Frage Spam bekämpfen - Was kann ich tun als: E-Mail-Administrator, Domain-Inhaber oder Benutzer?


Das ist ein Kanonische Frage über Kampf Spam.
  Auch verwandt:

Es gibt so viele Techniken und so viel über den Kampf gegen SPAM zu wissen. Welche weit verbreiteten Techniken und Technologien stehen Administratoren, Domaininhabern und Endbenutzern zur Verfügung, um den Müll aus unseren Posteingängen fernzuhalten?

Wir suchen nach einer Antwort, die verschiedene Technologien aus verschiedenen Blickwinkeln abdeckt. Die akzeptierte Antwort sollte eine Vielzahl von Technologien beinhalten (zB SPF / SenderID, DomainKeys / DKIM, Graylisting, DNS RBLs, Reputation Services, Filtersoftware [SpamAssassin, etc]); Best Practices (z. B. sollte Mail auf Port 25 niemals weitergeleitet werden, Port 587 sollte verwendet werden; usw.), Terminologie (z. B. offenes Relay, Backscatter, MSA / MTA / MUA, Spam / Ham) und möglicherweise andere Techniken.


101
2017-08-20 20:30


Ursprung


Kanonisch oder nicht, dies ist nicht der richtige Ort, um nach Benutzerlevel zu fragen. - John Gardeniers


Antworten:


Um deinen Feind zu besiegen, musst du deinen Feind kennen.

Was ist Spam?

Für unsere Zwecke ist Spam jede unerwünschte elektronische Massennachricht. Spam soll in der heutigen Zeit ahnungslose Benutzer dazu verleiten, eine (normalerweise zwielichtige) Website zu besuchen, auf der sie aufgefordert werden, Produkte zu kaufen oder Malware auf ihren Computer oder beides zu liefern. Einige Spam-Mails liefern Malware direkt.

Es mag Sie überraschen zu erfahren, dass der erste Spam 1864 gesendet wurde. Es war eine Werbung für zahnärztliche Leistungen, die per Western-Union-Telegramm verschickt wurde. Das Wort selbst ist a Referenz zu einem Szene in Monty Pythons Flying Circus.

Spam tut dies in diesem Fall nicht beziehen sich auf den Mailinglisten-Verkehr, den ein Benutzer abonniert hat, auch wenn sie später ihre Meinung geändert haben (oder sie vergessen haben), aber noch nicht abgemeldet sind.

Warum ist Spam ein Problem?

Spam ist ein Problem, weil es funktioniert für die Spammer. Spam generiert normalerweise mehr als genug Verkäufe (oder Malware-Lieferung oder beides) an decken die Kosten ab - an den Spammer - des Sendens. Der Spammer berücksichtigt die Kosten für den Empfänger, Sie und Ihre Benutzer nicht. Selbst wenn eine kleine Minderheit von Nutzern, die Spam erhalten, darauf reagiert, ist es genug.

So können Sie die Rechnungen für Bandbreite, Server und Administratorzeit bezahlen, um mit eingehenden Spam-Nachrichten fertig zu werden.

Wir blockieren Spam aus diesen Gründen: Wir wollen es nicht sehen, unsere Kosten für die Handhabung von E-Mails reduzieren und Spamming für die Spammer teurer machen.

Wie funktioniert Spam?

Spam wird normalerweise auf verschiedene Arten von normalen, legitimen E-Mails geliefert.

Spammer wollen fast immer den Ursprung der E-Mail verdecken, daher enthält ein typischer Spam gefälschte Header-Informationen. Das From: Die Adresse ist normalerweise falsch. Einige Spam-Nachrichten enthalten Fälschungen Received: Linien in einem Versuch, die Spur zu verschleiern. Eine Menge Spam wird über offene SMTP-Relays, offene Proxy-Server und Botnets bereitgestellt. All diese Methoden erschweren die Ermittlung, von wem der Spam stammt.

Sobald der Spam in den Posteingang des Benutzers gelangt ist, soll er den Benutzer dazu verleiten, die beworbene Website zu besuchen. Dort wird der Benutzer dazu verleitet, einen Kauf zu tätigen, oder die Website wird versuchen, Malware auf dem Computer des Benutzers oder auf beiden zu installieren. Oder der Spam fordert den Benutzer auf, einen Anhang zu öffnen, der Malware enthält.

Wie kann ich Spam stoppen?

Als Systemadministrator eines Mail-Servers konfigurieren Sie Ihren Mail-Server und Ihre Domäne so, dass es für Spammer schwieriger wird, ihren Benutzern Spam zu liefern.

Ich werde Themen behandeln, die speziell auf Spam ausgerichtet sind, und Dinge überspringen, die nicht direkt mit Spam zu tun haben (wie z. B. Verschlüsselung).

Führen Sie kein offenes Relais

Der große Mailserver sin ist ein offenes Relaisein SMTP-Server, der E-Mails für beliebige Ziele akzeptiert und weiterleitet. Spammer lieben offene Relais, weil sie praktisch die Lieferung garantieren. Sie übernehmen die Last, Nachrichten zu übermitteln (und versuchen es erneut!), Während der Spammer etwas anderes tut. Sie machen Spamming billig.

Offene Relais tragen ebenfalls zum Problem der Rückstreuung bei. Dies sind Nachrichten, die vom Relay akzeptiert wurden, aber dann als unzustellbar befunden wurden. Das offene Relais wird dann eine Bounce-Nachricht an die From: Adresse, die eine Kopie des Spam enthält.

  • Konfigurieren Sie Ihren Mail-Server so, dass eingehende E-Mails nur an Port 25 für Ihre eigenen Domänen akzeptiert werden. Für die meisten Mail-Server ist dies das Standardverhalten, aber Sie müssen dem Mail-Server zumindest mitteilen, was Ihre Domains sind.
  • Testen Sie Ihr System, indem Sie Ihrem SMTP-Server eine E-Mail von außerhalb Ihres Netzwerks senden, in der sowohl der From: und To: Adressen sind nicht in Ihrer Domain. Die Nachricht sollte zurückgewiesen werden. (Oder verwenden Sie einen Online-Dienst wie MX-Toolbox um den Test durchzuführen, aber beachten Sie, dass einige Online-Dienste Ihre IP-Adresse an schwarze Listen senden, wenn Ihr Mail-Server den Test nicht besteht.)

Lehne alles ab, was zu verdächtig aussieht

Verschiedene Fehlkonfigurationen und Fehler können ein Hinweis darauf sein, dass eine eingehende Nachricht wahrscheinlich Spam oder anderweitig illegitim ist.

