这是有关打击垃圾邮件的规范问题。
也相关:
关于打击垃圾邮件,有太多的技术和要了解的知识。管理员,域所有者和最终用户可以使用哪些广泛使用的技术来帮助避免垃圾邮件进入我们的收件箱?
我们正在寻找一个涵盖不同角度的不同技术的答案。可接受的答案应包括多种技术(例如SPF / SenderID,DomainKeys / DKIM,灰名单,DNS RBL,信誉服务,过滤软件[SpamAssassin等]);最佳做法(例如,永远不允许端口25上的邮件进行中继,应该使用端口587;等等),术语(例如,开放中继,反向散射,MSA / MTA / MUA,垃圾邮件/火腿)以及其他可能的技术。
Answers:
要击败你的敌人,你必须认识你的敌人。
就我们的目的而言,垃圾邮件是任何未经请求的批量电子消息。这些天的垃圾邮件旨在诱使毫无戒心的用户访问(通常是阴暗的)网站,在该网站上,他们将被要求购买产品或将恶意软件发送到他们的计算机,或同时访问这两者。一些垃圾邮件将直接传播恶意软件。
得知第一封垃圾邮件是1864年发送的,这可能会让您感到惊讶。这是通过Western Union电报发送的有关牙科服务的广告。这个词本身是对Monty Python的Flying Circus中的场景的引用。
在这种情况下,垃圾邮件不会指代用户订阅的邮件列表流量,即使他们后来改变了主意(或忘记了主意)但实际上尚未取消订阅。
垃圾邮件是一个问题,因为它适用于垃圾邮件发送者。垃圾邮件通常产生的销售额(或恶意软件交付量,或两者兼而有之)足以弥补发送垃圾邮件的费用(对垃圾邮件发送者而言)。垃圾邮件发送者不考虑收件人,您和您的用户的费用。即使收到垃圾邮件的极少数用户对此做出了回应,也足够了。
因此,您需要支付带宽,服务器和管理员时间来处理传入垃圾邮件。
出于以下原因,我们阻止垃圾邮件:我们不想看到它,以减少我们处理电子邮件的成本,并使垃圾邮件的发送者更加昂贵。
垃圾邮件的发送方式通常不同于正常的合法电子邮件。
垃圾邮件发送者几乎总是想掩盖电子邮件的来源,因此典型的垃圾邮件将包含虚假的标题信息。该From:地址通常是假的。一些垃圾邮件包含伪造的Received:行,以掩盖踪迹。通过开放的SMTP中继,开放的代理服务器和僵尸网络传递大量垃圾邮件。所有这些方法使确定谁是垃圾邮件变得更加困难。
一旦进入用户的收件箱,垃圾邮件的目的就是诱使用户访问所宣传的网站。在那里,用户将被诱使进行购买,或者该站点将尝试在用户的计算机上安装恶意软件,或两者都安装。或者,垃圾邮件将要求用户打开包含恶意软件的附件。
作为邮件服务器的系统管理员,您将配置邮件服务器和域,以使垃圾邮件发送者更加难以将垃圾邮件传递给用户。
我将介绍专门针对垃圾邮件的问题,并且可能会跳过与垃圾邮件没有直接关系的事情(例如加密)。
邮件服务器最大的缺点是运行一个开放的中继,即SMTP服务器,它将接受任何目的地的邮件并将其继续发送。垃圾邮件发送者喜欢开放中继,因为它们实际上保证了传递。当垃圾邮件发送者执行其他操作时,它们将承担传递邮件(并重试!)的负担。他们使垃圾邮件便宜。
开路继电器也造成反向散射问题。这些是中继已接受但无法传递的消息。然后,开放中继将向From:包含垃圾邮件副本的地址发送退回邮件。
From:和和To:地址都不在您的域内)来测试系统。该消息应被拒绝。(或者,使用MX Toolbox之类的在线服务来执行测试,但是请注意,如果您的邮件服务器未通过测试,某些在线服务会将您的IP地址提交到黑名单中。)各种错误配置和错误可能会提示输入的邮件很可能是垃圾邮件或不合法。
HELO/的连接EHLO。HELO/ EHLO是的连接:
到达服务器的邮件应从入站邮件和出站邮件的角度来考虑。入站邮件是最终到达目的地域的到达SMTP服务器的所有邮件;出站邮件是到达您的SMTP服务器的任何邮件,这些邮件将在传送之前先转移到其他地方(例如,它要发送到另一个域)。入站邮件可以由垃圾邮件过滤器处理,并且可能来自任何地方,但必须始终发给用户。该邮件无法通过身份验证,因为无法向可能向您发送邮件的每个站点提供凭据。
