To jest kanoniczne pytanie dotyczące walki ze spamem.
Powiązane również:

• Jak powstrzymać ludzi przed używaniem mojej domeny do wysyłania spamu?
• Co to są rekordy SPF i jak je skonfigurować?

Jest tak wiele technik i tyle do nauczenia się o walce ze SPAMEM. Jakie szeroko stosowane techniki i technologie są dostępne dla administratora, właścicieli domen i użytkowników końcowych, aby pomóc w usuwaniu śmieci z naszych skrzynek odbiorczych?

Szukamy odpowiedzi obejmującej różne technologie z różnych stron. Akceptowana odpowiedź powinna obejmować różne technologie (np. SPF / SenderID, DomainKeys / DKIM, Graylisting, DNS RBLs, usługi reputacji, oprogramowanie filtrujące [SpamAssassin itp.]); najlepsze praktyki (np. poczta na porcie 25 nigdy nie powinna być przekazywana, należy użyć portu 587; itp.), terminologia (np. Open Relay, Backscatter, MSA / MTA / MUA, Spam / Ham) i ewentualnie inne techniki.

Aby pokonać wroga, musisz go znać.

Co to jest spam?

Do naszych celów spamem jest każda niezamawiana masowa wiadomość elektroniczna. Obecnie spam ma na celu zachęcenie niczego niepodejrzewających użytkowników do odwiedzenia (zwykle podejrzanej) strony internetowej, na której zostaną poproszeni o zakup produktów, złośliwe oprogramowanie dostarczone na ich komputery lub jedno i drugie. Niektóre spamy dostarczają złośliwe oprogramowanie bezpośrednio.

Może cię zaskoczyć informacja, że ​​pierwszy spam został wysłany w 1864 roku. Była to reklama usług dentystycznych wysyłana za pośrednictwem telegramu Western Union. Samo słowo nawiązuje do sceny z Latającego cyrku Monty Pythona .

Spam w tym przypadku nie odnosi się do ruchu na liście mailingowej, który subskrybował użytkownik, nawet jeśli później zmienił zdanie (lub zapomniał o tym), ale jeszcze się nie wypisał.

Dlaczego spam jest problemem?

Spam stanowi problem, ponieważ działa dla spamerów . Spam zazwyczaj generuje więcej niż wystarczającą sprzedaż (lub dostarczanie złośliwego oprogramowania lub obie te rzeczy ), aby pokryć koszty - spamerowi - jego wysłania. Spamer nie bierze pod uwagę kosztów dla odbiorcy, ciebie i twoich użytkowników. Nawet gdy niewielka mniejszość użytkowników otrzymujących spam odpowiada na to, wystarczy.

Więc musisz płacić rachunki za przepustowość, serwery i czas administratora, aby poradzić sobie z przychodzącym spamem.

Blokujemy spam z następujących powodów: nie chcemy go widzieć, aby obniżyć koszty obsługi poczty e-mail i zwiększyć koszt spamowania dla spamerów.

Jak działa spam?

Spam jest zazwyczaj dostarczany na różne sposoby niż zwykły, legalny e-mail.

Spamerzy prawie zawsze chcą ukryć pochodzenie wiadomości e-mail, więc typowy spam zawiera fałszywe informacje nagłówka. From:Adres jest zwykle fałszywy. Niektóre spamy zawierają fałszywe Received:linie, które próbują ukryć ślad. Wiele spamu jest dostarczanych przez otwarte przekaźniki SMTP, otwarte serwery proxy i botnety. Wszystkie te metody utrudniają ustalenie, kto powstał spam.

Po wejściu do skrzynki odbiorczej spam ma na celu zachęcenie użytkownika do odwiedzenia reklamowanej strony internetowej. Tam użytkownik zostanie zachęcony do zakupu lub witryna spróbuje zainstalować złośliwe oprogramowanie na komputerze użytkownika lub w obu przypadkach. Lub spam poprosi użytkownika o otwarcie załącznika zawierającego złośliwe oprogramowanie.

Jak zatrzymać spam?

Jako administrator systemu serwera pocztowego skonfigurujesz swój serwer pocztowy i domenę, aby utrudnić spamerom dostarczanie spamu użytkownikom.

Będę omawiać problemy związane ze spamem i mogę pomijać rzeczy niezwiązane bezpośrednio ze spamem (takie jak szyfrowanie).

Nie uruchamiaj otwartego przekaźnika

Grzechem dużego serwera pocztowego jest uruchomienie otwartego przekaźnika , serwera SMTP, który przyjmie pocztę do dowolnego miejsca docelowego i dostarczy ją dalej. Spamerzy uwielbiają otwarte przekaźniki, ponieważ praktycznie gwarantują dostawę. Biorą na siebie ciężar dostarczania wiadomości (i ponawiają próbę!), Podczas gdy spamer robi coś innego. Sprawiają, że spamowanie jest tanie .

Otwarte przekaźniki również przyczyniają się do problemu rozproszenia wstecznego. Są to wiadomości, które zostały zaakceptowane przez przekaźnik, ale okazały się niemożliwe do dostarczenia. Otwarty przekaźnik wyśle ​​następnie wiadomość zwrotną na From:adres zawierający kopię spamu.

• Skonfiguruj serwer poczty, aby akceptował pocztę przychodzącą na porcie 25 tylko dla własnych domen. W przypadku większości serwerów pocztowych jest to zachowanie domyślne, ale musisz przynajmniej powiedzieć serwerowi pocztowemu, jakie są Twoje domeny.
• Przetestuj swój system, wysyłając do serwera SMTP pocztę spoza sieci, w której adresy From:i To:nie znajdują się w Twojej domenie. Wiadomość powinna zostać odrzucona. (Lub skorzystaj z usługi online, takiej jak MX Toolbox, aby wykonać test, ale pamiętaj, że niektóre usługi online prześlą twój adres IP na czarne listy, jeśli serwer pocztowy nie przejdzie testu.)

