Sử dụng bản ghi MX giả để chống spam


14

Tôi có một khách hàng đang bị spam rất nhiều .. Đó là ngày 15 của tháng và băng thông POP3 gần 100 GB. Chỉ có 7 tài khoản e-mail trên tên miền này. Tôi đã cài đặt SpamAssassin đặt nó thành 5 và thiết lập 10-20 bộ lọc loại bỏ hầu hết các rác. Tôi không thấy nhiều thay đổi về băng thông POP3. Sửa lỗi cho tôi nếu tôi sai, máy chủ vẫn nhận được thông báo sử dụng hết băng thông để phân tích xác định điểm thư rác.

Tôi tình cờ phát hiện ra các bản ghi MX, vì không biết - về cơ bản, bạn đặt máy chủ không có thật là bản ghi MX thấp nhất và cao nhất với bản ghi MX của máy chủ đang hoạt động ở giữa.

Ví dụ:

fake.example.com    1
realmx.example.com  2
fake2.example.com   3

Lý thuyết là, vì phần lớn thư rác được tạo ra từ các thây ma dựa trên Windows và một số ít sẽ truy vấn bản ghi MX cao nhất để spam vì thông thường chúng thường là các máy chủ dự phòng không lọc thư rác. Bản ghi MX giả thấp nhất là dành cho những người gửi thư rác còn lại .. và nói chung những người gửi thư rác không thử lại sau thất bại.

Có ai đã thử điều này? Nó có giúp gì không? Nó có trì hoãn hoặc gây ra vấn đề với việc gửi thư không? Có ai khác có một giải pháp tốt hơn?

Câu trả lời:


15

Làm cho mình một ưu tiên và thiết lập chúng với một dịch vụ chống thư rác cổng như Postini. Đối với một vài đô la mỗi hộp thư mỗi tháng, hoàn toàn không có lý do gì và bạn sẽ không chỉ loại bỏ 99% thư rác của mình, bạn cũng sẽ có quyền truy cập vào dịch vụ lưu trữ của họ (tiện dụng cho thời gian chết theo lịch trình hoặc không theo lịch trình), không đề cập đến việc tiết kiệm băng thông bằng cách để người khác nhận và xử lý tất cả thư rác đó trước khi nó xâm nhập vào mạng của bạn.

Không phải là nhân viên của Postini, chỉ cần một người dùng hạnh phúc cũng sẽ thiết lập hàng tá khách hàng với nó.


cảm ơn vì lời đề nghị, đó là kế hoạch B (kế hoạch C đang đổi tên địa chỉ email của họ..lol) Tôi thích ý tưởng về SaaS hoặc lọc Front-end
Mikey1980

Mặc dù đó là câu trả lời tôi muốn nghe .. khách hàng của tôi đã sử dụng Google Postini, SPAM đã vượt khỏi tầm kiểm soát và không có quyền truy cập root dường như là lựa chọn duy nhất - cảm ơn rất nhiều vì tiền boa!
Mikey1980

Bạn sẽ thích nó người đàn ông. Nghiêm túc: có thể bật spooling khi bạn làm việc trên máy chủ là tuyệt vời. Ngoài ra, tôi sử dụng chúng như một smarthost ngược dòng và khóa tường lửa phù hợp để cho dù hộp nào được sở hữu trên mạng của tôi (bao gồm cả máy chủ thư), họ chỉ có thể nói chuyện với các máy chủ SMTP của Postini, có chức năng lọc ra bên ngoài cũng.
gravyface

Postini ... huh, tại sao không sử dụng Gmail? ;-P
poige

@poige: chạy máy chủ thư với dịch vụ cổng không giống như việc thư của bạn được lưu trữ bằng Google Apps (gmail).
gravyface

12

Tôi đã thử điều này và tôi thực sự có thể khuyên bạn KHÔNG LÀM NÓ ! Có vẻ như đó là một ý tưởng tốt vào thời điểm đó, nhưng sau khi thư từ nhiều người gửi bắt đầu biến mất, tôi nhận ra rằng đó là một sai lầm. Điều tôi không nhận ra là có rất nhiều máy chủ SMTP được viết rất khủng khiếp, không tuân theo thông số kỹ thuật và khá tệ trong việc xử lý lỗi và mọi người không biết hoặc quan tâm vì "anh chàng kia đã nhận được email của tôi , vì vậy nó phải là bạn ".

