การต่อสู้กับสแปม - ฉันจะทำอะไรได้บ้างในฐานะผู้ดูแลระบบอีเมลเจ้าของโดเมนหรือผู้ใช้


107

นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับการต่อสู้กับสแปม
ยังเกี่ยวข้องกับ:

มีเทคนิคมากมายและมีความรู้มากมายเกี่ยวกับการต่อสู้กับขยะ มีเทคนิคและเทคโนโลยีที่ใช้กันอย่างแพร่หลายอะไรบ้างสำหรับผู้ดูแลระบบเจ้าของโดเมนและผู้ใช้ปลายทางเพื่อช่วยกันขยะออกจากกล่องจดหมายเข้าของเรา

เรากำลังมองหาคำตอบที่ครอบคลุมเทคโนโลยีที่แตกต่างจากมุมที่หลากหลาย คำตอบที่ได้รับการยอมรับควรมีความหลากหลายของเทคโนโลยี (เช่น SPF / SenderID, DomainKeys / DKIM, Graylisting, DNS RBLs, บริการชื่อเสียง, ซอฟต์แวร์การกรอง [SpamAssassin, ฯลฯ ]); วิธีปฏิบัติที่ดีที่สุด (เช่นเมลบนพอร์ต 25 ไม่ควรได้รับอนุญาตให้ส่งต่อควรใช้พอร์ต 587 ฯลฯ ) คำศัพท์ (เช่น Open Relay, Backscatter, MSA / MTA / MUA, สแปม / แฮม) และเทคนิคอื่น ๆ


13
เป็นที่ยอมรับหรือไม่นี่ไม่ใช่สถานที่ที่จะถามเกี่ยวกับสิ่งที่ระดับผู้ใช้
John Gardeniers

คำตอบ:


97

ในการกำจัดศัตรูคุณต้องรู้จักศัตรูของคุณ

สแปมคืออะไร

เพื่อจุดประสงค์ของเราสแปมเป็นข้อความอิเล็กทรอนิกส์ที่ไม่พึงประสงค์จำนวนมาก สแปมในปัจจุบันมีจุดประสงค์เพื่อล่อลวงผู้ใช้ที่ไม่สงสัยให้เข้าเยี่ยมชมเว็บไซต์ (มักจะร่มรื่น) ที่พวกเขาจะถูกขอให้ซื้อผลิตภัณฑ์หรือมีมัลแวร์ที่ส่งไปยังคอมพิวเตอร์ของพวกเขาหรือทั้งสองอย่าง สแปมบางตัวจะส่งมัลแวร์โดยตรง

อาจทำให้คุณประหลาดใจที่ได้ทราบว่ามีการส่งสแปมแรกในปี 1864 เป็นโฆษณาสำหรับบริการทางทันตกรรมซึ่งส่งทางโทรเลขของ Western Union คำว่าตัวเองเป็นการอ้างอิงไปยังที่เกิดเหตุในMonty Python ของละคร

สแปมในกรณีนี้ไม่ได้อ้างถึงปริมาณการใช้รายชื่อผู้รับจดหมายที่ผู้ใช้สมัครแม้ว่าพวกเขาจะเปลี่ยนใจในภายหลัง (หรือลืมเกี่ยวกับมัน) แต่ยังไม่ได้ยกเลิกการสมัครจริง

เหตุใดสแปมจึงมีปัญหา

สแปมเป็นปัญหาเพราะการทำงานสำหรับผู้ส่งอีเมลขยะ โดยทั่วไปแล้วสแปมจะสร้างยอดขายมากเกินพอ (หรือการส่งมัลแวร์หรือทั้งสองอย่าง) เพื่อครอบคลุมต้นทุน - เพื่อผู้ส่งสแปม - ในการส่ง ผู้ส่งสแปมจะไม่พิจารณาค่าใช้จ่ายกับผู้รับคุณและผู้ใช้ของคุณ แม้ว่าผู้ใช้ส่วนน้อยที่ได้รับสแปมจะตอบโต้ แต่ก็ยังเพียงพอ

ดังนั้นคุณจะต้องจ่ายค่าแบนด์วิดท์เซิร์ฟเวอร์และเวลาของผู้ดูแลระบบเพื่อจัดการกับสแปมที่เข้ามา

เราปิดกั้นสแปมด้วยเหตุผลเหล่านี้: เราไม่ต้องการเห็นลดค่าใช้จ่ายในการจัดการอีเมลและทำให้การส่งสแปมมีราคาแพงกว่าสำหรับสแปมเมอร์

สแปมทำงานอย่างไร

โดยทั่วไปแล้วสแปมจะถูกส่งด้วยวิธีที่แตกต่างจากอีเมลปกติและถูกกฎหมาย

ผู้ส่งสแปมมักต้องการปิดบังที่มาของอีเมลดังนั้นสแปมทั่วไปจะมีข้อมูลส่วนหัวปลอม ที่From:อยู่มักเป็นของปลอม สแปมบางประเภทรวมถึงReceived:สายปลอมเพื่อพยายามปลอมแปลงเส้นทาง มีการส่งสแปมจำนวนมากผ่านรีเลย์ SMTP แบบเปิดพร็อกซีเซิร์ฟเวอร์แบบเปิดและบ็อตเน็ต วิธีการเหล่านี้ทำให้ยากต่อการพิจารณาว่าใครเป็นผู้สร้างสแปม

เมื่ออยู่ในกล่องจดหมายของผู้ใช้จุดประสงค์ของสแปมคือเพื่อดึงดูดผู้ใช้ให้เข้าเยี่ยมชมเว็บไซต์ที่โฆษณา ผู้ใช้จะถูกล่อลวงให้ทำการซื้อหรือเว็บไซต์จะพยายามติดตั้งมัลแวร์ในคอมพิวเตอร์ของผู้ใช้หรือทั้งสองอย่าง หรือสแปมจะขอให้ผู้ใช้เปิดเอกสารแนบที่มีมัลแวร์

ฉันจะหยุดสแปมได้อย่างไร

ในฐานะผู้ดูแลระบบของเซิร์ฟเวอร์อีเมลคุณจะกำหนดค่าเซิร์ฟเวอร์อีเมลและโดเมนของคุณเพื่อให้ผู้ส่งอีเมลขยะส่งสแปมให้ผู้ใช้ของคุณยากขึ้น