Odrzuć wszystko, co wygląda na zbyt podejrzane

Różne błędne konfiguracje i błędy mogą być wskazówką, że wiadomość przychodząca może być spamem lub w inny sposób niezgodna z prawem.

• Oznacz jako spam lub odrzucaj wiadomości, dla których adres IP nie ma odwrotnego DNS (rekord PTR). Traktuj ostrzej brak rekordu PTR dla połączeń IPv4 niż dla połączeń IPv6, ponieważ wiele adresów IPv6 nie ma jeszcze odwrotnego DNS i może nie potrwać kilka lat, dopóki oprogramowanie serwera DNS nie będzie w stanie lepiej obsługiwać tych potencjalnie bardzo dużych stref.
• Odrzuć wiadomości, dla których nazwa domeny w adresie nadawcy lub odbiorcy nie istnieje.
• Odrzuć wiadomości, które nie używają w pełni kwalifikowanych nazw domen dla domen nadawcy lub adresata, chyba że pochodzą one z Twojej domeny i mają być dostarczane w Twojej domenie (np. Usługi monitorowania).
• Odrzuć połączenia, gdy drugi koniec nie wysyła znaku HELO/ EHLO.
• Odrzuć połączenia, gdzie HELO/ EHLOto:
  • nie pełna nazwa domeny, a nie adres IP
  • rażąco źle (np. Twoja własna przestrzeń adresów IP)
• Odrzuć połączenia korzystające z potokowania, nie będąc do tego upoważnionym.

Uwierzytelnij swoich użytkowników

Poczta docierająca na twoje serwery powinna być rozpatrywana w kategoriach poczty przychodzącej i wychodzącej. Poczta przychodząca to każda poczta przychodząca na Twój serwer SMTP, która ostatecznie jest przeznaczona dla Twojej domeny; poczta wychodząca to każda poczta przychodząca na Twój serwer SMTP, która zostanie przeniesiona w inne miejsce przed dostarczeniem (np. trafi do innej domeny). Poczta przychodząca może być obsługiwana przez filtry antyspamowe i może pochodzić z dowolnego miejsca, ale zawsze musi być przeznaczona dla użytkowników. Nie można uwierzytelnić tej poczty, ponieważ nie można podać poświadczeń dla każdej witryny, która może wysłać Ci pocztę.

Poczta wychodząca, to znaczy poczta, która zostanie przekazana, musi zostać uwierzytelniona. Dzieje się tak, niezależnie od tego, czy pochodzi on z Internetu, czy z sieci (należy jednak ograniczyć zakresy adresów IP, z których można korzystać z serwera poczty, jeśli jest to operacyjnie możliwe); dzieje się tak, ponieważ w twojej sieci mogą działać spamboty. Skonfiguruj serwer SMTP tak, aby poczta powiązana z innymi sieciami była usuwana (dostęp do przekazywania będzie odmawiany), chyba że poczta ta zostanie uwierzytelniona. Co więcej, używaj osobnych serwerów pocztowych dla poczty przychodzącej i wychodzącej, nie zezwalaj wcale na przekazywanie dla serwerów przychodzących i nie zezwalaj na nieuwierzytelniony dostęp do serwerów wychodzących.

Jeśli oprogramowanie na to pozwala, należy również filtrować wiadomości według uwierzytelnionego użytkownika; jeśli adres nadawcy poczty nie zgadza się z użytkownikiem, który uwierzytelnił, należy go odrzucić. Nie aktualizuj po cichu adresu z; użytkownik powinien zdawać sobie sprawę z błędu konfiguracji.

Należy także zalogować się do nazwy użytkownika używanej do wysyłania poczty lub dodać do niej nagłówek identyfikujący. W ten sposób, jeśli nastąpi nadużycie, masz dowody i wiesz, które konto zostało użyte do tego. Pozwala to izolować zagrożone konta i problematycznych użytkowników i jest szczególnie cenne dla dostawców hostingu współdzielonego.

Filtruj ruch

Chcesz mieć pewność, że poczta opuszczająca twoją sieć jest faktycznie wysyłana przez (uwierzytelnionych) użytkowników, a nie przez boty lub osoby z zewnątrz. Szczegóły tego, jak to zrobić, zależą dokładnie od tego, jakim systemem administrujesz.

Zasadniczo blokowanie ruchu wychodzącego na portach 25, 465 i 587 (SMTP, SMTP / SSL i wysyłanie) dla wszystkiego oprócz serwerów poczty wychodzącej jest dobrym pomysłem, jeśli jesteś siecią korporacyjną. Dzieje się tak, aby szkodliwe roboty działające w Twojej sieci nie mogły wysyłać spamu z Twojej sieci ani w celu otwarcia przekaźników w Internecie, ani bezpośrednio do ostatecznej MTA adresu.

Hotspoty to szczególny przypadek, ponieważ legalna poczta z nich pochodzi z wielu różnych domen, ale (między innymi z powodu SPF) „wymuszony” serwer pocztowy jest nieodpowiedni i użytkownicy powinni używać serwera SMTP własnej domeny do przesyłania poczty. Ten przypadek jest znacznie trudniejszy, ale użycie określonego publicznego adresu IP lub zakresu adresów IP dla ruchu internetowego z tych hostów (w celu ochrony reputacji witryny), dławienie ruchu SMTP i szczegółowa kontrola pakietów to rozwiązania, które należy rozważyć.

Historycznie, spamboty wysyłały spam głównie na port 25, ale nic nie stoi na przeszkodzie, aby korzystały z portu 587 w tym samym celu, dlatego zmiana portu używanego do poczty przychodzącej ma wątpliwą wartość. Jednak użycie portu 587 do przesyłania poczty jest zalecane przez RFC 2476 i pozwala na oddzielenie wysyłania poczty (do pierwszego MTA) i przesyłania poczty (między MTA), jeśli nie jest to oczywiste z topologii sieci; jeśli potrzebujesz takiej separacji, powinieneś to zrobić.

