten, zullen steeds meer spammers ervoor zorgen dat hun spam robuust is. Op het einde verliezen we het. Ik zou greylisting aanbevelen voor kleine implementaties en dat zou ook sterk beveel het aan voor grotere implementaties. Overwegen tarpitting in plaats daarvan. Milter-greylist kan beide doen. - Adam Katz
@AdamKatz dat is zeker een gezichtspunt. Ik weet niet zeker hoe spammers verondersteld worden hun spam robuust te maken naar greylisting zonder vuurspuwen te vergeten, in welk geval een klus geklaard is - in tegenstelling tot het verslaan van tarpcasting, wat slechts een kleine code verbetering in de zombies vereist. Maar ik ben het niet met je eens over egoïsme. Wanneer de afweging wordt uitgelegd (als u real-time e-mail wilt voor irreguliere correspondenten, verhogen het budget voor e-mail en communicatie twintig keer), geven de meeste voorkeur aan de vertraging. - MadHatter
@AdamKatz merk ook op dat mijn "dropbox", hierboven, niet wordt geraakt door greylisting. Dus elke gebruiker die dringend e-mails vooraf moet ontvangen, heeft een automatische oplossing: hij weet het 'onmiddellijke' adres te geven en houdt de dropbox in de gaten totdat het betreffende item is ontvangen. - MadHatter
@AdamKatz omdat mijn greylisting vasthoudt aan een gat van 10 minuten tussen eerste en succesvolle bezorgpogingen, is de pauze van 15 + minuten geen groot probleem. Wat betreft de verwachtingen van gebruikers, die kunnen (en moeten natuurlijk) worden beheerd, net als elke andere. De rest van uw argument is veel overtuigender - misschien kunt u uw eigen antwoord toevoegen, en enkele concrete cijfers introduceren over de effectiviteit van tarpitting in uw implementaties? We kunnen voor altijd theoretiseren over de verwachte relatieve effectiviteit, maar data zijn veel verhelderend - nullius in verba! - MadHatter


Ik gebruik een aantal technieken die spam reduceren tot acceptabele niveaus.

Vertraging voor het accepteren van verbindingen van onjuist geconfigureerde servers. Een meerderheid van de spam die ik ontvang is afkomstig van Spambots die op een met malware geïnfecteerd systeem werken. Bijna al deze slagen niet voor rDNS-validatie. Als je 30 seconden of zo lang uitstel geeft voor elk antwoord, zullen de meeste spambots het opgeven voordat ze hun bericht hebben afgeleverd. Door dit alleen toe te passen op servers die niet werken op rDNS, wordt voorkomen dat correct geconfigureerde servers worden gestraft. Sommige onjuist geconfigureerde legitieme bulk- of geautomatiseerde afzenders worden bestraft, maar leveren met minimale vertraging.

Het configureren van SPF voor al uw domeinen beschermt uw domeinen. De meeste subdomeinen mogen niet worden gebruikt om e-mail te verzenden. De belangrijkste uitzondering is MX-domeinen die alleen e-mail kunnen verzenden. Een aantal legitieme afzenders delegeren bulk- en geautomatiseerde e-mail aan servers die niet zijn toegestaan ​​volgens hun beleid. Door uit te stellen in plaats van te weigeren op basis van SPF, kunnen ze hun SPF-configuratie herstellen, of u kunt ze op de witte lijst plaatsen.

Vereist een FQDN (Fully Qualified Domain Name) in het HELO / EHLO-commando. Spam gebruikt vaak een ongeschikte hostnaam, adresliteratuur, IP-adressen of ongeldige TLD (Top Level Domain). Helaas gebruiken sommige legitieme afzenders ongeldige TLD's, dus in dit geval kan het beter zijn om uit te stellen. Dit kan monitoring en whitelisting vereisen om de mail door te laten.

DKIM helpt bij niet-afwijzing, maar is anders niet erg handig. Mijn ervaring is dat spam waarschijnlijk niet wordt ondertekend. Ham is meer kans om te worden ondertekend, dus het heeft enige waarde in Spam scoren. Een aantal legitieme afzenders publiceert hun openbare sleutels niet of anderszins op onjuiste wijze hun systeem configureren.

Greylisting is handig voor servers die tekenen vertonen van een verkeerde configuratie. Servers die op de juiste manier zijn geconfigureerd, kunnen uiteindelijk worden verwerkt, dus ik sluit ze meestal uit van greylisting. Het is handig voor greylist-freemailers, omdat ze vaak af en toe voor Spam worden gebruikt. De vertraging geeft een aantal van de Spam-filteringangen tijd om de Spammer te vangen. Het heeft ook de neiging om Spambots af te weren zoals ze meestal niet opnieuw proberen.

Zwarte lijsten en witte lijsten kunnen ook helpen.

  • Ik heb ontdekt dat Spamhaus een betrouwbare zwarte lijst is.
  • Auto WhiteListing in het spamfilter helpt de beoordeling van frequente afzenders die af en toe Spamish zijn of Spammers die af en toe Hamish zijn, af te zwakken.
  • Ik vind dnsl.org's whitelist ook nuttig.

Spamfiltersoftware is redelijk goed in het vinden van spam, hoewel sommigen er wel doorheen zullen komen. Het kan lastig zijn om het vals-negatieve naar een redelijk niveau te krijgen zonder het vals-positieve teveel te verhogen. Ik merk dat Spamassassin de meeste spam opvangt die het bereikt. Ik heb een paar aangepaste regels toegevoegd die aan mijn behoeften voldoen.

