Frage Was sind die besten Methoden, um Schneeschuh-Spam zu erfassen?


Ich benutze Smartermail für meinen kleinen Mailserver. Wir hatten in letzter Zeit ein Problem, Wellen zu bekommen Schneeschuh-Spam die dem gleichen Muster folgen. Sie kommen in Chargen von 3 oder 4 auf einmal. Die Körper sind fast identisch mit dem Domain-Namen, auf den sie verlinken. Die Quell-IPs neigen dazu, für eine Weile vom selben Block / 24 zu sein, dann wechseln sie zu einem anderen / 24. Die Domains sind in der Regel brandneu. Sie haben gültige PTR- und SPF-Datensätze und haben zufälliges Kauderwelsch am unteren Ende des Körpers, um bayesische Filter zu parodieren.

Ich benutze ein Dutzend verschiedener RBLs einschließlich Barracuda, Spamhaus, SURBL und URIBL. Sie machen einen anständigen Job, die meisten von ihnen zu fangen, aber wir bekommen immer noch eine Menge durch, weil die IPs und Domains nicht auf die schwarze Liste gesetzt wurden.

Gibt es irgendwelche Strategien, die ich anwenden kann, einschließlich RBLs, die neu erstellte Domains blockieren oder speziell mit Snoeshow-Spam umgehen? Ich hoffe, dass ich keinen Filterdienst von Drittanbietern verwenden muss.


20
2017-11-07 16:19


Ursprung


Ich empfehle Ihnen, Ihren Titel zu bearbeiten, um dies weniger in Richtung "welches Produkt sollte ich verwenden" zu machen, weil Einkaufsfragen sind Off-Topic für Stack Exchange-Sites. Schneeschuhangriffsminderung ist ein gutes Thema für ServerFault, und ich werde einen Kollegen von mir bitten, zu kommentieren. - Andrew B
Gut zu wissen was Snoeshow-Spam ist. - ewwhite
Bei den meisten RBLs handelt es sich um kostenlose Dienste, die jeder Mail-Administrator verwenden kann. Zählt das als Einkauf? - pooter03
Ja, denn ob sie frei sind oder nicht, die Antwort ist nur für ein bestimmtes Zeitfenster gültig. (was diese Verbindung berührt) Unternehmen gehen die ganze Zeit aus dem Geschäft, einschließlich diejenigen, die kostenlose Dienstleistungen bieten. - Andrew B
Ich habe die Frage geändert. Bitte lassen Sie mich wissen, ob dies angemessener ist. - pooter03


Antworten:


Wird dies zu einem echten Problem für Ihre Benutzer?

Ich würde an dieser Stelle einen vollständigen Mail-Filterdienst empfehlen. Bayes ist nicht mehr so ​​heiß. Reputation, RBL, Header / Intent-Analyse und andere Faktoren scheinen mehr zu helfen. Betrachten Sie einen Cloud-Filterdienst, um mehrere Ansätze zu kombinieren (und Sammelvolumen) um einen besseren Schutz zu bieten (Ich verwende Barracudas ESS-Cloud-Lösung für meine Kunden).

Und natürlich: Spam bekämpfen - Was kann ich tun als: E-Mail-Administrator, Domain-Inhaber oder Benutzer?

Der Anstieg der Snowshoe-Angriffe hat uns nicht negativ beeinflusst. Ich habe einen Zeitraum gesehen, in dem sich der Postaufkommen mit diesen Angriffen verdreifacht hat. Aber nichts von dem schlechten Zeug hat es geschafft. In 3 Tagen brachte Barracuda die Mengen auf ein normales Niveau.

Ich denke, Filterlösungen, die eine umfassende Sicht auf die weltweite Mail-Aktivität haben, können auf Angriffe besser reagieren als einzelne Mail-Filter.