ฉันจะครอบคลุมปัญหาที่เน้นเฉพาะสแปมและอาจข้ามสิ่งที่ไม่เกี่ยวข้องกับสแปมโดยตรง (เช่นการเข้ารหัส)

อย่าเปิดรีเลย์

เซิร์ฟเวอร์จดหมายขนาดใหญ่บาปคือเรียกใช้รีเลย์แบบเปิดซึ่งเป็นเซิร์ฟเวอร์ SMTP ซึ่งจะรับเมลสำหรับปลายทางใด ๆ และส่งต่อไป ผู้ส่งอีเมลขยะชอบรีเลย์แบบเปิดเพราะรับประกันการจัดส่งได้จริง พวกเขารับภาระในการส่งข้อความ (และลองใหม่!) ในขณะที่ผู้ส่งสแปมทำอย่างอื่น พวกเขาทำให้สแปมราคาถูก

รีเลย์แบบเปิดยังช่วยให้เกิดปัญหาการสะท้อนกลับ ข้อความเหล่านี้เป็นข้อความที่ยอมรับโดยรีเลย์ แต่พบว่าไม่สามารถส่งมอบได้ รีเลย์แบบเปิดจะส่งข้อความตีกลับไปยังที่From:อยู่ซึ่งมีสำเนาจดหมายขยะ

  • กำหนดค่าเซิร์ฟเวอร์อีเมลของคุณเพื่อรับจดหมายขาเข้าที่พอร์ต 25 สำหรับโดเมนของคุณเองเท่านั้น สำหรับเมลเซิร์ฟเวอร์ส่วนใหญ่นี่เป็นพฤติกรรมเริ่มต้น แต่อย่างน้อยคุณต้องบอกเซิร์ฟเวอร์เมลว่าโดเมนของคุณคืออะไร
  • ทดสอบระบบของคุณโดยส่งเมลเซิร์ฟเวอร์ SMTP จากภายนอกเครือข่ายของคุณโดยที่ทั้งสองFrom:และTo:ที่อยู่ไม่ได้อยู่ในโดเมนของคุณ ข้อความควรถูกปฏิเสธ (หรือใช้บริการออนไลน์เช่นMX Toolboxเพื่อทำการทดสอบ แต่โปรดทราบว่าบริการออนไลน์บางอย่างจะส่งที่อยู่ IP ของคุณไปยังบัญชีดำหากเซิร์ฟเวอร์อีเมลของคุณไม่ผ่านการทดสอบ)

ปฏิเสธสิ่งที่ดูน่าสงสัยเกินไป

การกำหนดค่าผิดพลาดและข้อผิดพลาดต่าง ๆ สามารถเป็นเคล็ดลับที่ข้อความขาเข้ามีแนวโน้มว่าจะเป็นสแปมหรือผิดกฎหมาย

  • ทำเครื่องหมายว่าเป็นจดหมายขยะหรือปฏิเสธข้อความซึ่งที่อยู่ IP ไม่มี DNS ย้อนกลับ (บันทึก PTR) ปฏิบัติต่อการขาดบันทึก PTR สำหรับการเชื่อมต่อ IPv4 ที่รุนแรงกว่าการเชื่อมต่อ IPv6 เนื่องจากที่อยู่ IPv6 หลายแห่งยังไม่มี DNS ย้อนกลับและอาจไม่นานหลายปีจนกระทั่งซอฟต์แวร์เซิร์ฟเวอร์ DNS สามารถจัดการโซนที่มีขนาดใหญ่มากเหล่านี้ได้ดีกว่า
  • ปฏิเสธข้อความที่ไม่มีชื่อโดเมนในผู้ส่งหรือที่อยู่ผู้รับ
  • ปฏิเสธข้อความที่ไม่ได้ใช้ชื่อโดเมนที่ผ่านการรับรองโดยสมบูรณ์สำหรับโดเมนผู้ส่งหรือผู้รับเว้นแต่พวกเขาจะมาจากภายในโดเมนของคุณและตั้งใจที่จะส่งภายในโดเมนของคุณ (เช่นบริการตรวจสอบ)
  • ปฏิเสธการเชื่อมต่อที่ส่วนอื่น ๆ ไม่ได้ส่ง/HELOEHLO
  • ปฏิเสธการเชื่อมต่อโดยที่HELO/ EHLOคือ:
    • ไม่ใช่ชื่อโดเมนแบบเต็มและไม่ใช่ที่อยู่ IP
    • ผิดอย่างโจ๋งครึ่ม (เช่นพื้นที่ที่อยู่ IP ของคุณเอง)
  • ปฏิเสธการเชื่อมต่อที่ใช้ pipelining โดยไม่ได้รับอนุญาตให้ทำ

ตรวจสอบผู้ใช้ของคุณ

จดหมายที่ส่งถึงเซิร์ฟเวอร์ของคุณควรคำนึงถึงจดหมายขาเข้าและจดหมายขาออก จดหมายขาเข้าคือจดหมายใด ๆ ที่มาถึงเซิร์ฟเวอร์ SMTP ของคุณซึ่งปลายทางสำหรับโดเมนของคุณในท้ายที่สุด จดหมายขาออกเป็นจดหมายใด ๆ ที่มาถึงเซิร์ฟเวอร์ SMTP ของคุณซึ่งจะถูกโอนไปที่อื่นก่อนที่จะส่ง (เช่นมันจะเป็นโดเมนอื่น) จดหมายขาเข้าสามารถจัดการได้โดยตัวกรองสแปมของคุณและอาจมาจากที่ใดก็ได้ แต่ต้องเป็นปลายทางสำหรับผู้ใช้ของคุณเสมอ ไม่สามารถตรวจสอบความถูกต้องของจดหมายนี้ได้เนื่องจากเป็นไปไม่ได้ที่จะให้ข้อมูลประจำตัวแก่ทุก ๆ ไซต์ที่อาจส่งจดหมายถึงคุณ

