捕获雪鞋垃圾邮件的最佳方法是什么?

21

我正在为小型邮件服务器使用Smartermail。最近,我们遇到了一个问题,即雪鞋垃圾邮件的浪潮遵循相同的模式。它们一次分三批或四批。除了链接到的域名外,正文几乎相同。源IP有时会从相同的/ 24块开始,然后切换到另一个/ 24。这些域往往是全新的。它们具有有效的PTR和SPF记录,并且在身体底部具有乱码,以欺骗贝叶斯过滤器。

我正在使用十几种不同的RBL,包括梭子鱼,Spamhaus,SURBL和URIBL。它们在捕获其中的大多数方面做得不错,但是由于IP和域尚未被列入黑名单,因此我们仍然可以通过很多工作。

我是否可以采用任何策略,包括阻止新创建的域或专门处理snoeshow垃圾邮件的RBL?我希望避免使用第三方过滤服务。

blacklist  spam  rbl  email 
pooter03
source
2
我建议编辑您的标题,以使其指向“我应该使用哪种产品”的方向少一点,因为购物问题对于Stack Exchange网站来说是不重要的。缓解雪靴攻击对于ServerFault来说一个不错的话题,我将请我的一位同事发表评论。
Andrew B
ewwhite 2014年
1
大多数RBL是任何邮件管理员都可以使用的免费服务。那算作购物吗?
pooter03
是的,因为不管他们是否有空,答案仅在特定时间段内有效。(链接所涉及的)公司一直停业,包括提供免费服务的公司。
安德鲁B
1
我改变了问题。请让我知道这是否更合适。
pooter03

Answers:

14

对于您的用户而言,这成为一个现实问题吗?

我建议此时使用全面的邮件过滤服务。贝叶斯不再那么热了。声誉,RBL,标题/意图分析和其他因素似乎可以提供更多帮助。考虑一种云过滤服务,以结合多种方法(和总体数量)以提供更好的保护(我为客户使用梭子鱼的ESS云解决方案)。

当然:打击垃圾邮件-作为管理员,我可以做什么:电子邮件管理员,域所有者或用户?

我们没有受到雪鞋袭击事件增加的负面影响。我确实看到一个时期,这些攻击使邮件量每天增加三倍。但是,没有什么坏东西可以解决。在3天之内,梭子鱼使产量下降到正常水平。

我认为,具有全球邮件活动广泛视野的筛选解决方案比单独的邮件筛选器对攻击的反应更好。

编辑:

最近在LOPSA邮件列表中也对此进行了讨论:

我的贡献:https : //www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
另一种意见:https : //www.mail-archive.com/tech@lists.lopsa.org/msg04181 .html

怀特
source
1
他们开始抱怨。它只有几十个客户,我们以低成本甚至免费提供的邮件服务与我们购买的其他服务捆绑提供,因此我们希望尽可能避免付费服务。不过,我会投资该产品。
pooter03 2014年
每位使用者每年大约$ 8美元。
ewwhite 2014年
谢谢。在我得到代表这样做之前,可以将其视为虚拟的赞誉。:)
pooter03 2014年
+1为Barrucada。
2
仍然建议梭子鱼云邮件过滤。对于您当前的问题,这可能是最干净的解决方案。
ewwhite
8

我是一个DNS Ops家伙,他与经常遭受这些攻击的小组密切合作。处理Snowshoe攻击主要是一个过程问题,而ewwhite指出,解决内部问题可能超出您公司的范围。我要说的是,除非您有相当大的业务和几个商业RBL提要,否则您可能不应该尝试使用商业过滤服务自己解决这个问题。

就是说,我们确实有一些经验,分享比没有有趣。一些接触点是:

