Использование поддельных записей MX для борьбы со спамом

Сделайте себе одолжение и настройте их с помощью службы защиты от спама, например Postini. За несколько долларов за почтовый ящик в месяц нет абсолютно никаких причин не делать этого, и вы не только устраните 99% своего спама, но и получите доступ к их службе буферизации (удобно для плановых или внеплановых простоев), а не для упомяните об экономии полосы пропускания, позволив кому-то другому получать и обрабатывать весь этот спам до того, как он попадет на край вашей сети.

Не сотрудник Postini, а просто счастливый пользователь, у которого к тому же настроены десятки клиентов.

Я пробовал это и настоятельно рекомендую вам НЕ ДЕЛАЙТЕ ЭТО! В то время это казалось хорошей идеей, но после того, как письма от разных отправителей начали исчезать, я понял, что это была ошибка. Чего я не понимал, так это того, что существует множество ужасно написанных SMTP-серверов, которые не соответствуют спецификации и плохо справляются с ошибками, и люди не знают или не заботятся, потому что "этот другой парень получил мою электронную почту , значит, это ты ".

Я поддерживаю некоторые другие предложения по борьбе со СПАМом. Postini - отличный сервис, и даже встроенные средства защиты от спама в бесплатных приложениях Google не так уж и плохи. Если вам нужен больший контроль, вы можете купить IronPort или другое устройство или самостоятельно.

Я никогда раньше не слышал об этом методе и могу представить, что он может задержать получение законной электронной почты на несколько часов. В конце концов, протоколы smtp должны доставить вашу законную электронную почту. Допустимые серверы попадут в фиктивную запись mx и попытаются доставить на этот сервер ... Я не знаю, что у вас могло быть там (если что-нибудь), но они будут продолжать попытки, пока он не будет принят.

Правильные серверы будут продолжать попытки записи MX, пока почта не будет доставлена. Спамеры, как правило, становятся умнее, и если сейчас это сработает с некоторыми программами для спама, я сомневаюсь, что это будет работать долго. Я не могу это рекомендовать.

Вместо этого я предлагаю использовать smtp tarpit в дополнение к существующему спам-фильтру. Сейчас доступно несколько из них. Я думаю, вы обнаружите, что это намного эффективнее, чем метод фиктивной записи mx.

Такие брезенты поставляются с smtpd на BSD. В sendmail 8.13 также есть некоторые функции задержки ответа.

По сути, тарпит ограничивает ресурсы сервера спама. Они делают это, откладывая ответы, которые они получают. например сервер спама подключается и получает около 1 байта в секунду.
Некоторые из серверов tarpit ищут шаблоны спама и могут распознавать сервер спама. Законные серверы будут готовы ждать медленного ответа. На некоторых серверах tarpits они автоматически перемещают законно распознанный сервер в белый список, чтобы не было никаких задержек в будущем.

Google SMTP Tarpit и посмотрите.

Вы не упомянули об этом, поэтому есть причина, по которой вы не используете DNSBL?

Изменить: SpamAssassin включает поддержку для некоторых из них - без них вы потратите много циклов процессора на анализ спама.

Я использую этот фальшивый MX (вариант нолистинг) и работает очень хорошо.

Я использовал постфиксный MX со всеми обычными фильтрами, и после того, как некоторому спам-боту удалось перегрузить сервер 2 или 3 раза, я решил попробовать ... вот результат:

попробуйте угадать, когда я реализовал fake-mx! 8)

Результат такой же, как и postgrey, но в отличие от postgrey, вам не нужно менять почтовый сервер

Теперь спам-боты будут пробовать либо высокий MX, либо низкий MX, освобождая реальный MX от нагрузки, связанной с попытками фильтрации (даже с DNSBL, нагрузка была высокой), и реальная электронная почта приходит с минимальной задержкой.