เมลขาออกนั่นคือเมลที่จะถูกส่งต่อต้องได้รับการรับรองความถูกต้อง เป็นกรณีนี้ไม่ว่าจะมาจากอินเทอร์เน็ตหรือจากภายในเครือข่ายของคุณ (แม้ว่าคุณควร จำกัด ช่วงที่อยู่ IP ที่อนุญาตให้ใช้ mailserver ของคุณหากเป็นไปได้ในการดำเนินการ) เนื่องจากสแปมบอทอาจทำงานอยู่ในเครือข่ายของคุณ ดังนั้นกำหนดค่าเซิร์ฟเวอร์ SMTP ของคุณเพื่อให้เมลที่ถูกผูกไว้สำหรับเครือข่ายอื่นถูกปฏิเสธ (การเข้าถึงการส่งต่อจะถูกปฏิเสธ) ยกเว้นว่าเมลนั้นได้รับการรับรองความถูกต้องแล้ว ยังดีกว่าให้ใช้เซิร์ฟเวอร์อีเมลแยกต่างหากสำหรับจดหมายขาเข้าและขาออกอนุญาตให้ไม่มีการส่งต่อเลยสำหรับจดหมายขาเข้าและไม่อนุญาตให้เข้าถึงอีเมลขาออกโดยไม่ได้รับอนุญาต

หากซอฟต์แวร์ของคุณอนุญาตสิ่งนี้คุณควรกรองข้อความตามผู้ใช้ที่ได้รับการรับรองความถูกต้อง หากที่อยู่จากจดหมายไม่ตรงกับผู้ใช้ที่ได้รับการรับรองความถูกต้องควรปฏิเสธ อย่าอัปเดตที่อยู่ในที่อยู่เงียบ ๆ ผู้ใช้ควรตระหนักถึงข้อผิดพลาดในการกำหนดค่า

คุณควรบันทึกชื่อผู้ใช้ที่ใช้ในการส่งจดหมายหรือเพิ่มส่วนหัวที่ระบุ ด้วยวิธีนี้หากการละเมิดเกิดขึ้นคุณมีหลักฐานและทราบว่ามีการใช้บัญชีใด สิ่งนี้ช่วยให้คุณสามารถแยกบัญชีที่ถูกบุกรุกและผู้ใช้ที่มีปัญหาและมีประโยชน์อย่างยิ่งสำหรับผู้ให้บริการโฮสติ้งที่ใช้ร่วมกัน

กรองปริมาณข้อมูล

คุณต้องการให้แน่ใจว่าเมลที่ออกจากเครือข่ายของคุณกำลังถูกส่งโดยผู้ใช้ (รับรองความถูกต้อง) ของคุณไม่ใช่จากบอทหรือบุคคลภายนอก ข้อมูลเฉพาะของวิธีการที่คุณทำขึ้นอยู่กับชนิดของระบบที่คุณกำลังจัดการ

โดยทั่วไปการบล็อกการรับส่งข้อมูลในพอร์ต 25, 465 และ 587 (SMTP, SMTP / SSL และการส่ง) สำหรับทุกสิ่ง แต่เซิร์ฟเวอร์อีเมลขาออกของคุณเป็นความคิดที่ดีถ้าคุณเป็นเครือข่ายขององค์กร นี่คือเพื่อให้บอทที่ทำงานโดยมัลแวร์ในเครือข่ายของคุณไม่สามารถส่งสแปมจากเครือข่ายของคุณไม่ว่าจะเป็นการเปิดรีเลย์บนอินเทอร์เน็ตหรือโดยตรงไปยัง MTA สุดท้ายสำหรับที่อยู่

ฮอตสปอตเป็นกรณีพิเศษเนื่องจากอีเมลที่ถูกกฎหมายมาจากหลายโดเมน แต่ (เนื่องจาก SPF และอื่น ๆ ) เซิร์ฟเวอร์จดหมาย "ที่บังคับ" นั้นไม่เหมาะสมและผู้ใช้ควรใช้เซิร์ฟเวอร์ SMTP ของโดเมนเพื่อส่งอีเมล กรณีนี้ยากกว่ามาก แต่การใช้ IP สาธารณะหรือช่วง IP ที่เฉพาะเจาะจงสำหรับการรับส่งข้อมูลทางอินเทอร์เน็ตจากโฮสต์เหล่านี้ (เพื่อปกป้องชื่อเสียงของเว็บไซต์ของคุณ) ปริมาณการใช้งานการควบคุมปริมาณ SMTP และการตรวจสอบแพ็คเก็ตลึก

ในอดีตสแปมบอทได้ออกสแปมเป็นส่วนใหญ่ในพอร์ต 25 แต่ไม่มีอะไรป้องกันพวกเขาจากการใช้พอร์ต 587 เพื่อจุดประสงค์เดียวกันดังนั้นการเปลี่ยนพอร์ตที่ใช้สำหรับเมลขาเข้ามีค่าที่น่าสงสัย อย่างไรก็ตามแนะนำให้ใช้พอร์ต 587 สำหรับการส่งจดหมายโดยRFC 2476และอนุญาตให้มีการแยกระหว่างการส่งเมล (ไปยัง MTA แรก) และการถ่ายโอนอีเมล (ระหว่าง MTAs) ซึ่งไม่ชัดเจนจากโทโพโลยีเครือข่าย หากคุณต้องการแยกดังกล่าวคุณควรทำเช่นนี้

หากคุณเป็น ISP, VPS host, ผู้ให้บริการ colocation หรือที่คล้ายกันหรือมีฮอตสปอตสำหรับใช้งานโดยผู้เยี่ยมชมการปิดกั้นการรับส่งข้อมูล SMTP ของ egress อาจเป็นปัญหาสำหรับผู้ใช้ที่ส่งจดหมายโดยใช้โดเมนของตนเอง ในทุกกรณียกเว้นฮอตสปอตสาธารณะคุณควรกำหนดให้ผู้ใช้ที่ต้องการการเข้าถึง SMTP ขาออกเพราะพวกเขากำลังเรียกใช้เซิร์ฟเวอร์อีเมลเพื่อขอเป็นพิเศษ แจ้งให้พวกเขาทราบว่าการร้องเรียนการละเมิดจะส่งผลให้การเข้าถึงนั้นสิ้นสุดลงเพื่อปกป้องชื่อเสียงของคุณ

