Назад | Перейти на главную страницу

Есть ли инструменты для сравнения эффективности DNSBL?

Я только что добавил новый DNSBL в список тех, которые использую на своем небольшом почтовом сервере. Я сделал его первым в списке, потому что хотел увидеть, что он упустил, но поймал другие списки.

Я краем глаза наблюдаю за почтовыми журналами, пока занимаюсь другими делами, просто чтобы убедиться, что все выглядит нормально, и я начал задаваться вопросом, как измерить относительную эффективность различных списков. Полагаю, я мог бы дать каждому списку неделю в верхней части кучи, а затем измерить, насколько другие списки улавливают эту неделю, но это похоже на настоящий взлом.

Существуют ли какие-либо инструменты или методы для измерения относительной эффективности различных списков блокировки на определенном сервере? Я могу измерять количество ложных срабатываний по количеству жалоб пользователей, поэтому меня беспокоят адреса, которые не попадают в один черный список, а улавливаются другие.

Если все, что вам нужно сделать, это определить, «какой минимальный набор черных списков я должен подписаться, чтобы улавливать максимальное количество спама», то вам действительно нужно:

  • Подсчитайте весь ваш заблокированный спам по IP-адресу (так что проанализируйте свои почтовые журналы, чтобы получить таблицу заблокированных IP-адресов, с подсчетом количества спама, пришедшего с каждого, возможно)
  • Пропустите все эти IP-адреса во всех ваших черных списках (это тривиально, просто нужен быстрый поиск DNS для каждого IP-адреса)
  • Оценивайте каждый черный список по тому, сколько IP-адресов (и сколько спама пришло с каждого IP-адреса) попал в каждый черный список.

Это осложняется изменяющимся во времени характером содержимого каждого из черных списков, поэтому, возможно, наличие процесса типа logcheck (регулярный запуск, анализ новых записей журнала) - это способ, который затем может быть возвращен вам как обязательный.

Все это не так уж и сложно, чтобы оснастить его несколькими линиями оболочки или $SCRIPTING_LANGUAGE_OF_CHOICE.

Конечно, если вы не ведете так много черных списков, что время, необходимое для их просмотра, является чрезмерным, более интересный вопрос заключается в том, «сколько спама не попало в мои черные списки, и какие дополнительные черные списки поймают их без участия чрезмерно к моему количеству ложных срабатываний ". Опять же, поучительным будет что-то, что ищет «пропущенные» IP-адреса в наборе черных списков, которые вы рассматриваете, и записывает результаты.

В дополнение к DNSBL вы можете рассмотреть возможность блокировки GeoIP. Это когда вы смотрите на IP-адрес, с которого идет соединение, определяете страну происхождения, а затем блокируете соединение.

Мы обнаружили, что большая часть нашего спама поступает из стран, от которых мы НИКОГДА не ожидаем получить электронное письмо (Китай, Бразилия, Сингапур и т. Д.).

Полностью заблокировав эти страны, мы ОГРОМНО снизили нашу спам-нагрузку до того, как будут выполнены какие-либо другие проверки с более интенсивным использованием ЦП.

По моим оценкам, не менее 90% (возможно, больше) всего нашего спама перехватывается GeoIP и менее 10% фактически обрабатывается против DNSBL, spamassassin, белого списка и т. Д.

Мы использовали бесплатную базу данных GeoIP от MaxMind, но я знаю, что есть и другие.

Чтобы напрямую ответить на ваш вопрос о DNSBL, мы используем следующее:

sbl-xbl.spamhaus.org bl.spamcop.net dnsbl.cyberlogic.net dnsbl.ahbl.org

Нам не приходилось обновлять / менять вышеперечисленное довольно долгое время. Я бы сказал, что (для нас) spamhaus.org имеет тенденцию улавливать большинство вещей, которых нет в GeoIP.

Ваш пробег может отличаться.

Если у вас есть spamassassin, примените списки блокировок, что он (эффективно) делает параллельно, вы можете использовать его журналы для вычисления рейтинга попаданий.

Как только вы узнаете, каким черным спискам доверять, вы можете перенастроить свои почтовые серверы на блокировку самых надежных RBL.