  • Als Spam markieren oder Nachrichten ablehnen, für die die IP-Adresse keinen Reverse-DNS (PTR-Record) hat. Behandeln Sie den Mangel eines PTR-Datensatzes für IPv4-Verbindungen härter als für IPv6-Verbindungen, da viele IPv6-Adressen noch kein Reverse-DNS haben und dies möglicherweise erst in einigen Jahren, bis DNS-Server diese potenziell sehr großen Zonen besser verarbeiten können.
  • Ablehnen von Nachrichten, für die der Domänenname in den Absender- oder Empfängeradressen nicht existiert.
  • Ablehnen von Nachrichten, die keine vollqualifizierten Domänennamen für die Absender- oder Empfängerdomänen verwenden, es sei denn, sie stammen aus Ihrer Domäne und sollen in Ihrer Domäne bereitgestellt werden (z. B. Überwachungsdienste).
  • Weisen Sie Verbindungen zurück, an denen das andere Ende keine sendet HELO/EHLO.
  • Verbindungen abweisen, wo HELO/EHLO ist:
    • kein vollqualifizierter Domänenname und keine IP-Adresse
    • offensichtlich falsch (z. B. Ihr eigener IP-Adressraum)
  • Weisen Sie Verbindungen zurück, die das Pipelining verwenden, ohne dazu berechtigt zu sein.

Authentifizieren Sie Ihre Benutzer

Mail, die auf Ihren Servern ankommt, sollte in Bezug auf eingehende und ausgehende E-Mails betrachtet werden. Eingehende E-Mails sind alle E-Mails, die an Ihrem SMTP-Server ankommen und letztendlich für Ihre Domain bestimmt sind. Ausgehende E-Mails sind alle E-Mails, die an Ihrem SMTP-Server ankommen. Diese E-Mails werden vor der Zustellung an andere Empfänger weitergeleitet (z. B. an eine andere Domäne). Eingehende E-Mails können von Ihren Spam-Filtern verarbeitet werden und kommen von überall her, müssen aber immer für Ihre Benutzer bestimmt sein. Diese E-Mail kann nicht authentifiziert werden, da es nicht möglich ist, Anmeldeinformationen für jede Site anzugeben, die Ihnen E-Mails senden könnte.

Ausgehende E-Mails, dh E-Mails, die weitergeleitet werden, Muss authentifiziert werden. Dies ist der Fall, unabhängig davon, ob es aus dem Internet oder von Ihrem Netzwerk kommt (obwohl Sie die IP-Adressbereiche einschränken sollten, die Ihren Mailserver verwenden dürfen, wenn dies möglich ist); Dies liegt daran, dass Spambots möglicherweise in Ihrem Netzwerk ausgeführt werden. Konfigurieren Sie Ihren SMTP-Server so, dass E-Mails, die an andere Netzwerke gebunden sind, gelöscht werden (der Weiterleitungszugriff wird verweigert), sofern diese E-Mail nicht authentifiziert wird. Besser noch, verwenden Sie separate Mail-Server für eingehende und ausgehende E-Mails, ermöglichen Sie überhaupt keine Weiterleitung für die eingehenden E-Mails und erlauben Sie keinen nicht authentifizierten Zugriff auf die ausgehenden E-Mails.

Wenn Ihre Software dies erlaubt, sollten Sie auch Nachrichten entsprechend dem authentifizierten Benutzer filtern; Wenn die Absenderadresse der Mail nicht mit dem authentifizierten Benutzer übereinstimmt, sollte sie abgelehnt werden. Aktualisieren Sie die Absenderadresse nicht automatisch. Der Benutzer sollte den Konfigurationsfehler beachten.

Sie sollten auch den Benutzernamen protokollieren, der zum Senden von E-Mails verwendet wird, oder einen identifizierenden Header hinzufügen. Auf diese Weise haben Sie im Falle eines Missbrauchs Beweise und wissen, welches Konto dazu verwendet wurde. Auf diese Weise können Sie kompromittierte Konten und problematische Benutzer isolieren. Dies ist besonders für Shared Hosting-Provider von Bedeutung.

Traffic filtern

Sie möchten sicher sein, dass E-Mails, die Ihr Netzwerk verlassen, tatsächlich von Ihren (authentifizierten) Benutzern gesendet werden und nicht von Bots oder Personen von außerhalb. Die Einzelheiten, wie Sie dies tun, hängen davon ab, welche Art von System Sie verwalten.

Im Allgemeinen ist das Blockieren des Ausgangsverkehrs an den Ports 25, 465 und 587 (SMTP, SMTP / SSL und Submission) für alle außer Ihren ausgehenden Mailserver eine gute Idee, wenn Sie ein Unternehmensnetzwerk sind. Dies ist so, dass Malware-Running-Bots in Ihrem Netzwerk Spam aus Ihrem Netzwerk weder zum Öffnen von Relays im Internet noch direkt zum endgültigen MTA für eine Adresse senden können.

Hotspots sind ein Sonderfall, weil legitime E-Mails von ihnen aus vielen verschiedenen Domänen stammen, aber (unter anderem wegen SPF) ein "erzwungener" Mailserver ungeeignet ist und Benutzer den SMTP-Server ihrer eigenen Domäne zum Senden von E-Mails verwenden sollten. Dieser Fall ist wesentlich schwieriger, aber die Verwendung einer bestimmten öffentlichen IP- oder IP-Adresse für den Internet-Datenverkehr von diesen Hosts (um die Reputation Ihrer Site zu schützen), die Einschränkung des SMTP-Datenverkehrs und die Deep Packet Inspection sind Lösungen, die es zu berücksichtigen gilt.

In der Vergangenheit haben Spambots Spam hauptsächlich auf Port 25 ausgegeben, aber nichts hindert sie daran, den Port 587 für den gleichen Zweck zu nutzen. Daher ist das Ändern des für eingehende Mail verwendeten Ports von zweifelhaftem Wert. Es wird jedoch empfohlen, Port 587 für die Mail-Übermittlung zu verwenden RFC 2476und ermöglicht eine Trennung zwischen der Mail-Übermittlung (an den ersten MTA) und der Mail-Übertragung (zwischen MTAs), wenn dies aus der Netzwerktopologie nicht offensichtlich ist; Wenn Sie eine solche Trennung benötigen, sollten Sie dies tun.

Wenn Sie ein Internetdienstanbieter, VPS-Host, Colocation-Anbieter oder Ähnliches sind oder einen Hotspot für Besucher bereitstellen, kann das Blockieren des E-Mail-SMTP-Datenverkehrs für Benutzer, die E-Mails über ihre eigenen Domänen senden, problematisch sein. In allen Fällen, mit Ausnahme eines öffentlichen Hotspots, sollten Sie Benutzer benötigen, die ausgehenden SMTP-Zugriff benötigen, da sie einen Mailserver ausführen, um sie speziell anzufordern. Lassen Sie sie wissen, dass Missbrauchsbeschwerden letztendlich dazu führen, dass der Zugang gekündigt wird, um Ihren Ruf zu schützen.

Dynamische IPs und solche, die für die virtuelle Desktop-Infrastruktur verwendet werden, sollten niemals ausgehenden SMTP-Zugriff haben, mit Ausnahme des spezifischen Mailservers, den diese Knoten verwenden sollen. Diese Arten von IPs sollte erscheinen auch auf Blacklists und Sie sollten nicht versuchen, Reputation für sie aufzubauen. Dies liegt daran, dass es äußerst unwahrscheinlich ist, dass sie einen legitimen MTA ausführen.