  • 如果可能,请培训您的邮件平台以识别进行中的Snowshoe攻击的特征,并暂时拒绝来自所讨论网络的邮件。行为良好的客户端会尝试在出现临时故障时重新发送消息,而其他客户端则不会。
  • 确保您的DNS管理员正在UDP-MIB::udpInErrors通过SNMP 进行监视,因为在进行Snowshoe攻击时,邮件平台非常有能力溢出UDP侦听器的接收队列。如果不是这样,一种在Linux下判断的快速方法是netstat -s | grep 'packet receive errors'在有问题的DNS服务器上运行;大量数字表示他们需要摆脱困境,并开始关注。如果经常溢出,他们将需要增加容量或增加接收缓冲区的大小。(这意味着丢失了DNS查询,并且失去了预防垃圾邮件的机会)
  • 如果您经常看到这些攻击是利用新创建的域进行的,则确实存在突出显示这些域的RBL。一个例子FarSight NOD(阅读此书的人们应该进行自己的研究),但这不是免费的。

全面披露:Farsight Security由Paul Vixie创立,当人们违反DNS标准时,我很不习惯他。

安德鲁·B
source
您的第二点特别有趣。我怀疑我们缺少对已经将IP或URL列入黑名单的RBL的DNS查询,但是我无法证明这一点。但是,邮件服务器位于Windows 2012上,并使用Windows DNS服务器。这是一台容量很小的服务器,但我想对此做进一步调查。不幸的是,它并不能解释所有问题,因为某些漏接的问题还没有时间让主要RBL捕获其域或IP。
pooter03 2014年
DNS服务器的平均容量无关紧要。接收队列溢出的主要特征是不能足够快地处理传入的数据包以使它们脱离队列,而基于卷的Snowshoe攻击远胜于此,这取决于您正在执行的DNS查找次数垃圾邮件。
Andrew B
2
您的第一个建议通常被称为灰名单
Nate Eldredge 2014年
2
@Nate这是灰名单的一种形式,但是使用不合格的术语将对大多数人建议采取此措施以响应新发现的IP。攻击网络倾向于花时间建立连接(不发送报头),以准备同步的有效负载交付。该特征就是您要采取的措施,因为它可以让您预测尚未发现的IP参与了攻击。
Andrew B
无论值多少钱,我都在服务器上启用了(更一般的)灰名单,垃圾邮件发送者在一段时间后可以正确响应。对于所有意图和目的,电子邮件似乎是从合法的邮件服务器来正确配置的PTR记录,SPF记录等
pooter03
1

我安装了Declude(免费)和Message Sniffer(不是),并且在过去4天中,我看到测试电子邮件帐户中有一封垃圾邮件,而不是每天收到的几十封。据我所知,我们还没有过滤出良好的电子邮件。Spamassassin可能也是一个很好的解决方案,尽管当我尝试“盒子里的垃圾邮件刺客”时没有运气。

pooter03
source
0

这里有很多答案是针对一般的反垃圾邮件。在某种程度上,这是有道理的,因为垃圾邮件发送者似乎正在将雪鞋作为一种首选的发送方法。

Snowshoe最初总是从数据中心以低流量发送(基于每个IP),并且始终包含一个取消订阅链接(更不用说它是否起作用了)。如今,snowshoe几乎从来没有取消订阅的信息,并且从其IP大量发送,但是以突发方式发送,因此到IP被列入黑名单时,它已经完成了发送邮件。这称为雹暴垃圾邮件

因此,DNSBL甚至是基于模式的紧密签名在捕获雪鞋垃圾邮件时都非常恐怖。还有一些例外情况,例如Spamhaus CSS列表(专门针对雪鞋网络,是SBL和ZEN的一部分),但通常,您需要灰名单 / 柏油(可能会延迟发送,直到DNSBL赶上),最重要的是令牌驱动的机器学习系统,例如贝叶斯垃圾邮件过滤。贝叶斯尤其擅长检测雪鞋。

Andrew B的答案提到了Farsight Security的“ 新拥有的域名和主机名”(NOD),它试图在启动后但未开始发送垃圾邮件之前预测雪鞋网络。Spamhaus CSS可能会执行类似的操作。CSS已准备好在阻塞环境中使用,而NOD实际上是为自定义系统而不是独立/阻塞系统提供的。

亚当·卡兹(Adam Katz)
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.