必须验证出站邮件,即将要中继的邮件。无论是来自Internet还是来自网络内部,都是这种情况(尽管在可行的情况下,应限制允许使用邮件服务器的IP地址范围);这是因为垃圾邮件监听程序可能正在您的网络中运行。因此,请配置SMTP服务器,以使绑定到其他网络的邮件将被丢弃(中继访问将被拒绝),除非对该邮件进行了身份验证。更好的是,对入站和出站邮件使用单独的邮件服务器,对入站邮件根本不进行中继,也不允许对出站邮件进行未经身份验证的访问。
如果您的软件允许这样做,则还应根据经过身份验证的用户过滤邮件;如果邮件的发件人地址与通过身份验证的用户不匹配,则应将其拒绝。不要静默更新发件人地址;用户应注意配置错误。
您还应该记录用于发送邮件的用户名,或向其中添加一个标识头。这样,如果确实发生了滥用行为,则您有证据并知道使用哪个帐户进行欺诈。这使您能够隔离受感染的帐户和有问题的用户,这对于共享主机提供商特别有价值。
您希望确定离开网络的邮件实际上是由(经过身份验证的)用户发送的,而不是由漫游器或外部人员发送的。具体操作方式取决于所管理的系统类型。
通常,如果您是公司网络,则最好阻止端口25、465和587(SMTP,SMTP / SSL和提交)上除出口邮件服务器之外的所有端口的出口流量。这样一来,网络上运行恶意软件的漫游器就无法从网络发送垃圾邮件,以在Internet上打开中继或直接向最终MTA寻求地址。
热点是一种特殊情况,因为来自它们的合法邮件来自许多不同的域,但是(由于SPF等原因)“强制”邮件服务器是不合适的,用户应该使用自己域的SMTP服务器提交邮件。这种情况要困难得多,但是要考虑使用解决方案,其中使用特定的公共IP或IP范围来处理来自这些主机的Internet流量(以保护您的站点信誉),限制SMTP流量和深度数据包检查。
从历史上看,垃圾邮件发送者主要在端口25上发布垃圾邮件,但是没有任何阻止它们将587端口用于相同目的的情况,因此更改用于入站邮件的端口具有可疑的价值。但是,RFC 2476建议使用端口587进行邮件提交,并允许在邮件提交(到第一个MTA)和邮件传输(在MTA之间)之间分开,这在网络拓扑中是不明显的。如果需要这种分离,则应执行此操作。
如果您是ISP,VPS主机,托管服务提供商或类似的提供商,或者正在提供供访问者使用的热点,则对于使用自己的域发送邮件的用户而言,阻止出口SMTP流量可能会出现问题。在公共热点以外的所有情况下,您都应要求需要出站SMTP访问的用户,因为他们正在运行邮件服务器来专门请求它。让他们知道滥用投诉最终将导致该访问被终止以保护您的声誉。
动态IP以及用于虚拟桌面基础结构的IP绝对不应具有出站SMTP访问权限,除非希望这些节点使用特定的邮件服务器。这些类型的IP 也应出现在黑名单中,并且您不应尝试为其建立声誉。这是因为它们极不可能运行合法的MTA。
SpamAssassin是一种邮件过滤器,可用于根据邮件头和内容识别垃圾邮件。它使用基于规则的评分系统来确定邮件为垃圾邮件的可能性。分数越高,则该邮件越有可能是垃圾邮件。
SpamAssassin还具有一个贝叶斯引擎,可以分析反馈到其中的垃圾邮件和火腿(合法电子邮件)样本。
SpamAssassin的最佳实践不是拒绝邮件,而是将其放入“垃圾邮件”或“垃圾邮件”文件夹。可以设置MUA(邮件用户代理),例如Outlook和Thunderbird,以识别SpamAssassin添加到电子邮件中的标头并适当地归档它们。误报肯定会发生,而且确实会发生,尽管这种情况很少见,但当CEO碰到时,您会听到的。如果仅将邮件传递到“垃圾邮件”文件夹而不是直接拒绝,则对话将变得更好。
SpamAssassin几乎是一种,尽管存在一些替代方法。