Tôi thứ hai một số đề xuất khác để xử lý SPAM. Postini là một dịch vụ tuyệt vời và thậm chí các công cụ chống spam tích hợp trong các ứng dụng google miễn phí cũng không tệ. Nếu bạn muốn kiểm soát nhiều hơn, bạn có thể mua IronPort hoặc thiết bị khác hoặc tự cuộn.


1
Cảm ơn Jed, chính xác những gì tôi muốn .. một trải nghiệm đầu tay. Tôi chưa bao giờ nghĩ về các vấn đề về SMTP, quá tập trung vào +1 sắp tới
Mikey1980

1
Tôi làm việc cho một công ty chống thư rác (Red Condor) và chúng tôi có hồ sơ ưu tiên cao nhất cho hầu hết các khách hàng của chúng tôi được đặt thành một địa chỉ lỗ đen. Tuy nhiên, chúng tôi có một số khách hàng loại bỏ điều đó, bởi vì những người ngớ ngẩn viết thư gửi thư hợp pháp chỉ đánh bom địa chỉ đó. Tuy nhiên, đi với một nhà cung cấp lưu trữ SaaS sẽ cho phép bạn giảm tải băng thông với giá rẻ.
Ryan Gooler

@ Ryan - cảm ơn! Bạn có báo cáo "lỗ đen" của bạn server-busyhoặc nó đã hoàn toàn chết?
Mikey1980

6

Tôi chưa bao giờ nghe về phương pháp này trước đây và tôi có thể tưởng tượng nó sẽ trì hoãn email hợp pháp có khả năng trong vài giờ. Vào cuối ngày, các giao thức smtp cần gửi email hợp pháp của bạn. Các máy chủ hợp lệ sẽ đạt kỷ lục mx không có thật và cố gắng phân phối đến máy chủ đó ... Tôi không biết những gì bạn có thể đã chạy ở đó (nếu có), nhưng họ sẽ tiếp tục thử cho đến khi được chấp nhận.

Các máy chủ phù hợp sẽ tiếp tục thử các bản ghi MX cho đến khi thư được gửi. Kẻ gửi thư rác có xu hướng ngày càng thông minh hơn và nếu điều này hoạt động đối với một số phần mềm spam bây giờ, tôi nghi ngờ nó sẽ hoạt động lâu dài. Tôi không thể khuyên bạn nên nó.

Thay vào đó, đề nghị của tôi là xem xét việc sử dụng tarpit smtp ngoài bộ lọc thư rác hiện có của bạn. Có một số trong số này có sẵn bây giờ. Tôi nghĩ bạn sẽ thấy nó hiệu quả hơn nhiều so với phương pháp ghi mx giả.

Những tấm bạt như vậy đi kèm với smtpd trên BSD. Ngoài ra còn có một số tính năng tarpits trong sendmail 8.13.

Về cơ bản, một tarpit hoạt động bằng cách buộc tài nguyên máy chủ spam. Họ làm điều đó bằng cách trì hoãn các phản hồi họ nhận được. ví dụ: máy chủ spam kết nối và nhận khoảng 1 byte mỗi giây.
Một số máy chủ tarpit tìm kiếm các mẫu thư rác và có thể nhận ra máy chủ thư rác. Các máy chủ hợp pháp sẽ được chuẩn bị để chờ thông qua phản hồi chậm. Trong một số máy chủ tarpits, họ tự động chuyển máy chủ được công nhận hợp pháp lên danh sách trắng để không có sự chậm trễ trong tương lai.

Google Tarpit và hãy xem.