Erwägen Sie die Verwendung von SpamAssassin

SpamAssassin ist ein Mail-Filter, mit dem Spam basierend auf den Nachrichtenheadern und dem Inhalt identifiziert werden kann. Es verwendet ein regelbasiertes Scoring-System, um die Wahrscheinlichkeit zu bestimmen, dass eine Nachricht Spam ist. Je höher der Wert, desto wahrscheinlicher ist die Nachricht Spam.

SpamAssassin verfügt auch über eine Bayes-Engine, die Spam und Ham (legitime E-Mail) Samples analysieren kann.

Best Practice für SpamAssassin ist es, die Mail nicht abzuweisen, sondern in einen Junk- oder Spam-Ordner zu legen. MUAs (E-Mail-Benutzeragenten) wie Outlook und Thunderbird können so eingerichtet werden, dass sie die Header erkennen, die SpamAssassin E-Mail-Nachrichten hinzufügt, und sie entsprechend ablegen. Falsche Positive können und werden passieren, und obwohl sie selten sind, wenn es dem CEO passiert, werden Sie davon erfahren. Diese Konversation wird viel besser verlaufen, wenn die Nachricht einfach in den Junk-Ordner geliefert und nicht sofort abgelehnt wird.

SpamAssassin ist jedoch fast einzigartig Es gibt einige Alternativen.

  • Installieren Sie SpamAssassin und konfigurieren Sie das automatische Update für seine Regeln mit sa-update.
  • Überlegen Sie zu verwenden benutzerdefinierte Regeln gegebenenfalls.
  • Berücksichtigen Sie die Einrichtung Bayes'sche Filterung.

Erwägen Sie die Verwendung von DNS-basierten Blackhole-Listen und Reputationsdiensten

DNSBLs (früher als RBLs oder Echtzeit-Blackhole-Listen bezeichnet) stellen Listen von IP-Adressen bereit, die mit Spam oder anderen bösartigen Aktivitäten verknüpft sind. Diese werden von unabhängigen Dritten basierend auf ihren eigenen Kriterien ausgeführt. Untersuchen Sie daher sorgfältig, ob die von einer DNSBL verwendeten Listen- und Delisting-Kriterien mit dem Bedarf Ihrer Organisation an E-Mails kompatibel sind. Zum Beispiel haben einige DNSBLs drakonische Delisting-Richtlinien, die es sehr schwierig für jemanden machen, der versehentlich aufgelistet wurde, entfernt zu werden. Andere werden automatisch deaktiviert, nachdem die IP-Adresse für eine bestimmte Zeit keine Spam-E-Mails gesendet hat. Dies ist sicherer. Die meisten DNSBLs können kostenlos verwendet werden.

Reputationsdienste sind ähnlich, behaupten jedoch, bessere Ergebnisse zu liefern, indem sie mehr Daten analysieren, die für eine bestimmte IP-Adresse relevant sind. Die meisten Reputationsdienste erfordern eine Abonnementzahlung oder einen Hardwarekauf oder beides.

Es gibt Dutzende von DNSBLs und Reputationsdiensten, obwohl einige der bekannteren und nützlicheren, die ich verwende und empfehle, sind:

Konservative Listen:

Aggressive Listen:

Wie bereits erwähnt, sind viele Dutzend andere verfügbar und können Ihren Bedürfnissen entsprechen. Einer meiner Lieblingstricks ist es Suche die IP-Adresse die einen Spam gegen mehrere DNSBLs geliefert haben, um zu sehen, welcher von ihnen ihn abgelehnt hätte.

  • Untersuchen Sie für jeden DNSBL- und Reputationsdienst die Richtlinien zum Auflisten und Delisting von IP-Adressen, und stellen Sie fest, ob diese mit den Anforderungen Ihrer Organisation kompatibel sind.
  • Fügen Sie die DNSBL Ihrem SMTP-Server hinzu, wenn Sie sich für die Verwendung dieses Dienstes entschieden haben.
  • Überlegen Sie, ob Sie jeder DNSBL einen Score zuweisen und Konfigurieren Sie es in SpamAssassin und nicht Ihr SMTP-Server. Dies verringert die Auswirkung eines falschen Positivs; Eine solche Nachricht würde (statt Junk / Spam) zugestellt werden. Der Kompromiss ist, dass Sie eine liefern Menge von Spam.
  • Oder lehnen Sie sie ab, wenn sich die IP-Adresse in einer der konservativeren Listen befindet, und konfigurieren Sie die aggressiveren Listen in SpamAssassin.

Verwenden Sie SPF

SPF (Sender Policy Framework; RFC 4408 und RFC 6652) ist ein Mittel, um das Spoofing von E-Mail-Adressen zu verhindern, indem festgelegt wird, welche Internet-Hosts berechtigt sind, E-Mails für einen bestimmten Domainnamen zuzustellen.

  • Konfigurieren Sie Ihr DNS, um einen SPF-Datensatz mit Ihren autorisierten Postausgangsservern zu deklarieren -all alle anderen ablehnen.
  • Konfigurieren Sie Ihren Mail-Server, um die SPF-Datensätze eingehender Mail zu prüfen, falls vorhanden, und Mail abzulehnen, bei der die SPF-Überprüfung fehlschlägt. Überspringen Sie diese Prüfung, wenn die Domäne keine SPF-Datensätze enthält.

Untersuchen Sie DKIM

DKIM (DomainKeys Identified Mail; RFC 6376) ist eine Methode zum Einbetten digitaler Signaturen in Mail-Nachrichten, die mit öffentlichen Schlüsseln verifiziert werden können, die im DNS veröffentlicht sind. Es ist patentbehaftet in den USA, die ihre Annahme verlangsamt hat. DKIM-Signaturen können auch unterbrochen werden, wenn eine Nachricht während der Übertragung geändert wird (z. B. können SMTP-Server gelegentlich MIME-Nachrichten neu verpacken).

  • Sie sollten Ihre ausgehende E-Mail mit DKIM-Signaturen signieren. Beachten Sie jedoch, dass die Signaturen möglicherweise auch bei legitimer E-Mail nicht immer korrekt überprüft werden.

Erwägen Sie die Verwendung von Greylisting

Greylisting ist eine Technik, bei der der SMTP-Server eine temporäre Zurückweisung für eine eingehende Nachricht statt einer permanenten Zurückweisung ausgibt. Wenn die Zustellung innerhalb weniger Minuten oder Stunden wiederholt wird, akzeptiert der SMTP-Server die Nachricht.

Greylisting kann einige Spam-Software stoppen, die nicht robust genug ist, um zwischen temporären und permanenten Ablehnungen zu unterscheiden, hilft aber nicht bei Spam, der an ein offenes Relay oder mit robusterer Spam-Software gesendet wurde. Es führt auch Lieferverzögerungen ein, die Benutzer nicht immer tolerieren können.

  • Erwägen Sie die Verwendung von Greylisting nur in extremen Fällen, da dies den legitimen E-Mail-Verkehr stark beeinträchtigt.

