Usando registros MX falsos para combater spam

Navegue suas respostas
14

Eu tenho um cliente que está recebendo muito spam. É o dia 15 do mês e a largura de banda POP3 é de quase 100 GB. Existem apenas 7 contas de email neste domínio. Eu instalei SpamAssassin configurá-lo para 5 e configurar filtros 10-20 rejeitar a maior parte do lixo. Eu não vejo muita mudança na largura de banda POP3. Corrija-me se estiver errado, o servidor ainda recebe a mensagem usando a largura de banda para analisar a determinação de uma pontuação de spam.

Eu me deparei com registros MX falsos, para os que não sabem - basicamente você define um servidor falso como os registros MX mais baixos e mais altos com o registro MX do servidor em funcionamento no meio.

Por exemplo: 

fake.example.com    1
realmx.example.com  2
fake2.example.com   3
A teoria é, uma vez que a maior parte do spam é gerada a partir de zumbis baseados no Windows e muitos deles consultam o maior registro MX para spam, já que geralmente são servidores de backup que não filtram spam. O menor registro MX falso é para o resto dos spammers .. e geralmente os spammers não tentam novamente após falhas.

Alguém já tentou isso? Ajuda? Isso atrasa ou causa problemas com a entrega de mensagens? Alguém mais tem uma solução melhor?

    
por Mikey1980 16.09.2010 / 04:26

10 respostas

15

Faça um favor a si mesmo e configure-os com um serviço anti-spam de gateway, como o Postini. Por alguns dólares por caixa de correio por mês, não há absolutamente nenhuma razão para não e você não apenas elimina 99% do seu spam, você também terá acesso ao serviço de spool (útil para inatividade programada ou não programada), não para mencione a economia de largura de banda permitindo que outra pessoa receba e processe todo esse spam antes que ele alcance a borda da sua rede.

Não é um funcionário da Postini, apenas um usuário feliz que também configura dezenas de clientes com ele.

    
por 16.09.2010 / 04:53
12

Eu tentei isso e recomendo strongmente que você NÃO FAÇA ! Parecia uma boa ideia na época, mas depois de vários remetentes começarem a desaparecer, percebi que era um erro. O que eu não percebi foi que existem muitos servidores SMTP terrivelmente escritos por aí, que não seguem a especificação e são bastante ruins em lidar com erros, e as pessoas não sabem ou se importam porque "esse outro cara recebeu meu e-mail então deve ser você ".

Eu sigo algumas das outras sugestões para lidar com SPAM. O Postini é um ótimo serviço, e mesmo o material anti-spam embutido nos aplicativos gratuitos do Google não é tão ruim assim. Se você quer mais controle, você pode comprar um IronPort ou outro dispositivo, ou fazer o seu próprio.

    
por 16.09.2010 / 05:12
6

Eu nunca ouvi falar desse método antes e posso imaginar que ele atrasaria o e-mail legítimo potencialmente por várias horas. No final do dia, os protocolos SMTP precisam entregar seu e-mail legítimo. Os servidores válidos acertarão o registro bogus mx e tentarão entregar para esse servidor ... Eu não sei o que você pode ter rodando lá (se houver), mas eles continuarão tentando até que seja aceito.

Os servidores apropriados continuarão tentando os registros MX até que o e-mail seja entregue. Os spammers tendem a ficar mais inteligentes e, se isso funciona para algum software de spam agora, duvido que funcione por muito tempo. Eu não posso recomendar isso.

Minha sugestão é usar um tarpit smtp além do filtro de spam existente. Há um número destes disponíveis agora. Eu acho que você vai achar que é muito mais eficaz do que o método falso de registro mx.

Esses tarpits vêm com o smtpd no BSD. Existem também alguns recursos de tarpitting no sendmail 8.13.

Basicamente, um tarpit funciona amarrando os recursos do servidor de spam. Eles fazem isso atrasando as respostas que recebem. por exemplo. o servidor de spam se conecta e recebe cerca de 1 byte por segundo.
Alguns dos servidores de tarpit procuram padrões de spam e podem reconhecer um servidor de spam. Servidores legítimos estarão preparados para aguardar uma resposta lenta. Em alguns servidores de tarpits, eles movem o servidor legitimamente reconhecido para uma lista de desbloqueio automaticamente, para que não ocorram atrasos no futuro.

Google SMTP Tarpit e dê uma olhada.

    
por 16.09.2010 / 04:51
5

Você não mencionou, então, há uma razão pela qual você não está usando uma DNSBL ?

Editar: SpamAssassin inclui suporte para alguns deles - sem eles, você estará desperdiçando muito CPU ciclos de análise de spam.

    
por 16.09.2010 / 04:53
4

Eu uso este MX falso (uma variante do existente ) e funciona muito bem.