Jeśli jesteś usługodawcą internetowym, usługodawcą VPS, dostawcą kolokacji lub podobnym, lub zapewniasz hotspot do użytku przez odwiedzających, blokowanie wychodzącego ruchu SMTP może być problematyczne dla użytkowników, którzy wysyłają pocztę za pomocą własnych domen. We wszystkich przypadkach, z wyjątkiem publicznego hotspotu, należy wymagać od użytkowników, którzy potrzebują wychodzącego dostępu SMTP, ponieważ używają serwera pocztowego, specjalnego żądania. Poinformuj ich, że skargi związane z nadużyciami ostatecznie spowodują zakończenie dostępu w celu ochrony Twojej reputacji.

Dynamiczne adresy IP i te używane w infrastrukturze wirtualnego pulpitu nigdy nie powinny mieć wychodzącego dostępu SMTP, z wyjątkiem określonego serwera poczty, z którego powinny korzystać te węzły. Tego rodzaju adresy IP powinny również pojawiać się na czarnych listach i nie należy próbować budować ich reputacji. Wynika to z faktu, że bardzo mało prawdopodobne jest, aby przeprowadzili legalny MTA.

Rozważ użycie SpamAssassin

SpamAssassin to filtr poczty, którego można użyć do identyfikacji spamu na podstawie nagłówków i treści wiadomości. Wykorzystuje oparty na regułach system oceniania, aby określić prawdopodobieństwo, że wiadomość jest spamem. Im wyższy wynik, tym bardziej prawdopodobne, że wiadomość jest spamem.

SpamAssassin ma również silnik bayesowski, który może analizować spam i próbki ham (legalne wiadomości e-mail) z powrotem do niego przesyłane.

Najlepszą praktyką dla SpamAssassin nie jest odrzucanie wiadomości, ale umieszczanie jej w folderze Spam lub Spam. MUA (agenty użytkownika poczty), takie jak Outlook i Thunderbird, można skonfigurować tak, aby rozpoznawały nagłówki dodawane przez SpamAssassin do wiadomości e-mail i odpowiednio je zapisywały. Fałszywe pozytywy mogą się zdarzyć i zdarzają się, a chociaż są rzadkie, gdy stanie się to z CEO, usłyszysz o tym. Ta rozmowa pójdzie znacznie lepiej, jeśli wiadomość zostanie po prostu dostarczona do folderu śmieci, a nie odrzucona.

SpamAssassin jest prawie jedyny w swoim rodzaju, choć istnieje kilka alternatyw .

• Zainstaluj SpamAssassin i skonfiguruj automatyczną aktualizację dla jego reguł za pomocą sa-update.
• W razie potrzeby rozważ użycie niestandardowych reguł .
• Rozważ skonfigurowanie filtrowania bayesowskiego .

Rozważ skorzystanie z list blackhole opartych na DNS i usług reputacyjnych

DNSBL (wcześniej znane jako RBL lub listy czarnych dziur w czasie rzeczywistym) zapewniają listy adresów IP powiązanych ze spamem lub inną złośliwą aktywnością. Są one prowadzone przez niezależne strony trzecie w oparciu o ich własne kryteria, dlatego dokładnie sprawdź, czy kryteria listy i usuwania stosowane przez DNSBL są zgodne z potrzebą Twojej organizacji do otrzymywania wiadomości e-mail. Na przykład kilka DNSBL ma drakońskie zasady usuwania, które bardzo utrudniają usunięcie przypadkowo osoby wymienionej na liście. Inni automatycznie usuwają się z listy, gdy adres IP nie wysyła spamu przez pewien okres czasu, co jest bezpieczniejsze. Z większości DNSBL można korzystać bezpłatnie.

Usługi reputacji są podobne, ale twierdzą, że zapewniają lepsze wyniki, analizując więcej danych związanych z danym adresem IP. Większość usług związanych z reputacją wymaga płatności subskrypcji lub zakupu sprzętu lub obu.

Dostępnych jest kilkadziesiąt DNSBL i usług reputacyjnych, choć niektóre z bardziej znanych i przydatnych, których używam i polecam, to:

Listy konserwatywne:

• Spamhaus ZEN
• Baza danych reputacji Barracuda (bez konieczności zakupu)
• SpamCop

Agresywne listy:

• UCEPROTECT
• Backscatterer

Jak wspomniano wcześniej, dostępnych jest kilkadziesiąt innych, które mogą odpowiadać Twoim potrzebom. Jedną z moich ulubionych sztuczek jest sprawdzenie adresu IP, który dostarczył spam, który przeszedł przez wiele DNSBL, aby zobaczyć, który z nich by go odrzucił.

• Dla każdej usługi DNSBL i usługi reputacji sprawdź jej zasady dotyczące wyświetlania i usuwania adresów IP oraz określ, czy są one zgodne z potrzebami Twojej organizacji.
• Dodaj DNSBL do swojego serwera SMTP, jeśli zdecydujesz, że należy skorzystać z tej usługi.
• Rozważ przypisanie każdemu DNSBL punktacji i skonfigurowanie jej w SpamAssassin zamiast na serwerze SMTP. Zmniejsza to wpływ fałszywie dodatniego; taka wiadomość zostanie dostarczona (być może do śmieci / spamu) zamiast odesłana. Kompromis polega na tym, że dostarczasz dużo spamu.
• Lub odrzuć całkowicie, gdy adres IP znajduje się na jednej z bardziej konserwatywnych list, i skonfiguruj bardziej agresywne listy w SpamAssassin.

Użyj SPF

SPF (Sender Policy Framework; RFC 4408 i RFC 6652 ) to sposób zapobiegania fałszowaniu adresów e-mail poprzez deklarowanie, którzy hosty internetowe są upoważnione do dostarczania poczty dla danej nazwy domeny.

