在过去几周,我们遭受了一类新的垃圾邮件的重创(至少对我/我们来说是新的)。我称之为“小报垃圾邮件”,因为它们会发送超市小报标题和小报副本,从而绕过垃圾邮件杀手。
以下是一些示例主题行:
Mark Cuban Tells Anderson Cooper The Economy is in for a Meltdown
Looking for Walk In Bath Information? Compare These Choices.
One of the Biggest Government Lies: "The Food We Eat is Safe"
Donald Trump: I Consult Myself On Foreign Policy, "Because I Have A Very Good Brain"
这些邮件包含 1-2 个链接,但如果不点击链接,就无法确定他们是否在销售任何东西。这些邮件都包含大量正文,其中一些读起来像是经过旋转的网页内容。Spam Assassin 无法区分这种风格的正文和合法邮件。
这些信息的发送频率越来越高,几周前我们每天大概能收到 20 条,现在每天能收到数百条。这些邮件都来自不同的电子邮件地址,主题广泛而多样,但大多数都像超市小报的头条新闻。
我们的尝试/想法:
我们可以让 Spam-assassin 标记这些邮件的唯一方法是将其调低到一个阈值
2,以便收到大多数邮件以及一半的合法邮件!有人建议更换电子邮件地址。这似乎是一个极端的措施,而且充其量也只是短期措施。
我们已经使用 rdb 黑名单来拒绝 postfix 上的邮件。他们没有阻止这种做法。
向 Spam Assassin 添加关键字并为其评分,例如,将其设置为向任何包含“Donald Trump”、“Dr. Oz”、“Anderson Cooper”等的主题行添加 +10 垃圾邮件分数。这似乎劳动密集型,但我将研究下一步添加规则,至少是为了暂时缓解。
除此之外,还有其他关于如何处理这个问题的想法或建议吗?我相信我们不是唯一处理这种新型垃圾邮件的人。
我们的环境是 Linux(Ubuntu LTS)和 Postfix+Spam Assassin。
答案1
这类事情(雪鞋/冰雹垃圾邮件)最好用机器学习来检测。确保充分利用SpamAssassin 中的贝叶斯(即您必须定期对垃圾邮件和正常邮件进行训练;自动学习是不够的)。
你需要确保自己拥有 IP 和 URI域名系统正确设置;参见DNS阻止列表。我认为 DNSBL 和贝叶斯内容检查是总体上打击垃圾邮件的两种最佳武器。
当我管理一家公司的邮件系统时,我得到的最好的垃圾邮件数量减少方法是正确返回 SMTP 时间 NO SUCH USER 和 BLOCKED FOR SPAM 拒绝不存在的用户和高分垃圾邮件。这将从根本上减少来自跟踪传递率指标的发件人的垃圾邮件(一些坏人加上很多肮脏营销人员)。诚然,这对于您遭受的雪鞋子类型没有多大帮助,但它可能会缓解您遇到的其他问题——尽管如果您使用全能(通配符)帐户来收集发送给非用户的邮件,则无法考虑这一点。如果您可以设置 SpamAssassin 在 SMTP 时拒绝邮件,这将为使用退回跟踪发件人发送的垃圾邮件提供相同的好处。
你在评论中提到,你尝试了很多方法,但没有未上市。我曾听说 nolisting 取得了成功,但实施某种方法来衡量其影响将是一个相当大的额外负担。我以规定的方式(响应 ping 的单独主 MX 记录,端口 25 关闭,但未过滤:必须快速拒绝)和非标准方式(nolisting.org 坚持应该用其他名称来称呼):单独的最低优先级(数字最高)MX 记录,端口 25 已过滤(因此它会超时,从而消耗垃圾邮件发送者的资源)。
测量无列表需要建立一个服务器来计算连接数,然后将这些日志与实际邮件中继的日志进行比较,以查看有多少消息没有存留。