我刚刚将新的 DNSBL 添加到我在小型邮件服务器上使用的 DNSBL 列表中。我将其设置为列表的第一个,因为我想看看它遗漏了什么,但其他列表捕获了什么。
我在做其他事情的时候会用余光查看邮件日志,以确保一切正常,我开始思考如何衡量各种列表的相对有效性。我想我可以给每个列表设置一个最上面的星期,然后测量其他列表在那个星期捕获了多少邮件,但这似乎是一种真正的黑客行为。
是否有任何工具或技术可以衡量特定服务器上不同阻止列表的相对有效性?我可以通过用户投诉量来衡量误报,所以我担心的是某个阻止列表漏掉的地址,而另一个阻止列表抓到的地址。
答案1
如果您想要做的只是确定“为了捕获最大数量的垃圾邮件,我应该订阅哪个最小黑名单”,那么您真正想要做的是:
- 按 IP 地址统计所有被阻止的垃圾邮件(因此,分析您的邮件日志以获取被阻止 IP 的表格,并统计每个 IP 发出的垃圾邮件数量)。
- 将所有这些 IP 放入所有黑名单中(操作很简单,只需对每个 IP 进行快速 DNS 查找)
- 根据每个黑名单捕获的 IP 数量(以及每个 IP 发出的垃圾邮件数量)对每个黑名单进行评分。
由于每个黑名单的内容具有随时间变化的特性,这变得很复杂,因此可能需要采用日志检查类型的流程(定期运行,分析新的日志条目),然后可以根据需要向您报告。
所有这些并不难,只需几行 shell 或 即可完成$SCRIPTING_LANGUAGE_OF_CHOICE。
当然,除非您运行的黑名单太多,以至于需要花费过多的时间才能全部检查完,否则更有趣的问题是“有多少垃圾邮件没有被我的黑名单捕获,哪些额外的黑名单可以捕获这些垃圾邮件,而不会过分增加我的误报率。”同样,在您正在考虑的一组黑名单中查找“已通过”的 IP 地址并记录结果会很有启发性。
答案2
除了 DNSBL 之外,您可能还需要考虑 GeoIP 阻止。这是当您查看连接来自的 IP 地址、确定来源国家/地区,然后阻止连接时。
我们发现大多数垃圾邮件来自我们绝对不会想到会收到的国家(中国、巴西、新加坡等)。
通过完全阻止这些国家,我们在进行任何其他更耗 CPU 的检查之前已经大大减少了垃圾邮件负载。
我估计至少 90%(可能更多)的垃圾邮件都是由 GeoIP 捕获的,只有不到 10% 实际上是针对 DNSBL、spamassassin、白名单等进行处理的。
我们使用了 MaxMind 的免费 GeoIP 数据库,但我知道还有其他数据库。
为了直接回答您有关 DNSBL 的问题,我们使用以下内容:
sbl-xbl.spamhaus.org bl.spamcop.net dnsbl.cyberlogic.net dnsbl.ahbl.org
我们已经有一段时间不需要更新/更改上述内容了。我想说(对我们来说)spamhaus.org 往往可以捕获 GeoIP 无法捕获的大多数内容。
你的旅费可能会改变。
答案3
如果您让 spamassassin 应用阻止列表,它(有效地)并行执行,您可以使用其日志来执行那些命中率计算。
一旦您知道要信任哪些阻止列表,您就可以重新配置您的邮件服务器以阻止最受信任的 RBL。