• Skonfiguruj swój DNS, aby deklarował rekord SPF na autoryzowanych serwerach poczty wychodzącej i -allodrzucał wszystkie inne.
• Skonfiguruj swój serwer pocztowy, aby sprawdzał rekordy SPF poczty przychodzącej, jeśli istnieją, i odrzucaj pocztę, która nie przeszła weryfikacji SPF. Pomiń tę kontrolę, jeśli domena nie ma rekordów SPF.

Zbadaj DKIM

DKIM (DomainKeys Identified Mail; RFC 6376 ) to metoda osadzania podpisów cyfrowych w wiadomościach pocztowych, które można zweryfikować za pomocą kluczy publicznych opublikowanych w DNS. Jest obciążony patentem w USA, co spowolniło jego przyjęcie. Podpisy DKIM mogą również zostać zerwane, jeśli wiadomość zostanie zmodyfikowana podczas przesyłania (np. Serwery SMTP mogą czasami przepakować wiadomości MIME).

• Zastanów się nad podpisaniem poczty wychodzącej przy użyciu podpisów DKIM, ale pamiętaj, że podpisy nie zawsze mogą być poprawnie weryfikowane, nawet w przypadku legalnej poczty.

Rozważ użycie greylistingu

Greylisting to technika, w której serwer SMTP wydaje tymczasowe odrzucenie przychodzącej wiadomości, a nie trwałe odrzucenie. Gdy dostawa zostanie ponowiona za kilka minut lub godzin, serwer SMTP zaakceptuje wiadomość.

Greylisting może zatrzymać niektóre programy spamowe, które nie są wystarczająco solidne, aby rozróżnić tymczasowe i trwałe odrzucenia, ale nie pomaga spamowi wysłanemu do otwartego przekaźnika lub bardziej niezawodnemu oprogramowaniu spamowemu. Wprowadza również opóźnienia w dostawie, które użytkownicy nie zawsze mogą tolerować.

• Rozważ użycie greylistingu tylko w skrajnych przypadkach, ponieważ jest to bardzo szkodliwe dla legalnego ruchu e-mail.

Rozważ użycie nolistingu

Nolisting to metoda konfigurowania rekordów MX w taki sposób, aby rekord o najwyższym priorytecie (najniższy numer preferencji) nie miał działającego serwera SMTP. Polega to na tym, że wiele programów spamujących próbuje tylko pierwszego rekordu MX, podczas gdy legalne serwery SMTP próbują wszystkich rekordów MX w kolejności rosnącej. Niektóre programy spamowe próbują również wysłać bezpośrednio do rekordu MX o najniższym priorytecie (najwyższym numerze preferencji) z naruszeniem RFC 5321 , aby można było ustawić adres IP bez serwera SMTP. Uważa się, że jest to bezpieczne, jednak podobnie jak w przypadku innych elementów, najpierw należy dokładnie przetestować.

• Rozważ ustawienie rekordu MX o najwyższym priorytecie, aby wskazywał host, który nie odpowiada na porcie 25.
• Rozważ ustawienie rekordu MX o najniższym priorytecie, aby wskazywał host, który nie odpowiada na porcie 25.

Zastanów się nad urządzeniem do filtrowania spamu

Umieść urządzenie do filtrowania spamu, takie jak Cisco IronPort lub Barracuda Spam & Virus Firewall (lub inne podobne urządzenia) przed istniejącym serwerem SMTP, aby znacznie zredukować otrzymywany spam. Urządzenia te są wstępnie skonfigurowane z DNSBL, usługami reputacji, filtrami bayesowskimi i innymi funkcjami, które omówiłem, i są regularnie aktualizowane przez ich producentów.

• Zbadaj koszty sprzętu do filtrowania spamu i koszty subskrypcji.

Rozważ hostowane usługi e-mail

Jeśli to za dużo dla ciebie (lub twojego przepracowanego personelu IT), zawsze możesz poprosić zewnętrznego usługodawcę o obsługę twojego e-maila. Usługi takie jak Google Postini , Symantec MessageLabs Email Security (lub inne) będą filtrować wiadomości za Ciebie. Niektóre z tych usług mogą również spełniać wymogi prawne i prawne.

• Zbadaj koszty subskrypcji hostowanej usługi e-mail.

Jakie wskazówki powinni przekazać użytkownikom końcowym w zakresie zwalczania spamu?

Bezwzględnie najważniejszą rzeczą, którą powinni zrobić użytkownicy końcowi w walce ze spamem:

• NIE REAGUJ NA SPAM.

  Jeśli wygląda to śmiesznie, nie klikaj linku do witryny i nie otwieraj załącznika. Bez względu na to, jak atrakcyjna wydaje się oferta. Że Viagra nie jest tak tanie, że nie są naprawdę dostanie nagie zdjęcia każdego, i nie ma 15 milionów dolarów dolarów w Nigerii czy gdzie indziej, z wyjątkiem pieniędzy pobranych z ludzi, którzy nie odpowiadają na spam.

• Jeśli zobaczysz wiadomość spamową, oznacz ją jako Spam lub Spam, w zależności od klienta pocztowego.

• NIE oznaczaj wiadomości jako Spam / Spam, jeśli faktycznie zapisałeś się na otrzymywanie wiadomości i po prostu chcesz przestać je otrzymywać. Zamiast tego wypisz się z listy mailingowej, używając podanej metody anulowania subskrypcji.

• Regularnie sprawdzaj folder Spam / Spam, aby sprawdzić, czy nie dotarły do ​​niego prawidłowe wiadomości. Oznacz je jako Nie śmieci / Nie spam i dodaj nadawcę do swoich kontaktów, aby zapobiec oznaczaniu ich wiadomości jako spam w przyszłości.

Przez lata zarządzałem ponad 100 oddzielnymi środowiskami pocztowymi i korzystałem z wielu procesów w celu zmniejszenia lub pomocy w eliminacji spamu.

Technologia ewoluowała w miarę upływu czasu, więc ta odpowiedź omówi niektóre z rzeczy, które próbowałem w przeszłości i szczegółowo opisał obecny stan rzeczy.

Kilka przemyśleń na temat ochrony ...