Eu usei um MX postfix com todos os filtros usuais e depois que algum spambot conseguiu sobrecarregar o servidor por 2 ou 3 vezes eu decidi tentar ... aqui está o resultado:

tenteadivinharquandoeuimplementeiofalso-mx!8)

Oresultadoéomesmoquepostgrey,masaocontráriodopostgrey,vocênãoprecisaalteraroseuservidordee-mail

OsspambotsagoratentarãooMXaltoouMXbaixo,liberandooMXrealdacargadetentarfiltrar(mesmocomDNSBL,acargaeraalta)eoemailrealchegacomumatrasomínimo.

Masestejaavisado,existemriscos:

  • Algunsservidorespodemtertemposderepetiçãoaltos.AmaioriadosservidorestentaráopróximoMXapósoprimeirotempolimite,outrostentarãonospróximosminutos,maseujáviservidoresquesótentamnovamenteapósumahoraouumdia.Elessãomuitoraroseparaosqueeupudeperceber,foiumaconfiguraçãoruim.conversandocomooutropostmastercorrigeoproblema

  • Todosose-mailsterãoumatraso.Naverdade,nãovejoatrasoalgum,quasetodososmailserversreaisvãotentarnovamentenopróximoMXapósoprimeirotimeout,entãoestamosfalandodeumatrasode30segundos.Elesgeralmentetentampelomenos3MXantesdeenfileiraramensagemporumlongoatraso.masvocêpodetercontatocomumservidordee-mailcorrompidoquepodenãofazerissoeatrasarcadamensagemporminutos.Então,issoéumacoisaparamonitoraraoimplantarestasolução.

  • Sitesquebrados.AlgunsservidoresdaWebenviame-mailparasenhas,notificações,etc.e,emvezdeentregarumservidordee-mailrealinterno,tentamserumservidordee-mail"falso" e a entrega diretamente. Como é um servidor web, eles nunca tentarão novamente e o e-mail será perdido. Novamente, é uma configuração ruim dos desenvolvedores webmaster / web, já que apenas servidores de e-mail reais devem enviar e-mails. Toda vez que encontro esses problemas, converso com o webmaster sobre o problema e, geralmente, o problema é resolvido.

  • Não há registros. Como o falso MX poing para IPs desconectados, você não tem logs do que tentou ser entregue. você só sabe que algo deu errado quando alguém reclama. mas isso também é bom. Você sempre pode alegar que você não tem nenhuma tentativa de entregar qualquer e-mail, por isso é um controle remoto problema. O outro lado deve verificar seus registros e resolver o problema. Eu posso provar que não há conexão alguma com o meu servidor real, movendo a pressão para resolver o problema para o outro lado. Se o outro lado é incapaz de resolver o problema, ele parece não ser confiável, não é confiável.

  • Nenhuma lista branca. isso se aplica a todos os servidores via dns, então você não pode whitelist um servidor ... na verdade é apenas meia-verdade, mas é mais difícil. A solução de lista branca é que o MX mais baixo aponta para um IP onde um SMTP está sendo executado, mas filtrado pelo firewall para todos. Os servidores que você deseja whilelist precisam ser permitidos no firewall. Dessa forma, todos os servidores serão rejeitados pelo firewall, e a lista de permissões poderá ser entregue ao servidor de e-mail. Funciona, mas apenas para listas de permissões de IPs, não para listas de e-mail.

Ao contrário do postgrey, onde o remetente tem um log de uma entrega "rejeitada" (e pode apontar para nós como o problema), o falso MX mostrará que o servidor da Web não pode se conectar e não tentou novamente não dando desculpas para o lado remoto sobre o problema. Um MX com falha é melhor aceito em relação ao postgrey, já que sempre podemos reivindicar algum "problema de roteamento, mas o backup MX está funcionando bem, recebemos todos os outros emails"

com isso dito, eu recebo muito poucas reclamações (cerca de 1 a cada 3 meses), então eu considero isso seguro o suficiente (todo filtro de spam tem riscos).

Por favor, note que eu uso endereço ipv4 válido para todos os MX, mas para os falsos eu uso um IP que eu controle que não está em uso (e assim ele dá timeout / host inacessível em qualquer conexão). essas regras se aplicam mesmo que você não use isso. Existem servidores dns e smtp que requerem uma configuração de DNS perfeitamente válida para o email funcionar. o falso-MX também deve ser válido, eles simplesmente não devem ser alcançados.

