Các phương pháp tốt nhất để bắt thư rác snowshoe là gì?


21

Tôi đang sử dụng Smartermail cho máy chủ thư nhỏ của mình. Gần đây, chúng tôi đã gặp phải một vấn đề về việc nhận được làn sóng spam snowshoe theo cùng một mô hình. Họ đến theo đợt 3 hoặc 4 lần. Các cơ quan gần như giống hệt nhau lưu cho tên miền mà họ liên kết đến. Các IP nguồn có xu hướng từ cùng một khối / 24 trong một thời gian, sau đó chúng chuyển sang một khối khác / 24. Các lĩnh vực có xu hướng là thương hiệu mới. Họ có các bản ghi PTR và SPF hợp lệ và có tiếng nói ngẫu nhiên ở dưới cùng của cơ thể để giả mạo các bộ lọc bayesian.

Tôi đang sử dụng hàng tá RBL khác nhau bao gồm Barracuda, Spamhaus, SURBL và URIBL. Họ làm một công việc tốt để bắt hầu hết trong số họ, nhưng chúng tôi vẫn bị trượt rất nhiều vì IP và tên miền chưa được đưa vào danh sách đen.

Có bất kỳ chiến lược nào tôi có thể sử dụng, bao gồm các RBL chặn các tên miền mới được tạo hoặc xử lý cụ thể với spam snoeshow không? Tôi hy vọng tránh phải sử dụng dịch vụ lọc của bên thứ 3.


2
Tôi khuyên bạn nên chỉnh sửa tiêu đề của mình để làm cho điều này ít được chỉ ra theo hướng "tôi nên sử dụng sản phẩm nào", bởi vì các câu hỏi mua sắm không có chủ đề cho các trang web Stack Exchange. Mặc dù vậy, giảm thiểu tấn công Snowshoe một chủ đề hay cho ServerFault và tôi sẽ nhờ một đồng nghiệp của tôi bình luận.
Andrew B

Hữu ích để biết Snoeshow spam là gì.
ewwhite

1
Phần lớn các RBL là các dịch vụ miễn phí mà bất kỳ quản trị viên thư nào cũng có thể sử dụng. Điều đó có được tính là mua sắm không?
pooter03

Vâng, bởi vì dù chúng miễn phí hay không, câu trả lời chỉ có giá trị trong một cửa sổ thời gian cụ thể. (mà liên kết chạm vào) Các công ty luôn luôn ngừng hoạt động, bao gồm cả những công ty cung cấp dịch vụ miễn phí.
Andrew B

1
Tôi đã thay đổi câu hỏi. Xin vui lòng cho tôi biết nếu điều này là thích hợp hơn.
pooter03

Câu trả lời:


14

Đây có phải là một vấn đề thực sự cho người dùng của bạn?

Tôi muốn giới thiệu một dịch vụ lọc thư đầy đủ vào thời điểm này. Bayesian không thực sự nóng nữa. Danh tiếng, RBL, phân tích tiêu đề / ý định và các yếu tố khác dường như sẽ giúp nhiều hơn. Hãy xem xét một dịch vụ lọc đám mây để kết hợp nhiều cách tiếp cận ( và khối lượng tập thể ) để bảo vệ tốt hơn ( tôi sử dụng giải pháp đám mây ESS của Barracuda cho khách hàng của mình ).

Và tất nhiên: Chống thư rác - Tôi có thể làm gì với tư cách: Quản trị viên email, Chủ sở hữu tên miền hoặc Người dùng?

Chúng tôi đã không bị ảnh hưởng tiêu cực bởi sự gia tăng trong các cuộc tấn công Snowshoe. Tôi đã thấy một khoảng thời gian mà khối lượng thư tăng gấp ba lần mỗi ngày với các cuộc tấn công này. Nhưng không có điều gì xấu làm cho nó thông qua. Trong 3 ngày, Barracuda đã đưa khối lượng xuống mức bình thường.

Tôi nghĩ rằng các giải pháp lọc có cái nhìn bao quát về hoạt động thư trên toàn thế giới có thể phản ứng với các cuộc tấn công tốt hơn các bộ lọc thư riêng lẻ.