• Chcesz chronić port 25 serwera poczty przychodzącej przed otwartym przekaźnikiem , w którym każdy może wysyłać pocztę za pośrednictwem infrastruktury. Jest to niezależne od konkretnej technologii serwera pocztowego, z której możesz korzystać. Zdalni użytkownicy powinni używać alternatywnego portu przesyłania i jakiejś formy wymaganego uwierzytelnienia do przekazywania poczty. Port 587 lub port 465 są powszechnymi alternatywami dla 25.
• Szyfrowanie jest również plusem. Duża część ruchu pocztowego jest wysyłana w postaci czystego tekstu. Jesteśmy teraz w punkcie, w którym większość systemów pocztowych może obsługiwać pewne formy szyfrowania; jakieś wydarzenie tego oczekuje.
• Są bardziej proaktywne podejście do zapobiegania swoją stronę poczty przed sklasyfikowany jako źródło spamu ...

W odniesieniu do przychodzącego spamu ...

• Szara lista była interesującym podejściem przez krótki czas. Wymuś tymczasowe odrzucenie / opóźnienie w nadziei, że spamer rozłączy się i uniknie ujawnienia lub czasu i zasobów potrzebnych do zażądania wiadomości. Spowodowało to nieprzewidywalne opóźnienia w dostarczaniu poczty, nie działało dobrze z pocztą z dużych farm serwerów, a spamerzy w końcu opracowali obejścia. Najgorszy wpływ miało przekroczenie oczekiwań użytkownika co do szybkiego dostarczania poczty.
• Wiele przekaźników MX nadal wymaga ochrony. Niektórzy spamerzy próbują wysłać kopię zapasową na MX lub o niższym priorytecie w nadziei, że ma mniej niezawodne filtrowanie.
• Czarne listy (dziura) w czasie rzeczywistym (RBL / DNSBL) - Odnoszą się do centralnie zarządzanych baz danych w celu sprawdzenia, czy serwer wysyłający jest na liście. Duże poleganie na RBL wiąże się z pewnymi zastrzeżeniami. Niektóre nie były tak renomowane jak inne. Ofiary z Spamhaus zawsze były dla mnie dobre. Inne, takie jak SORBS , źle podają adresy IP i często blokują prawidłowe wiadomości e-mail. W niektórych przypadkach zostało to porównane do spisku wymuszenia, ponieważ usunięcie z listy często wiąże się z $$$.
• Sender Policy Framework (SPF) - Zasadniczo środek zapewniający, że dany host jest uprawniony do wysyłania poczty dla określonej domeny, zgodnie z definicją rekordu DNS TXT. Dobrą praktyką jest tworzenie rekordów SPF dla poczty wychodzącej, ale złą praktyką jest wymaganie od serwerów wysyłających do ciebie.
• Klucze domeny - jeszcze nie w powszechnym użyciu ... jeszcze.
• Tłumienie odrzuceń - Zapobiega zwracaniu nieprawidłowej poczty do jej źródła. Niektórzy spamerzy próbują sprawdzić, które adresy są aktywne / prawidłowe, analizując rozproszenie wsteczne, aby utworzyć mapę użytecznych adresów.
• Odwrotne kontrole DNS / PTR - Sprawdź, czy serwer wysyłający ma prawidłowy zwrotny rekord PTR. Nie musi to zgadzać się z domeną źródłową, ponieważ możliwe jest mapowanie domen wiele do jednego na hoście. Ale dobrze jest określić własność przestrzeni IP i ustalić, czy serwer inicjujący jest częścią dynamicznego bloku IP (np. Domowy Internet szerokopasmowy - czytaj: zaatakowane roboty spamujące).
• Filtrowanie treści - (niewiarygodne) - Próba przeciwdziałania permutacjom „(Viagra, v \ | agra, viagra, vilgra.)” Jest czasochłonna dla administratora i nie skaluje się w większym środowisku.
• Filtrowanie bayesowskie - bardziej zaawansowane rozwiązania antyspamowe umożliwiają globalne lub indywidualne szkolenie poczty. Przeczytaj połączony artykuł na temat heurystyki, ale najważniejsze jest to, że poczta może być ręcznie sklasyfikowana jako dobra (Ham) lub zła (Spam), a otrzymane wiadomości wypełniają bazę Bayesian, do której można się odwoływać w celu ustalenia kategoryzacji przyszłych wiadomości. Zazwyczaj wiąże się to z wynikiem spamu lub wagą i może być jedną z kilku technik stosowanych do ustalenia, czy wiadomość powinna zostać dostarczona.
• Kontrola prędkości / dławienie - Proste podejście. Ogranicz liczbę wiadomości, które dany serwer może próbować dostarczyć w określonym czasie. Odłóż wszystkie wiadomości powyżej tego progu. Zwykle jest to konfigurowane po stronie serwera pocztowego.
• Filtrowanie hostowane i chmurowe. Przychodzi mi na myśl Postini , ponieważ było to rozwiązanie chmurowe , zanim chmura stała się modnym słowem. Siła hostowanego rozwiązania, będącego obecnie własnością Google, polega na korzyściach skali związanych z przetwarzaniem napotkanej poczty. Analiza danych i prosty zasięg geograficzny mogą pomóc hostowanemu rozwiązaniu do filtrowania spamu dostosować się do trendów. Wykonanie jest jednak proste. 1). Skieruj swój rekord MX na hostowane rozwiązanie, 2). podaj adres dostawy serwera po filtrowaniu. 3). Zysk .

Moje obecne podejście:

Jestem zdecydowanym zwolennikiem rozwiązań spamowych opartych na urządzeniach. Chcę odrzucić na obwodzie sieci i zapisać cykle procesora na poziomie serwera pocztowego. Korzystanie z urządzenia zapewnia również pewną niezależność od rzeczywistego rozwiązania serwera pocztowego (agenta dostarczającego pocztę).

