Чтобы победить врага, вы должны знать своего врага.

Что такое спам?

Для наших целей спам - это любое незапрашиваемое массовое электронное сообщение. В наши дни спам предназначен для того, чтобы заманить ничего не подозревающих пользователей на посещение (обычно сомнительного) веб-сайта, где их попросят купить продукты или установить на их компьютеры вредоносное ПО, или и то, и другое. Некоторые виды спама доставляют вредоносное ПО напрямую.

Вы можете удивиться, узнав, что первый спам был отправлен в 1864 году. Это была реклама стоматологических услуг, отправленная телеграммой Western Union. Само слово ссылка к сцена в Летающий цирк Монти Пайтона.

Спам в данном случае не относятся к трафику списка рассылки, на который подписался пользователь, даже если он позже передумал (или забыл об этом), но фактически еще не отказался от подписки.

Почему спам - это проблема?

Спам - проблема, потому что это работает для спамеров. Спам обычно способствует более чем достаточным продажам (или доставке вредоносного ПО, или тому и другому) покрыть расходы - спамеру - об отправке. Спамер не принимает во внимание расходы получателя, вас и ваших пользователей. Даже когда на него отвечает крошечное меньшинство пользователей, получающих спам, этого достаточно.

Таким образом, вы можете оплатить счета за пропускную способность, серверы и время администратора для обработки входящего спама.

Мы блокируем спам по следующим причинам: мы не хотим его видеть, чтобы снизить наши затраты на обработку электронной почты и сделать рассылку спама более дорогостоящей для спамеров.

Как работает спам?

Спам обычно доставляется не так, как обычная, законная электронная почта.

Спамеры почти всегда хотят скрыть происхождение письма, поэтому типичный спам будет содержать поддельную информацию заголовка. В From: адрес обычно поддельный. Некоторый спам включает поддельные Received: линии в попытке замаскировать след. Много спама доставляется через открытые ретрансляторы SMTP, открытые прокси-серверы и ботнеты. Все эти методы затрудняют определение автора спама.

Попав в почтовый ящик пользователя, цель спама - побудить пользователя посетить рекламируемый веб-сайт. Там пользователя соблазнят совершить покупку, или сайт попытается установить вредоносное ПО на компьютер пользователя, или и то, и другое. Или спам попросит пользователя открыть вложение, содержащее вредоносное ПО.

Как остановить спам?

Как системный администратор почтового сервера, вы настроите свой почтовый сервер и домен так, чтобы спамерам было сложнее доставлять спам вашим пользователям.

Я буду освещать вопросы, специально посвященные спаму, и могу пропустить вещи, не связанные напрямую со спамом (например, шифрование).

Не запускайте открытое реле

Большой грех почтового сервера - запустить открытое реле, SMTP-сервер, который будет принимать почту в любой пункт назначения и доставлять ее дальше. Спамеры любят открытые реле, потому что они практически гарантируют доставку. Они берут на себя нагрузку по доставке сообщений (и повторным попыткам!), В то время как спамер делает что-то еще. Они рассылают спам дешево.

Открытые реле также усугубляют проблему обратного рассеяния. Это сообщения, которые были приняты ретранслятором, но затем оказались недоставленными. Открытое реле затем отправит сообщение о недоставке на From: адрес, содержащий копию спама.

• Настройте свой почтовый сервер на прием входящей почты через порт 25 только для вашего собственного домена (ов). Для большинства почтовых серверов это поведение по умолчанию, но вам, по крайней мере, нужно сообщить почтовому серверу, какие у вас домены.
• Протестируйте свою систему, отправив SMTP-серверу письмо из-за пределов сети, где From: и To: адреса не в вашем домене. Сообщение следует отклонить. (Или воспользуйтесь онлайн-сервисом, например Панель инструментов MX для выполнения теста, но имейте в виду, что некоторые онлайн-службы внесут ваш IP-адрес в черные списки, если ваш почтовый сервер не пройдет проверку.)

Отклоняйте все, что выглядит слишком подозрительно

Различные неправильные настройки и ошибки могут указывать на то, что входящее сообщение может быть спамом или иным образом незаконным.

• Отметить как спам или отклонить сообщения, для которых IP-адрес не имеет обратного DNS (записи PTR). Относитесь к отсутствию записи PTR более жестко для подключений IPv4, чем для подключений IPv6, поскольку многие адреса IPv6 еще не имеют обратного DNS и, возможно, не будут в течение нескольких лет, пока программное обеспечение DNS-сервера не сможет лучше обрабатывать эти потенциально очень большие зоны.
• Отклонять сообщения, для которых доменное имя в адресах отправителя или получателя не существует.
• Отклонять сообщения, в которых не используются полностью определенные доменные имена для доменов отправителя или получателя, если только они не исходят из вашего домена и не предназначены для доставки в пределах вашего домена (например, службы мониторинга).
• Отклонять соединения, если другой конец не отправляет HELO/EHLO.
• Отклонять соединения, в которых HELO/EHLO является:
  • не полное доменное имя и не IP-адрес
  • явно неверно (например, ваше собственное пространство IP-адресов)
• Отклонять соединения, в которых используется конвейерная обработка, без соответствующего разрешения.