Bearbeiten:

Dies wurde kürzlich auch auf der LOPSA Mailingliste:

Mein Beitrag: https://www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
Eine andere Meinung: https://www.mail-archive.com/tech@lists.lopsa.org/msg04181.html


14
2017-11-07 16:31



Sie beginnen sich zu beschweren. Es sind nur ein paar Dutzend Kunden und wir bieten unseren Mail-Service zu niedrigen Kosten oder sogar kostenlos als Paket mit anderen Dienstleistungen, die wir kaufen, so dass wir gehofft haben, bezahlte Dienste zu vermeiden, wenn möglich. Ich werde dieses Produkt jedoch investieren. - pooter03
Es ist ungefähr $ 8 / Benutzer / Jahr. - ewwhite
Vielen Dank. Betrachten Sie dies als eine virtuelle Upvote, bis ich den Repräsentanten dazu bringe. :) - pooter03
+1 für Barrucada. - poke
ich immer noch empfehle Barracuda Cloud Mail-Filter. Es ist wahrscheinlich die sauberste Lösung für Ihr aktuelles Problem. - ewwhite


Ich bin ein DNS-Ops-Typ, der eng mit einer Gruppe zusammenarbeitet, die diesen Angriffen häufig ausgesetzt ist. Der Umgang mit Snowshoe-Angriffen ist in erster Linie ein Prozessproblem, und wie Ewwhite darauf hinweist, könnte es sich außerhalb des Umfangs Ihres Unternehmens befinden, es intern zu lösen. Ich würde so weit gehen zu sagen, dass Sie, wenn Sie eine umfangreiche Operation und mehrere kommerzielle RBL-Feeds haben wahrscheinlich sollte nicht versuchen, dies selbst über einen kommerziellen Filterdienst zu lösen.

Das heißt, wir haben einige Erfahrungen damit und es ist interessanter zu teilen als nicht. Einige Berührungspunkte sind:

  • Wenn möglich, schulen Sie Ihre E-Mail-Plattform, um die Merkmale eines laufenden Snowshoe-Angriffs zu identifizieren und Nachrichten aus den fraglichen Netzwerken vorübergehend abzulehnen. Gut erzogene Kunden werden versuchen, Nachrichten bei einem vorübergehenden Fehler erneut zu senden, andere tendieren dazu nicht.
  • Stellen Sie sicher, dass Ihre DNS-Administratoren überwachen UDP-MIB::udpInErrors über SNMP, weil Mail-Plattformen die Empfangswarteschlangen von UDP-Listenern sehr überlaufen lassen können, wenn ein Snowshoe-Angriff stattfindet. Wenn dies nicht der Fall ist, ist es unter Linux eine schnelle Möglichkeit, das Programm auszuführen netstat -s | grep 'packet receive errors' auf den fraglichen DNS-Servern; Eine große Anzahl zeigt an, dass sie ihre Duffs verlassen müssen und aufmerksam werden müssen. Sie müssen Kapazität hinzufügen oder die Größe der Empfangspuffer erhöhen, wenn häufiges Verschütten auftritt. (was bedeutet, verlorene DNS-Abfragen und verlorene Möglichkeiten zur Spam-Prävention)
  • Wenn Sie diese Angriffe häufig mit neu erstellten Domänen sehen, gibt es RBLs, die diese hervorheben. Ein Beispiel von einem ist FarSight NOD (Leute, die dies lesen, sollten ihre eigenen Recherchen durchführen), aber es ist nicht kostenlos.

Vollständige Offenlegung: Farsight Security wurde von Paul Vixie gegründet, den ich schlecht ausnutzen kann, wenn Leute gegen DNS-Standards verstoßen.