Cảm ơn lời đề nghị, nhưng khách hàng của tôi là một công ty Thiết kế Web (khách hàng của họ là người có vấn đề) đang chạy 100 trang web lưu lượng truy cập thấp trên máy chủ được chia sẻ và WHM không có quyền truy cập root hoặc SSH .. bị mắc kẹt với SpamAssassin .. btw Exim là sự trao đổi. Hãy tha thứ cho tôi nếu điều này không rõ ràng .. pháo đài của tôi là lập trình..Tôi có thể tạo ra một sysadmin khủng khiếp!
Mikey1980

Tôi cũng là một lập trình viên, nhưng đã dành khá nhiều giờ để vận hành các máy chủ freebsd của công ty cũ của tôi làm mọi việc.
Matt

5

Bạn đã không đề cập đến nó, vậy có lý do gì bạn không sử dụng DNSBL không?

Chỉnh sửa: SpamAssassin bao gồm hỗ trợ cho một vài trong số chúng - không có chúng, bạn sẽ lãng phí rất nhiều chu kỳ CPU để phân tích thư rác.


Tuy nhiên, một đề xuất tuyệt vời khác tôi thực sự bị hạn chế vì các khách hàng của tôi WHM không root .. theo webalizer, việc kích hoạt SpamAssassin đã không gây ảnh hưởng đến băng thông trong 12 giờ qua
Mikey1980

1
... thì cách tốt nhất của bạn là đẩy tất cả các dịch vụ thư qua Google Apps hoặc sử dụng dịch vụ của bên thứ ba khác để giảm thiểu thư rác nếu nhà cung cấp dịch vụ lưu trữ của khách hàng của bạn không sẵn sàng sửa cấu hình của SpamAssassin.
danlefree

Bất kỳ ý tưởng nếu DNSBL hoặc RBL được kích hoạt bởi điếc? Bạn sẽ nghĩ rằng họ sẽ được. Tôi đồng ý, tôi bắt đầu nghĩ rằng bộ lọc MX mặt trước sẽ là giải pháp duy nhất.
Mikey1980

@ Mikey1980 - "Bất kỳ ý tưởng nào nếu DNSBL hoặc RBL được kích hoạt bởi điếc?" Xin lỗi, không thể nói - tốt nhất là hỏi trực tiếp nhà cung cấp trong mọi trường hợp vì có khả năng họ áp dụng cấu hình của riêng họ.
danlefree

Bạn có thể kiểm tra xem máy chủ email có lọc thư rác dựa trên DNSBL không: spamhaus.org/faq/answers.lasso?section=DNSBL%20Usage#205
ZippyV

4

Tôi sử dụng MX giả này (một biến thể của không tồn tại ) và nó hoạt động rất tốt.

Tôi đã sử dụng một postfix MX với tất cả các bộ lọc thông thường và sau khi một số spambot quản lý để quá tải máy chủ trong 2 hoặc 3 lần, tôi quyết định dùng thử ... đây là kết quả: fake-mx, trước và sau

thử đoán xem tôi đã thực hiện giả-mx! số 8)

Kết quả giống như postgrey, nhưng không giống như postgrey, bạn không cần thay đổi máy chủ thư của mình

Giờ đây, spam bots sẽ thử MX cao hoặc MX thấp, giải phóng MX thực khỏi tải cố gắng lọc sau đó (ngay cả với DNSBL, tải rất cao) và email thực sự đến với độ trễ tối thiểu.