Z wielu powodów polecam urządzenia Barracuda Spam Filter . Wdrożyłem kilkadziesiąt urządzeń, a interfejs oparty na sieci Web, udostępnianie myśli w branży oraz natura urządzeń typu „ustaw i zapomnij” czynią go zwycięzcą. Technologia zaplecza obejmuje wiele technik wymienionych powyżej.

• Blokuję port 25 na adresie IP mojego serwera pocztowego i zamiast tego ustawiam rekord MX domeny na publiczny adres urządzenia Barracuda - np. Spam.domain.com. Port 25 będzie otwarty do dostarczania poczty.
• Rdzeniem jest SpamAssassin - dostarczany z prostym interfejsem do dziennika komunikatów (i bazy danych Bayesa), którego można użyć do sklasyfikowania dobrej poczty od złej podczas początkowego okresu szkolenia.
• Barracuda domyślnie wykorzystuje kilka RBL, w tym Spamhaus.org oraz własną bazę danych reputacji BRBL . Uwaga - BRBL można bezpłatnie używać jako standardowego RBL dla innych systemów pocztowych .
• Baza danych reputacji Barracuda jest opracowywana na podstawie danych na żywo, honeypotów, analiz na dużą skalę i dowolnej liczby zastrzeżonych technik. Ma zarejestrowaną białą listę i listę zablokowanych. Nadawcy poczty o dużej objętości i widoczności często rejestrują się w Barracuda w celu automatycznego dodania do białej listy. Przykłady obejmują Blackberry, Constant Contact itp.
• Sprawdzanie SPF można włączyć (ale nie włączam ich).
• Istnieje interfejs do przeglądania poczty i ponownego dostarczania z pamięci podręcznej urządzenia w razie potrzeby. Jest to pomocne w przypadkach, gdy użytkownik oczekiwał wiadomości, która mogła nie przejść wszystkich kontroli spamu.
• Weryfikacja użytkownika LDAP / Active Directory pomaga przyspieszyć wykrywanie nieprawidłowych adresatów poczty. Oszczędza to przepustowość i zapobiega rozproszeniu wstecznemu .
• Można skonfigurować wszystkie adresy IP / adres nadawcy / domenę / kraj pochodzenia. Jeśli chcę odrzucić całą pocztę z sufiksów domeny włoskiej, jest to możliwe. Jeśli chcę zapobiec przesyłaniu poczty z określonej domeny, można ją łatwo skonfigurować. Jeśli chcę zablokować prześladowcy użytkownika wysyłanie wiadomości e-mail do użytkownika, jest to wykonalne (prawdziwa historia).
• Barracuda zapewnia szereg raportów z puszki oraz dobry wizualny obraz stanu urządzenia i wskaźników spamu.
• Lubię mieć urządzenie na miejscu, aby zachować to przetwarzanie we własnym zakresie i ewentualnie mieć połączenie z dziennikiem poczty e-mail po filtrze (w środowiskach, w których konieczne jest przechowywanie poczty).
• Plus Urządzenie może znajdować się w zwirtualizowanej infrastrukturze .

Konsola stanu Barracuda Spam & Virus Firewall 300

Nowsze podejście:

W ciągu ostatniego miesiąca eksperymentowałem z opartą na chmurze Barracuda Email Security Service . Jest to podobne do innych rozwiązań hostowanych, ale dobrze nadaje się do mniejszych witryn, w których kosztowne urządzenie jest nieopłacalne. Za nominalną roczną opłatę ta usługa zapewnia około 85% tego, co robi urządzenie sprzętowe. Usługę można również uruchomić w połączeniu z urządzeniem na miejscu, aby zmniejszyć przepustowość i zapewnić kolejną warstwę bezpieczeństwa. Jest to również ładny bufor, który może buforować pocztę w przypadku awarii serwera. Analityki są nadal przydatne, choć nie tak szczegółowe jak jednostki fizyczne.

Konsola Barracuda Cloud Email Security

Podsumowując, wypróbowałem wiele rozwiązań, ale biorąc pod uwagę skalę niektórych środowisk i rosnące wymagania bazy użytkowników, chcę najbardziej eleganckich dostępnych rozwiązań. Przyjmowanie podejścia wielozakresowego i „rozwijanie własnego” jest z pewnością możliwe, ale dobrze sobie poradziłem z podstawowymi zabezpieczeniami i dobrym monitorowaniem urządzenia Barracuda. Użytkownicy są bardzo zadowoleni z wyniku.

Uwaga: Cisco Ironport jest również świetny ... Po prostu droższy.

Częściowo popieram to, co powiedzieli inni; częściowo nie.

Spamassassin

Działa to dla mnie bardzo dobrze, ale musisz poświęcić trochę czasu na szkolenie filtru bayesowskiego zarówno z szynką, jak i spamem .

Greylisting

ewwhite może czuć, że jego dzień już minął, ale nie mogę się zgodzić. Jeden z moich klientów zapytał, jak skuteczne były moje różne filtry, więc oto przybliżone statystyki z lipca 2012 r. Dla mojego osobistego serwera poczty:

• Próbowano dostarczyć 46000 wiadomości
• 1750 przeszedł przez szarą listę
• 250 przeszło przez szarą listę + wyszkolony spamassassin

Tak więc około 44000 nigdy nie przeszło przez szarą listę; gdybym nie miał greylistingu i zaakceptowałby je wszystkie, wszyscy potrzebowaliby filtrowania spamu, wszyscy używali procesora i pamięci, a nawet przepustowości.

Edycja : ponieważ ta odpowiedź wydaje się być przydatna dla niektórych osób, pomyślałem, że zaktualizuję statystyki. Ponownie uruchomiłem analizę dzienników poczty od stycznia 2015 r., 2,5 roku później.

