Sử dụng bản ghi MX giả để chống spam

Tôi có một khách hàng đang bị spam rất nhiều .. Đó là ngày 15 của tháng và băng thông POP3 gần 100 GB. Chỉ có 7 tài khoản e-mail trên tên miền này. Tôi đã cài đặt SpamAssassin đặt nó thành 5 và thiết lập 10-20 bộ lọc loại bỏ hầu hết các rác. Tôi không thấy nhiều thay đổi về băng thông POP3. Sửa lỗi cho tôi nếu tôi sai, máy chủ vẫn nhận được thông báo sử dụng hết băng thông để phân tích xác định điểm thư rác.

Tôi tình cờ phát hiện ra các bản ghi MX, vì không biết - về cơ bản, bạn đặt máy chủ không có thật là bản ghi MX thấp nhất và cao nhất với bản ghi MX của máy chủ đang hoạt động ở giữa.

Ví dụ:

fake.example.com    1
realmx.example.com  2
fake2.example.com   3

Lý thuyết là, vì phần lớn thư rác được tạo ra từ các thây ma dựa trên Windows và một số ít sẽ truy vấn bản ghi MX cao nhất để spam vì thông thường chúng thường là các máy chủ dự phòng không lọc thư rác. Bản ghi MX giả thấp nhất là dành cho những người gửi thư rác còn lại .. và nói chung những người gửi thư rác không thử lại sau thất bại.

Có ai đã thử điều này? Nó có giúp gì không? Nó có trì hoãn hoặc gây ra vấn đề với việc gửi thư không? Có ai khác có một giải pháp tốt hơn?

Làm cho mình một ưu tiên và thiết lập chúng với một dịch vụ chống thư rác cổng như Postini. Đối với một vài đô la mỗi hộp thư mỗi tháng, hoàn toàn không có lý do gì và bạn sẽ không chỉ loại bỏ 99% thư rác của mình, bạn cũng sẽ có quyền truy cập vào dịch vụ lưu trữ của họ (tiện dụng cho thời gian chết theo lịch trình hoặc không theo lịch trình), không đề cập đến việc tiết kiệm băng thông bằng cách để người khác nhận và xử lý tất cả thư rác đó trước khi nó xâm nhập vào mạng của bạn.

Không phải là nhân viên của Postini, chỉ cần một người dùng hạnh phúc cũng sẽ thiết lập hàng tá khách hàng với nó.

Tôi đã thử điều này và tôi thực sự có thể khuyên bạn KHÔNG LÀM NÓ ! Có vẻ như đó là một ý tưởng tốt vào thời điểm đó, nhưng sau khi thư từ nhiều người gửi bắt đầu biến mất, tôi nhận ra rằng đó là một sai lầm. Điều tôi không nhận ra là có rất nhiều máy chủ SMTP được viết rất khủng khiếp, không tuân theo thông số kỹ thuật và khá tệ trong việc xử lý lỗi và mọi người không biết hoặc quan tâm vì "anh chàng kia đã nhận được email của tôi , vì vậy nó phải là bạn ".

Tôi thứ hai một số đề xuất khác để xử lý SPAM. Postini là một dịch vụ tuyệt vời và thậm chí các công cụ chống spam tích hợp trong các ứng dụng google miễn phí cũng không tệ. Nếu bạn muốn kiểm soát nhiều hơn, bạn có thể mua IronPort hoặc thiết bị khác hoặc tự cuộn.

Tôi chưa bao giờ nghe về phương pháp này trước đây và tôi có thể tưởng tượng nó sẽ trì hoãn email hợp pháp có khả năng trong vài giờ. Vào cuối ngày, các giao thức smtp cần gửi email hợp pháp của bạn. Các máy chủ hợp lệ sẽ đạt kỷ lục mx không có thật và cố gắng phân phối đến máy chủ đó ... Tôi không biết những gì bạn có thể đã chạy ở đó (nếu có), nhưng họ sẽ tiếp tục thử cho đến khi được chấp nhận.

Các máy chủ phù hợp sẽ tiếp tục thử các bản ghi MX cho đến khi thư được gửi. Kẻ gửi thư rác có xu hướng ngày càng thông minh hơn và nếu điều này hoạt động đối với một số phần mềm spam bây giờ, tôi nghi ngờ nó sẽ hoạt động lâu dài. Tôi không thể khuyên bạn nên nó.