Но будьте осторожны, есть риски:

• На некоторых серверах может быть большое время повтора. Большинство серверов будут повторять попытку следующего MX после первого тайм-аута, другие будут пытаться через несколько минут, но я уже видел серверы, которые повторяют попытку только через один час или один день. Они очень редки, и для тех, кого я смог поймать, это была плохая конфигурация. разговор с другим почтмейстером решает проблему

• Все электронные письма будут иметь задержку. На самом деле я вообще не вижу задержки, почти все реальные почтовые серверы будут повторять попытку к следующему MX после первого тайм-аута, поэтому мы говорим о 30-секундной задержке. Обычно они пробуют не менее 3 MX перед постановкой сообщения в очередь на более длительную задержку. но у вас может быть контакт с одним неисправным почтовым сервером, который может этого не делать и задерживать каждое сообщение на несколько минут. Так что это то, что нужно контролировать при развертывании этого решения.

• Неработающие сайты. Некоторые веб-серверы отправляют электронную почту для паролей, уведомлений и т. Д., И вместо доставки на внутренний реальный почтовый сервер они пытаются быть «поддельным» почтовым сервером и осуществлять доставку напрямую. Поскольку это веб-сервер, они никогда не попытаются повторить попытку, и электронная почта будет потеряна. Опять же, это плохая конфигурация от веб-мастера / веб-разработчиков, так как только реальные почтовые серверы должны отправлять электронную почту. Каждый раз, когда я нахожу эту проблему, я обсуждаю ее с веб-мастером, и обычно проблема решается.

• Логов нет. Поскольку поддельный MX указывает на неподключенные IP-адреса, у вас нет журналов того, что пытались доставить. вы знаете, что что-то пошло не так, только когда кто-то жалуется. но это тоже хорошо. Вы всегда можете заявить, что у вас нет попытки доставить письмо, так что это удаленная проблема. Другая сторона должна проверить свои журналы и решить проблему. Я могу доказать, что с моим реальным сервером нет никакой связи, переводя давление, чтобы решить проблему, на другую сторону. Если другая сторона не может решить проблему, она выглядела как ненадежная.

• Нет белого списка. это применимо ко всем серверам через DNS, поэтому вы не можете добавить один сервер в белый список ... на самом деле это только наполовину правда, но это сложнее. решение с использованием белого списка заключается в том, что самый низкий MX указывает на IP-адрес, на котором запущен smtp, но фильтруется брандмауэром для всех. Те серверы, которые вы хотите добавить в список, должны быть разрешены в брандмауэре. Таким образом, все серверы будут отклонены брандмауэром, и все серверы из белого списка смогут доставлять сообщения на почтовый сервер. Это работает, но только для белого списка IP-адресов, а не для белого списка адресов электронной почты.

В отличие от postgrey, где удаленный отправитель имеет журнал "отклоненной" доставки (и поэтому может указывать на нас как на проблему), fake-MX покажет, что веб-сервер даже не смог подключиться и не повторил попытку, не давая никаких оправданий. для удаленной стороны о проблеме. Неисправный MX лучше воспринимается, чем postgrey, поскольку мы всегда можем заявить о некоторых «проблемах с маршрутизацией, но резервный MX работает нормально, мы получаем все остальные электронные письма»

С учетом сказанного, у меня очень мало жалоб (примерно 1 раз в 3 месяца), поэтому я считаю это достаточно безопасным (у каждого спам-фильтра есть риски).

Обратите внимание, что я использую действительный адрес ipv4 для всех MX, но для поддельных я использую IP-адрес, который я контролирую, который не используется (и поэтому он дает тайм-аут / хост недоступен для любого соединения). эти правила применяются, даже если вы им не пользуетесь. Существуют DNS- и SMTP-серверы, которым для работы электронной почты требуется правильная конфигурация DNS. поддельные MX также должны быть действительными, они просто не должны быть доступны.

Не используйте частные IP-адреса или IP-адреса, которые вы не контролируете, для поддельного MX (если вы добавляете адрес ipv6, ТАКЖЕ добавьте IPv4). Это позволяет избежать проблем с неработающим DNS и почтовыми серверами, а также сюрпризов, связанных с получением вашей электронной почты другими людьми (путем установки сервера smtp на IP-адрес, который вы не контролируете). Кроме того, CNAME запрещены для MX, поэтому не используйте его, просто обычную запись A

Наконец, для поддельного MX следует отправить tcp-reset для повышения производительности (хост или порт недоступны) вместо простого тайм-аута (путем отбрасывания пакета), поэтому рекомендуется добавить его в свой брандмауэр.