Erwägen Sie die Verwendung von Nolisting

Nolisting ist eine Methode zum Konfigurieren Ihrer MX-Datensätze, sodass der Datensatz mit der höchsten Priorität (niedrigste Präferenznummer) keinen aktiven SMTP-Server hat. Dies beruht auf der Tatsache, dass viele Spam-Software nur den ersten MX-Eintrag versucht, während legitime SMTP-Server alle MX-Einträge in aufsteigender Reihenfolge ihrer Präferenz versuchen. Einige Spam-Software versucht auch, direkt an den MX-Eintrag mit der niedrigsten Priorität (höchste Präferenznummer) zu senden RFC 5321, so dass auch eine IP-Adresse ohne SMTP-Server eingestellt werden könnte. Dies gilt als sicher, obwohl wie bei allem, sollten Sie zuerst sorgfältig prüfen.

  • Erwägen Sie, Ihren MX-Eintrag mit der höchsten Priorität so festzulegen, dass er auf einen Host verweist, der auf Port 25 nicht antwortet.
  • Erwägen Sie, den MX-Eintrag mit der niedrigsten Priorität so festzulegen, dass er auf einen Host verweist, der nicht auf Port 25 antwortet.

Betrachten Sie eine Spamfilter-Appliance

Platzieren Sie eine Spamfilter-Appliance wie z Cisco IronPort oder Barracuda Spam & Virus Firewall (oder andere ähnliche Geräte) vor Ihrem bestehenden SMTP-Server, um einen Großteil der Arbeit zu leisten, um den Spam zu reduzieren, den Sie erhalten. Diese Appliances sind mit DNSBLs, Reputationsdiensten, Bayes-Filtern und den anderen Funktionen, die ich behandelt habe, vorkonfiguriert und werden regelmäßig von ihren Herstellern aktualisiert.

  • Recherchieren Sie Hardware- und Abonnementkosten für Appliance-Hardware.

Betrachte gehostete E-Mail-Dienste

Wenn es Ihnen (oder Ihren überlasteten IT-Mitarbeitern) zu viel ist, können Sie immer einen Drittanbieter-Dienstleister damit beauftragen, Ihre E-Mails für Sie zu bearbeiten. Dienste wie Google Postini, Symantec MessageLabs Email Sicherheit (oder andere) werden Nachrichten für Sie filtern. Einige dieser Dienste können auch regulatorische und rechtliche Anforderungen erfüllen.

  • Kosten für das Hosting von E-Mail-Diensten

Welche Hinweise sollten Systemadministratoren den Endbenutzern hinsichtlich der Bekämpfung von Spam geben?

Die absolute Nr. 1, die Endbenutzer tun sollten, um Spam zu bekämpfen, ist:

  • Reagiere nicht auf den Spam.

    Wenn es lustig aussieht, klicken Sie nicht auf den Website-Link und öffnen Sie den Anhang nicht. Egal wie attraktiv das Angebot ist. Das Viagra ist nicht so billig, du wirst nicht wirklich nackt Bilder von jemandem bekommen, und es gibt keine 15 Millionen Dollar in Nigeria oder anderswo, außer für das Geld von Leuten, die hat getan antworte auf den Spam.

  • Wenn Sie eine Spam-Nachricht sehen, markieren Sie sie als Junk oder Spam, abhängig von Ihrem Mail-Client.

  • UNTERLASSEN SIE Markieren Sie eine Nachricht als Junk / Spam, wenn Sie sich tatsächlich angemeldet haben, um die Nachrichten zu empfangen, und sie einfach nicht mehr empfangen möchten. Kündigen Sie stattdessen die Abmeldung von der Mailing-Liste mit der bereitgestellten Abmeldemethode.

  • Überprüfen Sie regelmäßig Ihren Junk / Spam-Ordner, um zu sehen, ob legitime Nachrichten durchgelaufen sind. Markieren Sie diese als Nicht-Junk / Nicht-Spam und fügen Sie den Absender Ihren Kontakten hinzu, um zu verhindern, dass ihre Nachrichten in Zukunft als Spam markiert werden.


93
2017-08-20 23:02



@ MichaelHampton: UCEPROTECT ist eine zwielichtige Organisation. - InternetSeriousBusiness
@Stephane Wenn Sie den PTR-Datensatz nicht setzen / ändern lassen können, haben Sie keine Kontrolle über die IP-Adresse. Es ist nichts dagegen, Mail auf dieser Grundlage abzulehnen. - Michael Hampton♦
@ewwhite Das ist ziemlich drakonisch, und 3 Wochen sind ziemlich lächerlich. Aber die Ablehnung von E-Mails, wenn es keinen PTR-Datensatz gibt, ist ziemlich verbreitet, also bin ich sicher, dass sie alle möglichen Probleme haben. - Michael Hampton♦
Die Ablehnung ist üblich, aber ich behaupte, dass es sowohl nutzlos als auch unnötig ist. In der Tat habe ich eine schnelle Überprüfung meiner eigenen Spam-Statistiken heruntergekommen und es stellt sich heraus, dass die Anzahl von Spam von IPs ohne Reverse unter 5% ist und das scheint ziemlich genau die gleiche Zahl wie das, was ich von insgesamt sehe SMTP-Verbindungen Daher meine Schlussfolgerung: Es ist eine sinnlose Einschränkung. - Stephane
Welche Beweise haben Sie, um Ihre Behauptung zu untermauern, dass sie ineffektiv ist? Meine Protokolle zeigen, dass es bei der Vorauswahl von E-Mails überwältigend effektiv ist. Eine Reihe anderer Leute, die ich kenne, haben ähnliche Erfahrungen. - Chris S


Ich habe über die Jahre hinweg über 100 separate Mail-Umgebungen verwaltet und zahlreiche Prozesse eingesetzt, um Spam zu reduzieren oder zu beseitigen.

Die Technologie hat sich im Laufe der Zeit weiterentwickelt, daher wird diese Antwort einige der Dinge durchgehen, die ich in der Vergangenheit versucht habe, und den aktuellen Stand der Dinge beschreiben.

Ein paar Gedanken zum Schutz ...

  • Sie möchten Port 25 Ihres eingehenden Mailservers davor schützen, ein offenes Relaiswo jeder per E-Mail über Ihre Infrastruktur senden kann. Dies ist unabhängig von der jeweiligen Mail-Server-Technologie, die Sie verwenden. Remotebenutzer sollten einen alternativen Sendeport verwenden und eine Form der erforderlichen Authentifizierung für die Weiterleitung von E-Mails. Port 587 oder Port 465 sind die üblichen Alternativen zu 25.
  • Verschlüsselung ist auch ein Plus. Viel E-Mail-Verkehr wird in Klartext gesendet. Wir sind jetzt an dem Punkt, an dem die meisten Mail-Systeme eine Form der Verschlüsselung unterstützen können. irgendein Ereignis erwartet es.
  • Dies sind proaktive Ansätze zur Prävention Ihre Mail-Site wird nicht als Spam-Quelle eingestuft ...