Thay vào đó, đề nghị của tôi là xem xét việc sử dụng tarpit smtp ngoài bộ lọc thư rác hiện có của bạn. Có một số trong số này có sẵn bây giờ. Tôi nghĩ bạn sẽ thấy nó hiệu quả hơn nhiều so với phương pháp ghi mx giả.

Những tấm bạt như vậy đi kèm với smtpd trên BSD. Ngoài ra còn có một số tính năng tarpits trong sendmail 8.13.

Về cơ bản, một tarpit hoạt động bằng cách buộc tài nguyên máy chủ spam. Họ làm điều đó bằng cách trì hoãn các phản hồi họ nhận được. ví dụ: máy chủ spam kết nối và nhận khoảng 1 byte mỗi giây.
Một số máy chủ tarpit tìm kiếm các mẫu thư rác và có thể nhận ra máy chủ thư rác. Các máy chủ hợp pháp sẽ được chuẩn bị để chờ thông qua phản hồi chậm. Trong một số máy chủ tarpits, họ tự động chuyển máy chủ được công nhận hợp pháp lên danh sách trắng để không có sự chậm trễ trong tương lai.

Google Tarpit và hãy xem.

Bạn đã không đề cập đến nó, vậy có lý do gì bạn không sử dụng DNSBL không?

Chỉnh sửa: SpamAssassin bao gồm hỗ trợ cho một vài trong số chúng - không có chúng, bạn sẽ lãng phí rất nhiều chu kỳ CPU để phân tích thư rác.

Tôi sử dụng MX giả này (một biến thể của không tồn tại ) và nó hoạt động rất tốt.

Tôi đã sử dụng một postfix MX với tất cả các bộ lọc thông thường và sau khi một số spambot quản lý để quá tải máy chủ trong 2 hoặc 3 lần, tôi quyết định dùng thử ... đây là kết quả:

thử đoán xem tôi đã thực hiện giả-mx! số 8)

Kết quả giống như postgrey, nhưng không giống như postgrey, bạn không cần thay đổi máy chủ thư của mình

Giờ đây, spam bots sẽ thử MX cao hoặc MX thấp, giải phóng MX thực khỏi tải cố gắng lọc sau đó (ngay cả với DNSBL, tải rất cao) và email thực sự đến với độ trễ tối thiểu.

Nhưng được cảnh báo, có những rủi ro:

• Một số máy chủ có thể có thời gian thử lại cao. Hầu hết các máy chủ sẽ thử lại MX tiếp theo sau một lần hết giờ đầu tiên, những máy chủ khác sẽ thử trong vài phút tiếp theo, nhưng tôi đã thấy các máy chủ chỉ thử lại sau một giờ hoặc một ngày. Chúng rất hiếm và đối với những cái tôi có thể bắt thì đó là một cấu hình xấu. nói chuyện với các bưu điện khác khắc phục vấn đề

• Tất cả các email sẽ có một sự chậm trễ. Trên thực tế tôi thấy không có độ trễ nào cả, hầu như tất cả các máy chủ thực sự sẽ thử lại MX tiếp theo sau khi hết thời gian đầu tiên, vì vậy chúng tôi đang nói về độ trễ 30 giây. Họ thường thử ít nhất 3 MX trước khi xếp hàng tin nhắn để trì hoãn lâu hơn. nhưng bạn có thể đã liên lạc với một máy chủ bị hỏng có thể không làm điều này và trì hoãn mọi tin nhắn trong vài phút. Vì vậy, đây là một điều cần theo dõi khi triển khai giải pháp này.

• Các trang web bị hỏng. Một số máy chủ web gửi email cho mật khẩu, thông báo, v.v. và thay vì gửi cho một máy chủ thư thực nội bộ, họ cố gắng trở thành một máy chủ thư "giả" và gửi trực tiếp. Là một máy chủ web, họ sẽ không bao giờ thử lại và email bị mất. Một lần nữa, nó là một cấu hình xấu từ các nhà phát triển web / quản trị trang web, vì chỉ các máy chủ email thực sự mới gửi email. Mỗi lần tôi gặp vấn đề này, tôi nói chuyện với quản trị trang web về vấn đề này và thường thì vấn đề đã được khắc phục.