Аутентифицируйте своих пользователей

Почту, поступающую на ваши серверы, следует рассматривать как входящую и исходящую почту. Входящая почта - это любая почта, поступающая на ваш SMTP-сервер и предназначенная в конечном итоге для вашего домена; исходящая почта - это любая почта, поступающая на ваш SMTP-сервер, которая перед доставкой будет передана в другое место (например, в другой домен). Входящая почта может обрабатываться вашими спам-фильтрами и может приходить откуда угодно, но всегда должна быть предназначена для ваших пользователей. Эта почта не может быть аутентифицирована, потому что невозможно предоставить учетные данные каждому сайту, который может отправлять вам почту.

Исходящая почта, то есть почта, которая будет ретранслироваться, должен быть аутентифицированным. Это имеет место независимо от того, идет ли он из Интернета или из вашей сети (хотя вы должны ограничить диапазоны IP-адресов, разрешенные для использования вашего почтового сервера, если это возможно с операционной точки зрения); это потому, что в вашей сети могут работать спам-боты. Итак, настройте свой SMTP-сервер таким образом, чтобы почта, связанная с другими сетями, была отброшена (доступ к ретранслятору будет запрещен), если эта почта не будет аутентифицирована. Более того, используйте отдельные почтовые серверы для входящей и исходящей почты, не разрешайте никакой ретрансляции для входящей почты и не разрешайте неаутентифицированный доступ к исходящим.

Если ваше программное обеспечение позволяет это, вы также должны фильтровать сообщения в соответствии с аутентифицированным пользователем; если адрес отправителя письма не соответствует аутентифицированному пользователю, его следует отклонить. Не обновляйте адрес отправителя без уведомления; пользователь должен знать об ошибке конфигурации.

Вы также должны зарегистрировать имя пользователя, которое используется для отправки почты, или добавить к нему идентифицирующий заголовок. Таким образом, в случае злоупотребления у вас есть доказательства и вы знаете, какая учетная запись использовалась для этого. Это позволяет изолировать скомпрометированные учетные записи и проблемных пользователей и особенно ценно для провайдеров виртуального хостинга.

Фильтровать трафик

Вы хотите быть уверены, что почта, покидающая вашу сеть, на самом деле отправляется вашими (аутентифицированными) пользователями, а не ботами или людьми извне. Специфика того, как вы это делаете, зависит от того, какую именно систему вы администрируете.

Как правило, блокировка исходящего трафика на портах 25, 465 и 587 (SMTP, SMTP / SSL и отправка) для всего, кроме исходящих почтовых серверов, является хорошей идеей, если вы работаете в корпоративной сети. Это сделано для того, чтобы боты, запускающие вредоносное ПО, в вашей сети не могли отправлять спам из вашей сети ни для открытия ретрансляторов в Интернете, ни непосредственно в последний MTA для адреса.

Горячие точки представляют собой особый случай, потому что законная почта от них исходит из многих разных доменов, но (среди прочего, из-за SPF) «принудительный» почтовый сервер не подходит, и пользователи должны использовать SMTP-сервер своего собственного домена для отправки почты. Этот случай намного сложнее, но использование определенного общедоступного IP-адреса или диапазона IP-адресов для Интернет-трафика с этих узлов (для защиты репутации вашего сайта), регулирование трафика SMTP и глубокая проверка пакетов - это решения, которые следует рассмотреть.

Исторически спам-боты рассылали спам в основном через порт 25, но ничто не мешает им использовать порт 587 для той же цели, поэтому изменение порта, используемого для входящей почты, имеет сомнительную ценность. Однако использование порта 587 для отправки почты рекомендуется RFC 2476и позволяет разделить отправку почты (первому MTA) и передачу почты (между MTA), где это не очевидно из топологии сети; если вам требуется такое разделение, сделайте это.

Если вы являетесь интернет-провайдером, хостом VPS, провайдером совместного размещения или аналогичным, или предоставляете точку доступа для использования посетителями, блокировка исходящего SMTP-трафика может быть проблематичной для пользователей, которые отправляют почту с использованием своих собственных доменов. Во всех случаях, за исключением общедоступной точки доступа, вы должны требовать от пользователей, которым нужен исходящий доступ по SMTP, поскольку они используют почтовый сервер, чтобы специально запросить его. Сообщите им, что жалобы на злоупотребления в конечном итоге приведут к прекращению доступа для защиты вашей репутации.