IP แบบไดนามิกและที่ใช้สำหรับโครงสร้างพื้นฐานเดสก์ท็อปเสมือนไม่ควรมีการเข้าถึง SMTP ขาออกยกเว้นไปยังเซิร์ฟเวอร์เมลเฉพาะที่คาดว่าจะใช้โหนดเหล่านั้น IP ประเภทนี้ควรปรากฏในบัญชีดำและคุณไม่ควรพยายามสร้างชื่อเสียงให้พวกเขา นี่เป็นเพราะพวกเขาไม่น่าที่จะใช้ MTA ที่ถูกกฎหมาย

พิจารณาใช้ SpamAssassin

SpamAssassin เป็นตัวกรองจดหมายซึ่งสามารถใช้เพื่อระบุสแปมตามส่วนหัวของข้อความและเนื้อหา มันใช้ระบบการให้คะแนนตามกฎเพื่อกำหนดโอกาสที่ข้อความนั้นจะเป็นสแปม ยิ่งมีคะแนนสูงเท่าใดข้อความก็น่าจะเป็นสแปมมากเท่านั้น

SpamAssassin ยังมีเอ็นจิ้น Bayesian ซึ่งสามารถวิเคราะห์ตัวอย่างสแปมและแฮม (อีเมลที่ถูกกฎหมาย) ที่ป้อนกลับเข้าไป

วิธีปฏิบัติที่ดีที่สุดสำหรับ SpamAssassin ไม่ได้เป็นการปฏิเสธเมล แต่ต้องนำไปไว้ในโฟลเดอร์ขยะหรือสแปม MUAs (ตัวแทนผู้ใช้จดหมาย) เช่น Outlook และ Thunderbird สามารถตั้งค่าให้รู้จักส่วนหัวที่ SpamAssassin เพิ่มเข้ากับข้อความอีเมลและจัดเก็บอย่างเหมาะสม ผลบวกปลอมสามารถเกิดขึ้นได้และในขณะที่หายากเมื่อมันเกิดขึ้นกับ CEO คุณจะได้ยินเกี่ยวกับมัน การสนทนานั้นจะดีขึ้นมากถ้าข้อความถูกส่งไปยังโฟลเดอร์ขยะแทนที่จะปฏิเสธทันที

SpamAssassin เกือบหนึ่งของชนิดแม้ว่าทางเลือกอยู่ไม่กี่

  • ติดตั้ง SpamAssassin sa-updateและกำหนดค่าการปรับปรุงอัตโนมัติสำหรับกฎของการใช้
  • พิจารณาใช้กฎที่กำหนดเองตามความเหมาะสม
  • พิจารณาตั้งค่าการกรองแบบเบย์

พิจารณาการใช้รายการ blackhole ที่ใช้ DNS และบริการด้านชื่อเสียง

DNSBLs (เดิมชื่อ RBL หรือรายการ blackhole เรียลไทม์) ให้รายการที่อยู่ IP ที่เกี่ยวข้องกับสแปมหรือกิจกรรมที่เป็นอันตรายอื่น ๆ สิ่งเหล่านี้ดำเนินการโดยบุคคลที่สามที่เป็นอิสระตามเกณฑ์ของตนเองดังนั้นควรศึกษาอย่างรอบคอบว่ารายการและการเพิกถอนเกณฑ์ที่ใช้โดย DNSBL นั้นสอดคล้องกับความต้องการขององค์กรของคุณในการรับอีเมลหรือไม่ ตัวอย่างเช่น DNSBL สองสามตัวมีนโยบายการเพิกถอนที่เข้มงวดซึ่งทำให้ยากสำหรับผู้ที่ถูกลบรายชื่อโดยไม่ตั้งใจ บุคคลอื่นจะเพิกถอนโดยอัตโนมัติหลังจากที่อยู่ IP ไม่ได้ส่งสแปมเป็นระยะเวลาหนึ่งซึ่งปลอดภัยกว่า DNSBL ส่วนใหญ่ใช้งานได้ฟรี

บริการชื่อเสียงมีลักษณะคล้ายกัน แต่อ้างว่าให้ผลลัพธ์ที่ดีขึ้นโดยการวิเคราะห์ข้อมูลที่เกี่ยวข้องกับที่อยู่ IP ที่ระบุ บริการด้านชื่อเสียงส่วนใหญ่ต้องการการสมัครสมาชิกหรือซื้อฮาร์ดแวร์หรือทั้งสองอย่าง

มีบริการ DNSBLs และชื่อเสียงหลายสิบรายการ แต่สิ่งที่ดีและเป็นประโยชน์ที่ฉันใช้และแนะนำคือ:

รายการอนุรักษ์นิยม:

รายการก้าวร้าว:

ดังที่ได้กล่าวไว้ก่อนหน้านี้มีคนอื่นอีกหลายสิบคนที่พร้อมใช้งานและอาจเหมาะสมกับความต้องการของคุณ หนึ่งในเทคนิคที่ฉันโปรดปรานก็คือค้นหาที่อยู่ IPซึ่งส่งสแปมที่ผ่านการต่อต้าน DNSBL หลายรายการเพื่อดูว่าใครจะปฏิเสธมัน

  • สำหรับแต่ละบริการ DNSBL และบริการตรวจสอบนโยบายของ บริษัท เพื่อดูรายการและเพิกถอนที่อยู่ IP และพิจารณาว่าสิ่งเหล่านี้เข้ากันได้กับความต้องการขององค์กรของคุณหรือไม่
  • เพิ่ม DNSBL ไปยังเซิร์ฟเวอร์ SMTP ของคุณเมื่อคุณตัดสินใจว่าเหมาะสมที่จะใช้บริการนั้น
  • พิจารณากำหนดคะแนน DNSBL แต่ละรายการและกำหนดค่าเป็น SpamAssassinแทนที่จะเป็นเซิร์ฟเวอร์ SMTP ของคุณ สิ่งนี้จะช่วยลดผลกระทบของการบวกผิด ๆ ; ข้อความดังกล่าวจะถูกส่ง (อาจเป็นขยะ / สแปม) แทนที่จะตีกลับ ข้อดีคือคุณจะส่งสแปมจำนวนมาก
  • หรือปฏิเสธทันทีเมื่อที่อยู่ IP เป็นหนึ่งในรายการอนุรักษ์นิยมมากกว่าและกำหนดค่ารายการที่ก้าวร้าวมากขึ้นใน SpamAssassin

