我的一个客户端正遭受严重的垃圾邮件。这是该月的15日,POP3带宽接近100 GB。该域上只有7个电子邮件帐户。我安装了SpamAssassin,将其设置为5,然后设置10-20个过滤器来拒绝大多数垃圾。我认为POP3带宽没有太大变化。如果我错了,请纠正我,服务器仍然会用完带宽来接收邮件,以便分析确定垃圾邮件分数。
我偶然发现了一些伪造的MX记录-基本上,您将伪造的服务器设置为最低和最高MX记录,而将工作服务器的MX记录置于中间。
例如:
fake.example.com 1
realmx.example.com 2
fake2.example.com 3
从理论上讲,由于大多数垃圾邮件是从基于Windows的僵尸中生成的,并且相当一部分会查询垃圾邮件的最高MX记录,因为通常它们通常是不过滤垃圾邮件的备用服务器。最低的伪造MX记录是针对其余垃圾邮件制造者的。通常,垃圾邮件制造者不会在失败后重试。
有人尝试过吗?有帮助吗?它会延迟或导致邮件传递问题吗?还有其他人有更好的解决方案吗?
Answers:
帮自己一个忙,并使用Postini等网关反垃圾邮件服务来设置它们。每个月每个邮箱只需花费几美元,您绝对没有理由不这样做,不仅可以消除99%的垃圾邮件,还可以享受其后台处理服务(对于计划内或计划外停机很方便),而不必通过让其他人在垃圾邮件到达网络边缘之前接收并处理所有垃圾邮件来提及带宽节省。
不是Postini员工,只是一个快乐的用户,他也为此建立了许多客户。
我已经尝试过了,强烈建议您不要这样做!当时这似乎是个好主意,但是在各种发件人的邮件开始消失之后,我意识到这是一个错误。我没有意识到的是,那里有很多写得很烂的SMTP服务器,它们不符合规范,并且在处理错误方面相当糟糕,人们不知道或不在乎,因为“这是另一个人收到了我的电子邮件,所以一定是你”。
对于处理垃圾邮件,我提出了其他一些建议。Postini是一项出色的服务,即使免费的Google应用程序中内置的反垃圾邮件内容也不错。如果您想获得更多控制权,则可以购买IronPort或其他设备,也可以自己购买。
server-busy吗?还是完全死了?
我以前从未听说过这种方法,并且可以想象它会延迟合法电子邮件数小时。最终,smtp协议需要传递您的合法电子邮件。有效的服务器将打入伪造的mx记录,并尝试将其传送到该服务器...我不知道您可能在该服务器上运行了什么(如果有的话),但是它们会一直尝试直到被接受为止。
适当的服务器将继续尝试MX记录,直到邮件被传递为止。垃圾邮件发送者趋向于变得更聪明,如果现在可以将其用于某些垃圾邮件软件,我怀疑它能否长期有效。我不推荐。
我的建议是除了现有的垃圾邮件过滤器之外,还考虑使用smtp tarpit。现在有许多可用的。我认为您会发现它比伪造的mx记录方法更有效。
这样的tarpit随BSD上的smtpd一起提供。sendmail 8.13中也有一些tarpitting功能。
基本上,tarpit通过占用垃圾邮件服务器资源来工作。他们通过延迟他们得到的答复来做到这一点。例如,垃圾邮件服务器每秒连接并接收大约1个字节。
一些tarpit服务器查找垃圾邮件模式,并且可以识别垃圾邮件服务器。合法的服务器将准备等待响应缓慢。在某些tarpits服务器中,它们会将合法识别的服务器自动移动到白名单中,因此将来不会出现延迟。
Google SMTP Tarpit,看看吧。
我使用此假MX(nolisting的变体),并且效果很好。
我将postfix MX与所有常用过滤器一起使用,并且在某些spambot设法使服务器超载2或3次后,我决定尝试一下...结果如下:
尝试猜测我何时实施了fake-mx!8)
结果与postgrey相同,但是与postgrey不同,您不需要更改邮件服务器
垃圾邮件处理程序现在将尝试使用高MX或低MX,将真正的MX从尝试进行过滤的负载中解放出来(即使使用DNSBL,负载也很高),并且真实的电子邮件以最小的延迟到达。
但请注意,存在以下风险:
某些服务器可能具有较高的重试时间。大多数服务器将在第一个超时后重试下一个MX,其他服务器将在接下来的几分钟内重试,但是我已经看到服务器仅在一小时或一天后重试。它们非常罕见,对于我可以捕捉到的那些来说,这是一个错误的配置。与其他邮局局长交谈可解决此问题
