В последние несколько недель мы сильно пострадали от нового класса спама (или, по крайней мере, нового для меня / нас). Я называю это «таблоидным спамом», потому что они рассылают заголовки газетных журналов супермаркетов с таблоидной копией, которая обходит спам-убийцу.
Вот несколько примеров тем:
Mark Cuban Tells Anderson Cooper The Economy is in for a Meltdown
Looking for Walk In Bath Information? Compare These Choices.
One of the Biggest Government Lies: "The Food We Eat is Safe"
Donald Trump: I Consult Myself On Foreign Policy, "Because I Have A Very Good Brain"
В сообщениях содержится 1-2 ссылки, но без перехода по ссылке непонятно, продают они что-нибудь или нет. Все сообщения содержат много основного текста, некоторые из которых читаются как спам веб-контента. Spam Assassin не может отличить эту копию стиля от подлинной почты.
Частота этих сообщений увеличивается, где несколько недель назад мы получали, может быть, 20 в день, и теперь мы получаем сотни таких сообщений в день. Все они приходят с разных адресов электронной почты, а их темы широки и разнообразны, но большинство из них похожи на заголовки бульварных газет в супермаркетах.
Что мы пробовали / идеи:
Единственный способ заставить Spam-assassin пометить их - это снизить его до порога 2 который получает большинство из них вместе с половиной нашей законной почты!
Кто-то предложил изменить адреса электронной почты. Это кажется радикальной мерой и в лучшем случае краткосрочной.
Мы уже используем черные списки rdb для отклонения почты на postfix. Они этого не останавливают.
Добавьте ключевые слова в Spam Assassin и дайте им оценку, например, настройте его на добавление оценки спама +10 к любой строке темы, содержащей «Дональд Трамп», «Доктор Оз», «Андерсон Купер» и т. Д. Это кажется трудоемким , но позже я постараюсь добавить правила, по крайней мере, для временного облегчения.
Помимо этого, есть ли другие идеи или предложения о том, как с этим бороться? Я уверен, что мы не единственные, кто имеет дело с этим новым (?) Типом спама.
Наша среда - Linux (Ubuntu LTS) с Postfix + Spam Assassin.
Такие вещи (спам на снегоступах или урагане) лучше всего обнаруживаются с помощью машинного обучения. Убедитесь, что вы в полной мере используете Байес в SpamAssassin (т.е. вы должны регулярно обучаться работе со спамом и радиолюбителями; автообучения недостаточно).
Единственная наиболее эффективная вещь, которую я сделал, когда управлял почтой компании, - это должным образом возвращать SMTP-запросы NO ТАКОГО ПОЛЬЗОВАТЕЛЯ несуществующим пользователям. Это радикально сократит количество спама от отправителей, отслеживающих показатели доставляемости (некоторые злоумышленники плюс много грязных маркетологов). По общему признанию, это не сильно поможет в отношении подтипа снегоступов, с которым вы страдаете, но может облегчить другие проблемы, которые у вас есть (или вы можете зависеть от подстановочного знака и, следовательно, не можете это учитывать). Если вы можете настроить SpamAssassin для отклонения сообщений во время SMTP, это даст те же преимущества для спама, отправленного с помощью отправителей с отслеживанием отказов.
Вы упомянули в комментариях, что пробовали несколько вещей, но не Нолистинг. У меня был неофициальный успех с нолистингом, но было бы довольно сложно реализовать какой-то способ измерения его воздействия. Я реализовал nolisting в его предписанном порядке (отдельная первичная запись MX, которая отвечает на ping и закрывает порт 25, но не фильтруется: это должно быть быстрое отклонение) и нестандартным способом (который, по мнению nolisting.org, следует называть как-то иначе ): одиночная запись MX с самым низким приоритетом, у которой отфильтрован порт 25 (поэтому время ожидания истекает и, следовательно, потребляются ресурсы спамера). (Для измерения этого потребовалось бы настроить сервер исключительно для подсчета подключений, а затем сравнить эти журналы с журналами реального почтового ретранслятора, чтобы увидеть, сколько сообщений не сохранилось.)