Nhưng được cảnh báo, có những rủi ro:

  • Một số máy chủ có thể có thời gian thử lại cao. Hầu hết các máy chủ sẽ thử lại MX tiếp theo sau một lần hết giờ đầu tiên, những máy chủ khác sẽ thử trong vài phút tiếp theo, nhưng tôi đã thấy các máy chủ chỉ thử lại sau một giờ hoặc một ngày. Chúng rất hiếm và đối với những cái tôi có thể bắt thì đó là một cấu hình xấu. nói chuyện với các bưu điện khác khắc phục vấn đề

  • Tất cả các email sẽ có một sự chậm trễ. Trên thực tế tôi thấy không có độ trễ nào cả, hầu như tất cả các máy chủ thực sự sẽ thử lại MX tiếp theo sau khi hết thời gian đầu tiên, vì vậy chúng tôi đang nói về độ trễ 30 giây. Họ thường thử ít nhất 3 MX trước khi xếp hàng tin nhắn để trì hoãn lâu hơn. nhưng bạn có thể đã liên lạc với một máy chủ bị hỏng có thể không làm điều này và trì hoãn mọi tin nhắn trong vài phút. Vì vậy, đây là một điều cần theo dõi khi triển khai giải pháp này.

  • Các trang web bị hỏng. Một số máy chủ web gửi email cho mật khẩu, thông báo, v.v. và thay vì gửi cho một máy chủ thư thực nội bộ, họ cố gắng trở thành một máy chủ thư "giả" và gửi trực tiếp. Là một máy chủ web, họ sẽ không bao giờ thử lại và email bị mất. Một lần nữa, nó là một cấu hình xấu từ các nhà phát triển web / quản trị trang web, vì chỉ các máy chủ email thực sự mới gửi email. Mỗi lần tôi gặp vấn đề này, tôi nói chuyện với quản trị trang web về vấn đề này và thường thì vấn đề đã được khắc phục.

  • Không có nhật ký. Vì MX giả mạo cho các IP không được kết nối, bạn không có nhật ký nào về những gì đã cố gắng phân phối. bạn chỉ biết rằng có điều gì đó không ổn khi ai đó phàn nàn. nhưng điều này cũng tốt Bạn luôn có thể tuyên bố rằng bạn không cố gắng gửi bất kỳ email nào, vì vậy đây là một vấn đề từ xa. Phía bên kia phải kiểm tra nhật ký của họ và giải quyết vấn đề. Tôi có thể chứng minh rằng không có kết nối nào với máy chủ thực sự của mình, chuyển áp lực để giải quyết vấn đề sang phía bên kia. Nếu phía bên kia không thể khắc phục vấn đề thì có vẻ như không đáng tin cậy, không đáng tin cậy.

  • Không có danh sách trắng. điều này áp dụng cho tất cả các máy chủ thông qua dns, vì vậy bạn không thể đưa danh sách trắng vào một máy chủ ... thực ra chỉ đúng một nửa, nhưng khó hơn. giải pháp danh sách trắng là các điểm MX thấp nhất tới IP nơi smtp đang chạy, nhưng được lọc bởi tường lửa cho mọi người. Những máy chủ mà bạn muốn whilelist cần phải được cho phép trong tường lửa. Bằng cách này, tất cả các máy chủ sẽ bị tường lửa từ chối và danh sách trắng sẽ có thể gửi đến máy chủ thư. Nó hoạt động, nhưng chỉ cho danh sách trắng IP, không cho danh sách trắng email.

Không giống như postgrey, nơi người gửi từ xa có nhật ký phân phối "bị từ chối" (và do đó có thể chỉ ra vấn đề của chúng tôi), fake-MX sẽ cho thấy rằng máy chủ web thậm chí không thể kết nối và không thử lại, không có lý do gì cho phía xa về vấn đề. Một MX thất bại được chấp nhận tốt hơn so với postgrey, vì chúng tôi luôn có thể yêu cầu một số "sự cố định tuyến, nhưng MX sao lưu đang hoạt động tốt, chúng tôi nhận được tất cả các email khác"

với điều đó đã nói, tôi nhận được rất ít phàn nàn (khoảng 1 cứ sau 3 tháng), vì vậy tôi cho rằng nó đủ an toàn (mọi bộ lọc thư rác đều có rủi ro).