Não use IPs ou IPs privados que você não controla para o MX falso (se você adicionar o endereço IPv6, TAMBÉM adicione um ipv4). Isso evita problemas com DNS quebrado e servidores de e-mail e surpresas de outros recebendo seu e-mail (instalando um servidor smtp no IP que você não controla). Além disso, CNAME são proibidos para MX, então não use também, apenas um registro A simples

Por fim, um tcp-reset deve ser enviado para o falso MX, para melhorar o desempenho (host ou porta inacessível) em vez de um tempo limite simples (descartando o pacote), por isso é recomendado adicioná-lo ao seu firewall.

de qualquer forma, não só eu ainda uso, como recomendo que todos usem

    
por 27.08.2013 / 19:31
2

No que diz respeito à filtragem de e-mails, tenho sido muito feliz com a combinação de Spamassasin e policyd-weight , que verifica nome do host do remetente e listas de bloqueio durante a conexão SMTP. Isso é ótimo por dois motivos:

  1. você não precisa processar o e-mail rejeitado com spamassasin, o que poupa recursos do sistema (a análise bayesiana leva algum tempo) e largura de banda
  2. os hosts remetentes são rejeitados, portanto, no caso improvável de bloqueio de e-mails legítimos, o remetente recebe uma notificação de falha de entrega

Estou usando a configuração no Postfix, mas supostamente existe uma maneira de instale o policyd-weight com o Exim .

    
por 16.09.2010 / 17:46
1

Eu não entendi completamente a ideia, honestamente.

Ok, estou dizendo que meu servidor de e-mail principal é Fake. Então? Não existe de todo ou o quê? (Vamos supor que, finalmente, cortar parte dos SPAMers de qualquer maneira.) Os "sobreviventes" usariam secundário - não há problema. Mas por que há o terceiro servidor nessa configuração?

Como essa deveria ser a minha resposta, não questionar, eu concluiria assim: está doente e uma pálida sombra de Greylisting. Se você quiser ver o efeito real tente usar Greylisting, man .

    
por 01.02.2011 / 19:20
1

Eu deixo cair a maior parte do meu spam, atrasando as conexões com os hosts estão listados na lista Spamhaus zen. Spambots não gostam de atraso. Detectar óbvias falsificações de servidor no comando HELO também elimina muito spam. As condições que encontrei para indicar as falsificações do servidor incluem.

  • Usando meu nome de host ou endereço IP.
  • Usando um nome de host não qualificado.
  • Usando um literal de domínio ([192.0.2.15]) em vez de um FQDN. (Sim, os RFCs exigem isso, mas atualmente eles não são usados pelos servidores de email da Internet.)
  • Falha de SPF para o nome HELO não Mail (bloqueio em falha, softfail e neutro).

Se você valoriza emails automatizados ou de marketing, verifique no comando HELO que não funcionam incluir. Minha experiência é que todas as outras correspondências passam essas condições.

  • Usando um nome de domínio de segundo nível em vez de um FQDN para o host.
  • Exigindo o nome IP ou HELO para verificar o rDNS.
  • Exigindo um domínio de segundo nível válido para o FQDN. (local não é um domínio válido nem é localdomain.)

Assinar seu caminho de retorno permite que você bloqueie alguns spams. Embora eu esteja vendo muito menos saltos falsos recentemente.

Infelizmente, acho que uma alta porcentagem de emails legítimos automatizados ou de marketing falsifica seu caminho de retorno. Esses hosts geralmente não possuem um endereço de postmaster válido. Eu acho que exigir um domínio válido no caminho de retorno é viável. Eu recebo mais respostas de falha de SPF em emails legítimos do que spam.

Recentemente, publiquei minhas experiências com o bloqueio de spam com o Exim

    
por 01.02.2011 / 20:01
0

Além dos e-mails perdidos de pessoas legítimas com gateways quebrados, ele foi tentado há muito tempo (como 15 anos atrás +/-) e os spammers se adaptaram a ele quase imediatamente naquela época. Eu suspeito que isso provará ser uma perda líquida para a sua confiabilidade de e-mail, tendo pouco ou nenhum impacto no spam. No entanto, se você tentar, envie-nos os resultados!

    
por 01.02.2011 / 19:07
0

Infelizmente, existem algumas operadoras que não enviam e-mails se o primeiro registro MX não estiver acessível. Recentemente escrevi minhas experiências com esse em um blog entrada então não vou repetir aqui. No entanto, o resumo é que meu primeiro registro MX era na verdade um registro MX somente IPv6, já que imaginei que os spammers não usam o IPv6 (ainda). Infelizmente, isso causou problemas e, no final, tive que adicionar um endereço IPv4 ao primeiro registro MX da minha zona.

    
por 01.02.2011 / 19:44

Tags

Como copiar um comando inserido anteriormente usando o utilitário de histórico sem executá-lo novamente? Como faço para desmontar forçadamente quando obtenho handles de arquivo nfs obsoletos?