捕获雪鞋垃圾邮件的最佳方法是什么?

捕获雪鞋垃圾邮件的最佳方法是什么?

我正在使用 Smartermail 作为我的小型邮件服务器。我们最近遇到了一个问题,雪鞋垃圾邮件遵循相同的模式。它们一次分批出现 3 或 4 个。除了链接到的域名外,主体几乎完全相同。源 IP 往往来自同一个 /24 块一段时间,然后切换到另一个 /24。域名往往是全新的。它们具有有效的 PTR 和 SPF 记录,并在主体底部有随机的乱码来欺骗贝叶斯过滤器。

我使用了十几种不同的 RBL,包括 Barracuda、Spamhaus、SURBL 和 URIBL。它们可以很好地拦截大部分 RBL,但仍有很多 RBL 被漏网,因为 IP 和域名没有被列入黑名单。

我可以采用什么策略吗,包括阻止新创建域的 RBL 或专门处理 snoeshow 垃圾邮件?我希望避免使用第三方过滤服务。

答案1

这是否会成为您用户真正的问题?

此时我建议使用全面的邮件过滤服务。贝叶斯现在不再那么流行了。声誉、RBL、标头/意图分析和其他因素似乎更有帮助。考虑使用云过滤服务来结合多种方法(和集体音量)提供更好的保护(我为我的客户使用 Barracuda 的 ESS 云解决方案)。

而且当然:打击垃圾邮件 - 作为电子邮件管理员、域名所有者或用户,我能做什么?

Snowshoe 攻击的增加并未对我们造成负面影响。我确实看到,在一段时间内,邮件量每天都会增长三倍。但没有任何恶意邮件能够幸存下来。在 3 天内,Barracuda 将邮件量降至正常水平。

我认为,能够全面了解全球邮件活动的过滤解决方案比单独的邮件过滤器能够更好地对攻击做出反应。

编辑:

最近也在讨论这个问题洛普萨邮件列表:

我的贡献:https://www.mail-archive.com/[电子邮件保护]/msg04180.html
另一种观点:https://www.mail-archive.com/[电子邮件保护]/msg04181.html

答案2

我是一名 DNS Ops 人员,与经常遭受此类攻击的组织密切合作。处理 Snowshoe 攻击主要是一个流程问题,正如 ewwhite 指出的那样,它可能超出了贵公司内部解决的范围。我甚至可以说,除非您拥有规模可观的运营和多个商业 RBL 源,否则您大概不应该尝试使用商业过滤服务自己解决这个问题。

尽管如此,我们确实在这方面有一些经验,分享起来更有意思。以下是一些接触点:

  • 如果可能的话,训练您的邮件平台识别正在进行的 Snowshoe 攻击的特征并暂时拒绝来自相关网络的消息。行为良好的客户端会在临时故障时尝试重新发送消息,而其他客户端则不会这样做。
  • 确保您的 DNS 管理员UDP-MIB::udpInErrors通过 SNMP 进行监控,因为当 Snowshoe 攻击正在进行时,邮件平台很容易溢出 UDP 侦听器的接收队列。如果没有,在 Linux 下快速判断的方法是运行netstat -s | grep 'packet receive errors'有问题的 DNS 服务器;如果数量很大,则表明他们需要立即采取行动并开始关注。如果频繁发生溢出,他们将需要增加容量或增加接收缓冲区的大小。(这意味着丢失 DNS 查询,并失去预防垃圾邮件的机会)
  • 如果您经常看到这些攻击利用新创建的域,则确实存在突出显示这些域的 RBL。例子其中之一是FarSight NOD(阅读本文的人应该进行自己的研究),但它不是免费的。

全面披露:Farsight Security 的创始人是 Paul Vixie,当人们违反 DNS 标准时,我就会向他发泄我的坏习惯。

答案3

我安装了 Declude(免费)和 Message Sniffer(收费),在过去 4 天里,我的测试电子邮件帐户中只收到一封垃圾邮件,而每天收到的垃圾邮件多达数十封。据我所知,我们并没有过滤掉好的电子邮件。Spamassassin 可能也是一个很好的解决方案,尽管我尝试使用 Spam Assassin in a Box 时没有成功。

答案4

这里的许多答案都是针对一般的反垃圾邮件。从某种程度上来说,这是有道理的,因为垃圾邮件发送者似乎更倾向于使用 Snowshoe 作为首选的发送方式。

Snowshoe 最初总是从数据中心以低量(按 IP 计算)发送,并且始终包含取消订阅链接(更不用说它是否有效)。如今,Snowshoe 几乎从不包含取消订阅信息,并且从其 IP 大量发送,但发送量非常大,因此当 IP 被列入黑名单时,它已经发送完邮件了。这称为冰雹垃圾邮件

因为这,域名系统甚至基于模式的严格签名在捕捉雪鞋垃圾邮件方面也很糟糕。但也有一些例外,比如Spamhaus CSS 列表(专门针对雪鞋网络,是 SBL 和 ZEN 的一部分),但一般来说你需要灰名单/阻拦(这可以延迟交付,直到 DNSBL 赶上来),最重要的是,像贝叶斯垃圾邮件过滤。贝叶斯尤其擅长检测雪鞋。

Andrew B 的回答提到 Farsight Security 的新拥有的域名和主机名(NOD)试图在雪鞋网络启动时但开始发送垃圾邮件之前对其进行预测。Spamhaus CSS 可能做了类似的事情。CSS 已准备好在阻止环境中使用,而 NOD 实际上是为自定义系统而不是独立/阻止系统而设计的。

相关内容