Configurando um endereço de e-mail falso para interceptar spammers

Alguém mais tentou isso:

• Certamente sim. Quase todos os serviços anti-spam por aí os usam, o termo da indústria é "spamtraps"

Como você faz isso?

• Normalmente, encontre um endereço em um dos domínios que receba muitos spams e confirme com o proprietário que ele não está em uso e não tem planos de ressuscitá-lo. Esse processo pode ser (parcialmente) automatizado.

Isso funciona?

• Sim. A coisa mais útil é que, como você pode garantir que as mensagens enviadas para armadilhas são spams, você pode usá-las para calibrar a eficácia de um mecanismo a qualquer momento, para medir o quão bem você está no bloqueio de spam (falsos negativos) - desde que você tenha uma amostra suficientemente grande de spamtraps; a maioria das empresas anti-spam teria centenas ou milhares
• Eles também podem ser usados por sistemas de aprendizado automáticos para "aprender" coisas sobre spams. Mas isso também poderia aprender sobre spam enviado para endereços que não são spamtrap (claro, você nunca tem 100% de certeza de que é um spam se for enviado para um endereço que não seja spamtrap)
• Os endereços dos remetentes da "lista negra" normalmente não são usados. Isso ocorre porque os spammers aparentes geralmente inventam endereços de remetentes de qualquer maneira, e porque os spammers aparentes ocasionalmente reformam suas maneiras e começam a enviar emails limpos
• A lista negra de endereços IP não é usada (de forma simplista) pela mesma razão; Endereços IP "ruins" podem começar a ser "bons", por isso, se você tiver uma proibição geral, os e-mails legítimos serão bloqueados.

Normalmente, você não usaria apenas um único endereço; isso não seria suficiente. Experimente algumas centenas espalhadas por todos os seus domínios (para começar).

Você pode anunciá-los, se quiser, mas se os seus domínios forem suficientemente conhecidos pelos spammers, provavelmente já existem endereços de spamtrap candidatos (provavelmente são caixas de correio que não existem em seus sistemas de usuário final).

Domínios de spamtrap completos podem ser configurados - tenho certeza que muitas empresas os usam - ou compram domínios de segunda mão ou registram sons realistas com um site plausível (embora falso). Subdomínios podem funcionar também. Os domínios do Spamtrap são úteis porque você pode configurá-los com palavras-chave ou em domínios de nível superior específicos que os spammers podem segmentar.

Eu não tentei esse método, mas eu acho que [a menos que você lida com dezenas de milhares de caixas de correio] você será muito melhor usando o sistema anti-spam que toma decisão com base em vários rbls e cheques de conteúdo como dcc / razor / pyzor .

muitos rbls usam armadilhas de spam em uma escala muito maior do que eu acho que você poderia implantar.

Projeto Honey Pot pode lhe dar algumas idéias quanto a métodos e eficácia. Se você quiser, você pode assinar sua lista negra e deixá-los lidar com tudo isso.

Eu estou confuso sobre o que você quer dizer com "remetentes legítimos usando endereços colhidos" - Eu, em quase todos os casos, considero tal remetente ilegítimo por definição.

Minha preocupação com a inclusão de todos os remetentes na lista negra é que é bastante fácil falsificar quem enviou um e-mail.

Hmm ... Apenas adicionando minha opinião à discussão.

Eu não acho que esse método tenha uma boa taxa de sucesso. Apenas dei uma olhada em um monte de Spams. Geralmente, os spammers usam endereços de e-mail falsos enquanto são spam e nunca mais usam o mesmo endereço. Portanto, colocar os endereços de e-mail ou Domínios na lista negra não seria uma boa solução.

Mas o seu endereço oculto parece ser uma boa ideia. Como os usuários reais não o veem e somente um rastreador pode filtrar o endereço de e-mail, você pode assumir que apenas os spammers obterão esse endereço.

Então você pode integrar essa ideia com endereços IP. Se os e-mails enviados para o endereço oculto vierem de algum intervalo de IP, você pode simplesmente assumir que o intervalo de IPs é um intervalo de spam.

Mas, do meu ponto de vista, o resultado que você está ganhando com isso não vale a pena em relação ao esforço. Eu acho que os mecanismos de filtragem baseados em conteúdo são mais frutíferos do que esse "maconismo do pote de mel"

Eu fiz isso. Eu notei em meus registros certos endereços inválidos sendo atingidos novamente e novamente. Estes são endereços que nunca foram ativos ou publicados em qualquer lugar. Então eu configurei uma caixa de correio que envia esses e-mails para sa-learn para ajudar a treinar o banco de dados bayesiano do spamassassin. Eu nunca testei a eficácia disso de qualquer forma, mas não estou muito preocupado com isso, pois custa pouco tempo para configurar.

Meu primeiro passo foi que isso seria de pouco valor, já que os endereços estão sempre mudando.

Mas, na minha experiência, os remetentes de spam geralmente enviam para uma carga de endereç[email protected] - quase de uma maneira forçada e bruta.

Pode valer a pena definir um endereço (por exemplo, [email protected]) e filtrar não o endereço ou IP, mas sim o conteúdo - filtrar qualquer email também enviado para "adam". Você gostaria de escolher um endereço de e-mail lexicograficamente antes de qualquer endereço real para aumentar suas chances. Além disso, você teria que considerar pequenas diferenças de conteúdo.

Eu ainda suspeito que se enquadre na categoria de muito esforço, muito pouco ganho, mas é um pensamento se você está experimentando.

Nosso produto anti-spam nos permite fazer isso, uma lista negra automatizada de tudo que é enviado para um honeypot. Aqui estão alguns dos tópicos:

• Você publica um endereço de e-mail em seu website para que os bots possam encontrá-lo e buscá-lo, mas nenhuma pessoa real o veria ou enviaria mensagens para esse endereço.

• Você diz ao seu produto anti-spam para monitorar os e-mails recebidos enviados para o endereço e todos os e-mails que entram nesse honeypot serão colocados na lista negra.

• Funciona no nível do endereço IP de envio, não no endereço de envio FROM, é assim que evita o problema do remetente falsificado mencionado.

• Embora tenhamos um honeypot para os relatórios de spam, não usamos esse recurso, eis o motivo. O spammer envia rotineiramente algumas mensagens do hotmail, yahoo, gmail, etc. Essas são tipicamente as 419 scam messages que são difíceis de serem interrompidas. Embora a porcentagem não seja alta, seria suficiente que, se usássemos um sistema automático, bloqueasse o e-mail legítimo.

Em resumo, não usamos o sistema de lista negra automática, como você mencionou, no entanto, ter um honeypot ainda é um recurso útil. Nós monitoramos e usamos o email recebido para denunciar spam, e para determinar a eficácia de nossas medidas anti-spam.

Eu coloquei um endereço em um comentário na minha página principal. Recebe cerca de 5 e-mails por dia.

Eu uso o ASSP ( asspsmtp.org ), um filtro SPAM de código aberto. Se você configurar a autenticação, ele poderá criar automaticamente endereços de spamtrap para endereços desconhecidos após um certo número de tentativas ... então se eu receber repetidamente o email de "[email protected]", após tentar o número X, o sistema começará a coletar todos mensagens enviadas para esse endereço como spam. X é alto o suficiente para que os erros e erros normais não o atrapalhem, mas os spammers vão.