Динамические IP-адреса и IP-адреса, используемые для инфраструктуры виртуальных рабочих столов, никогда не должны иметь исходящий SMTP-доступ, за исключением определенного почтового сервера, который эти узлы должны использовать. Эти типы IP-адресов должен также появляются в черных списках, и вам не следует пытаться создать для них репутацию. Это потому, что они вряд ли будут использовать законный MTA.

Рассмотрите возможность использования SpamAssassin

SpamAssassin - это почтовый фильтр, который можно использовать для идентификации спама на основе заголовков и содержимого сообщения. Он использует основанную на правилах систему оценки для определения вероятности того, что сообщение является спамом. Чем выше оценка, тем больше вероятность, что сообщение является спамом.

SpamAssassin также имеет байесовский механизм, который может анализировать отправленные в него образцы спама и любительской почты (законной электронной почты).

Лучшая практика для SpamAssassin - не отклонять почту, а помещать ее в папку нежелательной почты или спама. MUA (почтовые пользовательские агенты), такие как Outlook и Thunderbird, могут быть настроены для распознавания заголовков, которые SpamAssassin добавляет к сообщениям электронной почты, и для их надлежащего хранения. Ложные срабатывания могут случаться и случаются, и хотя они случаются редко, когда это случается с генеральным директором, вы об этом слышите. Этот разговор будет намного лучше, если сообщение будет просто доставлено в папку нежелательной почты, а не отклонено сразу.

SpamAssassin - почти единственный в своем роде существует несколько альтернатив.

• Установите SpamAssassin и настройте автоматическое обновление его правил с помощью sa-update.
• Рассмотрите возможность использования специальные правила где это уместно.
• Рассмотрите возможность настройки Байесовская фильтрация.

Рассмотрите возможность использования черных списков на основе DNS и служб репутации

DNSBL (ранее известные как RBL или черные списки в реальном времени) предоставляют списки IP-адресов, связанных со спамом или другой вредоносной деятельностью. Они управляются независимыми третьими сторонами на основе их собственных критериев, поэтому внимательно изучите, совместимы ли критерии включения и исключения из списка, используемые DNSBL, с потребностями вашей организации в получении электронной почты. Например, некоторые DNSBL имеют драконовские правила исключения из списка, что очень затрудняет удаление случайно попавшего в список. Другие автоматически удаляют из списка после того, как IP-адрес не рассылает спам в течение определенного периода времени, что безопаснее. Большинство DNSBL можно использовать бесплатно.

Службы репутации похожи, но утверждают, что обеспечивают лучшие результаты за счет анализа большего количества данных, относящихся к любому данному IP-адресу. Большинство служб репутации требуют оплаты подписки или покупки оборудования, либо того и другого.

Доступны десятки DNSBL и сервисов репутации, но некоторые из наиболее известных и полезных, которые я использую и рекомендую:

Консервативные списки:

• Spamhaus ZEN
• База данных репутации Barracuda (покупка не требуется)
• SpamCop

Агрессивные списки:

• UCEPROTECT
• Обратный рассеиватель

Как упоминалось ранее, доступно множество десятков других, которые могут удовлетворить ваши потребности. Один из моих любимых приемов - найдите IP-адрес который доставлял спам, который проходил через несколько DNSBL, чтобы узнать, кто из них отклонил бы его.

• Для каждой службы DNSBL и репутации изучите ее политики по включению и исключению IP-адресов и определите, совместимы ли они с потребностями вашей организации.
• Добавьте DNSBL к вашему SMTP-серверу, когда вы решили, что использовать эту службу уместно.
• Рассмотрите возможность присвоения каждому DNSBL оценки и настраивая его в SpamAssassin а не ваш SMTP-сервер. Это снижает влияние ложного срабатывания; такое сообщение будет доставлено (возможно, в спам / нежелательную почту) вместо возврата. Компромисс заключается в том, что вы доставите много спама.
• Или сразу отклоните IP-адрес, если он находится в одном из наиболее консервативных списков, и настройте более агрессивные списки в SpamAssassin.

Используйте SPF

SPF (структура политики отправителя; RFC 4408 и RFC 6652) является средством предотвращения подделки адресов электронной почты путем объявления, какие интернет-хосты имеют право доставлять почту для данного доменного имени.

• Настройте DNS для объявления записи SPF на авторизованных серверах исходящей почты и -all отвергать всех остальных.
• Настройте свой почтовый сервер для проверки записей SPF входящей почты, если они существуют, и отклонения почты, которая не прошла проверку SPF. Пропустите эту проверку, если в домене нет записей SPF.

Исследовать DKIM

DKIM (Почта с идентификационными ключами домена; RFC 6376) - это метод встраивания цифровых подписей в почтовые сообщения, которые можно проверить с помощью открытых ключей, опубликованных в DNS. это обремененный патентами в США, что замедлило его внедрение. Подписи DKIM также могут нарушаться, если сообщение изменяется при передаче (например, серверы SMTP иногда могут перепаковывать сообщения MIME).