ใช้ SPF

SPF (กรอบนโยบายผู้ส่งRFC 4408และRFC 6652 ) เป็นวิธีการป้องกันการปลอมแปลงที่อยู่อีเมลโดยการประกาศว่าโฮสต์อินเทอร์เน็ตใดที่ได้รับอนุญาตให้ส่งอีเมลสำหรับชื่อโดเมนที่กำหนด

  • กำหนดค่า DNS ของคุณเพื่อประกาศระเบียน SPF กับเซิร์ฟเวอร์อีเมลขาออกที่ได้รับอนุญาตของคุณและ-allเพื่อปฏิเสธผู้อื่นทั้งหมด
  • กำหนดค่าเซิร์ฟเวอร์อีเมลของคุณเพื่อตรวจสอบระเบียน SPF ของเมลขาเข้าหากมีอยู่และปฏิเสธเมลที่ไม่ผ่านการตรวจสอบ SPF ข้ามการตรวจสอบนี้หากโดเมนไม่มีเรคคอร์ด SPF

ตรวจสอบ DKIM

DKIM (DomainKeys Identified Mail; RFC 6376 ) เป็นวิธีการฝังลายเซ็นดิจิทัลในข้อความอีเมลซึ่งสามารถตรวจสอบได้โดยใช้กุญแจสาธารณะที่เผยแพร่ใน DNS มีการจดสิทธิบัตรในสหรัฐอเมริกาซึ่งชะลอการรับเลี้ยงบุตรบุญธรรม ลายเซ็น DKIM ยังสามารถแตกถ้าข้อความถูกปรับเปลี่ยนในระหว่างการขนส่ง (เช่นเซิร์ฟเวอร์ SMTP บางครั้งอาจหีบห่อข้อความ MIME)

  • พิจารณาการลงนามเมลขาออกของคุณด้วยลายเซ็น DKIM แต่โปรดทราบว่าลายเซ็นอาจไม่ได้รับการยืนยันอย่างถูกต้องแม้ในจดหมายที่ถูกกฎหมาย

พิจารณาใช้ greylisting

Greylisting เป็นเทคนิคที่เซิร์ฟเวอร์ SMTP ออกการปฏิเสธชั่วคราวสำหรับข้อความขาเข้าแทนที่จะเป็นการปฏิเสธแบบถาวร เมื่อการส่งมอบถูกลองใหม่ในไม่กี่นาทีหรือชั่วโมงเซิร์ฟเวอร์ SMTP จะยอมรับข้อความ

Greylisting สามารถหยุดซอฟต์แวร์สแปมบางตัวที่ไม่แข็งแรงพอที่จะแยกความแตกต่างระหว่างการปฏิเสธชั่วคราวและถาวร แต่ไม่ได้ช่วยสแปมที่ถูกส่งไปยังรีเลย์แบบเปิดหรือซอฟต์แวร์สแปมที่แข็งแกร่งกว่า นอกจากนี้ยังแนะนำความล่าช้าในการจัดส่งซึ่งผู้ใช้อาจไม่ยอมรับ

  • พิจารณาการใช้ greylisting เฉพาะในกรณีที่รุนแรงเนื่องจากเป็นการรบกวนการรับส่งอีเมลที่ถูกกฎหมาย

พิจารณาใช้ nolisting

Nolistingเป็นวิธีการกำหนดค่าระเบียน MX ของคุณว่าระเบียนลำดับความสำคัญสูงสุด (หมายเลขการกำหนดค่าต่ำสุด) ไม่มีเซิร์ฟเวอร์ SMTP ที่ทำงานอยู่ สิ่งนี้ขึ้นอยู่กับความจริงที่ว่าซอฟต์แวร์สแปมจำนวนมากจะลองบันทึก MX ครั้งแรกเท่านั้นในขณะที่เซิร์ฟเวอร์ SMTP ที่ถูกต้องตามกฎหมายลองทดลองใช้ระเบียน MX ทั้งหมดตามลำดับความนิยม ซอฟต์แวร์สแปมบางตัวพยายามส่งโดยตรงไปยังลำดับความสำคัญต่ำสุด (หมายเลขการกำหนดค่าสูงสุด) ระเบียน MX ที่ละเมิดRFC 5321ดังนั้นจึงสามารถตั้งค่าเป็นที่อยู่ IP โดยไม่มีเซิร์ฟเวอร์ SMTP สิ่งนี้ถูกรายงานว่าปลอดภัยแม้ว่าคุณจะต้องทำการทดสอบอย่างรอบคอบก่อนเช่นเดียวกับสิ่งใดก็ตาม

  • ลองพิจารณาการตั้งค่าระเบียน MX ที่มีลำดับความสำคัญสูงสุดของคุณเพื่อชี้ไปยังโฮสต์ที่ไม่ตอบพอร์ต 25
  • พิจารณาตั้งค่าระเบียน MX ที่มีลำดับความสำคัญต่ำสุดให้ชี้ไปยังโฮสต์ที่ไม่ตอบพอร์ต 25

พิจารณาตัวกรองสแปม

วางเครื่องกรองสแปมเช่นCisco IronPortหรือไฟร์วอลล์ Barracuda Spam & Virus Firewall (หรืออุปกรณ์อื่น ๆ ที่คล้ายกัน) หน้าเซิร์ฟเวอร์ SMTP ปัจจุบันของคุณเพื่อลดภาระที่คุณได้รับ อุปกรณ์เหล่านี้ได้รับการกำหนดค่าล่วงหน้าด้วย DNSBLs บริการด้านชื่อเสียงตัวกรองแบบเบย์และคุณสมบัติอื่น ๆ ที่ฉันได้กล่าวถึงและได้รับการอัปเดตเป็นประจำจากผู้ผลิต