In Bezug auf eingehenden Spam ...

  • Greylisting war für kurze Zeit ein interessanter Ansatz. Erzwingen Sie eine zeitweilige Ablehnung / Verzögerung, in der Hoffnung, dass ein Spammer die Verbindung trennt und die Offenlegung oder die Zeit und die Ressourcen vermeidet, die erforderlich sind, um Nachrichten erneut in die Warteschlange zu stellen. Dies führte zu unvorhersehbaren Verzögerungen bei der Mailzustellung, funktionierte nicht gut mit E-Mails von großen Serverfarmen und Spammer entwickelten schließlich Workarounds. Der schlimmste Effekt war, dass die Erwartungen der Nutzer in Bezug auf die schnelle Zustellung von E-Mails nicht erfüllt wurden.
  • Mehrere MX-Relais müssen noch geschützt werden. Einige Spammer würden versuchen, an einen Backup oder niedriger Priorität MX in der Hoffnung, dass es weniger robuste Filterung hatte.
  • Realtime Black (Loch) Listen (RBL / DNSBL) - Diese Referenz verwaltet zentral gespeicherte Datenbanken, um zu überprüfen, ob ein sendender Server aufgelistet ist. Die starke Abhängigkeit von RBLs beinhaltet Vorbehalte. Manche waren nicht so seriös wie andere. Die Angebote von Spamhaus waren immer gut für mich. Andere, wie SORBS, haben einen schlechten Ansatz zum Auflisten von IPs und blockieren häufig legitime E-Mails. In einigen Fällen wurde es mit einem Erpressungs-Plot verglichen, da das Delisting häufig mit $$$ verbunden ist.
  • Sender-Richtlinien-Framework (SPF) - Grundsätzlich ein Mittel, um sicherzustellen, dass ein bestimmter Host berechtigt ist, E-Mails für eine bestimmte Domäne zu senden, wie in einem DNS-TXT-Datensatz definiert. Es ist eine gute Praxis, SPF-Datensätze für Ihre ausgehende E-Mail zu erstellen, aber schlechte Übung zu benötigenes von den Servern an Sie senden.
  • Domänenschlüssel - Nicht weit verbreitet ... noch nicht.
  • Bounce-Unterdrückung - Verhindert, dass ungültige E-Mails an ihre Quelle zurückgegeben werden. Einige Spammer versuchten zu analysieren, welche Adressen live / gültig waren Rückstreuung um eine Karte verwendbarer Adressen zu erstellen.
  • Reverse DNS / PTR Checks - Überprüfen Sie, ob ein sendender Server einen gültigen Reverse-PTR-Record besitzt. Dies muss nicht mit der Ursprungsdomäne übereinstimmen, da es möglich ist, eine Viele-zu-Eins-Zuordnung von Domänen zu einem Host zu erstellen. Aber es ist gut, die Eigentümerschaft eines IP-Bereichs zu bestimmen und zu bestimmen, ob der Ursprungsserver Teil eines dynamischen IP-Blocks ist (z. B. Heim-Breitband - Lesen: kompromittierte Spambots).
  • Inhaltsfilterung - (unzuverlässig) - Der Versuch, Permutationen von "(Viagra, v \ | agra, viagra, vilgra.)" Zu begegnen, ist für den Administrator zeitaufwändig und skaliert nicht in einer größeren Umgebung.
  • Bayes'sche Filterung - Erweiterte Spam-Lösungen ermöglichen das globale oder benutzerspezifische Training von E-Mails. Lesen Sie den verknüpften Artikel über die Heuristik, aber der Hauptpunkt ist, dass E-Mails manuell als gut (Ham) oder schlecht (Spam) klassifiziert werden können und die resultierenden Nachrichten eine Bayes-Datenbank füllen, auf die verwiesen werden kann, um die Kategorisierung zukünftiger Nachrichten zu bestimmen. In der Regel ist dies mit einem Spam-Score oder einer Gewichtung verbunden und kann eine der wenigen Techniken sein, die verwendet werden, um zu bestimmen, ob eine Nachricht zugestellt werden soll.
  • Ratensteuerung / Throttling - Einfacher Ansatz. Beschränken Sie, wie viele Nachrichten ein bestimmter Server innerhalb einer bestimmten Zeit liefern kann. Verzögert alle Nachrichten über diesen Schwellenwert. Dies wird normalerweise auf der Mail-Server-Seite konfiguriert.
  • Hosted- und Cloud-Filterung. Postini kommt mir in den Sinn, denn das war ein Wolke Lösung vorher Wolke war ein Schlagwort. Die Stärke einer gehosteten Lösung, die jetzt im Besitz von Google ist, besteht darin, dass der Verarbeitung der an sie herangetragenen E-Mails Größenvorteile zuzuschreiben sind. Datenanalyse und einfache geografische Reichweite können dazu beitragen, dass eine gehostete Spamfilter-Lösung sich an Trends anpasst. Die Ausführung ist jedoch einfach. 1). Zeigen Sie Ihren MX-Eintrag auf die gehostete Lösung, 2). Bereitstellen einer Post-Filtering-Server-Lieferadresse. 3). Profitieren.

Mein aktueller Ansatz:

Ich bin ein starker Verfechter von Appliance-basierten Spam-Lösungen. Ich möchte am Netzwerkrand ablehnen und die CPU-Zyklen auf Mail-Server-Ebene speichern. Die Verwendung einer Appliance bietet außerdem eine gewisse Unabhängigkeit von der tatsächlichen Lösung des Mail-Servers (Mail Delivery Agent).

ich empfehle Barracuda Spam Filtergeräte wegen vielen Gründen. Ich habe mehrere dutzend Einheiten eingesetzt, und die webbasierte Schnittstelle, die Mindshare-Architektur der Branche und die Natur der Appliance, die ich als "Set-and-Forget" bezeichnen kann, machen sie zu einem Gewinner. Die Backend-Technologie beinhaltet viele der oben aufgeführten Techniken.

