Konfigurowanie fałszywego adresu e-mail w celu przechwycenia spamerów

10

Słyszałem, że sugeruje to utworzenie specjalnego adresu e-mail , którego jedynym celem jest zbieranie . Następnie umieść na czarnej liście każdego nadawcę, który kieruje ten adres.

Zastanawiam się:

  • jeśli ktoś tego próbował
  • jak to robisz (tj. - umieść adres w ukrytym polu na swojej stronie - lub lepsze sposoby?)
  • Czy to działa?
  • Czy jest coś, na co należy uważać, próbując tego (np. Legalni nadawcy używający zebranych adresów?)
email  spam  honeypot 
Brent
źródło

Odpowiedzi:

13

Czy ktoś jeszcze próbował tego:

  • Z pewnością tak. Prawie każda usługa antyspamowa z nich korzysta, pojęcie branżowe to „pułapki spamowe”

Jak ty to robisz?

  • Zazwyczaj znajdź adres w jednej z domen, które otrzymują dużo spamu i potwierdź z właścicielem, że nie jest używany i nie planują go wskrzesić. Ten proces może być (częściowo) zautomatyzowany.

Czy to działa?

  • Tak. Najbardziej użyteczną rzeczą jest to, że ponieważ możesz zagwarantować, że wiadomości wysyłane do pułapek są spamem, możesz za ich pomocą skalibrować efektywność silnika w dowolnym momencie, aby zmierzyć, jak dobrze radzisz sobie z blokowaniem spamu (fałszywe negatywy) - pod warunkiem, że masz wystarczająco dużą próbkę pułapek spamowych; większość firm antyspamowych miałaby setki lub tysiące
  • Mogą być również wykorzystywane przez automatyczne systemy edukacyjne do „uczenia się” rzeczy o spamie. Ale to może dowiedzieć się o spamie wysyłanym również na adresy nie będące spamtrapem (oczywiście nigdy nie masz 100% pewności, że jest to spam, jeśli zostanie wysłany na adres nie będący spamem)
  • Adresy nadawców z „czarnej listy” nie są zwykle używane. Wynika to z faktu, że pozorni spamerzy i tak zwykle wymyślają adresy nadawców śmieci, a pozorni spamerzy czasami reformują swoje sposoby i zaczynają wysyłać czystą pocztę
  • Czarna lista adresów IP również nie jest używana (w uproszczonej formie) z tego samego powodu; „złe” adresy IP mogą zacząć być „dobre”, więc jeśli miałeś ogólny zakaz, legalna poczta zostałaby zablokowana.

Zwykle nie użyłbyś tylko jednego adresu; to nie wystarczy. Wypróbuj kilkaset spreadów we wszystkich swoich domenach (na początek).

Możesz je zareklamować, jeśli chcesz, ale jeśli twoje domeny są wystarczająco dobrze znane spamerom, potencjalnie adresy spam-pułapek prawdopodobnie już w nich istnieją (prawdopodobnie są to skrzynki pocztowe, które nie istnieją w systemach użytkowników końcowych).

Można skonfigurować całe domeny spamtrap - jestem pewien, że wiele firm z nich korzysta - albo kupuje domeny z drugiej ręki, albo rejestruje realistycznie brzmiące domeny z wiarygodną (choć fałszywą) stroną internetową. Subdomeny też mogą działać. Domeny Spamtrap są przydatne, ponieważ można je skonfigurować za pomocą słów kluczowych lub w określonych domenach najwyższego poziomu, na które spamerzy mogą być kierowani.