Chỉnh sửa:

Điều này cũng đã được thảo luận gần đây trên danh sách gửi thư LOPSA :

Đóng góp của tôi: https://www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
Một ý kiến ​​khác: https://www.mail-archive.com/tech@lists.lopsa.org/msg04181 .html


1
Họ đang bắt đầu phàn nàn. Chỉ có vài chục khách hàng và chúng tôi đang cung cấp dịch vụ thư của chúng tôi với chi phí thấp hoặc thậm chí miễn phí như một gói với các dịch vụ khác mà chúng tôi mua, vì vậy chúng tôi hy vọng sẽ tránh được các dịch vụ phải trả tiền nếu có thể. Tôi sẽ đầu tư sản phẩm đó tuy nhiên.
pooter03

Đó là khoảng $ 8 / người dùng / năm.
ewwhite

Cảm ơn. Hãy coi đây là một upvote ảo cho đến khi tôi nhận được đại diện để làm như vậy. :)
pooter03

+1 cho Barrucada.
chọc

2
Tôi vẫn khuyên bạn nên lọc thư Barracuda Cloud. Đây có lẽ là giải pháp sạch nhất cho vấn đề hiện tại của bạn.
ewwhite

8

Tôi là một anh chàng DNS Ops, người làm việc chặt chẽ với một nhóm thường xuyên phải chịu các cuộc tấn công này. Đối phó với các cuộc tấn công của Snowshoe chủ yếu là một vấn đề về quy trình, và như ewwhite chỉ ra rằng nó có thể vượt quá phạm vi của công ty bạn để giải quyết nội bộ. Tôi có thể nói rằng trừ khi bạn có một hoạt động khá lớn và một số nguồn cấp dữ liệu RBL thương mại, có lẽ bạn không nên cố gắng tự giải quyết vấn đề này bằng cách sử dụng dịch vụ lọc thương mại.

Điều đó nói rằng, chúng tôi có một số kinh nghiệm với điều này và nó thú vị hơn để chia sẻ hơn là không. Một số điểm tiếp xúc là:

  • Nếu có thể, hãy đào tạo nền tảng thư của bạn để xác định các đặc điểm của một cuộc tấn công Snowshoe đang diễn ra và tạm thời từ chối các thư từ các mạng được đề cập. Các khách hàng cư xử tốt sẽ cố gắng gửi lại tin nhắn trong một thất bại tạm thời, những người khác có xu hướng không.
  • Đảm bảo quản trị viên DNS của bạn đang theo dõi UDP-MIB::udpInErrorsthông qua SNMP, vì các nền tảng thư rất có khả năng vượt qua hàng đợi nhận của người nghe UDP khi cuộc tấn công Snowshoe đang diễn ra. Nếu họ không làm như vậy, một cách nhanh chóng để nói với Linux là chạy netstat -s | grep 'packet receive errors'trên các máy chủ DNS được đề cập; một số lượng lớn cho thấy rằng họ cần phải rời khỏi duffs của họ và bắt đầu chú ý. Họ sẽ cần thêm dung lượng hoặc tăng kích thước bộ đệm nhận nếu xảy ra sự cố tràn thường xuyên. (có nghĩa là các truy vấn DNS bị mất và mất cơ hội ngăn chặn thư rác)
  • Nếu bạn thường xuyên thấy các cuộc tấn công này sử dụng các tên miền mới được tạo, các RBL làm nổi bật chúng sẽ tồn tại. Một ví dụ về một là FarSight NOD (những người đọc nó nên thực hiện nghiên cứu của riêng họ), nhưng nó không miễn phí.

Tiết lộ đầy đủ: Farsight Security được thành lập bởi Paul Vixie, người mà tôi có thói quen xấu khi mạo hiểm khi mọi người vi phạm các tiêu chuẩn DNS.