Xin lưu ý rằng tôi sử dụng địa chỉ ipv4 hợp lệ cho tất cả các MX, nhưng đối với những người giả mạo tôi sử dụng một IP mà tôi kiểm soát không sử dụng (và do đó nó không thể truy cập thời gian chờ / máy chủ trên bất kỳ kết nối nào). quy tắc này được áp dụng ngay cả khi bạn không sử dụng nó. Có máy chủ dns và smtp yêu cầu cấu hình dns hoàn toàn hợp lệ để email hoạt động. MX giả cũng phải hợp lệ, chúng không thể truy cập được.

Không sử dụng IP riêng hoặc IP mà bạn không kiểm soát cho MX giả (nếu bạn thêm địa chỉ ipv6, CSONG thêm địa chỉ ipv4). Điều này tránh được sự cố với DNS bị hỏng và người gửi thư và những điều ngạc nhiên khác về việc nhận email của bạn (bằng cách cài đặt máy chủ smtp trên IP mà bạn không kiểm soát). Ngoài ra, CNAME bị cấm đối với MX, do đó, đừng sử dụng nó, chỉ là một bản ghi A đơn giản

Cuối cùng, nên gửi lại cài đặt tcp cho MX giả, để cải thiện hiệu suất (không thể truy cập máy chủ hoặc cổng) thay vì hết thời gian chờ (bằng cách bỏ gói), vì vậy bạn nên thêm nó vào tường lửa của mình.

Dù sao, không chỉ tôi vẫn sử dụng nó, vì tôi khuyên mọi người nên sử dụng nó


Đây là không tồn tại , không chỉ là một biến thể. Nó thực sự hoạt động, nhưng thật khó để đo lường vì bạn đang bôi đen dữ liệu của máy chủ giả (biểu đồ trên chỉ là giai thoại!). Tôi khuyên bạn nên sử dụng máy chủ ưu tiên cao là máy chủ thực (mà bạn điều khiển!) Với cổng 25 đã đóng - nhưng KHÔNG bị rớt, bạn muốn có một lỗi thực sự nhanh chóng-- và máy chủ có mức độ ưu tiên thấp (trong không gian IP mà bạn kiểm soát!) đó là không lên hoặc làm giảm các kết nối của cổng đó một cách trong suốt.
Adam Katz

1
@AdamKatz Không tồn tại chỉ dành cho MX ưu tiên cao nhất, biến thể này cũng có máy chủ giả ở mức ưu tiên thấp nhất ... đó là sự khác biệt! Ngoài ra, nếu bạn đọc vài đoạn cuối của tôi, bạn sẽ thấy tôi nói chính xác những gì bạn đã viết! :)
higuita

2

Theo như lọc thư, tôi rất hài lòng với sự kết hợp giữa Spamassasin và policyd-weight , kiểm tra tên máy chủ và danh sách chặn của người gửi trong khi kết nối SMTP. Đó là một điều tuyệt vời vì hai lý do:

  1. bạn không phải xử lý e-mail bị từ chối với spamassasin, điều này làm bạn mất tài nguyên hệ thống (phân tích bayes mất một thời gian) và băng thông
  2. máy chủ của người gửi bị từ chối, do đó, trong trường hợp không thể chặn e-mail hợp pháp, người gửi sẽ nhận được thông báo lỗi gửi

Tôi đang sử dụng thiết lập trên Postfix, nhưng được cho là có cách cài đặt policyd-weight với Exim .


1

Tôi đã không hoàn toàn có được ý tưởng, trung thực.

Ok, tôi đang nói máy chủ chính của tôi là Fake. Vậy thì sao? Nó không tồn tại hay sao? (Chúng ta hãy giả sử nó ở phần cuối cùng của SPAMers.) "Những người sống sót" sẽ sử dụng thứ cấp - không có vấn đề gì. Nhưng tại sao có máy chủ thứ 3 trong thiết lập này?


Vì đây được cho là câu trả lời của tôi, không phải câu hỏi, tôi đã kết luận như vậy: nó bệnh hoạn và một cái bóng nhợt nhạt của Greylning. Nếu bạn muốn thấy hiệu quả thực sự, hãy thử sử dụng Greylning, anh bạn .