  • Ich blockiere Port 25 auf der IP-Adresse meines Mail-Servers und setze stattdessen den MX-Eintrag für die Domain auf die öffentlich zugängliche Adresse der Barracuda-Appliance - z. spam.domain.com. Port 25 ist für die Zustellung geöffnet.
  • Der Kern ist SpamAssassin-Ermittelt mit einer einfachen Schnittstelle zu einem Nachrichtenprotokoll (und Bayes'sche Datenbank), die verwendet werden kann, um gute E-Mails während einer anfänglichen Trainingsperiode von schlecht zu klassifizieren.
  • Barracuda nutzt standardmäßig mehrere RBLs, einschließlich derjenigen von Spamhaus.orgund ihre eigenen BRBL-Reputationsdatenbank. Beachten Sie das BRÜLL ist als Standard-RBL für andere Mail-Systeme kostenlos nutzbar.
  • Die Barracuda-Reputationsdatenbank wird aus Live-Daten, Honeypots, umfangreichen Analysen und beliebig vielen proprietären Techniken zusammengestellt. Es hat eine registrierte Whitelist und Blocklist. Hochvolumige und gut sichtbare Mail-Absender registrieren sich häufig bei Barracuda für das automatische Whitelisting. Beispiele sind Blackberry, Dauernder Kontakt, usw.
  • SPF-Checks können aktiviert werden (ich stimme ihnen jedoch nicht zu).
  • Es gibt eine Schnittstelle, um E-Mails zu überprüfen und gegebenenfalls erneut aus dem E-Mail-Cache der Appliance auszuliefern. Dies ist hilfreich, wenn ein Benutzer eine Nachricht erwartet, die möglicherweise nicht alle Spam-Prüfungen bestanden hat.
  • Die LDAP / Active Directory-Benutzerüberprüfung beschleunigt die Erkennung ungültiger E-Mail-Empfänger. Dies spart Bandbreite und verhindert Rückstreuung.
  • IP / Absenderadresse / Domäne / Herkunftsland können alle konfiguriert werden. Wenn ich alle Mail von italienischen Domain-Suffixen ablehnen möchte, ist es möglich. Wenn ich E-Mails von einer bestimmten Domäne verhindern möchte, können Sie sie problemlos konfigurieren. Wenn ich einen Benutzer blockieren möchte Stalker vom Senden einer E-Mail an den Benutzer ist es machbar (wahre Geschichte).
  • Barracuda bietet eine Reihe von vordefinierten Berichten und eine gute visuelle Darstellung des Gerätestatus und der Spam-Messwerte.
  • Ich möchte gerne eine Appliance vor Ort haben, um diese Verarbeitung intern aufrecht zu erhalten und möglicherweise eine Post-Filter-E-Mail-Journaling-Verbindung zu haben (in Umgebungen, in denen Mail-Aufbewahrung erforderlich ist).
  • Plus Die Appliance kann sich in einem befinden virtualisierte Infrastruktur.

Barracuda Spam & Virus Firewall 300-Statuskonsole enter image description here


Neuere Vorgehensweise:

Ich habe mit experimentiert Barracudas Cloud-basierter Email Security Service im letzten Monat. Dies ist vergleichbar mit anderen gehosteten Lösungen, eignet sich jedoch auch für kleinere Sites, bei denen ein teures Gerät zu teuer ist. Für eine nominale jährliche Gebühr bietet dieser Dienst etwa 85% der Leistung der Hardware-Appliance. Der Dienst kann auch zusammen mit einer Vor-Ort-Appliance ausgeführt werden, um die eingehende Bandbreite zu reduzieren und eine weitere Sicherheitsebene bereitzustellen. Es ist auch ein schöner Puffer, der Mail im Falle eines Serverausfalls spoolen kann. Die Analysen sind immer noch nützlich, obwohl sie nicht so detailliert sind wie die einer physischen Einheit.

Barracuda Cloud Email Sicherheitskonsole enter image description here

Alles in allem habe ich viele Lösungen ausprobiert, aber angesichts der Größe bestimmter Umgebungen und der steigenden Anforderungen der Benutzerbasis möchte ich die eleganteste (n) Lösung (en) zur Verfügung haben. Es ist sicherlich möglich, den mehrgleisigen Ansatz zu verfolgen und "selbst zu rollen", aber ich habe mit einer grundlegenden Sicherheit und einer guten Nutzungsüberwachung des Barracuda-Geräts gute Arbeit geleistet. Die Nutzer sind mit dem Ergebnis sehr zufrieden.

Hinweis: Cisco Ironport ist auch super ... Einfach teurer.


27
2017-08-23 14:08





Teilweise unterstütze ich, was andere gesagt haben; teilweise nicht.

Spamassassin

Das funktioniert sehr gut für mich, aber Sie müssen etwas Zeit damit verbringen, den Bayes-Filter zu trainieren mit beiden Schinken und Spam.

Greylisting

Ewhhite mag fühlen, dass sein Tag gekommen und gegangen ist, aber ich kann dem nicht zustimmen. Einer meiner Kunden fragte, wie effektiv meine verschiedenen Filter sind. Hier sind die ungefähren Werte für Juli 2012 für meinen persönlichen Mailserver:

  • 46000 Nachrichten versuchten die Zustellung
  • 1750 kam durch Greylisting
  • 250 haben Greylisting + trainierten Spamassassin bekommen

Also etwa 44000 schafften es nie durch das Greylisting; Hätte ich kein Greylisting gehabt und alle diese akzeptiert, dann hätten sie alle Spam-Filter benötigt, alle mit CPU und Speicher und in der Tat mit Bandbreite.

Bearbeiten: Da diese Antwort für einige Leute nützlich zu sein scheint, dachte ich, ich würde die Statistiken auf den neuesten Stand bringen. Also habe ich die Analyse der Mail-Protokolle vom Januar 2015, 2,5 Jahre später, erneut durchgeführt.

  • 115.500 Nachrichtenversandversuch
  • 13.300 wurde durch Greylisting (und einige grundlegende Plausibilitätsprüfungen, zB gültige Absenderdomäne)
  • 8.500 kamen durch Greylisting + trainierter Spamassassin

Die Zahlen sind nicht direkt vergleichbar, weil ich nicht mehr weiß, wie ich zu den Zahlen für 2012 gekommen bin, daher kann ich nicht sicher sein, dass die Methoden identisch waren. Aber ich habe das Vertrauen, dass ich damals noch keine rechenintensive Spam-Filterung auf sehr vielen Inhalten ausführen musste, und das mache ich immer noch nicht, wegen Greylisting.

SPF

Dies ist nicht wirklich eine Anti-Spam-Technik, aber es kann die Menge an Backscatter verringern, mit der Sie umgehen müssen, wenn Sie mit einem Job-Job beschäftigt sind. Sie sollten es sowohl ein- als auch heraus verwenden, das heißt: Sie sollten den SPF-Datensatz des Absenders auf eingehende E-Mails prüfen und entsprechend akzeptieren / ablehnen. Sie sollten auch Ihre eigenen SPF-Datensätze veröffentlichen, indem Sie alle Maschinen auflisten, die für das Senden von E-Mails wie Sie zugelassen sind, und sperrt alle anderen mit aus -all. SPF-Datensätze, die nicht enden -all sind völlig nutzlos.

Blackhole-Listen

RBLs sind problematisch, da man ohne eigenes Verschulden auf sie zugehen kann und sie schwer aussteigen können. Trotzdem haben sie einen legitimen Nutzen im Spam-Kampf aber Ich würde dringend empfehlen, dass keine RBL jemals als Bright-Line-Test für die Postannahme verwendet werden sollte. Die Art und Weise wie Spamassassin RBLs handhabt - durch die Verwendung von vielen, die jeweils zu einer Gesamtpunktzahl beitragen, und es ist dieser Punkt, der die Annahme- / Ablehnungsentscheidung trifft - ist viel besser.

Dropbox

Ich meine nicht den kommerziellen Dienst, ich meine, dass mein Mail-Server eine Adresse hat, die all meine Greylisting und Spam-Filterung durchschneidet, aber anstatt an irgendjemandes INBOX zu liefern, geht es in einen Welt-schreibbaren Ordner in /var, die jede Nacht über 14 Tage automatisch nächtlich gekürzt wird.