• Подумайте о том, чтобы подписать исходящую почту подписями DKIM, но имейте в виду, что подписи не всегда могут быть правильно проверены даже в законной почте.

Рассмотрите возможность использования серых списков

Серый список - это метод, при котором сервер SMTP выдает временное отклонение входящего сообщения, а не постоянное отклонение. Когда доставка будет повторена через несколько минут или часов, SMTP-сервер примет сообщение.

Серые списки могут остановить работу некоторых программ, работающих со спамом, которые недостаточно надежны, чтобы различать временные и постоянные отклонения, но не помогают со спамом, который был отправлен на открытый ретранслятор, или с более надежным программным обеспечением для обработки спама. Это также приводит к задержкам доставки, которые пользователи не всегда могут терпеть.

• Рассматривайте использование серых списков только в крайних случаях, поскольку это сильно мешает законному почтовому трафику.

Рассмотрите возможность использования нолистинга

Нолистинг - это метод настройки ваших записей MX таким образом, чтобы запись с наивысшим приоритетом (наименьшее число предпочтений) не имела работающего SMTP-сервера. Это основано на том факте, что многие программы для рассылки спама будут пробовать только первую запись MX, в то время как легитимные серверы SMTP пробуют все записи MX в порядке возрастания предпочтений. Некоторое программное обеспечение для обработки спама также пытается напрямую отправить MX-запись с наименьшим приоритетом (наибольшее число предпочтений) в нарушение RFC 5321, чтобы можно было установить IP-адрес без SMTP-сервера. Сообщается, что это безопасно, хотя, как и все остальное, сначала следует тщательно протестировать.

• Рассмотрите возможность установки записи MX с наивысшим приоритетом так, чтобы она указывала на хост, который не отвечает на порт 25.
• Рассмотрите возможность установки записи MX с самым низким приоритетом так, чтобы она указывала на хост, который не отвечает на порт 25.

Рассмотрим устройство для фильтрации спама

Разместите устройство для фильтрации спама, например Cisco IronPort или Barracuda Spam & Virus Firewall (или другие подобные устройства) перед существующим SMTP-сервером, чтобы взять на себя большую часть работы по сокращению получаемого вами спама. Эти устройства предварительно настроены с помощью DNSBL, служб репутации, байесовских фильтров и других функций, которые я рассмотрел, и регулярно обновляются их производителями.

• Изучите стоимость оборудования и стоимости подписки для устройства фильтрации спама.

Рассмотрим размещенные почтовые службы

Если это слишком много для вас (или вашего перегруженного работой ИТ-персонала), вы всегда можете попросить стороннего поставщика услуг обработать вашу электронную почту за вас. Такие службы, как Google Postini, Symantec MessageLabs Email Security (или другие) будут фильтровать сообщения для вас. Некоторые из этих услуг также могут соответствовать нормативным и юридическим требованиям.

• Изучите стоимость подписки на размещенную электронную почту.

Какие рекомендации системные администраторы должны дать конечным пользователям в отношении борьбы со спамом?

Абсолютная вещь №1, которую конечные пользователи должны делать для борьбы со спамом:

• НЕ РЕАГИРОВАТЬ НА СПАМ.

  Если это выглядит забавно, не переходите по ссылке на сайт и не открывайте вложение. Каким бы привлекательным ни казалось предложение. Эта виагра не такая уж и дешевая, на самом деле вы не собираетесь получать чьи-либо обнаженные фотографии, и нет 15 миллионов долларов в Нигерии или где-либо еще, кроме денег, взятых у людей, которые сделал ответить на спам.

• Если вы видите спам-сообщение, отметьте его как нежелательное или спам в зависимости от вашего почтового клиента.

• НЕ пометьте сообщение как нежелательное / спам, если вы действительно подписались на получение сообщений и просто не хотите их получать. Вместо этого откажитесь от подписки на список рассылки, используя предоставленный метод отказа от подписки.

• Регулярно проверяйте папку нежелательной почты / спама, чтобы убедиться, что до нее дошли легитимные сообщения. Отметьте их как «Не нежелательные / не спам» и добавьте отправителя в список контактов, чтобы их сообщения в будущем не помечались как спам.

На протяжении многих лет я управлял более чем 100 отдельными почтовыми средами и использовал множество процессов для уменьшения или устранения спама.

Технологии развивались с течением времени, поэтому в этом ответе будут рассмотрены некоторые из вещей, которые я пробовал в прошлом, и подробно описано текущее положение дел.

Несколько мыслей о защите ...