所有电子邮件都会有延迟。实际上,我完全看不到任何延迟,几乎所有真正的邮件服务器都会在第一次超时后重试下一个MX,因此我们正在谈论30秒的延迟。他们通常会在尝试排队更长延迟之前至少尝试3 MX。但是您可能与一台损坏的邮件服务器联系,而该服务器可能无法执行此操作,并且每条消息都会延迟几分钟。因此,在部署此解决方案时要进行监视。
损坏的网站。一些网络服务器发送电子邮件以获取密码,通知等,而不是传递给内部真实邮件服务器,而是尝试成为“假”邮件服务器并直接传递。作为网络服务器,他们将永远不会重试,并且电子邮件也将丢失。再次是网站管理员/网站开发人员的错误配置,因为只有真正的电子邮件服务器才能发送电子邮件。每次发现此问题时,我都会与网站管理员讨论该问题,通常该问题已得到解决。
没有日志。由于假MX指向未连接的IP,因此您没有关于尝试交付内容的日志。您只会知道有人抱怨时出了点问题。但这也很好。您始终可以声明没有尝试发送任何电子邮件,因此这是一个远程问题。另一方必须检查其日志并解决问题。我可以证明与我的真实服务器完全没有连接,将解决问题的压力转移到了另一端。如果另一方无法解决问题,则它看起来是不可信,不可靠的。
没有白名单。这适用于通过dns的所有服务器,因此您不能将一台服务器列入白名单……实际上只是真实的一半,但更难。白名单解决方案是最低的MX指向运行smtp的IP,但每个人都被防火墙过滤。您要列入名单的那些服务器需要在防火墙中允许。这样,所有服务器都将被防火墙拒绝,白名单将能够传递到邮件服务器。它有效,但仅适用于IP白名单,不适用于电子邮件白名单。
与postgrey不同,postgrey的远程发件人的日志中有一个“被拒绝”的发送日志(因此可以指出我们的问题),fake-MX将显示Web服务器甚至无法连接并且没有重试,没有任何借口。对于问题的远程方面。失败的MX可以比postgrey更好地接受,因为我们总是可以声明一些“路由问题,但是备用MX可以正常工作,我们可以收到所有其他电子邮件”
话虽如此,我很少抱怨(大约每3个月1次),因此我认为它足够安全(每个垃圾邮件过滤器都有风险)。
请注意,我为所有MX使用有效的ipv4地址,但对于假冒的我使用了我控制的未使用的IP(因此它使超时/主机在任何连接上均无法访问)。即使您不使用此规则,也适用。有些dns和smtp服务器需要完全有效的dns配置才能使电子邮件正常工作。假MX也必须是有效的,否则就无法访问。
请勿使用私有IP或不受伪造MX控制的IP(如果添加ipv6地址,还添加一个ipv4地址)。这样可以避免DNS和邮件服务器损坏的问题,以及避免其他人收到您的电子邮件的麻烦(通过在不受控制的IP上安装smtp服务器)。此外,CNAME禁止使用MX,因此也不要使用它,而只是简单的A记录
最后,应该为伪造的MX发送tcp-reset,以提高性能(主机或端口不可达),而不是普通的超时(通过丢弃数据包),因此建议将其添加到防火墙中。
无论如何,不仅我仍在使用它,因为我建议大家使用它
就邮件过滤而言,我对Spamassasin和policyd-weight的组合感到很满意,后者在SMTP连接期间检查发件人的主机名和阻止列表。这是一件好事,原因有两个:
我在Postfix上使用了安装程序,但是据推测有一种方法可以通过Exim安装policyd-weight。
我通过延迟与主机的连接来删除大部分垃圾邮件,这些邮件在Spamhaus zen列表中列出。垃圾邮件发送器不喜欢延迟。在HELO命令中检测到明显的服务器伪造也可以清除大量垃圾邮件。我发现指示服务器伪造的条件包括。
如果您看重自动或市场营销邮件,请检查“ HELO”命令中不起作用的内容,包括。我的经验是所有其他邮件都通过了这些条件。
在返回路径上签名可以阻止某些垃圾邮件。尽管我最近发现假弹跳的次数要少得多。
不幸的是,我发现合法的自动邮件或市场营销邮件中有很大一部分伪造了它们的返回路径。这些主机通常也没有有效的邮局主管地址。我确实发现在返回路径中要求有效域是可行的。我在合法电子邮件上收到的SPF失败响应比垃圾邮件要多得多。
我最近发布了我通过Exim阻止垃圾邮件的经验