  • วิจัยค่าใช้จ่ายในการกรองอุปกรณ์ฮาร์ดแวร์และการสมัครสมาชิก

พิจารณาบริการอีเมลที่โฮสต์

ถ้ามันมากเกินไปสำหรับคุณ (หรือพนักงานไอทีที่ทำงานหนักเกินไป) คุณสามารถให้ผู้ให้บริการบุคคลที่สามจัดการกับอีเมลของคุณได้ตลอดเวลา บริการต่างๆเช่นPostiniของ Google , Symantec MessageLabs Email Security (หรืออื่น ๆ ) จะกรองข้อความให้คุณ บริการเหล่านี้บางอย่างสามารถจัดการกับข้อกำหนดและกฎหมาย

  • ค่าใช้จ่ายในการสมัครรับบริการวิจัยทางอีเมลที่โฮสต์

คำแนะนำใดที่ sysadmins ให้กับผู้ใช้ปลายทางเกี่ยวกับการต่อสู้กับสแปม

สิ่งสำคัญอันดับหนึ่งที่ผู้ใช้ควรทำเพื่อต่อสู้กับสแปมคือ:

  • อย่าตอบโต้สแปม

    ถ้ามันดูตลกอย่าคลิกลิงค์เว็บไซต์และอย่าเปิดไฟล์แนบ ไม่ว่าข้อเสนอนั้นน่าดึงดูดเพียงใด นั่น Viagra ไม่ใช่ว่าถูกคุณไม่ได้จริงๆจะได้รับภาพเปลือยของใครและไม่มี$ 15 ล้านดอลลาร์ในประเทศไนจีเรียหรือที่อื่น ๆ ยกเว้นสำหรับเงินที่นำมาจากคนที่ไม่ตอบสนองต่อการสแปม

  • หากคุณเห็นข้อความสแปมให้ทำเครื่องหมายว่าเป็นขยะหรือขยะขึ้นอยู่กับโปรแกรมรับส่งเมลของคุณ

  • อย่าทำเครื่องหมายข้อความเป็นขยะ / สแปมหากคุณสมัครใช้งานจริงเพื่อรับข้อความและเพียงต้องการหยุดรับข้อความเหล่านั้น ให้ยกเลิกการสมัครจากรายชื่อผู้รับจดหมายโดยใช้วิธีการยกเลิกการเป็นสมาชิกแทน

  • ตรวจสอบโฟลเดอร์ขยะ / สแปมของคุณเป็นประจำเพื่อดูว่ามีข้อความถูกต้องตามกฎหมายหรือไม่ ทำเครื่องหมายสิ่งเหล่านี้ว่าไม่ใช่ขยะ / ไม่ใช่สแปมและเพิ่มผู้ส่งไปยังผู้ติดต่อของคุณเพื่อป้องกันไม่ให้ข้อความของพวกเขาถูกทำเครื่องหมายว่าเป็นสแปมในอนาคต


5
@MichaelHampton: UCEPROTECT เป็นองค์กรที่ร่มรื่น
InternetSeriousBusiness

10
@Stephane หากคุณไม่สามารถกำหนด / เปลี่ยนแปลงบันทึก PTR แสดงว่าคุณไม่ได้ควบคุมที่อยู่ IP ไม่มีอะไรผิดปกติในการปฏิเสธเมลจากสิ่งนี้
Michael Hampton

1
@ whitewhite draconian สวยและ 3 สัปดาห์นั้นค่อนข้างไร้สาระ แต่การปฏิเสธเมลเมื่อไม่มีเรคคอร์ด PTR นั้นค่อนข้างธรรมดาดังนั้นฉันแน่ใจว่าพวกเขามีปัญหาทุกประเภท
Michael Hampton

2
การปฏิเสธเป็นเรื่องปกติ แต่ฉันยืนยันว่ามันไร้ประโยชน์และไม่จำเป็น ในความเป็นจริงฉันได้ตรวจสอบสถิติสแปมของตัวเองอย่างรวดเร็วและปรากฎว่าจำนวนสแปมที่มาจาก IP ที่ไม่มีการย้อนกลับต่ำกว่า 5% และดูเหมือนว่าจะเป็นจำนวนเดียวกับที่ฉันเห็นจากภาพรวม การเชื่อมต่อ SMTP ดังนั้นข้อสรุปของฉัน: มันเป็นข้อ จำกัด ที่ไม่มีจุดหมาย
เตฟาน

2
คุณต้องใช้หลักฐานอะไรในการยืนยันว่ามันไม่มีประสิทธิภาพ? บันทึกของฉันแสดงว่ามีประสิทธิภาพอย่างท่วมท้นในการคัดกรองอีเมลล่วงหน้า คนอื่นที่ฉันรู้จักมีประสบการณ์คล้ายกัน
Chris S

30

ฉันจัดการสภาพแวดล้อมของอีเมลมากกว่า 100 รายการในช่วงหลายปีที่ผ่านมาและได้ใช้กระบวนการมากมายเพื่อลดหรือช่วยกำจัดสแปม

เทคโนโลยีมีการพัฒนาอยู่ตลอดเวลาดังนั้นคำตอบนี้จะนำเสนอบางสิ่งที่ฉันได้ลองในอดีตและรายละเอียดเกี่ยวกับสถานการณ์ปัจจุบัน

ความคิดบางอย่างเกี่ยวกับการป้องกัน ...

  • คุณต้องการปกป้องพอร์ต 25 ของเซิร์ฟเวอร์จดหมายขาเข้าของคุณจากการเป็นรีเลย์แบบเปิดซึ่งใคร ๆ ก็สามารถส่งอีเมลผ่านโครงสร้างพื้นฐานของคุณได้ สิ่งนี้เป็นอิสระจากเทคโนโลยีเมลเซิร์ฟเวอร์เฉพาะที่คุณอาจใช้งาน ผู้ใช้ระยะไกลควรใช้พอร์ตการส่งสำรองและรูปแบบการตรวจสอบที่จำเป็นบางรูปแบบสำหรับการส่งเมล พอร์ต 587 หรือพอร์ต 465 เป็นทางเลือกทั่วไปถึง 25
  • การเข้ารหัสก็เป็นข้อดี การรับส่งจดหมายจำนวนมากถูกส่งในรูปแบบข้อความธรรมดา เรามาถึงจุดที่ระบบจดหมายส่วนใหญ่สามารถรองรับการเข้ารหัสบางรูปแบบ เหตุการณ์บางอย่างคาดหวังมัน
  • เหล่านี้เป็นวิธีเชิงรุกเพื่อป้องกันไม่ให้เว็บไซต์จดหมายของคุณถูกจัดประเภทเป็นแหล่งสแปม ...

