Existem ferramentas para comparar a eficácia da DNSBL?

1

Acabei de adicionar um novo DNSBL à lista dos que eu uso no meu pequeno servidor de email. Configurei-o para ser o primeiro da lista porque queria ver o que faltava, mas outras listas foram capturadas.

Estou vendo os logs de mensagens com o canto do olho enquanto faço outras coisas, apenas para ter certeza de que as coisas pareciam sãs, e comecei a pensar em como medir a eficácia relativa de várias listas. Eu suponho que eu poderia dar a cada lista uma semana no topo da pilha e, em seguida, medir o quanto as outras listas capturam naquela semana, mas isso parece um verdadeiro hack.

Existem ferramentas ou técnicas para medir a eficácia relativa de diferentes listas de bloqueio em um servidor específico? Eu posso medir os falsos positivos pelo volume de reclamações do usuário, então minha preocupação é abordar que uma lista de bloqueio falha, mas outra captura.

    
por user10501 05.07.2009 / 08:20

3 respostas

2

Se tudo o que você quer fazer é determinar "qual é o conjunto mínimo de listas negras que eu deveria assinar para pegar a quantidade máxima de spam", então o que você realmente quer fazer é:

  • Registre todos os seus spams bloqueados por endereço IP (então analise seus registros de e-mail para obter uma tabela de IPs bloqueados, com a contagem de quantos spams vieram de cada um, talvez)
  • Executar todos esses IPs em todas as suas listas negras (o que é trivial, precisa apenas de uma rápida pesquisa de DNS para cada IP)
  • Classifique cada lista negra com quantos IPs (e quantos spams vieram de cada IP) capturados por cada lista negra.

Isso é complicado pela natureza variada do tempo do conteúdo de cada uma das listas negras, então talvez ter um processo do tipo logcheck (rodando regularmente, analisando novas entradas de log) é o caminho a seguir, que pode ser reportado de volta para você, conforme necessário.

Tudo isso não é tão difícil de montar com algumas linhas de shell ou $SCRIPTING_LANGUAGE_OF_CHOICE .

Claro, a menos que você esteja executando tantas listas negras que o tempo necessário para passar por todas elas é excessivo, a pergunta mais interessante é "quantos spams não foram pegos pelas minhas listas negras, e quais listas negras adicionais seriam detectadas?" aqueles sem contribuir excessivamente para a minha taxa de falso-positivo ". Novamente, algo que procura "passar" endereços IP em um conjunto de listas negras que você está considerando e registra os resultados seria instrutivo.

    
por 05.07.2009 / 09:13
1

Além do DNSBL, você pode considerar o bloqueio do GeoIP. Isso é quando você dá uma olhada no endereço IP da conexão, determina o país de origem e bloqueia a conexão.

Descobrimos que a maior parte do nosso spam vem de países dos quais NUNCA esperamos receber um email (China, Brasil, Cingapura, etc.)

Ao bloquear completamente esses países, reduzimos nossa carga de spam a um valor enorme antes que qualquer outro tipo de verificação intensiva da CPU seja feita.

Eu estimaria que pelo menos 90% (provavelmente mais) de todo o nosso spam é capturado pelo GeoIP e menos de 10% é realmente processado contra DNSBL, spamassassin, whitelist, etc.

Nós usamos o banco de dados GeoIP gratuito da MaxMind, mas eu sei que há outros por aí.

Para responder à sua pergunta diretamente sobre a DNSBL, usamos o seguinte:

sbl-xbl.spamhaus.org bl.spamcop.net dnsbl.cyberlogic.net dnsbl.ahbl.org

Não tivemos que atualizar / alterar os itens acima em algum tempo. Eu diria que (para nós) spamhaus.org tende a pegar mais coisas que o GeoIP não faz.

Sua milhagem pode variar.

    
por 05.07.2009 / 15:46
0

Se você tiver spamassassin para aplicar as listas de bloqueio, o que (de forma eficaz) faz paralelamente, você pode usar seus registros para fazer esses cálculos de taxa de acertos.

Uma vez que você sabe em quais blocklists confiar, você pode reconfigurar seus servidores de email para bloquear os RBLs mais confiáveis.

    
por 05.07.2009 / 08:33

Tags