• Próbowano dostarczyć 115 500 wiadomości
• 13.300 przeszło przez szarą listę (i kilka podstawowych kontroli poczytalności, np. Ważna domena nadawcy)
• 8500 przeszło przez szarą listę + wyszkolony spamassassin

Liczby nie są bezpośrednio porównywalne, ponieważ nie mam już informacji o tym, jak doszedłem do liczb z 2012 r., Więc nie jestem pewien, czy metody były identyczne. Ale mam pewność, że nie musiałem wtedy przeprowadzać kosztownego obliczeniowo filtrowania spamu na ogromnej ilości treści, a ja nadal nie, z powodu szarej listy.

SPF

To nie jest tak naprawdę technika antyspamowa, ale może zmniejszyć ilość rozproszenia wstecznego, z którą musisz sobie poradzić, jeśli jesteś zabójcą. Powinieneś używać go zarówno na wejściu, jak i na zewnątrz, to znaczy: powinieneś sprawdzić rekord SPF nadawcy pod kątem przychodzących wiadomości e-mail i odpowiednio zaakceptować / odrzucić. Powinieneś również opublikować swoje własne rekordy SPF, wymieniając w pełni wszystkie maszyny, które są upoważnione do wysyłania poczty jako ty, i blokuj wszystkie inne za pomocą-all . Rekordy SPF, które nie kończą się, -allsą całkowicie bezużyteczne.

Listy Blackhole

RBL są problematyczne, ponieważ można się na nie dostać z własnej winy, a ciężko się z nich wydostać. Niemniej jednak mają one uzasadnione zastosowanie w walce ze spamem, ale zdecydowanie sugeruję, że żaden RBL nigdy nie powinien być używany jako jasny test akceptacji poczty . Sposób, w jaki spamassassin radzi sobie z RBL - przy użyciu wielu, z których każdy przyczynia się do całkowitego wyniku, i właśnie ten wynik decyduje o przyjęciu / odrzuceniu - jest znacznie lepszy.

Dropbox

Nie mam na myśli usługi komercyjnej, mam na myśli to, że mój serwer pocztowy ma jeden adres, który przecina całą moją greylisting i filtrowanie spamu, ale który zamiast dostarczać do skrzynki INBOX, trafia do folderu, w /varktórym można zapisać świat , w którym jest automatycznie oczyszczane co noc z e-maili powyżej 14 dni.

Zachęcam wszystkich użytkowników do korzystania z niego, np. Podczas wypełniania formularzy e-mail, które wymagają weryfikowalnego adresu e-mail, na który otrzymasz jeden e-mail, który musisz zachować, ale od którego nigdy więcej nie chcesz słyszeć, lub przy zakupie od dostawców internetowych, którzy prawdopodobnie sprzedadzą i / lub spamują swój adres (szczególnie ci, którzy są poza zasięgiem europejskich przepisów dotyczących prywatności). Zamiast podać swój prawdziwy adres, użytkownik może podać adres skrzynki odbiorczej i przeglądać ją tylko wtedy, gdy spodziewa się czegoś od korespondenta (zazwyczaj komputera). Kiedy nadejdzie, może ją wybrać i zapisać w swojej kolekcji pocztowej. Żaden użytkownik nie musi w tym czasie szukać.

Używam wielu technik, które redukują spam do akceptowalnego poziomu.

Opóźnij przyjmowanie połączeń z niepoprawnie skonfigurowanych serwerów. Większość spamu, który otrzymuję, pochodzi od Spambotów działających na systemie zainfekowanym złośliwym oprogramowaniem. Prawie wszystkie z nich nie przechodzą walidacji rDNS. Opóźnianie o około 30 sekund przed każdą odpowiedzią powoduje, że większość Spambotów poddaje się, zanim dostarczy wiadomość. Zastosowanie tego tylko do serwerów, które zawiodły rDNS, pozwala uniknąć karania odpowiednio skonfigurowanych serwerów. Niektóre niepoprawnie skonfigurowane legalne lub automatyczne nadawcy są karane, ale dostarczają z minimalnym opóźnieniem.

Konfigurowanie SPF dla wszystkich domen chroni domeny. Większość subdomen nie powinna być używana do wysyłania wiadomości e-mail. Głównym wyjątkiem są domeny MX, które muszą mieć możliwość samodzielnego wysyłania poczty. Wielu legalnych nadawców przekazuje pocztę masową i zautomatyzowaną na serwery, które nie są dozwolone przez ich zasady. Odroczenie zamiast odrzucenia w oparciu o SPF pozwala im naprawić konfigurację SPF lub dodać je do białej listy.

Wymaganie nazwy FQDN (w pełni kwalifikowanej nazwy domeny) w poleceniu HELO / EHLO. Spam często używa niekwalifikowanej nazwy hosta, literału adresu, adresu IP lub nieprawidłowej TLD (domena najwyższego poziomu). Niestety, niektórzy legalni nadawcy używają nieprawidłowych domen TLD, więc w tym przypadku bardziej odpowiednie może być odroczenie. Aby włączyć pocztę, może to wymagać monitorowania i dodania do białej listy.

DKIM pomaga w niezaprzeczalności, ale poza tym nie jest bardzo przydatny. Z mojego doświadczenia wynika, że ​​spam prawdopodobnie nie zostanie podpisany. Szynka jest częściej podpisywana, więc ma pewną wartość w punktowaniu spamu. Wielu legalnych nadawców nie publikuje swoich kluczy publicznych ani w inny sposób niewłaściwie konfiguruje swój system.

Greylisting jest pomocny dla serwerów, które wykazują pewne oznaki błędnej konfiguracji. Serwery, które są odpowiednio skonfigurowane, w końcu przejdą, więc zwykle wykluczam je z szarej listy. Przydaje się szarej liście freemailerów, ponieważ zwykle są one wykorzystywane do spamowania. Opóźnienie daje niektórym wejściom filtra spamu czas na złapanie spamera. Ma również tendencję do odchylania Spambotów, ponieważ zwykle nie próbują ponownie.

Czarne listy i białe listy również mogą pomóc.

• Uważam Spamhaus za wiarygodną czarną listę.
• Automatyczna biała lista w filtrze spamu pomaga wygładzić ocenę często nadawców, którzy okazjonalnie są spamerami, lub spamerów, którzy okazjonalnie są Hamishami.
• Przydaje mi się również biała lista dnsl.org.