• Вы хотите защитить порт 25 вашего сервера входящей почты от открытое реле, где любой может отправлять почту через вашу инфраструктуру. Это не зависит от конкретной технологии почтового сервера, которую вы можете использовать. Удаленным пользователям следует использовать альтернативный порт отправки. и какая-то форма обязательной аутентификации для пересылки почты. Порт 587 или порт 465 - обычные альтернативы 25.
• Шифрование - это тоже плюс. Большая часть почтового трафика отправляется в виде открытого текста. Сейчас мы находимся в точке, где большинство почтовых систем может поддерживать ту или иную форму шифрования; какое-то событие ожидает этого.
• Это более активные подходы к предотвращению ваш почтовый сайт от классификации как источник спама ...

Что касается входящего спама ...

• Серые списки был интересным подходом на короткий период времени. Принудительное временное отклонение / задержка в надежде, что спаммер отключится и избежит раскрытия или времени и ресурсов, необходимых для повторной очереди сообщений. Это приводило к непредсказуемым задержкам доставки почты, плохо работало с почтой от крупных серверных ферм, и спамеры в конечном итоге разработали обходные пути. Наихудшим ударом стало нарушение ожиданий пользователей от быстрой доставки почты.
• Несколько реле MX по-прежнему нуждаются в защите. Некоторые спамеры попытаются отправить на резервная копия или MX с более низким приоритетом в надежде, что у него будет менее надежная фильтрация.
• Черные (дырочные) списки в реальном времени (RBL / DNSBL) - эти ссылки на централизованно обслуживаемые базы данных для проверки наличия в списке отправляющего сервера. Сильная зависимость от RBL сопряжена с оговорками. Некоторые не пользовались такой репутацией, как другие. Предложения от Спамхаус всегда было хорошо для меня. Другие, как СОРБЫ, плохо подходят к перечислению IP-адресов и часто блокируют подлинную электронную почту. В некоторых случаях это сравнивают с заговором с вымогательством, потому что делистинг часто включает в себя $$$.
• Структура политики отправителя (SPF) - в основном средство обеспечения того, чтобы данный хост был авторизован для отправки почты для определенного домена, как это определено записью DNS TXT. Хорошая практика - создавать записи SPF для исходящей почты, но плохая практика - требовать это с серверов, отправляющих вам.
• Доменные ключи - Не широко используется ... пока.
• Подавление отказов - предотвращение возврата недействительной почты к источнику. Некоторые спамеры попытались бы узнать, какие адреса действовали / действительны, проанализировав обратное рассеяние для создания карты используемых адресов.
• Проверки обратного DNS / PTR - убедитесь, что отправляющий сервер имеет действительную обратную запись PTR. Это не обязательно должно совпадать с исходным доменом, так как возможно сопоставление доменов с хостом «многие к одному». Но полезно определить право собственности на IP-пространство и определить, является ли исходный сервер частью динамического IP-блока (например, домашнего широкополосного доступа - читайте: скомпрометированные спам-боты).
• Фильтрация содержимого - (ненадежно) - Попытки противодействовать перестановкам «(Viagra, v \ | agra, viagra, vilgra.)» Отнимают много времени для администратора и не масштабируются в более крупной среде.
• Байесовская фильтрация - Более продвинутые решения для спама позволяют обучать почту глобально или для каждого пользователя. Прочтите связанную статью об эвристике, но главное в том, что почту можно вручную классифицировать как хорошую (Ham) или плохую (Spam), а полученные сообщения заполняют байесовскую базу данных, на которую можно ссылаться для определения категоризации будущих сообщений. Как правило, это связано с оценкой или взвешиванием спама и может быть одним из немногих методов, используемых для определения того, следует ли доставить сообщение.
• Регулирование / дросселирование скорости - простой подход. Ограничьте количество сообщений, которые данный сервер может попытаться доставить в течение определенного периода времени. Отложить все сообщения выше этого порога. Обычно это настраивается на стороне почтового сервера.
• Хостинг и облачная фильтрация. Postini приходит на ум, поскольку это был облако решение до облако было модным словом. Преимущество размещенного решения, теперь принадлежащего Google, заключается в экономии за счет масштаба, присущей обработке большого объема почты, с которой они сталкиваются. Анализ данных и простой географический охват могут помочь размещенному на хосте решению для фильтрации спама адаптироваться к тенденциям. Хотя исполнение простое. 1). Направьте свою запись MX на размещенное решение, 2). укажите адрес доставки сервера пост-фильтрации. 3). Прибыль.

---

Мой текущий подход:

Я убежденный сторонник решений для рассылки спама на основе устройств. Я хочу отклонить периметр сети и сохранить циклы ЦП на уровне почтового сервера. Использование устройства также обеспечивает некоторую независимость от реального почтового сервера (агента доставки почты).

Я рекомендую Устройства Barracuda Spam Filter по ряду причин. Я развернул несколько десятков устройств, и благодаря веб-интерфейсу, отраслевому интеллекту и принципу «установил и забыл» он стал победителем. Бэкэнд-технология включает в себя многие из перечисленных выше методов.