• Không có nhật ký. Vì MX giả mạo cho các IP không được kết nối, bạn không có nhật ký nào về những gì đã cố gắng phân phối. bạn chỉ biết rằng có điều gì đó không ổn khi ai đó phàn nàn. nhưng điều này cũng tốt Bạn luôn có thể tuyên bố rằng bạn không cố gắng gửi bất kỳ email nào, vì vậy đây là một vấn đề từ xa. Phía bên kia phải kiểm tra nhật ký của họ và giải quyết vấn đề. Tôi có thể chứng minh rằng không có kết nối nào với máy chủ thực sự của mình, chuyển áp lực để giải quyết vấn đề sang phía bên kia. Nếu phía bên kia không thể khắc phục vấn đề thì có vẻ như không đáng tin cậy, không đáng tin cậy.

• Không có danh sách trắng. điều này áp dụng cho tất cả các máy chủ thông qua dns, vì vậy bạn không thể đưa danh sách trắng vào một máy chủ ... thực ra chỉ đúng một nửa, nhưng khó hơn. giải pháp danh sách trắng là các điểm MX thấp nhất tới IP nơi smtp đang chạy, nhưng được lọc bởi tường lửa cho mọi người. Những máy chủ mà bạn muốn whilelist cần phải được cho phép trong tường lửa. Bằng cách này, tất cả các máy chủ sẽ bị tường lửa từ chối và danh sách trắng sẽ có thể gửi đến máy chủ thư. Nó hoạt động, nhưng chỉ cho danh sách trắng IP, không cho danh sách trắng email.

Không giống như postgrey, nơi người gửi từ xa có nhật ký phân phối "bị từ chối" (và do đó có thể chỉ ra vấn đề của chúng tôi), fake-MX sẽ cho thấy rằng máy chủ web thậm chí không thể kết nối và không thử lại, không có lý do gì cho phía xa về vấn đề. Một MX thất bại được chấp nhận tốt hơn so với postgrey, vì chúng tôi luôn có thể yêu cầu một số "sự cố định tuyến, nhưng MX sao lưu đang hoạt động tốt, chúng tôi nhận được tất cả các email khác"

với điều đó đã nói, tôi nhận được rất ít phàn nàn (khoảng 1 cứ sau 3 tháng), vì vậy tôi cho rằng nó đủ an toàn (mọi bộ lọc thư rác đều có rủi ro).

Xin lưu ý rằng tôi sử dụng địa chỉ ipv4 hợp lệ cho tất cả các MX, nhưng đối với những người giả mạo tôi sử dụng một IP mà tôi kiểm soát không sử dụng (và do đó nó không thể truy cập thời gian chờ / máy chủ trên bất kỳ kết nối nào). quy tắc này được áp dụng ngay cả khi bạn không sử dụng nó. Có máy chủ dns và smtp yêu cầu cấu hình dns hoàn toàn hợp lệ để email hoạt động. MX giả cũng phải hợp lệ, chúng không thể truy cập được.

Không sử dụng IP riêng hoặc IP mà bạn không kiểm soát cho MX giả (nếu bạn thêm địa chỉ ipv6, CSONG thêm địa chỉ ipv4). Điều này tránh được sự cố với DNS bị hỏng và người gửi thư và những điều ngạc nhiên khác về việc nhận email của bạn (bằng cách cài đặt máy chủ smtp trên IP mà bạn không kiểm soát). Ngoài ra, CNAME bị cấm đối với MX, do đó, đừng sử dụng nó, chỉ là một bản ghi A đơn giản

Cuối cùng, nên gửi lại cài đặt tcp cho MX giả, để cải thiện hiệu suất (không thể truy cập máy chủ hoặc cổng) thay vì hết thời gian chờ (bằng cách bỏ gói), vì vậy bạn nên thêm nó vào tường lửa của mình.

Dù sao, không chỉ tôi vẫn sử dụng nó, vì tôi khuyên mọi người nên sử dụng nó

Theo như lọc thư, tôi rất hài lòng với sự kết hợp giữa Spamassasin và policyd-weight , kiểm tra tên máy chủ và danh sách chặn của người gửi trong khi kết nối SMTP. Đó là một điều tuyệt vời vì hai lý do:

1. bạn không phải xử lý e-mail bị từ chối với spamassasin, điều này làm bạn mất tài nguyên hệ thống (phân tích bayes mất một thời gian) và băng thông
2. máy chủ của người gửi bị từ chối, do đó, trong trường hợp không thể chặn e-mail hợp pháp, người gửi sẽ nhận được thông báo lỗi gửi

Tôi đang sử dụng thiết lập trên Postfix, nhưng được cho là có cách cài đặt policyd-weight với Exim .

