Что случилось со всем спамом?
Не поймите меня неправильно, в основном я рад, что это произошло. Однако я хочу убедиться, что это происходит, а не в наших методах проблемы. Я хочу проиллюстрировать то, что здесь происходит, с помощью графика:
(источник: lightspeed.ca)
Ярко-зеленая линия показывает частоту, с которой наш сервер отклонял сообщения с IP-адресов, внесенных в черные списки в реальном времени, в течение последних 12 месяцев. В мае прошлого года мы отклоняли в среднем около 175 сообщений каждые 5 минут или 35 сообщений в минуту, используя только этот фильтр. Совершенно очевидно, что с октября оно сократилось до небольшой части - теперь мы получаем в среднем около 8 отклоненных сообщений в минуту по этому фильтру:
(источник: lightspeed.ca)
Поскольку мы не видим соответствующего увеличения количества сообщений, перехватываемых Spamassassin (бирюзовая линия в основном заглушена в нижней части графика) или любыми другими фильтрами, я могу прийти к одному из двух выводов на основе этой статистики:
1) Все наши фильтры вышли из строя.
или
2) Спамеры не рассылают спам так часто, как раньше.
Исторически говоря, я считаю, что 1 много более вероятно, чем 2. Однако, исходя из опыта и жалоб клиентов (скорее, из-за их отсутствия), 1 неверно, потому что мы больше не видим много спама в наших почтовых ящиках. Так что, черт возьми, здесь происходит? Я не могу понять, что спам почему-то стал убыточным. Они перешли к более мягким целям? Я почти не вижу спама в Facebook, Twitter или на каких-либо форумах HTTP. Происходили ли массовые аресты, удаление спамеров из дикой природы и отговорка новых преступников от выхода на ринг?
Какой бы ни была причина, для меня это звучит как тяжелая победа для кого-то там. Но я все же хочу убедиться, что либо пора вылить шампанское, либо начать точить мечи.
Несколько месяцев назад Rustock (который, я думаю, был крупнейшим ботнетом, рассылающим спам) был отключен (http://blogs.technet.com/b/microsoft_on_the_issues/archive/2011/03/17/taking-down-botnets-microsoft-and-the-rustock-botnet.aspx)
Хотя он не произвел 100% спама, я думаю, что это был довольно большой вклад. Также, как правило, компании добавляли методы, замедляющие работу спам-роботов, даже если вы ничего не делали, например, если GMail изменил что-то, из-за чего ботнетам требовалось на 1 секунду больше времени для доставки каждого сообщения, это также замедлило бы доставку спама на ваши серверы.
Спам приливы и отливы, как огромная волна сточных вод, плещущаяся на берегах наших любимых островов электронной почты.
А если серьезно, то это сочетание двух основных факторов - как указал Самарудж, недавно был отключен по крайней мере один большой ботнет. Я слышал о нескольких других, которые недавно были разбиты, и я считаю, что MS, возможно, оказала некоторое влияние с последними патчами (хотя я мог вспомнить и несколько наборов патчей назад).
Другой фактор заключается в том, что спамеры ускользают от фильтров. Я заметил небольшой рост количества спама на некоторых из моих учетных записей, который только начинает уменьшаться, поскольку SpamAssassin догоняет новый уровень спама.
Если ваша статистика выглядит более-менее как статистика SpamCop ваши фильтры, вероятно, работают нормально - наслаждайтесь отсрочкой и знайте, что, когда снова наступит прилив, ваши пользователи будут у вашей двери и плакать, что их снова заставят пробираться через неочищенные сточные воды.
Насколько я понимаю, самая большая разница между настоящим моментом и несколькими месяцами назад заключается в том, что количество спама, исходящего из российских систем, заметно сократилось, что говорит о том, что кто-то принял позитивные меры. Кроме того, мне кажется, что уровень просто вернулся к тому, что было долгосрочной нормой после небольшого пика за последний год.
На этом изображении показана статистика нашей системы примерно с августа 2009 года. Не обращайте внимания на цифры, важна только тенденция.
Статистика была довольно стабильной в течение примерно 5 лет до этого, когда я впервые начал составлять графики. Однако у меня больше нет старых данных.
Настоящая причина уменьшения количества спам-сообщений - это http://www.uceprotect.net/ список. Этот список не заботится о том, кто отправляет и почему ... Они занесут в черный список весь интернет-провайдер, занес в черный список его номер AS (что означает, что все почтовые серверы интернет-провайдера будут занесены в черный список независимо от того, отправляли ли они спам).
Основная цель - заставить сетевых администраторов блокировать порт 25 и пропускать через брандмауэр только легальные почтовые серверы. Тогда скомпрометированные компьютеры нельзя будет использовать в качестве почтовых серверов.
Принуждение пользователей к использованию вашего почтового сервера - вторая часть веревки ...