в любом случае, не только я до сих пор им пользуюсь, так как всем рекомендую использовать

Что касается фильтрации почты, я был очень доволен комбинацией Spamassasin и политический вес, который проверяет имя хоста отправителя и черные списки во время SMTP-соединения. Это замечательно по двум причинам:

1. вам не нужно обрабатывать отклоненное электронное письмо с помощью spamassasin, что экономит ваши системные ресурсы (байесовский анализ занимает некоторое время) и пропускную способность
2. узлы отправителя отклоняются, поэтому в маловероятном случае блокировки законной электронной почты отправитель получает уведомление о сбое доставки

Я использую настройку Postfix, но якобы есть способ установить policyd-weight с Exim.

Честно говоря, я не совсем понял.

Хорошо, я говорю, что мой основной почтовый сервер - Fake. Тогда так? Его вообще нет или как? (Предположим, что в любом случае это наконец-то урезало часть спамеров.) «Выжившие» воспользуются вторичными - без проблем. Но почему в этой настройке есть 3-й сервер?

Поскольку это должен был быть мой ответ, а не вопрос, я бы заключил так: это больная и бледная тень серого списка. Если вы хотите увидеть реальный эффект, попробуйте использовать серые списки, чувак.

Я отбрасываю большую часть своего спама, задерживая подключения к хостам, указанным в списке Spamhaus zen. Спам-боты не любят задержки. Обнаружение явных подделок серверов в команде HELO также удаляет много спама. Я обнаружил, что условия, указывающие на подделку серверов, включают.

• Используя мое имя хоста или IP-адрес.
• Использование неполного имени хоста.
• Использование литерала домена ([192.0.2.15]) вместо полного доменного имени. (Да, это требуется в RFC, но в наши дни это не используется почтовыми серверами Интернета.)
• Неудачный SPF для имени HELO, а не Mail (я блокирую при неудаче, программном отказе и нейтральном).

Если вы цените автоматическую или маркетинговую почту, проверьте команду HELO, которая не работает, включая. Мой опыт показывает, что вся остальная почта соответствует этим условиям.

• Использование доменного имени второго уровня вместо FQDN для хоста.
• Требование IP или имени HELO для проверки rDNS.
• Требуется действительный домен второго уровня для FQDN. (local не является ни допустимым доменом, ни localdomain.)

Подписание вашего обратного пути позволяет заблокировать спам. Хотя в последнее время я наблюдаю гораздо меньше фальшивых отказов.

К сожалению, я обнаружил, что большой процент законных автоматических или маркетинговых писем подделывает путь возврата. У этих хостов также часто нет действующего адреса почтмейстера. Я считаю, что требование действительного домена в обратном пути вполне возможно. Я получаю гораздо больше ответов об ошибке SPF на легитимную электронную почту, чем на спам.

Недавно я опубликовал свой опыт работы с блокировка спама с помощью Exim

Помимо потерянных писем от законных людей со сломанными шлюзами, это было проверено давно (например, 15 лет назад +/-), и тогда спамеры адаптировались к нему почти сразу. Я подозреваю, что это окажет чистую потерю для надежности вашей электронной почты, хотя практически не повлияет на спам. Однако если вы попробуете, пришлите нам результаты!

К сожалению, существуют определенные операторы, которые не будут отправлять вам почту, если первая запись MX недоступна. Я недавно описал свой опыт с этим в записи в блоге поэтому я не буду повторять это здесь. Вкратце, моя первая запись MX на самом деле была записью MX только для IPv6, поскольку я полагал, что спамеры не используют IPv6 (пока). К сожалению, это вызвало проблемы, и в конце концов мне пришлось добавить IPv4-адрес к первой MX-записи в моей зоне.