MarkR
źródło
1
Zapomniałem wspomnieć, pracuję dla dużej firmy antyspamowej :)
MarkR
Pamiętaj, że jeśli ustawiasz pułapki w domenie, która odbiera również prawidłową pocztę, powinieneś wybrać adresy, które - chociaż są wiarygodne - są wystarczająco różne od wszelkich istniejących, wiarygodnych adresów, aby wykluczyć literówkę prowadzącą do czarnej listy. Podobnie zrozum kompromis między używaniem „nieaktywnego” adresu a nowym adresem jako spam-pułapką: ta pierwsza zapewnia większy zasięg, ale wiąże się z ryzykiem fałszywych trafień, np. Z wiadomości e-mail przesyłanych przez legalnych, niekomercyjnych nadawców na dużą liczbę adresów.
user70549,
5

Nie próbowałem tej metody, ale myślę, że [jeśli nie obsługiwać dziesiątki tysięcy skrzynek] będziesz o wiele lepiej wyłączyć za pomocą systemu antyspamowego, który podejmuje decyzje w oparciu o wielu RBL i kontroli treści, takich jak DCC / golarki / Pyzor .

wiele rbl używa pułapek spamowych na znacznie większą skalę, niż myślę, że można je wdrożyć.

pQd
źródło
Mamy już dość dobry filtr antyspamowy. Rozważam to jako dodatkowy środek, ponieważ czarna lista zmniejszyłaby obciążenie filtrów poczty.
Brent
5

Projekt Honey Pot może dać ci kilka pomysłów na metody i skuteczność. Jeśli chcesz, możesz zasubskrybować ich czarną listę i pozwolić im to wszystko obsłużyć.

Jestem zdezorientowany, co rozumiesz przez „legalnych nadawców wykorzystujących pozyskane adresy” - w prawie wszystkich przypadkach uważam takiego nadawcę za nielegalnego z definicji.

ceejayoz
źródło
1
Wydaje się, że to dobre miejsce, aby po prostu użyć ciężkiej pracy kogoś innego, aby stworzyć / zarządzać czarną listą.
GreenKiwi
3

Moje obawy związane z umieszczeniem na czarnej liście każdego nadawcy są takie, że dość łatwo jest sfałszować, kto wysłał wiadomość e-mail.

Andy
źródło
5
jeśli ktokolwiek będzie na czarnej liście, to definitywnie zrobię to na podstawie adresu IP nie nadawcy.
pQd
Słuszna uwaga. Ale czy spamerzy mają większe trudności ze sfałszowaniem adresu IP? naprawdę ciekawy
Andy
1
Tak, to trudniejsze. Ponadto mają mniej powodów, aby to zrobić.
Draemon
Co się stanie, gdy otrzymasz spam od osoby spoza dużego adresu NAT? Całe hotele, szkoły itp. Zostaną zablokowane podczas korzystania z tej techniki, jeśli przestępca / zainfekowany komputer wejdzie do tych sieci.
Ben Ashton
3

Hmm ... Właśnie dodałem swoją opinię do dyskusji.

Nie sądzę, aby ta metoda miała dobry wskaźnik sukcesu. Właśnie obejrzałem kilka spamów. Zasadniczo spamerzy używają fałszywych adresów e-mail podczas spamowania i nigdy więcej nie używają tego samego adresu. Dlatego umieszczenie na czarnej liście adresów e-mail lub domen nie byłoby dobrym rozwiązaniem.

Ale sprawa z ukrytym adresem wydaje się być dobrym pomysłem. Ponieważ faktyczni użytkownicy go nie widzą, a tylko robot może odfiltrować adres e-mail, możesz założyć, że tylko spamerzy otrzymają ten adres.

Następnie możesz zintegrować ten pomysł z adresami IP. Jeśli wiadomości e-mail wysyłane na ukryty adres pochodzą z pewnego zakresu adresów IP, możesz po prostu założyć, że zakres adresów IP to zakres spamowania.