DNSBL(以前称为RBL,或实时黑洞列表)提供与垃圾邮件或其他恶意活动相关的IP地址列表。这些由独立的第三方根据自己的标准运行,因此请仔细研究DNSBL所使用的列出和删除列表条件是否符合组织接收电子邮件的需求。例如,一些DNSBL具有严厉的除名政策,这使被意外列出的人很难被删除。IP地址在一段时间内未发送垃圾邮件后,其他人会自动删除,这是比较安全的。大多数DNSBL是免费使用的。
信誉服务与此类似,但声称可以通过分析与任何给定IP地址有关的更多数据来提供更好的结果。大多数信誉服务都需要订阅付款或购买硬件,或同时购买两者。
有数十种DNSBL和信誉服务可用,尽管我使用和推荐的一些更知名和有用的服务包括:
保守清单:
激进名单:
如前所述,还有许多其他功能可能会满足您的需求。我最喜欢的技巧之一是查找发送了垃圾邮件的IP地址,该垃圾邮件通过多个DNSBL来查看,其中哪个将被拒绝。
SPF(发件人策略框架;RFC 4408和RFC 6652)是一种通过声明授权给指定域名的Internet主机交付邮件来防止电子邮件地址欺骗的方法。
-all拒绝所有其他邮件。DKIM(域密钥已标识邮件;RFC 6376)是一种在邮件消息中嵌入数字签名的方法,可以使用在DNS中发布的公钥进行验证。它在美国受专利保护,这减缓了它的采用。如果邮件在传输过程中被修改,DKIM签名也可能会中断(例如,SMTP服务器有时可能会重新打包MIME邮件)。
灰名单是一种技术,其中SMTP服务器对传入的邮件发出临时拒绝,而不是永久拒绝。在几分钟或几小时后重试传递后,SMTP服务器将接受该消息。
灰名单可以阻止某些垃圾邮件软件,该软件的功能不足以区分临时拒绝和永久拒绝,但对于发送到开放中继的垃圾邮件或功能更强大的垃圾邮件软件无济于事。它还引入了用户可能无法总是忍受的传递延迟。
不列出是一种配置MX记录的方法,以使最高优先级(最低优先级编号)记录没有正在运行的SMTP服务器。这依赖于以下事实:许多垃圾邮件软件只会尝试第一个MX记录,而合法的SMTP服务器会按优先级升序尝试所有MX记录。一些垃圾邮件软件还尝试违反RFC 5321的规定直接发送到最低优先级(最高优先级编号)MX记录,因此也可以将其设置为没有SMTP服务器的IP地址。据报道这是安全的,尽管与其他任何东西一样,您应该首先进行仔细测试。
将垃圾邮件过滤设备(例如Cisco IronPort或梭子鱼垃圾邮件和病毒防火墙(或其他类似设备))放置在现有SMTP服务器之前,以减少减少收到的垃圾邮件的工作量。这些设备已预先配置有DNSBL,信誉服务,贝叶斯过滤器和我介绍的其他功能,并由其制造商定期更新。
如果对您(或您的IT员工过度工作)来说太麻烦了,您始终可以让第三方服务提供商为您处理电子邮件。诸如Google的Postini,Symantec MessageLabs电子邮件安全性(或其他)之类的服务将为您过滤邮件。其中一些服务还可以满足法规和法律要求。
最终用户应与垃圾邮件作斗争的绝对第一件事是:
不要回应垃圾邮件。
如果看起来很有趣,请不要单击网站链接,也不要打开附件。不论报价看起来多么诱人。伟哥是不是便宜,你是不是真的担心会不会有人拍裸照,并没有在尼日利亚亿$ 15美元或只是从人谁采取的钱投到别的地方没到垃圾邮件做出回应。
如果您看到垃圾邮件,请根据您的邮件客户端将其标记为“垃圾邮件”或“垃圾邮件”。
如果您实际注册接收邮件而只是想停止接收,请勿将邮件标记为垃圾邮件。而是使用提供的取消订阅方法取消订阅邮件列表。
定期检查您的垃圾邮件/垃圾邮件文件夹,以查看是否有合法邮件通过。将其标记为“不是垃圾邮件/不是垃圾邮件”,并将发件人添加到您的联系人中,以防止将来将其邮件标记为垃圾邮件。
多年来,我已经管理了100多个单独的邮件环境,并使用许多流程来减少或帮助消除垃圾邮件。
技术随着时间的推移而发展,因此此答案将逐步介绍我过去尝试过的一些事情,并详细说明当前的状况。
关于保护的几点思考...
关于垃圾邮件...