Tôi đã không hoàn toàn có được ý tưởng, trung thực.

Ok, tôi đang nói máy chủ chính của tôi là Fake. Vậy thì sao? Nó không tồn tại hay sao? (Chúng ta hãy giả sử nó ở phần cuối cùng của SPAMers.) "Những người sống sót" sẽ sử dụng thứ cấp - không có vấn đề gì. Nhưng tại sao có máy chủ thứ 3 trong thiết lập này?

Vì đây được cho là câu trả lời của tôi, không phải câu hỏi, tôi đã kết luận như vậy: nó bệnh hoạn và một cái bóng nhợt nhạt của Greylning. Nếu bạn muốn thấy hiệu quả thực sự, hãy thử sử dụng Greylning, anh bạn .

Tôi loại bỏ hầu hết thư rác bằng cách trì hoãn kết nối đến máy chủ được liệt kê trong danh sách Spamhaus zen. Spamb không thích sự chậm trễ. Phát hiện các giả mạo máy chủ rõ ràng trong lệnh Helo cũng giúp loại bỏ rất nhiều thư rác. Điều kiện tôi đã tìm thấy để chỉ ra các giả mạo máy chủ bao gồm.

• Sử dụng tên máy chủ hoặc địa chỉ IP của tôi.
• Sử dụng tên máy chủ không đủ tiêu chuẩn.
• Sử dụng một tên miền bằng chữ ([192.0.2.15]) thay vì FQDN. (Có, RFC yêu cầu nó, nhưng ngày nay nó không được sử dụng bởi các máy chủ thư Internet.)
• Không đạt SPF cho tên Helo không phải Thư (Tôi chặn không thành công, phần mềm mềm và trung tính).

Nếu bạn coi trọng thư tự động hoặc tiếp thị, hãy kiểm tra lệnh Helo không hoạt động. Kinh nghiệm của tôi là tất cả các thư khác vượt qua các điều kiện này.

• Sử dụng tên miền cấp hai chứ không phải FQDN cho máy chủ.
• Yêu cầu tên IP hoặc Helo để xác minh rDNS.
• Yêu cầu tên miền cấp hai hợp lệ cho FQDN. (cục bộ không phải là miền hợp lệ cũng không phải là miền cục bộ.)

Ký đường dẫn trở lại của bạn cho phép bạn chặn một số thư rác. Mặc dù tôi đang nhìn thấy số lần giả mạo ít hơn nhiều gần đây.

Thật không may, tôi tìm thấy một tỷ lệ cao của thư tự động hoặc tiếp thị hợp pháp giả mạo đường dẫn trở lại của họ. Những máy chủ này thường không có địa chỉ bưu điện hợp lệ. Tôi thấy rằng việc yêu cầu một tên miền hợp lệ trong đường dẫn trả lại là hoàn toàn khả thi. Tôi nhận được nhiều phản hồi thất bại SPF trên email hợp pháp hơn thư rác.

Gần đây tôi đã đăng kinh nghiệm của mình với việc chặn thư rác với Exim

Bên cạnh những email bị mất từ ​​những người hợp pháp với cổng bị hỏng, nó đã được thử cách đây rất lâu (như 15 năm trước +/-) và những kẻ gửi thư rác thích nghi với nó gần như ngay lập tức trước đó. Tôi nghi ngờ rằng nó sẽ chứng tỏ là một tổn thất ròng đối với độ tin cậy của e-mail của bạn trong khi có rất ít nếu không có tác động đến thư rác. Tuy nhiên, nếu bạn nên thử nó, xin vui lòng gửi cho chúng tôi kết quả!

Thật không may, có một số nhà mạng nhất định sẽ không gửi thư cho bạn nếu bản ghi MX đầu tiên không thể truy cập được. Gần đây tôi đã viết lên những trải nghiệm của mình với điều này trên một mục blog vì vậy tôi sẽ không lặp lại ở đây. Tóm tắt là bản ghi MX đầu tiên của tôi thực sự là bản ghi MX chỉ IPv6 vì tôi cho rằng những kẻ gửi thư rác không sử dụng IPv6 (chưa). Thật không may, điều này gây ra vấn đề và cuối cùng tôi đã phải thêm địa chỉ IPv4 vào bản ghi MX đầu tiên trong vùng của mình.