Từ ngữ phi thường nhưng bạn khá chính xác. Greylning IS là giải pháp thích hợp (khác với hệ thống lọc chống thư rác toàn diện). Nó sẽ hoạt động hiệu quả như các bản ghi MX giả, không có nhược điểm.
John Gardeniers

1

Tôi loại bỏ hầu hết thư rác bằng cách trì hoãn kết nối đến máy chủ được liệt kê trong danh sách Spamhaus zen. Spamb không thích sự chậm trễ. Phát hiện các giả mạo máy chủ rõ ràng trong lệnh Helo cũng giúp loại bỏ rất nhiều thư rác. Điều kiện tôi đã tìm thấy để chỉ ra các giả mạo máy chủ bao gồm.

  • Sử dụng tên máy chủ hoặc địa chỉ IP của tôi.
  • Sử dụng tên máy chủ không đủ tiêu chuẩn.
  • Sử dụng một tên miền bằng chữ ([192.0.2.15]) thay vì FQDN. (Có, RFC yêu cầu nó, nhưng ngày nay nó không được sử dụng bởi các máy chủ thư Internet.)
  • Không đạt SPF cho tên Helo không phải Thư (Tôi chặn không thành công, phần mềm mềm và trung tính).

Nếu bạn coi trọng thư tự động hoặc tiếp thị, hãy kiểm tra lệnh Helo không hoạt động. Kinh nghiệm của tôi là tất cả các thư khác vượt qua các điều kiện này.

  • Sử dụng tên miền cấp hai chứ không phải FQDN cho máy chủ.
  • Yêu cầu tên IP hoặc Helo để xác minh rDNS.
  • Yêu cầu tên miền cấp hai hợp lệ cho FQDN. (cục bộ không phải là miền hợp lệ cũng không phải là miền cục bộ.)

Ký đường dẫn trở lại của bạn cho phép bạn chặn một số thư rác. Mặc dù tôi đang nhìn thấy số lần giả mạo ít hơn nhiều gần đây.

Thật không may, tôi tìm thấy một tỷ lệ cao của thư tự động hoặc tiếp thị hợp pháp giả mạo đường dẫn trở lại của họ. Những máy chủ này thường không có địa chỉ bưu điện hợp lệ. Tôi thấy rằng việc yêu cầu một tên miền hợp lệ trong đường dẫn trả lại là hoàn toàn khả thi. Tôi nhận được nhiều phản hồi thất bại SPF trên email hợp pháp hơn thư rác.

Gần đây tôi đã đăng kinh nghiệm của mình với việc chặn thư rác với Exim


0

Bên cạnh những email bị mất từ ​​những người hợp pháp với cổng bị hỏng, nó đã được thử cách đây rất lâu (như 15 năm trước +/-) và những kẻ gửi thư rác thích nghi với nó gần như ngay lập tức trước đó. Tôi nghi ngờ rằng nó sẽ chứng tỏ là một tổn thất ròng đối với độ tin cậy của e-mail của bạn trong khi có rất ít nếu không có tác động đến thư rác. Tuy nhiên, nếu bạn nên thử nó, xin vui lòng gửi cho chúng tôi kết quả!


0

Thật không may, có một số nhà mạng nhất định sẽ không gửi thư cho bạn nếu bản ghi MX đầu tiên không thể truy cập được. Gần đây tôi đã viết lên những trải nghiệm của mình với điều này trên một mục blog vì vậy tôi sẽ không lặp lại ở đây. Tóm tắt là bản ghi MX đầu tiên của tôi thực sự là bản ghi MX chỉ IPv6 vì tôi cho rằng những kẻ gửi thư rác không sử dụng IPv6 (chưa). Thật không may, điều này gây ra vấn đề và cuối cùng tôi đã phải thêm địa chỉ IPv4 vào bản ghi MX đầu tiên trong vùng của mình.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.