我目前的做法:
我坚决主张基于设备的垃圾邮件解决方案。我想拒绝网络的外围并在邮件服务器级别上保存CPU周期。使用设备还提供了与实际邮件服务器(邮件传递代理)解决方案的某种独立性。
我出于多种原因推荐梭子鱼垃圾邮件过滤器设备。我已经部署了几十个部门,并且网络驱动的界面,业界的关注度以及“一劳永逸”的设备特性使其成为了赢家。后端技术结合了上面列出的许多技术。
梭子鱼垃圾邮件和病毒防火墙300状态控制台
较新的方法:
在过去的一个月中,我一直在尝试梭子鱼的基于云的电子邮件安全服务。这与其他托管解决方案相似,但非常适合于小型站点,在这些站点中昂贵的设备成本很高。只需象征性的年费,这项服务就可提供硬件设备功能的约85%。该服务还可以与现场设备一起运行,以减少传入带宽并提供另一层安全性。这也是一个很好的缓冲区,可以在服务器发生故障时假脱机处理邮件。尽管仍然不如物理单位详细,分析仍然有用。
梭子鱼云电子邮件安全控制台
总而言之,我已经尝试了许多解决方案,但是鉴于某些环境的规模以及用户群的不断增长的需求,我想要最简洁的解决方案。当然,采取多管齐下的方法并“自行开发”是可行的,但是我对梭子鱼设备的一些基本安全性和良好使用情况的监视做得很好。用户对此结果感到非常满意。
注意:Cisco Ironport也很出色……价格更高。
在某种程度上,我赞同别人所说的。部分地,我没有。
这对我来说效果很好,但是您需要花一些时间来训练火腿和垃圾邮件的贝叶斯过滤器。
ewwhite可能感觉它的日子已经过去了,但我不同意。我的一位客户询问我的各种过滤器的效果如何,因此以下是我的个人邮件服务器2012年7月的大致统计信息:
因此,大约有44000人从未通过灰名单入选;如果我没有列入白名单,并且接受了所有这些清单,那么他们将全部需要垃圾邮件过滤,全部使用CPU和内存,甚至带宽。
编辑:由于此答案似乎对某些人有用,所以我认为我要使统计数据保持最新。因此,我对2.5年后的2015年1月的邮件日志重新进行了分析。
这些数字不是直接可比的,因为我不再注意到我是如何得出2012年数字的,因此我无法确定方法是否相同。但是我有信心,那时我不必对大量内容运行昂贵的计算垃圾邮件过滤,而由于灰名单,我仍然不需要这样做。
这并不是一种真正的反垃圾邮件技术,但是如果您被聘请,它可以减少必须处理的反向散射量。您应该同时使用它,即:您应该检查发件人的SPF记录中是否有传入电子邮件,并相应地接受/拒绝。您还应该发布自己的SPF记录,完整列出所有获准随您发送邮件的机器,并使用锁定所有其他机器-all。没有结尾的SPF记录-all是完全无用的。
RBL是有问题的,因为一个人可以毫无缺点地进入它们,并且很难下车。尽管如此,它们在反垃圾邮件方面还是有合法用途的,但我强烈建议不要将RBL用作接受邮件的明线测试。spamassassin处理RBL的方式-通过使用很多,每个都有助于总分,而这个分值决定了接受/拒绝的决定-更好。
我的意思不是商业服务,而是我的邮件服务器有一个地址,该地址可删除我所有的灰名单和垃圾邮件过滤程序,但该地址不是传递给任何人的INBOX,而是传递到的世界可写文件夹中/var,该文件夹为会自动每晚将超过14天的所有电子邮件删除。
我鼓励所有用户利用它,例如填写需要有效电子邮件地址的电子邮件表格,在那里您将收到一封您需要保留的电子邮件,但是您不想再收到他们的邮件,或者在购买时来自可能会出售和/或向其发送垃圾邮件的在线供应商(尤其是那些超出欧洲隐私法范围的地址)。用户可以提供投递箱地址,而不是提供真实地址,并且仅在她希望从通讯员(通常是机器)收到某些东西时才在投递箱中查找。当邮件到达时,她可以将其挑选出来并保存在适当的邮件集中。在任何其他时间,用户都无需查看保管箱。
我正在使用多种技术将垃圾邮件降低到可接受的水平。
延迟接受来自配置错误的服务器的连接。我收到的大部分垃圾邮件来自在受恶意软件感染的系统上运行的Spambots。几乎所有这些都未通过rDNS验证。在每个响应之前延迟30秒左右,会导致大多数Spambots在传递邮件之前就放弃了。仅将其应用于失败的rDNS服务器,可以避免对正确配置的服务器造成不利影响。一些配置错误的合法批量发送者或自动发送者会受到处罚,但确实会以最小的延迟交付。
