Я использую Smartermail для своего небольшого почтового сервера. В последнее время у нас возникла проблема с получением волн спам на снегоступах которые следуют той же схеме. Они приходят партиями по 3 или 4 штуки за раз. Тела практически идентичны, за исключением доменного имени, на которое они ссылаются. Исходные IP-адреса, как правило, некоторое время находятся из одного блока / 24, затем они переключаются на другой / 24. Домены, как правило, новые. У них есть действительные записи PTR и SPF, а в нижней части тела есть случайная тарабарщина для подделки байесовских фильтров.
Я использую около дюжины разных RBL, включая Barracuda, Spamhaus, SURBL и URIBL. Они неплохо справляются со своей задачей, ловя большинство из них, но мы по-прежнему получаем много ошибок, потому что IP-адреса и домены не были внесены в черный список.
Могу ли я использовать какие-либо стратегии, в том числе RBL, которые блокируют вновь созданные домены или специально работают со спамом snoeshow? Я надеюсь избежать использования сторонней службы фильтрации.
Становится ли это реальной проблемой для ваших пользователей?
На данном этапе я бы порекомендовал полноценную службу фильтрации почты. Байесовский подход уже не так популярен. Репутация, RBL, анализ заголовков / намерений и другие факторы, кажется, помогают больше. Рассмотрим службу облачной фильтрации, чтобы объединить несколько подходов (и коллективный объем) для обеспечения лучшей защиты (Я использую облачное решение Barracuda ESS для своих клиентов).
На нас не повлиял всплеск атак на снегоступах. Я видел период, когда объем почты увеличивался изо дня в день в результате этих атак. Но ничего плохого не прошло. За 3 дня Barracuda снизила объемы до нормального уровня.
Я думаю, что решения для фильтрации, которые имеют широкий обзор мировой почтовой активности, могут лучше реагировать на атаки, чем отдельные почтовые фильтры.
Редактировать:
Это тоже недавно обсуждалось на ЛОПСА список рассылки:
Мой вклад: https://www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
Другое мнение: https://www.mail-archive.com/tech@lists.lopsa.org/msg04181.html
Я сотрудник службы DNS Ops, который тесно сотрудничает с группой, которая часто подвергается этим атакам. Противодействие атакам Snowshoe - это в первую очередь проблема процесса, и, как указывает ewwhite, решение этой проблемы собственными силами может выходить за рамки вашей компании. Я бы даже сказал, что если у вас нет крупного предприятия и нескольких коммерческих каналов RBL, вы наверное не следует пытаться решить эту проблему самостоятельно, используя коммерческую службу фильтрации.
Тем не менее, у нас есть некоторый опыт в этом вопросе, и поделиться им интереснее. Вот некоторые точки соприкосновения:
UDP-MIB::udpInErrors через SNMP, поскольку почтовые платформы очень способны переполнять очереди приема слушателей UDP, когда атака Snowshoe продолжается. Если это не так, быстрый способ узнать в Linux - запустить netstat -s | grep 'packet receive errors' на рассматриваемых DNS-серверах; большой счетчик указывает, что им нужно слезть с постели и начать обращать внимание. Им потребуется увеличить емкость или размер приемных буферов, если происходит частая утечка. (что означает потерянные DNS-запросы и потерянные возможности для предотвращения спама)Полное раскрытие информации: Farsight Security был основан Полом Викси, на которого у меня есть дурная привычка высказываться, когда люди нарушают стандарты DNS.
Я установил Declude (который является бесплатным) и Message Sniffer (который не является), и за последние 4 дня я видел одно спам-сообщение, приходящее в мою тестовую учетную запись электронной почты, в отличие от десятков, которые он получал в день. Насколько я могу судить, нам не удалось отфильтровать хорошие электронные письма. Spamassassin, вероятно, также был бы хорошим решением, хотя мне не повезло, когда я попробовал Spam Assassin in a Box ..
Многие ответы здесь относятся к общей защите от спама. В некоторой степени это имеет смысл, поскольку спамеры, похоже, предпочитают использовать снегоступы в качестве предпочтительного метода доставки.
Изначально Snowshoe всегда отправлялся из центров обработки данных в небольшом объеме (для каждого IP-адреса) и всегда содержал ссылку для отказа от подписки (не говоря уже о том, работает ли она). В настоящее время snowshoe почти никогда не имеет информации об отказе от подписки и отправляется в большом объеме со своих IP-адресов, но отправляется пачкой, так что к тому времени, когда IP-адрес попадает в черный список, он уже отправил почту. Это называется грозовой спам.
Из-за этого, DNSBL и даже жесткие подписи на основе шаблонов ужасны при отлове спама на снегоступах. Есть некоторые исключения, например Список CSS Spamhaus (который специально предназначен для сетей снегоступов и является частью SBL и ZEN), но в целом вам понадобится серый список/троттлинг (что может задерживать доставку до тех пор, пока DNSBL не догонят) и, что наиболее важно, система машинного обучения на основе токенов, такая как Байесовская фильтрация спама. Байесовский метод особенно хорош в обнаружении снегоступов.
Ответ Эндрю Б упоминает Farsight Security Новые домены и имена хостов (NOD), который пытается предугадать запуск сетей на снегоступах по мере их развертывания, но до того, как они начнут рассылать спам. Spamhaus CSS, вероятно, делает нечто подобное. CSS готов к использованию в среде блокировки, в то время как NOD действительно предназначен для подачи в настраиваемую систему, а не в автономную / блокирующую систему.