เกี่ยวกับสแปมขาเข้า ...

  • Greylistingเป็นวิธีที่น่าสนใจในช่วงเวลาสั้น ๆ บังคับให้ปฏิเสธ / ล่าช้าชั่วคราวโดยหวังว่าผู้ส่งสแปมจะยกเลิกการเชื่อมต่อและหลีกเลี่ยงการเปิดเผยหรือเวลาและทรัพยากรที่จำเป็นในการขอข้อความใหม่ สิ่งนี้มีผลกระทบจากความล่าช้าที่คาดเดาไม่ได้ในการส่งจดหมายทำงานได้ไม่ดีกับจดหมายจากเซิร์ฟเวอร์ฟาร์มขนาดใหญ่และผู้ส่งอีเมลขยะในที่สุดก็พัฒนาวิธีแก้ปัญหา ผลกระทบที่เลวร้ายที่สุดคือการทำลายความคาดหวังของผู้ใช้ในการส่งจดหมายอย่างรวดเร็ว
  • รีเลย์ MX หลายตัวยังต้องการการป้องกัน ผู้ส่งอีเมลขยะบางคนอาจลองส่งไปที่การสำรองข้อมูลหรือ MX ที่มีลำดับความสำคัญต่ำกว่าโดยหวังว่าจะมีการกรองที่มีประสิทธิภาพน้อยกว่า
  • รายการ Realtime Black (hole) (RBL / DNSBL) - ฐานข้อมูลอ้างอิงเหล่านี้ได้รับการดูแลจากส่วนกลางเพื่อตรวจสอบว่าเซิร์ฟเวอร์ที่ส่งอยู่ในรายการ การพึ่งพา RBL อย่างหนักมาพร้อมกับคำเตือน บางคนไม่ได้มีชื่อเสียงเหมือนคนอื่น ๆ ข้อเสนอจากSpamhausนั้นดีสำหรับฉันเสมอ อื่น ๆ เช่นSORBSมีวิธีการที่ไม่ดีในการแสดงรายการ IP และมักบล็อกอีเมลที่ถูกกฎหมาย มีการเปรียบเทียบกับพล็อตเรื่องการกรรโชกในบางกรณีเนื่องจากการเพิกถอนมักเกี่ยวข้องกับ $$$
  • Sender Policy Framework (SPF) - โดยทั่วไปแล้วหมายถึงการทำให้มั่นใจว่าโฮสต์ที่กำหนดได้รับอนุญาตให้ส่งอีเมลสำหรับโดเมนเฉพาะตามที่กำหนดโดยระเบียน DNS TXT เป็นวิธีปฏิบัติที่ดีในการสร้างระเบียน SPF สำหรับอีเมลที่ส่งออกของคุณ แต่แนวทางปฏิบัติที่ไม่ถูกต้องที่ต้องใช้จากเซิร์ฟเวอร์ที่ส่งถึงคุณ
  • คีย์โดเมน - ยังไม่มีการใช้อย่างแพร่หลาย ...
  • การปราบปรามการตีกลับ - ป้องกันจดหมายที่ไม่ถูกต้องไม่ให้ถูกส่งกลับไปยังแหล่งที่มา ผู้ส่งอีเมลขยะบางคนจะพยายามดูว่าที่อยู่ใดที่ใช้งานได้ / ถูกต้องโดยการวิเคราะห์backscatterเพื่อสร้างแผนที่ของที่อยู่ที่ใช้งานได้
  • ย้อนกลับการตรวจสอบ DNS / PTR - ตรวจสอบว่าเซิร์ฟเวอร์ที่ส่งมีเร็กคอร์ด PTR ย้อนกลับที่ถูกต้อง สิ่งนี้ไม่จำเป็นต้องตรงกับโดเมนต้นทางเนื่องจากเป็นไปได้ที่จะมีการจับคู่โดเมนแบบหลายต่อหนึ่งกับโฮสต์ แต่เป็นการดีที่จะระบุความเป็นเจ้าของของพื้นที่ IP และเพื่อตรวจสอบว่าเซิร์ฟเวอร์ต้นทางนั้นเป็นส่วนหนึ่งของบล็อก IP แบบไดนามิกหรือไม่ (เช่นอ่านผ่านบรอดแบนด์ภายในบ้าน: สแปมบอทที่ถูกบุกรุก)
  • การกรองเนื้อหา - (ไม่น่าเชื่อถือ) - การพยายามต่อต้านการเรียงสับเปลี่ยนของ "(Viagra, v \ | agra, viagra, vilgra.)" ใช้เวลานานสำหรับผู้ดูแลระบบและไม่ขยายในสภาพแวดล้อมที่กว้างขึ้น
  • ตัวกรองแบบเบย์ - โซลูชันสแปมขั้นสูงเพิ่มเติมอนุญาตให้ทำการฝึกอบรมทางอีเมลหรือทั่วโลกต่อผู้ใช้ อ่านบทความที่เชื่อมโยงกับการวิเคราะห์พฤติกรรม แต่ประเด็นหลักคือจดหมายนั้นสามารถจัดประเภทด้วยตนเองว่าดี (แฮม) หรือไม่ดี (สแปม) และข้อความที่เป็นผลลัพธ์จะเติมฐานข้อมูล Bayesian ที่สามารถอ้างอิงได้เพื่อกำหนดประเภทของข้อความในอนาคต โดยทั่วไปแล้วสิ่งนี้เกี่ยวข้องกับคะแนนสแปมหรือการถ่วงน้ำหนักและสามารถเป็นหนึ่งในเทคนิคจำนวนหนึ่งที่ใช้ในการพิจารณาว่าควรส่งข้อความหรือไม่
  • การควบคุมอัตรา / การควบคุมปริมาณ - วิธีการง่าย ๆ จำกัด จำนวนข้อความที่เซิร์ฟเวอร์ที่ระบุสามารถพยายามส่งภายในระยะเวลาที่กำหนด เลื่อนข้อความทั้งหมดที่เกินเกณฑ์นั้น โดยปกติจะกำหนดค่าทางด้านเซิร์ฟเวอร์เมล
  • โฮสต์และกรองข้อมูลบนคลาวด์ Postiniมาถึงใจเป็นที่เป็นเมฆแก้ปัญหาก่อนที่เมฆเป็น buzzword ขณะนี้ Google เป็นเจ้าของจุดแข็งของโซลูชันโฮสต์คือมีการประหยัดต่อขนาดในการประมวลผลปริมาณจดหมายที่พบ การวิเคราะห์ข้อมูลและการเข้าถึงทางภูมิศาสตร์อย่างง่ายสามารถช่วยแก้ปัญหาการกรองสแปมที่โฮสต์ได้ปรับให้เข้ากับแนวโน้ม การดำเนินการเป็นเรื่องง่าย แต่ 1) ชี้ระเบียน MX ของคุณไปยังโซลูชันที่โฮสต์ 2) ระบุที่อยู่การจัดส่งเซิร์ฟเวอร์การกรอง 3) กำไร