Ich ermutige alle Benutzer, davon Gebrauch zu machen, wenn Sie beispielsweise E-Mail-Formulare ausfüllen, die eine validierbare E-Mail-Adresse benötigen, eine E-Mail erhalten, die Sie behalten möchten, von der Sie aber nie wieder etwas hören möchten von Online-Anbietern, die wahrscheinlich ihre Adresse verkaufen und / oder spammen (insbesondere solche, die außerhalb der Reichweite der europäischen Datenschutzgesetze liegen). Anstatt ihre echte Adresse anzugeben, kann ein Benutzer die Dropbox-Adresse angeben und nur dann in die Dropbox schauen, wenn sie etwas von einem Korrespondenten erwartet (normalerweise eine Maschine). Wenn es ankommt, kann sie es herausgreifen und es in ihrer richtigen Postsammlung speichern. Kein Benutzer muss zu einem anderen Zeitpunkt in die Dropbox schauen.


23
2017-08-21 03:10



Ich mag die Idee der Dropbox-Adresse. - blalor
Greylisting ist eine "egoistische" Lösung; Es verzögert viele legitime E-Mails, und je mehr E-Mail-Server es bereitstellen, desto mehr Spammer stellen sicher, dass ihr Spam robust ist. Am Ende verlieren wir. Ich würde Greylisting für kleine Bereitstellungen empfehlen und würde stark empfehlen für größere Bereitstellungen dagegen. Erwägen Teerputzen stattdessen. Milter-Greylist kann beides tun. - Adam Katz
@AdamKatz das ist sicherlich eine Sichtweise. Ich bin mir nicht sicher, wie Spammer ihren Spam robust zum Greylisting machen sollen, ohne Feuer zu hinterlassen und Spam zu vergessen. In diesem Fall wird Arbeit erledigt - im Gegensatz zu Targeting, das nur eine kleine Codeverbesserung bei den Zombies erfordert. Aber ich stimme dir nicht mit Selbstsucht zu. Wenn der Kompromiss erklärt wird (wenn Sie Echtzeit-E-Mails für unregelmäßige Korrespondenten wünschen, erhöht sich das Mail- und Kommunikationsbudget um das Zwanzigfache), bevorzugen die meisten die Verzögerung. - MadHatter
@AdamKatz beachte auch, dass meine "Dropbox" oben nicht vom Greylisting getroffen wird. So hat jeder Benutzer, der verzweifelt dringend benötigte E-Mails rechtzeitig erhalten möchte, eine automatische Problemumgehung - er weiß, dass er die "unmittelbare" Adresse angeben und die Dropbox im Auge behalten muss, bis der jeweilige Artikel ankommt. - MadHatter
@AdamKatz da mein Greylisting auf einer 10-minütigen Lücke zwischen ersten und erfolgreichen Zustellversuchen besteht, ist die 15+-minütige Pause keine große Hürde. Was die Erwartungen der Nutzer angeht, so können (und sollten sie auch) genauso verwaltet werden wie andere. Der Rest Ihrer Argumentation ist viel überzeugender - vielleicht könnten Sie Ihre eigene Antwort hinzufügen und einige konkrete Zahlen über die Effektivität von Tarpits in Ihren Bereitstellungen einführen? Wir können über die erwartete relative Effektivität für immer theoretisieren, aber die Daten sind viel aufschlussreicher - Nullius in Verba! - MadHatter


Ich verwende eine Reihe von Techniken, die Spam auf ein akzeptables Niveau reduzieren.

Verzögern Sie die Annahme von Verbindungen von falsch konfigurierten Servern. Ein Großteil des Spam, den ich erhalte, stammt von Spambots, die auf einem mit Malware infizierten System laufen. Fast alle übertreffen die Validierung von rDNS nicht. Wenn Sie etwa 30 Sekunden vor jeder Antwort warten, geben die meisten Spambots auf, bevor sie ihre Nachricht gesendet haben. Wenn Sie dies nur auf Server anwenden, die rDNS nicht ausführen, werden ordnungsgemäß konfigurierte Server nicht bestraft. Einige falsch konfigurierte legitime Bulk- oder automatisierte Absender werden bestraft, liefern jedoch mit minimaler Verzögerung.

Durch das Konfigurieren von SPF für alle Ihre Domains werden Ihre Domains geschützt. Die meisten Subdomains sollten nicht zum Senden von E-Mails verwendet werden. Die wichtigste Ausnahme sind MX-Domänen, die in der Lage sein müssen, E-Mails selbst zu senden. Eine Reihe legitimer Absender delegieren Massen- und automatisierte E-Mails an Server, die von ihrer Richtlinie nicht zugelassen sind. Das Zurückstellen anstatt Ablehnen basierend auf SPF ermöglicht es ihnen, ihre SPF-Konfiguration zu korrigieren, oder Sie können sie auf die weiße Liste setzen.

Erfordert einen FQDN (Fully Qualified Domain Name) im HELO / EHLO-Befehl. Spam verwendet häufig einen nicht qualifizierten Hostnamen, Adressliterale, IP-Adressen oder eine ungültige TLD (Top Level Domain). Leider verwenden einige legitime Absender ungültige TLDs, so dass es in diesem Fall möglicherweise angemessener ist, diese zu verschieben. Dies kann Überwachung und Whitelisting erfordern, um die Mail zu aktivieren.

DKIM hilft bei der Nichtabstreitbarkeit, ist aber ansonsten nicht sehr nützlich. Meine Erfahrung ist, dass Spam wahrscheinlich nicht signiert wird. Ham ist eher signiert, so dass es einen gewissen Wert beim Spam-Scoring hat. Eine Reihe von legitimen Absendern veröffentlichen ihre öffentlichen Schlüssel nicht oder konfigurieren ihr System auf andere Weise nicht ordnungsgemäß.

Greylisting ist hilfreich für Server, die Anzeichen von Fehlkonfigurationen aufweisen. Die Server, die richtig konfiguriert sind, werden irgendwann durchkommen, daher neige ich dazu, sie vom Greylisting auszuschließen. Es ist nützlich für Greylist-Freemailer, da sie gelegentlich für Spam verwendet werden. Die Verzögerung gibt einigen der Spam-Filter-Eingänge Zeit, den Spammer zu fangen. Es neigt auch dazu, Spambots abzulenken, da sie normalerweise nicht wiederholen.

Blacklists und Whitelists können ebenfalls helfen.

  • Ich habe herausgefunden, dass Spamhaus eine zuverlässige schwarze Liste ist.
  • Auto Whitelisting im Spam-Filter hilft dabei, die Bewertung von häufigen Absendern, die gelegentlich Spam sind, oder Spammern, die gelegentlich Hamish sind, zu glätten.
  • Ich finde die Whitelist von dnsl.org auch nützlich.

