Bloqueio, filtragem ou redução de spam “tablóide” (e-mails que ignoram o Spam Assasin)?

5

Nas últimas semanas, fomos atingidos por uma nova classe de email de spam (ou pelo menos novidade para mim / nós). Eu estou chamando isso de "spam de tablóide" porque eles enviam manchetes de tablóides de supermercado com uma cópia de tabloide, que ignora o assassino de spam.

Veja alguns exemplos de linhas de assunto:

Mark Cuban Tells Anderson Cooper The Economy is in for a Meltdown

Looking for Walk In Bath Information? Compare These Choices.

One of the Biggest Government Lies: "The Food We Eat is Safe"

Donald Trump: I Consult Myself On Foreign Policy, "Because I Have A Very Good Brain"

As mensagens contêm links de 1-2, mas não está claro se eles estão vendendo alguma coisa ou não, sem clicar no link. Todas as mensagens contêm muitas cópias do corpo, algumas das quais são lidas como conteúdo da Web. O Spam Assassin não pode informar essa cópia de estilo de um e-mail legítimo.

A frequência dessas mensagens está aumentando, onde chegamos a 20 por dia há algumas semanas e é escalada para onde agora recebemos centenas delas por dia. Todos eles vêm de diferentes endereços de e-mail, e os assuntos são amplos e variados, mas a maioria é como manchetes de tablóides de supermercados.

O que tentamos / ideias:

  • A única forma de conseguirmos que o Spam-assassine sinalize isso é discar até um limiar de 2 que obtém a maioria deles, juntamente com metade do nosso correio legítimo!

  • Alguém sugeriu alterar os endereços de e-mail. Isso parece um medida drástica e a curto prazo, na melhor das hipóteses.

  • Já usamos listas negras de rdb para rejeitar o correio no postfix. Eles não estão parando isso.

  • Adicione palavras-chave ao Assassino do Spam e atribua uma pontuação, por exemplo, para adicionar uma pontuação de +10 de spam a qualquer assunto que contenha "Donald Trump", "Dr. Oz", "Anderson Cooper", etc. Isso parece um trabalho intensivo, mas vou procurar adicionar regras a seguir, pelo menos para um alívio temporário.

Além disso, outras idéias ou sugestões sobre como lidar com isso? Tenho certeza de que não somos os únicos a lidar com esse novo tipo de e-mail de spam.

Nosso ambiente é o Linux (Ubuntu LTS) com o Postfix + Spam Assassin.

    
por Nick 16.01.2017 / 08:11

1 resposta

0

Esse tipo de coisa (spam snowshoe / hailstorm) é melhor detectado com o aprendizado de máquina. Certifique-se de que você está fazendo pleno uso de Bayes no SpamAssassin (ou seja, você deve treinar regularmente em spam e ham; autolearn não é suficiente).

A única coisa mais eficaz que fiz quando executei o e-mail de uma empresa foi devolver corretamente as rejeições de tempo de SMTP NO SUCH USER em usuários inexistentes. Isso reduzirá radicalmente o spam de remetentes que rastreiam as métricas de entregabilidade (alguns criminosos e um lote de profissionais de marketing sujos). Evidentemente, isso não vai ajudar muito em relação ao subtipo de snowshoe que você está sofrendo, mas pode aliviar outros problemas que você está tendo (ou você pode ser dependente de um curinga e, portanto, não pode considerar isso). Se você puder configurar o SpamAssassin para rejeitar mensagens no horário do SMTP, isso fornecerá o mesmo benefício para spam enviado com remetentes de rastreamento de rejeição.

Você mencionou nos comentários que tentou várias coisas, mas não Nolisting . Eu tive sucesso anedótico com a não-existência, mas teria sido um fardo extra para implementar alguma forma de medir seu impacto. Eu implementei o nolisting da maneira prescrita (um registro MX primário solitário que responde ao ping e tem a porta 25 fechada - mas não filtrada: deve ser uma rejeição rápida) e de maneira não padrão (que nolisting.org insiste deve ser chamado de outra coisa ): um registro MX de prioridade mais baixa que tenha a porta 25 filtrada (assim, o tempo limite expirará e, portanto, consumirá recursos de spam). (Medir isso exigiria colocar um servidor em pé apenas para contar as conexões e comparar esses registros com os logs do retransmissor de e-mail real para ver quantas mensagens não sobrevivem.)

    
por 17.09.2018 / 20:00