• Я блокирую порт 25 на IP-адресе своего почтового сервера и вместо этого устанавливаю запись MX для домена на общедоступный адрес устройства Barracuda, например spam.domain.com. Порт 25 будет открыт для доставки почты.
• Ядро SpamAssassin-производится с простым интерфейсом к журналу сообщений (и байесовской базе данных), который можно использовать для классификации хорошей почты от плохой во время начального периода обучения.
• Barracuda по умолчанию использует несколько RBL, в том числе Spamhaus.org, и свои База данных репутации BRBL. Обратите внимание BRBL можно бесплатно использовать как стандартный RBL для других почтовых систем.
• База данных репутации Barracuda состоит из оперативных данных, приманок, крупномасштабного анализа и любого количества проприетарных методов. Он имеет зарегистрированный белый и черный списки. Отправители больших объемов и заметных писем часто регистрируются в Barracuda для автоматического включения в белый список. Примеры включают Blackberry, Постоянный контакт, и т.д.
• Проверки SPF можно включить (правда, я их не включаю).
• Имеется интерфейс для просмотра почты и повторной отправки из почтового кэша устройства при необходимости. Это полезно в случаях, когда пользователь ожидал сообщения, которое могло не пройти все проверки на спам.
• Проверка пользователей LDAP / Active Directory помогает ускорить обнаружение недействительных получателей почты. Это экономит пропускную способность и предотвращает обратное рассеяние.
• IP / адрес отправителя / домен / страну происхождения можно настроить. Если я хочу запретить всю почту с итальянскими суффиксами домена, это возможно. Если я хочу запретить отправку почты с определенного домена, это легко настроить. Если я хочу заблокировать пользователя Сталкер отправив электронное письмо пользователю, это выполнимо (реальная история).
• Barracuda предоставляет ряд стандартных отчетов и хорошее визуальное отображение состояния устройства и показателей спама.
• Мне нравится иметь на месте устройство для хранения этой внутренней обработки и, возможно, иметь подключение к журналу электронной почты с постфильтром (в средах, где требуется сохранение почты).
• Плюс Устройство можно размещать в виртуализированная инфраструктура.

Консоль состояния Barracuda Spam & Virus Firewall 300

---

Новый подход:

Я экспериментировал с Облачная служба безопасности электронной почты Barracuda за последний месяц. Это похоже на другие размещенные решения, но хорошо подходит для небольших сайтов, где дорогое устройство является непомерно дорогим. За номинальную годовую плату эта услуга обеспечивает около 85% того, что делает аппаратное устройство. Услугу также можно запускать в тандеме с локальным устройством для уменьшения входящей полосы пропускания и обеспечения еще одного уровня безопасности. Это также хороший буфер, который может буферизовать почту в случае сбоя сервера. Аналитика по-прежнему полезна, хотя и не так подробна, как физическая единица.

Консоль Barracuda Cloud Email Security

В общем, я пробовал много решений, но, учитывая масштаб определенных сред и растущие потребности пользователей, мне нужны самые элегантные доступные решения. Конечно, можно использовать многосторонний подход и «использовать свой собственный», но я неплохо справился с некоторой базовой безопасностью и хорошим мониторингом использования устройства Barracuda. Пользователи очень довольны результатом.

Примечание: Cisco Ironport тоже здорово ... Просто дороже.

Отчасти я поддерживаю то, что сказали другие; отчасти нет.

Spamassassin

У меня это работает очень хорошо, но вам нужно потратить некоторое время на обучение байесовского фильтра. с ветчиной и спамом.

Серые списки

ewwhite может думать, что его день пришел и ушел, но я не могу согласиться. Один из моих клиентов спросил, насколько эффективны мои различные фильтры, поэтому вот приблизительная статистика моего личного почтового сервера за июль 2012 года:

• 46000 сообщений попытка доставки
• 1750 год прошел через серые списки
• 250 прошли грейлистинг + обученный спамассассин

Таким образом, около 44000 никогда не попадали в серые списки; Если бы у меня не было серых списков и я бы их принял, у них была бы вся необходимая фильтрация спама, все с использованием ЦП и памяти, а также пропускной способности.

редактировать: поскольку этот ответ, кажется, был полезен некоторым людям, я подумал, что обновлю статистику. Поэтому я повторно провел анализ почтовых журналов за январь 2015 года, 2,5 года спустя.

• 115,500 попыток доставки сообщений
• 13 300 человек прошли серые списки (и некоторые базовые проверки работоспособности, например, действительный домен отправителя)
• 8500 прошли серые списки + обученный спамассасин

Цифры нельзя напрямую сравнивать, потому что у меня больше нет сведений о том, как я пришел к данным за 2012 год, поэтому я не могу быть уверен, что методологии были идентичными. Но я уверен, что тогда мне не приходилось запускать дорогостоящую с вычислительной точки зрения фильтрацию спама на очень большом количестве контента, и я до сих пор этого не делаю из-за серых списков.