为所有域配置SPF可以保护您的域。大多数子域都不应用于发送电子邮件。主要例外是MX域,该域必须能够自行发送邮件。许多合法的发件人将批量和自动邮件委托给其策略不允许的服务器。推迟而不是拒绝基于SPF允许他们修复其SPF配置,或者将其列入白名单。
在HELO / EHLO命令中要求FQDN(完全合格的域名)。垃圾邮件通常使用不合格的主机名,地址文字,IP地址或无效的TLD(顶级域)。不幸的是,一些合法的发件人使用无效的TLD,因此在这种情况下推迟比较合适。这可能需要监视和列入白名单才能启用邮件通过。
DKIM可以帮助您实现不可否认性,但是在其他方面却不是很有用。我的经验是,垃圾邮件不太可能被签名。火腿更有可能被签名,因此在垃圾邮件评分中具有一定的价值。许多合法的发件人不会发布其公共密钥,或以其他方式不正确地配置其系统。
灰名单对于显示某些配置错误迹象的服务器很有帮助。正确配置的服务器最终将通过,因此我倾向于将其从灰名单中排除。将freemailer灰名单是有用的,因为它们确实偶尔会被垃圾邮件使用。该延迟使某些垃圾邮件过滤器输入有时间来捕获垃圾邮件发送者。它通常还会使Spambots偏斜,因为它们通常不重试。
黑名单和白名单也可以提供帮助。
尽管有些垃圾邮件过滤软件可以通过,但垃圾邮件过滤软件相当擅长查找垃圾邮件。在不增加假阳性过多的情况下将假阴性提高到合理水平可能很棘手。我发现Spamassassin捕获了到达它的大部分垃圾邮件。我添加了一些符合我的需求的自定义规则。
邮局主管应配置所需的滥用和邮局主管地址。确认您对这些地址的反馈并采取相应的措施。这使其他人可以帮助您确保服务器已正确配置并且不发起垃圾邮件。
如果您是开发人员,请使用现有的电子邮件服务,而不是设置自己的服务器。根据我的经验,为自动邮件发件人设置的服务器可能配置不正确。查看RFC,并从您域中的合法地址发送格式正确的电子邮件。
最终用户可以采取多种措施来减少垃圾邮件:
域所有者/ ISP可以通过将端口25(SMTP)上的Internet访问限制为官方电子邮件服务器来提供帮助。这将限制Spambots发送到Internet的能力。当动态地址返回未通过rDNS验证的名称时,它也有帮助。更好的方法是验证邮件服务器的PTR记录是否通过了rDNS验证。(在为客户配置PTR记录时验证印刷错误。)
我已经开始将电子邮件分为三类:
我所见过的最有效的解决方案是使用外部邮件过滤服务之一。
我在现有客户中拥有以下服务的经验。我敢肯定还有其他人。根据我的经验,每个人都做得很好。这三者的费用都合理。
与本地解决方案相比,该服务具有多个巨大优势。
它们会阻止大部分(> 99%)垃圾邮件,然后再打击您的Internet连接和电子邮件服务器。考虑到垃圾邮件的数量,很多数据不在您的带宽上,也不在服务器上。我已多次实施其中一项服务,每项服务均使电子邮件服务器的性能显着提高。
他们还进行反病毒过滤,通常是双向的。这样可以减少在服务器上安装“邮件防病毒”解决方案的需要,并完全保持病毒
他们在阻止垃圾邮件方面也做得很好。在使用MXLogic的公司工作的两年中,我从来没有出现过误报,并且可以算出一方面收到的合法垃圾邮件。
没有两个邮件环境是相同的。因此,构建有效的解决方案将需要围绕许多可用的技术进行大量的反复试验,因为电子邮件,流量,软件,网络,发件人,收件人等的内容在不同的环境中差异很大。
但是,我发现以下阻止列表(RBL)非常适合常规筛选:
如前所述,SpamAssassin是正确配置的绝佳解决方案,只需确保在CPAN中安装尽可能多的插件Perl模块,以及Razor,Pyzor和DCC。Postfix与SpamAssassin的配合非常好,例如,它比EXIM易于管理和配置。
最终,在某些事件(例如,由于滥用行为而触发RBL的事件)之后,使用fail2ban和iptables或类似方法在短时间内(例如一天到一周)在IP级别阻止客户端,也是非常有效的。为什么浪费资源与已知的受病毒感染主机对话?