Ale moim zdaniem wynik, który osiągasz, nie jest wart poświęcenia wysiłku. Myślę, że mechanizmy filtrowania oparte na zawartości są owocne niż ten machanizm „Honey pot”

Chathuranga Chandrasekara
źródło
„Myślę, że mechanizmy filtrowania oparte na zawartości są owocne niż ten machanizm„ miododajny ”.” Doniczki z miodem mogą być wspaniałe do filtrowania zawartości. Skonfigurujesz jeden i użyjesz go do zaszczepienia filtrów treści.
ceejayoz
2

Ja to zrobiłem. Zauważyłem w moich logach, że niektóre nieprawidłowe adresy są wielokrotnie trafiane. Są to adresy, które nigdy nie były aktywne ani opublikowane. Więc skonfigurowałem skrzynkę pocztową, która wysyła te e-maile do sa-learn, aby pomóc w szkoleniu Bayesianowej bazy danych spamassassin. Nigdy w żaden sposób nie testowałem tej skuteczności, ale nie martwię się o to, ponieważ konfiguracja kosztowała niewiele czasu.

Sherbang
źródło
2

Najpierw jednak pomyślałem, że będzie to miało niewielką wartość, ponieważ adresy zawsze się zmieniają.

Z mojego doświadczenia wynika, że ​​spamerzy często wysyłają na adres adresy@twojadomena.com - prawie w brutalny sposób.

Może warto ustawić adres (np. Adam@twojadomena.com) i filtrować nie na adresie lub adresie IP, ale na treści - odfiltruj wszelkie wiadomości e-mail wysyłane również do „adam”. Chcesz wybrać adres e-mail leksykograficznie przed jakimkolwiek rzeczywistym adresem, aby zwiększyć swoje szanse. Ponadto należy uwzględnić niewielkie różnice w treści.

Nadal podejrzewam, że zalicza się do kategorii zbyt dużego wysiłku, zbyt małego zysku, ale jest to myśl, jeśli eksperymentujesz.

Draemon
źródło
2

Nasz produkt antyspamowy pozwala nam to zrobić, zautomatyzowaną czarną listę wszystkiego wysyłanego do honeypot. Oto kilka punktorów:

  • Umieszczasz adres e-mail na swojej stronie internetowej, aby boty mogły go znaleźć i odebrać, ale żadna prawdziwa osoba nie zobaczy go ani nie wyśle ​​wiadomości na ten adres.

  • Informujesz swój produkt antyspamowy, aby monitorował przychodzące wiadomości e-mail wysyłane na adres, a wszystkie wiadomości przychodzące do tego honeypota zostaną umieszczone na czarnej liście.

  • Działa na poziomie wysyłającego adresu IP, a nie na adresie wysyłającym FROM, w ten sposób pozwala uniknąć wspomnianego problemu fałszywego nadawcy.

  • Mimo że mamy honeypot do zgłaszania spamu, nie korzystamy z tej funkcji, oto dlaczego. Spamer rutynowo wysyła niektóre wiadomości z Hotmaila, Yahoo, Gmaila itp. Zazwyczaj są to 419 wiadomości oszustwa, które trudno zatrzymać. Chociaż odsetek ten nie jest wysoki, wystarczyłoby, abyśmy korzystali z automatycznego systemu, który blokowałby prawidłowe wiadomości e-mail.

Podsumowując, nie korzystaliśmy z automatycznego systemu czarnej listy, jak wspomniałeś, jednak posiadanie honeypota jest nadal przydatną funkcją. Monitorujemy go i używamy otrzymanych wiadomości e-mail do zgłaszania spamu oraz do określania skuteczności naszych środków antyspamowych.

Aaron
źródło
1

Umieszczam adres w komentarzu na mojej stronie głównej. Otrzymuje około 5 e-maili dziennie.

Paul Tomblin
źródło
1

Używam ASSP ( asspsmtp.org ), filtr antyspamowy typu open source. Jeśli skonfigurujesz uwierzytelnianie, może automatycznie tworzyć adresy spamtrap dla nieznanych adresów po określonej liczbie prób ... więc jeśli wielokrotnie otrzymuję e-mail na adres „invaliduser@domain.com”, po próbie numeru X system zacznie zbierać wszystkie wiadomości wysłane na ten adres jako spam. X jest ustawiony wystarczająco wysoko, aby normalne literówki i błędy go nie potknęły, ale spamerzy tak.

Jim G.
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.