Spam-Filter-Software ist ziemlich gut darin, Spam zu finden, obwohl einige durchkommen werden. Es kann schwierig sein, das falsche Negativ auf ein vernünftiges Niveau zu bringen, ohne das falsche Positive zu sehr zu erhöhen. Ich finde Spamassassin fängt den größten Teil des Spam, der es erreicht. Ich habe ein paar benutzerdefinierte Regeln hinzugefügt, die meinen Bedürfnissen entsprechen.

Postmaster sollten die erforderlichen Missbrauchs- und Postmaster-Adressen konfigurieren. Bestätigen Sie das Feedback, das Sie an diese Adressen erhalten, und handeln Sie danach. Dadurch können andere sicherstellen, dass Ihr Server ordnungsgemäß konfiguriert ist und keinen Spam erzeugt.

Wenn Sie ein Entwickler sind, verwenden Sie die vorhandenen E-Mail-Dienste, anstatt einen eigenen Server einzurichten. Nach meiner Erfahrung sind Server für automatisierte E-Mail-Absender wahrscheinlich nicht ordnungsgemäß konfiguriert. Überprüfen Sie die RFCs und senden Sie ordnungsgemäß formatierte E-Mails von einer legitimen Adresse in Ihrer Domain.

Endbenutzer können eine Reihe von Maßnahmen ergreifen, um Spam zu reduzieren:

  • Öffne es nicht. Kennzeichnen Sie es als Spam oder Löschen Sie es.
  • Stellen Sie sicher, dass Ihr System sicher und frei von Malware ist.
  • Überwachen Sie Ihre Netzwerknutzung, insbesondere wenn Sie Ihr System nicht verwenden. Wenn es viel Netzwerkverkehr generiert, wenn Sie es nicht verwenden, sendet es möglicherweise Spam.
  • Schalten Sie Ihren Computer aus, wenn Sie ihn nicht verwenden. (Es kann keinen Spam generieren, wenn es ausgeschaltet ist.)

Domain-Besitzer / ISPs können helfen, indem sie den Internetzugang auf Port 25 (SMTP) auf offizielle E-Mail-Server beschränken. Dies wird die Fähigkeit von Spambots beschränken, an das Internet zu senden. Es hilft auch, wenn dynamische Adressen Namen zurückgeben, die die rDNS-Validierung nicht bestehen. Noch besser ist es, den PTR-Datensatz für Mail-Server zu überprüfen, die die rDNS-Validierung bestehen. (Überprüfen Sie auf Schreibfehler bei der Konfiguration von PTR-Datensätzen für Ihre Kunden.)

Ich habe begonnen, E-Mails in drei Kategorien zu klassifizieren:

  • Ham (fast immer von ordnungsgemäß konfigurierten Servern, ordnungsgemäß formatiert und häufig persönliche E-Mail.)
  • Spam (hauptsächlich von Spambots, aber ein bestimmter Prozentsatz stammt von Freemailern oder anderen Absendern mit falsch konfigurierten Servern.)
  • Bacn; könnte Ham oder Spam sein (enthält eine Menge Mail von Mailinglisten und automatisierten Systemen. Ham kommt normalerweise wegen DNS und / oder Serverfehlkonfiguration hierher.)

14
2017-08-25 22:16



Bacn (Beachten Sie die fehlenden o) ist ein standardisierter Begriff, der sich auf "Mail, die Sie wollen, aber nicht sofort" bezieht. Eine andere Kategorie für Mail ist GraymailDas ist Bulk-Mail, die technisch gesehen kein Spam ist und von einigen Empfängern unerwünscht sein könnte, aber von anderen gewünscht wird. - Adam Katz


Die effektivste Lösung, die ich gesehen habe, ist die Verwendung eines der externen Mail-Filterdienste.

Ich habe Erfahrung mit folgenden Dienstleistungen bei aktuellen Kunden. Ich bin mir sicher, dass es andere gibt. Jeder von diesen hat eine ausgezeichnete Arbeit in meiner Erfahrung gemacht. Die Kosten sind für alle drei angemessen.

  • Postini von Google
  • MXLogic von McAfee
  • SecureTide von AppRiver

Die Dienste haben einige große Vorteile gegenüber lokalen Lösungen.

  1. Sie stoppen die meisten (> 99%) der Spam-Mails, BEVOR sie Ihre Internetverbindung und Ihren E-Mail-Server erreichen. Angesichts der Spam-Menge handelt es sich um eine Menge Daten, die nicht auf Ihrer Bandbreite und nicht auf Ihrem Server liegen. Ich habe einen dieser Dienste ein Dutzend Mal implementiert, und jeder hat zu einer spürbaren Leistungsverbesserung für den E-Mail-Server geführt.

  2. Sie tun auch Anti-Virus-Filterung, typischerweise beide Richtungen. Dies mindert die Notwendigkeit, eine "Mail-Anti-Virus" -Lösung auf Ihrem Server zu haben, und hält auch die Viren komplett

Sie sind auch sehr gut darin, Spam zu blockieren. In 2 Jahren Arbeit in einem Unternehmen, das MXLogic verwendet, habe ich nie einen falschen positiven Eindruck und kann die legitimen Spam-Nachrichten zählen, die auf der einen Seite durchkommen.


5
2018-06-11 01:37



+1 für die Anerkennung der Vorteile von gehosteten Lösungen und der Verfügbarkeit / Skalierung und reduzierten Traffic-Vorteile. Das einzige Problem, das ich finde, ist ein Mangel an Anpassung und Reaktion in einigen Fällen (aus der Perspektive von jemandem, der an Domains senden muss, die durch diese Dienste geschützt sind). Außerdem haben einige Firmen Sicherheits- / Compliance-Gründe, weil sie externe Filter nicht verwenden können. - ewwhite


Keine zwei Mail-Umgebungen sind gleich. Um eine effektive Lösung zu entwickeln, bedarf es vieler Versuche und Irrtümer in Bezug auf die vielen verschiedenen verfügbaren Techniken, da der Inhalt von E-Mail, Verkehr, Software, Netzwerken, Absendern, Empfängern und vielem mehr in verschiedenen Umgebungen stark variieren wird.

Ich finde jedoch, dass die folgenden Blocklisten (RBLs) für die allgemeine Filterung gut geeignet sind:

Wie bereits erwähnt, ist SpamAssassin eine großartige Lösung, wenn Sie richtig konfiguriert sind, stellen Sie sicher, dass Sie so viele der Addon Perl-Module in CPAN wie möglich installieren, sowie Razor, Pyzor und DCC. Postfix funktioniert sehr gut mit SpamAssassin und es ist viel einfacher zu verwalten und zu konfigurieren als zum Beispiel EXIM.

Schließlich blockieren Clients auf IP-Ebene mit fail2ban und iptables o.ä. für kurze Zeiträume (sagen wir einen Tag bis eine Woche), nachdem einige Ereignisse wie das Auslösen eines Treffers in einer RBL für missbräuchliches Verhalten ebenfalls sehr effektiv sein können. Warum verschwenden Ressourcen mit einem bekannten Virus infiziert Host richtig?


4