SPF

На самом деле это не метод защиты от спама, но он может уменьшить количество обратного рассеяния, с которым вам придется иметь дело, если вы joe-jobbed. Вы должны использовать его как для входа, так и для выхода, то есть: вы должны проверить SPF-запись отправителя на наличие входящей электронной почты и принять / отклонить соответственно. Вам также следует опубликовать свои собственные записи SPF с полным списком всех компьютеров, которым разрешено отправлять почту от вашего имени, и заблокировать всех остальных с помощью -all. Записи SPF, не заканчивающиеся на -all совершенно бесполезны.

Списки черных дыр

RBL проблематичны, так как на них можно попасть не по своей вине, а выйти из них бывает сложно. Тем не менее, у них есть законное использование для борьбы со спамом, но Я настоятельно рекомендую никогда не использовать RBL в качестве яркого теста на прием почты.. Намного лучше то, как spamassassin обрабатывает RBL - используя их множество, каждая из которых вносит свой вклад в общую оценку, и именно эта оценка принимает решение о принятии / отклонении.

Dropbox

Я не имею в виду коммерческую службу, я имею в виду, что у моего почтового сервера есть один адрес, который пропускает все мои серые списки и фильтрацию спама, но который вместо того, чтобы доставлять кому-либо INBOX, он отправляется в папку с возможностью записи во всем мире в /var, который каждую ночь автоматически удаляет все письма старше 14 дней.

Я призываю всех пользователей воспользоваться этим преимуществом, например, при заполнении форм электронной почты, для которых требуется проверяемый адрес электронной почты, когда вы получите одно электронное письмо, которое вам нужно сохранить, но от которого вы больше никогда не хотите слышать, или при покупке от онлайн-продавцов, которые, вероятно, будут продавать и / или спамить свой адрес (особенно те, которые находятся за пределами досягаемости европейских законов о конфиденциальности). Вместо того, чтобы указывать свой реальный адрес, пользователь может указать адрес Dropbox и смотреть в Dropbox только тогда, когда он чего-то ожидает от корреспондента (обычно от машины). Когда он придет, она сможет забрать его и сохранить в своей почтовой коллекции. Пользователю не нужно заглядывать в Dropbox в любое другое время.

Я использую ряд методов, которые уменьшают количество спама до приемлемого уровня.

Задержка приема подключений от неправильно настроенных серверов. Большая часть спама, который я получаю, исходит от спам-ботов, работающих в системе, зараженной вредоносным ПО. Почти все они не проходят проверку rDNS. Задержка на 30 секунд или около того перед каждым ответом заставляет большинство спам-ботов сдаваться до того, как они доставят свое сообщение. Применение этого только к серверам, которые не работают с rDNS, позволяет избежать наказания правильно настроенных серверов. Некоторые неправильно настроенные законные массовые или автоматические отправители наказываются, но доставляют с минимальной задержкой.

Настройка SPF для всех ваших доменов защищает ваши домены. Большинство поддоменов не следует использовать для отправки электронной почты. Основное исключение - домены MX, которые должны иметь возможность отправлять почту самостоятельно. Некоторые законные отправители делегируют массовую и автоматическую почту серверам, которые не разрешены их политикой. Откладывание, а не отклонение на основе SPF позволяет им исправить свою конфигурацию SPF, или вы можете внести их в белый список.

Требуется полное доменное имя (полное доменное имя) в команде HELO / EHLO. В спаме часто используются неполное имя хоста, адресные литералы, IP-адреса или недопустимый TLD (домен верхнего уровня). К сожалению, некоторые законные отправители используют недействительные TLD, поэтому в этом случае может быть более уместным отложить отправку. Для этого может потребоваться мониторинг и добавление в белый список для разрешения прохождения почты.

DKIM помогает предотвратить отказ от авторства, но в остальном не очень полезен. Мой опыт показывает, что спам вряд ли будет подписан. Ham с большей вероятностью будет подписан, поэтому он имеет некоторую ценность при оценке спама. Некоторые законные отправители не публикуют свои открытые ключи или иным образом неправильно настраивают свою систему.

Серые списки полезны для серверов, которые показывают некоторые признаки неправильной конфигурации. Правильно настроенные серверы в конечном итоге пройдут, поэтому я стараюсь исключать их из серых списков. Это полезно для добавления бесплатных рассылок в серый список, поскольку они, как правило, иногда используются для рассылки спама. Задержка дает некоторым входам фильтра спама время, чтобы поймать спамера. Это также имеет тенденцию отклонять спам-ботов, поскольку они обычно не повторяют попытку.

Также могут помочь черные и белые списки.

• Я нашел Spamhaus надежным черным списком.
• Автоматическое добавление в белый список в спам-фильтре помогает сгладить рейтинг частых отправителей, которые иногда являются спамерами, или спамеров, которые иногда являются хэмишами.
• Я также считаю, что белый список dnsl.org полезен.