Điểm thứ hai của bạn là đặc biệt thú vị. Tôi đã nghi ngờ rằng chúng tôi đang thiếu các truy vấn DNS đối với các RBL đã nằm trong danh sách đen IP hoặc URL, nhưng tôi không thể chứng minh điều đó. Tuy nhiên, mailserver có trên Windows 2012 và sử dụng máy chủ DNS của Windows. Nó là một máy chủ khối lượng khá thấp nhưng tôi muốn điều tra thêm. Thật không may, nó không giải thích tất cả mọi thứ bởi vì một số điều xảy ra đã không có thời gian để các tên miền hoặc IP của họ bị bắt bởi các RBL lớn.
pooter03

Khối lượng trung bình của máy chủ DNS sẽ không quan trọng lắm. Đặc điểm chính của tràn hàng nhận là không thể xử lý các gói đến của bạn đủ nhanh để đưa chúng ra khỏi hàng đợi và cuộc tấn công Snowshoe dựa trên khối lượng có khả năng đạt được điều này tùy thuộc vào số lần tra cứu DNS của bạn RAC.
Andrew B

2
Đề nghị đầu tiên của bạn thường được gọi là greylning .
Nate Eldredge

2
@Nate Đây là một hình thức của greylning, nhưng sử dụng thuật ngữ đó không đủ tiêu chuẩn sẽ gợi ý cho hầu hết mọi người rằng hành động này được thực hiện để đáp ứng với IP mới được quan sát. Các mạng tấn công có xu hướng dành thời gian thiết lập các kết nối (không gửi tiêu đề) để chuẩn bị phân phối tải trọng đồng bộ. Đặc điểm đó là những gì bạn đang hành động, vì nó cho phép bạn dự đoán rằng các IP mà bạn chưa thấy có liên quan đến vụ tấn công.
Andrew B

Đối với bất cứ điều gì nó có giá trị, tôi có (một cách tổng quát hơn) được kích hoạt trên máy chủ và những kẻ gửi thư rác đang phản hồi đúng sau một thời gian nhất định. Đối với tất cả ý định và mục đích, email dường như đến từ các máy chủ thư hợp pháp với các bản ghi PTR được cấu hình đúng, bản ghi SPF, v.v.
pooter03

1

Tôi đã cài đặt Declude (miễn phí) và Message Sniffer (không phải) và trong 4 ngày qua tôi đã thấy một tin nhắn rác đến trong tài khoản email thử nghiệm của mình, trái ngược với hàng tá tin nhắn nhận được mỗi ngày. Theo như tôi có thể nói, chúng tôi đã không lọc được email tốt. Spamassassin có lẽ cũng là một giải pháp tốt mặc dù tôi không gặp may mắn với nó khi thử dùng Spam Assassin in a Box ..


0

Rất nhiều câu trả lời ở đây là để chống thư rác nói chung. Ở một mức độ nào đó, điều này có ý nghĩa vì những kẻ gửi thư rác dường như đang hướng tới snowshoe như một phương thức giao hàng ưa thích.

Snowshoe ban đầu luôn được gửi từ các trung tâm dữ liệu với khối lượng thấp (trên cơ sở mỗi IP) và luôn bao gồm một liên kết hủy đăng ký (không nói gì về việc nó có hoạt động không). Ngày nay, snowshoe hầu như không bao giờ hủy đăng ký thông tin và được gửi với khối lượng lớn từ các IP của nó, nhưng được gửi trong một vụ nổ để đến khi IP bị đưa vào danh sách đen, nó đã hoàn tất việc gửi thư. Đây được gọi là thư rác mưa đá .

Bởi vì điều này, DNSBL và thậm chí chữ ký dựa trên mô hình chặt chẽ là khủng khiếp trong việc bắt thư rác snowshoe. Có một số trường hợp ngoại lệ, chẳng hạn như danh sách CSS của Spamhaus (đặc biệt nhắm vào các mạng snowshoe và là một phần của cả SBL và ZEN), nhưng nói chung, bạn sẽ cần greylning / tarpits (có thể trì hoãn việc phân phối cho đến khi DNSBL bắt kịp ) và quan trọng nhất là hệ thống máy học điều khiển mã thông báo như lọc thư rác Bayes . Bayes đặc biệt tốt trong việc phát hiện snowshoe.

Câu trả lời của Andrew B đề cập đến Tên miền và Tên máy chủ mới sở hữu của Farsight Security (NOD), cố gắng dự đoán các mạng snowshoe khi chúng xuất hiện nhưng trước khi chúng bắt đầu spam. Spamhaus CSS có thể làm một cái gì đó tương tự. CSS đã sẵn sàng để sử dụng trong môi trường chặn, trong khi NOD thực sự được thiết kế để trở thành nguồn cấp dữ liệu cho hệ thống tùy chỉnh thay vì hệ thống chặn / độc lập.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.