Postmasters moeten de vereiste adressen voor misbruik en postmaster configureren. Erken de feedback die u krijgt naar deze adressen en handel ernaar. Dit stelt anderen in staat u te helpen ervoor te zorgen dat uw server correct is geconfigureerd en geen Spam veroorzaakt.

Als u een ontwikkelaar bent, gebruikt u de bestaande e-mailservices in plaats van uw eigen server in te stellen. Ik heb ervaren dat het instellen van servers voor geautomatiseerde e-mailafzenders waarschijnlijk niet correct is geconfigureerd. Bekijk de RFC's en verzend correct geformatteerde e-mail van een legitiem adres in uw domein.

Eindgebruikers kunnen een aantal dingen doen om Spam te verminderen:

  • Open het niet. Markeer het als spam of verwijder het.
  • Zorg ervoor dat uw systeem veilig en vrij van malware is.
  • Controleer uw netwerkgebruik, vooral wanneer u uw systeem niet gebruikt. Als het veel netwerkverkeer genereert wanneer u het niet gebruikt, kan het mogelijk spam verzenden.
  • Schakel uw computer uit als u hem niet gebruikt. (Het kan geen Spam genereren als het is uitgeschakeld.)

Domeineigenaren / ISP's kunnen helpen door de toegang tot internet op poort 25 (SMTP) te beperken tot officiële e-mailservers. Dit zal het vermogen van Spambots om naar het internet te verzenden beperken. Het helpt ook wanneer dynamische adressen namen retourneren die de rDNS-validatie niet doorstaan. Nog beter is om te controleren of de PTR-record voor mailservers de rDNS-waarderingen wel of niet doorstaat. (Controleer op typografische fouten bij het configureren van PTR-records voor uw klanten.)

Ik ben begonnen met het classificeren van e-mail in drie categorieën:

  • Ham (bijna altijd van correct geconfigureerde servers, correct geformatteerde en vaak persoonlijke e-mail.)
  • Spam (meestal van Spambots, maar een bepaald percentage komt van vrijen of andere afzenders met onjuist geconfigureerde servers.)
  • bacn; zou Ham of Spam kunnen zijn (bevat veel mail van mailinglijsten en geautomatiseerde systemen. Ham komt hier meestal terecht vanwege DNS en / of servermisconfiguratie.)

14
2017-08-25 22:16



bacn (let op het missende o) is een gestandaardiseerde term die verwijst naar 'e-mail die u zoekt, maar nu niet'. Een andere categorie voor mail is graymail, dit is bulkmail die technisch gezien niet spam is en ongewenst zou kunnen zijn door sommige ontvangers die toch door anderen zijn gewenst. - Adam Katz


De ENIGSTE effectieve oplossing die ik heb gezien is om een ​​van de externe mailfilters te gebruiken.

Ik heb ervaring met de volgende services bij huidige klanten. Ik weet zeker dat er anderen zijn. Elk van deze heeft uitstekend werk verricht in mijn ervaring. De kosten zijn redelijk voor alle drie.

  • Postini van Google
  • MXLogic van McAfee
  • SecureTide van AppRiver

De services hebben verschillende grote voordelen ten opzichte van lokale oplossingen.

  1. Ze stoppen de meeste (> 99%) van de spam VOORDAT deze uw internetverbinding en uw e-mailserver raakt. Gezien de hoeveelheid spam, is dit een groot aantal gegevens niet op uw bandbreedte en niet op uw server. Ik heb een van deze services een dozijn keer geïmplementeerd en elk daarvan heeft geresulteerd in een merkbare prestatieverbetering aan de e-mailserver.

  2. Ze doen ook anti-virusfilters, meestal beide richtingen. Dit vermindert de noodzaak om een ​​"mail anti-virus" -oplossing op uw server te hebben, en houdt ook de virii volledig

Ze doen ook uitstekend werk bij het blokkeren van spam. Na 2 jaar werken bij een bedrijf dat MXLogic gebruikt, heb ik nooit een vals positief effect gehad en kan ik de legitieme spamberichten tellen die er aan de hand zijn gekomen.


5
2018-06-11 01:37



+1 voor het herkennen van het voordeel van gehoste oplossingen en de uptime / schaal en verminderde verkeersvoordelen. Het enige probleem dat ik tegenkom is een gebrek aan maatwerk en reactie in sommige gevallen (vanuit het perspectief van iemand die moet VERZENDEN naar domeinen die door deze services worden beschermd). Sommige bedrijven hebben ook veiligheids- / nalevingsredenen om externe filtering niet te kunnen gebruiken. - ewwhite


Geen twee mailomgevingen zijn hetzelfde. Dus het bouwen van een effectieve oplossing vergt veel vallen en opstaan ​​rond de vele verschillende beschikbare technieken omdat de inhoud van e-mail, verkeer, software, netwerken, afzenders, ontvangers en nog veel meer allemaal enorm zullen variëren in verschillende omgevingen.

Ik vind echter de volgende bloklijsten (RBL's) goed geschikt voor algemene filtering:

Zoals al eerder is aangegeven, is SpamAssassin een prima oplossing als u de configuratie correct instelt. Zorg er wel voor dat u zoveel mogelijk add-on-Perl-modules in CPAN installeert als Razor, Pyzor en DCC. Postfix werkt erg goed met SpamAssassin en het is een stuk eenvoudiger te beheren en configureren dan bijvoorbeeld EXIM.

Ten slotte blokkeert u clients op IP-niveau met behulp van fail2ban en iptables of vergelijkbaar voor korte perioden (zeg een dag tot een week) nadat sommige gebeurtenissen, zoals het activeren van een treffer op een RBL voor misbruik, ook zeer effectief kunnen zijn. Waarom middelen verspillen met een bekende met virus besmette host, toch?


4