8
2017-11-07 16:41



Ihr zweiter Punkt ist besonders interessant. Ich habe vermutet, dass wir DNS-Anfragen an RBLs vermissen, die bereits die IP oder URL auf die schwarze Liste gesetzt haben, aber ich konnte es nicht beweisen. Der Mailserver befindet sich jedoch in Windows 2012 und verwendet den Windows DNS-Server. Es ist ein ziemlich kleiner Server, aber ich möchte das weiter untersuchen. Leider erklärt es nicht alles, weil einige der Dinge, die durchschlugen, keine Zeit hatten, ihre Domains oder IPs von großen RBLs erfasst zu bekommen. - pooter03
Die durchschnittliche Lautstärke des DNS-Servers ist nicht so wichtig. Das Hauptmerkmal eines Überlaufs der Empfangswarteschlange ist, dass eingehende Pakete nicht schnell genug verarbeitet werden können, um sie aus der Warteschlange zu entfernen. Die volumebasierte Snowshoe-Attacke ist dazu in der Lage, abhängig davon, wie viele DNS-Lookups Sie durchführen Spam. - Andrew B
Ihr erster Vorschlag ist allgemein bekannt als Greylisting. - Nate Eldredge
@Nate Es ist ein bilden von Greylisting, aber die Verwendung dieses Begriffs unqualifiziert würde den meisten Leuten nahelegen, dass diese Aktion als Reaktion auf das IP, das neu beobachtet wird, ergriffen wird. Die angreifenden Netzwerke neigen dazu, Zeit aufzuwenden, um Verbindungen aufzubauen (ohne Header zu senden), um sich auf die synchronisierte Nutzdatenbereitstellung vorzubereiten. Mit dieser Eigenschaft handeln Sie, denn Sie können vorhersagen, dass IPs, die Sie noch nicht gesehen haben, in den Angriff involviert sind. - Andrew B
Für was auch immer es sich lohnt, ich habe (eine allgemeinere) Greylisting auf dem Server aktiviert und die Spammer reagieren nach einer gewissen Zeit richtig. Für alle Absichten und Zwecke scheint die E-Mail von legitimen Mail-Servern mit korrekt konfigurierten PTR-Datensätzen, SPF-Datensätzen usw. zu stammen. - pooter03


Ich habe Abgeschlossen (was ist kostenlos) und Message Sniffer (was nicht ist) installiert und in den letzten 4 Tagen habe ich eine Spam-Nachricht in meinem Test-E-Mail-Konto gesehen, im Gegensatz zu den Dutzenden, die es pro Tag bekam. Soweit ich das beurteilen kann, haben wir keine gute E-Mail herausgefiltert. Spamassassin wäre wahrscheinlich auch eine gute Lösung, obwohl ich kein Glück damit hatte, als ich Spam Assassin in einer Box ausprobierte.


1
2018-02-25 18:18





Viele der Antworten hier sind für allgemeine Anti-Spam. Bis zu einem gewissen Grad ist dies sinnvoll, da Spammer auf dem Weg zu Schneeschuhen als bevorzugte Liefermethode zu sein scheinen.

Snowshoe wurde ursprünglich immer von Datencentern in geringem Umfang (auf einer IP-basierten Basis) gesendet und enthielt immer einen Link zum Abbestellen (um nichts darüber zu sagen, ob es funktioniert). Heutzutage hat der Schneeschuh fast nie mehr Informationen von seinen IPs, sondern wird in einem Burst gesendet, so dass, wenn die IP auf die schwarze Liste gesetzt wird, das Senden von E-Mails bereits erfolgt ist. Das nennt man Hagelsturm-Spam.

Deswegen, DNSBLs und sogar enge Muster-basierte Signaturen sind schrecklich beim Erfassen von Schneeschuh-Spam. Es gibt einige Ausnahmen, wie die Spamhaus CSS-Liste (die speziell auf Schneeschuh-Netzwerke ausgerichtet ist und Teil von SBL und ZEN ist), aber im Allgemeinen werden Sie brauchen Greylisting/Teerputzen (was die Lieferung verzögern kann, bis die DNSBLs aufholen) und, am wichtigsten, ein tokengesteuertes maschinelles Lernsystem Bayessche Spam-Filterung. Bayes ist besonders gut im Erkennen von Schneeschuhen.

Andrew Bs Antwort Erwähnungen von Farsight Security's Neuere Domains und Hostnamen (NOD), die versucht, Snowshoe-Netzwerke zu antizipieren, wie sie gesponnen sind, aber bevor sie anfangen zu spammen. Spamhaus CSS tut wahrscheinlich etwas Ähnliches. CSS ist für die Verwendung in einer blockierenden Umgebung bereit, während NOD wirklich als Feed für ein benutzerdefiniertes System und nicht als eigenständiges / blockierendes System konzipiert ist.


0
2017-07-30 18:45