Oprogramowanie do filtrowania spamu jest dość dobre w znajdowaniu spamu, chociaż niektóre się przedostaną. Doprowadzenie fałszywego negatywu do rozsądnego poziomu może być trudne, bez zbytniego zwiększania fałszywego pozytywu. Uważam, że Spamassassin łapie większość spamu, który do niego dociera. Dodałem kilka niestandardowych reguł, które pasują do moich potrzeb.

Postmasterzy powinni skonfigurować wymagane adresy nadużyć i adresy postmasterów. Potwierdź informacje zwrotne na te adresy i działaj na ich podstawie. Pozwala to innym pomóc Ci upewnić się, że Twój serwer jest poprawnie skonfigurowany i nie pochodzi ze spamu.

Jeśli jesteś programistą, użyj istniejących usług e-mail zamiast konfigurować własny serwer. Z mojego doświadczenia wynika, że ​​konfiguracja serwerów dla automatycznych nadawców poczty może być nieprawidłowo skonfigurowana. Przejrzyj RFC i wyślij poprawnie sformatowaną wiadomość e-mail z legalnego adresu w swojej domenie.

Użytkownicy końcowi mogą zrobić wiele rzeczy, aby zmniejszyć spam:

• Nie otwieraj tego. Oflaguj go jako spam lub usuń.
• Upewnij się, że twój system jest bezpieczny i wolny od złośliwego oprogramowania.
• Monitoruj użycie sieci, zwłaszcza gdy nie korzystasz z systemu. Jeśli generuje duży ruch w sieci, gdy go nie używasz, być może wysyła spam.
• Wyłącz komputer, gdy go nie używasz. (Nie będzie w stanie wygenerować spamu, jeśli zostanie wyłączony).

Właściciele domen / dostawcy usług internetowych mogą pomóc, ograniczając dostęp do Internetu na porcie 25 (SMTP) do oficjalnych serwerów poczty elektronicznej. Ograniczy to zdolność robotów spamujących do wysyłania do Internetu. Pomaga również, gdy adresy dynamiczne zwracają nazwy, które nie przechodzą walidacji rDNS. Jeszcze lepiej jest zweryfikować rekord PTR dla serwerów poczty, które przechodzą waloryzację rDNS. (Zweryfikuj błędy typograficzne podczas konfigurowania rekordów PTR dla swoich klientów).

Zacząłem klasyfikować wiadomości e-mail w trzech kategoriach:

• Szynka (prawie zawsze z odpowiednio skonfigurowanych serwerów, odpowiednio sformatowanych i najczęściej osobistych wiadomości e-mail).
• Spam (głównie od Spambotów, ale pewien procent pochodzi od freemailerów lub innych nadawców z nieprawidłowo skonfigurowanymi serwerami).
• Bacn; może to być szynka lub spam (zawiera wiele wiadomości z list mailingowych i zautomatyzowanych systemów. Szynka zwykle kończy się tutaj z powodu błędnej konfiguracji DNS i / lub serwera).

Jedynym najbardziej skutecznym rozwiązaniem, jakie widziałem, jest skorzystanie z jednej z zewnętrznych usług filtrowania poczty.

Mam doświadczenie w następujących usługach u obecnych klientów. Jestem pewien, że są inni. Każdy z nich wykonał doskonałą pracę z mojego doświadczenia. Koszt jest rozsądny dla wszystkich trzech.

• Postini od Google
• MXLogic od McAfee
• SecureTide od AppRiver

Usługi mają kilka ogromnych zalet w stosunku do lokalnych rozwiązań.

1. Zatrzymują większość (> 99%) spamu ZANIM dotrze on do twojego połączenia internetowego i serwera e-mail. Biorąc pod uwagę ilość spamu, jest to dużo danych, które nie dotyczą twojego pasma, a nie twojego serwera. Zaimplementowałem jedną z tych usług kilkanaście razy i każda z nich spowodowała zauważalną poprawę wydajności serwera e-mail.

2. Robią także filtrowanie antywirusowe, zwykle w obu kierunkach. Ogranicza to potrzebę posiadania rozwiązania „antywirusowego” na serwerze, a także całkowicie utrzymuje wirusy

Świetnie sobie radzą również w blokowaniu spamu. W ciągu 2 lat pracy w firmie korzystającej z MXLogic nigdy nie miałem fałszywych trafień i mogę policzyć wiarygodne wiadomości spamowe, które przeszły z jednej strony.

Żadne dwa środowiska pocztowe nie są takie same. Tak więc zbudowanie skutecznego rozwiązania będzie wymagało wielu prób i błędów w związku z wieloma dostępnymi technikami, ponieważ zawartość wiadomości e-mail, ruch, oprogramowanie, sieci, nadawcy, odbiorcy i wiele innych będą się znacznie różnić w różnych środowiskach.

Jednak uważam, że następujące listy bloków (RBL) dobrze nadają się do ogólnego filtrowania:

• dbl.spamhaus.org
• xbl.spamhaus.org
• b.barracudacentral.org

Jak już wspomniano SpamAssassin jest świetnym rozwiązaniem, jeśli jest poprawnie skonfigurowany, po prostu upewnij się, że zainstalowałeś jak najwięcej dodatkowych modułów Perla w CPAN, a także Razor, Pyzor i DCC. Postfix działa bardzo dobrze ze SpamAssassin i jest o wiele łatwiejszy w zarządzaniu i konfiguracji niż na przykład EXIM.

Wreszcie blokowanie klientów na poziomie IP za pomocą fail2ban i iptables lub podobnych przez krótki czas (powiedzmy od jednego dnia do tygodnia) po niektórych zdarzeniach, takich jak wywołanie trafienia w RBL z powodu niewłaściwego zachowania, może być również bardzo skuteczne. Po co marnować zasoby na rozmowę ze znanym hostem zainfekowanym wirusem?