Программное обеспечение для фильтрации спама достаточно хорошо для обнаружения спама, хотя некоторые из них проходят. Довести ложноотрицательный результат до разумного уровня без чрезмерного увеличения ложного срабатывания может быть непросто. Я считаю, что Spamassassin улавливает большую часть приходящего к нему спама. Я добавил несколько специальных правил, которые мне подходят.

Почтмейстеры должны настроить необходимые адреса для злоупотреблений и почтмейстеров. Признайте обратную связь, полученную по этим адресам, и действуйте в соответствии с ней. Это позволяет другим помочь вам убедиться, что ваш сервер правильно настроен и не рассылает спам.

Если вы разработчик, используйте существующие почтовые службы, а не настраивайте собственный сервер. По моему опыту, серверы для автоматических отправителей почты, скорее всего, настроены неправильно. Ознакомьтесь с RFC и отправьте правильно отформатированное письмо с законного адреса в вашем домене.

Конечные пользователи могут сделать несколько вещей, чтобы уменьшить количество спама:

• Не открывай. Пометить как спам или удалить.
• Убедитесь, что ваша система безопасна и не содержит вредоносных программ.
• Следите за использованием сети, особенно когда вы не используете свою систему. Если он генерирует большой сетевой трафик, когда вы его не используете, возможно, он рассылает спам.
• Выключайте компьютер, когда вы им не пользуетесь. (Если он выключен, он не сможет создавать спам.)

Владельцы доменов / интернет-провайдеры могут помочь, ограничив доступ в Интернет через порт 25 (SMTP) для официальных серверов электронной почты. Это ограничит возможность рассылки спам-ботов в Интернет. Это также помогает, когда динамические адреса возвращают имена, не прошедшие проверку rDNS. Еще лучше проверить, что запись PTR для почтовых серверов действительно проходит проверку rDNS. (Убедитесь в отсутствии типографских ошибок при настройке записей PTR для ваших клиентов.)

Я начал классифицировать электронную почту по трем категориям:

• Хэм (почти всегда с правильно настроенных серверов, правильно отформатированных и обычно личных адресов электронной почты).
• Спам (в основном от спам-ботов, но определенный процент от бесплатных рассылок или других отправителей с неправильно настроенными серверами).
• Бакн; может быть ветчиной или спамом (включает много писем из списков рассылки и автоматических систем. Хам обычно попадает сюда из-за неправильной конфигурации DNS и / или сервера).

ЕДИНСТВЕННОЕ наиболее эффективное решение, которое я видел, - это использование одной из внешних служб фильтрации почты.

У меня есть опыт работы со следующими услугами у текущих клиентов. Я уверен, что есть и другие. По моему опыту, каждый из них проделал отличную работу. Стоимость разумная для всех троих.

• Postini из Google
• MXLogic от McAfee
• SecureTide из AppRiver

У этих услуг есть несколько огромных преимуществ перед локальными решениями.

1. Они останавливают большую часть (> 99%) спама ДО того, как он попадет в ваше интернет-соединение и ваш почтовый сервер. Учитывая объем спама, это большой объем данных не о вашей пропускной способности и не на вашем сервере. Я реализовывал одну из этих служб десятки раз, и каждая из них приводила к заметному повышению производительности почтового сервера.

2. Они также выполняют антивирусную фильтрацию, обычно в обоих направлениях. Это устраняет необходимость иметь «почтовый антивирус» на вашем сервере, а также полностью сохраняет вирусы.

Они также отлично справляются с блокировкой спама. За 2 года работы в компании, использующей MXLogic, у меня ни разу не было ложных срабатываний, и я могу подсчитать количество законных спам-сообщений, прошедших через одну руку.

Нет двух одинаковых почтовых сред. Таким образом, для создания эффективного решения потребуется много проб и ошибок, связанных с множеством различных доступных методов, потому что содержимое электронной почты, трафика, программного обеспечения, сетей, отправителей, получателей и многого другого будет сильно различаться в разных средах.

Однако я считаю, что следующие списки блоков (RBL) хорошо подходят для общей фильтрации:

• dbl.spamhaus.org
• xbl.spamhaus.org
• b.barracudacentral.org

Как уже говорилось, SpamAssassin - отличное решение при правильной настройке, просто убедитесь, что вы установили как можно больше дополнительных модулей Perl в CPAN, а также Razor, Pyzor и DCC. Postfix очень хорошо работает со SpamAssassin, и им намного проще управлять и настраивать, чем, например, EXIM.

Наконец, блокировка клиентов на уровне IP с помощью fail2ban и iptables или аналогичных на короткие периоды времени (скажем, от одного дня до недели) после некоторых событий, таких как инициирование попадания в RBL за оскорбительное поведение, также может быть очень эффективной. Зачем тратить ресурсы на разговоры с хостом, зараженным известным вирусом?