แนวทางปัจจุบันของฉัน:

ฉันเป็นผู้สนับสนุนที่แข็งแกร่งของโซลูชันสแปมบนอุปกรณ์ ฉันต้องการปฏิเสธที่ขอบเขตของเครือข่ายและบันทึกรอบของ CPU ที่ระดับเมลเซิร์ฟเวอร์ การใช้อุปกรณ์ยังให้ความเป็นอิสระจากโซลูชันเซิร์ฟเวอร์จดหมายจริง (ตัวแทนจัดส่งจดหมาย)

ฉันแนะนำเครื่องใช้ตัวกรองสแปม Barracudaด้วยเหตุผลหลายประการ ฉันปรับใช้หลายสิบหน่วยและอินเทอร์เฟซที่ขับเคลื่อนด้วยเว็บความคิดของอุตสาหกรรมและอุปกรณ์เครื่องใช้ที่ทำให้ลืมได้ เทคโนโลยีแบ็กเอนด์รวมเทคนิคต่าง ๆ ที่ระบุไว้ข้างต้น

  • ฉันบล็อกพอร์ต 25 บนที่อยู่ IP ของเซิร์ฟเวอร์อีเมลของฉันและแทนที่จะตั้งค่าระเบียน MX สำหรับโดเมนเป็นที่อยู่สาธารณะของอุปกรณ์ Barracuda เช่น spam.domain.com พอร์ต 25 จะเปิดให้ส่งจดหมาย
  • แกนกลางคือSpamAssassinซึ่งได้รับการเชื่อมต่ออย่างง่าย ๆ กับบันทึกข้อความ (และฐานข้อมูล Bayesian) ที่สามารถใช้ในการจำแนกจดหมายที่ดีจากอีเมลที่ไม่ดีในช่วงระยะเวลาการฝึกอบรมเบื้องต้น
  • Barracuda ยกระดับ RBL หลายโดยเริ่มต้นรวมทั้งเหล่านั้นโดยSpamhaus.orgและของตัวเองฐานข้อมูลชื่อเสียง BRBL หมายเหตุ - BRBLใช้งานฟรีเป็น RBL มาตรฐานสำหรับระบบอีเมลอื่น
  • ฐานข้อมูลชื่อเสียงของ Barracuda รวบรวมจากข้อมูลสด honeypots การวิเคราะห์ขนาดใหญ่และเทคนิคที่เป็นกรรมสิทธิ์ใด ๆ มีรายการที่อนุญาตและบล็อกที่ลงทะเบียนไว้ ผู้ส่งจดหมายที่มีปริมาณมากและมีความสามารถในการมองเห็นสูงมักลงทะเบียนกับ Barracuda เพื่อการยกเว้นอัตโนมัติ ตัวอย่างเช่น Blackberry, การติดต่ออย่างต่อเนื่องเป็นต้น
  • สามารถเปิดใช้งานการตรวจสอบ SPF ได้ (ฉันไม่ได้เปิดใช้งาน)
  • มีอินเทอร์เฟซสำหรับตรวจสอบจดหมายและส่งซ้ำจากแคชจดหมายของอุปกรณ์ตามความจำเป็น สิ่งนี้มีประโยชน์ในกรณีที่ผู้ใช้คาดว่าจะได้รับข้อความที่อาจไม่ผ่านการตรวจสอบสแปมทั้งหมด
  • การตรวจสอบผู้ใช้ LDAP / Active Directory ช่วยเร่งการตรวจหาผู้รับจดหมายที่ไม่ถูกต้อง นี้ช่วยประหยัดแบนด์วิดธ์และป้องกันแสงสะท้อน
  • สามารถกำหนดค่าที่อยู่ IP / ผู้ส่ง / โดเมน / ประเทศต้นทางได้ ถ้าฉันต้องการปฏิเสธเมลทั้งหมดจากคำต่อท้ายโดเมนอิตาลีเป็นไปได้ หากฉันต้องการป้องกันจดหมายจากโดเมนใดโดเมนหนึ่งมันก็กำหนดค่าได้ง่าย หากฉันต้องการปิดกั้นสตอล์กเกอร์ของผู้ใช้ไม่ให้ส่งอีเมลถึงผู้ใช้มันเป็นไปได้ (เรื่องจริง)
  • Barracuda มีรายงานแบบบรรจุกระป๋องจำนวนมากและแสดงภาพสถานะเครื่องใช้ไฟฟ้าและมาตรวัดสแปมได้อย่างดี
  • ฉันชอบมีอุปกรณ์ในสถานที่เพื่อให้การประมวลผลนี้อยู่ในบ้านและอาจมีการเชื่อมต่อ journaling อีเมลแบบกรองหลัง (ในสภาพแวดล้อมที่จำเป็นต้องเก็บรักษาจดหมาย)
  • พลัสเครื่องสามารถอยู่ในโครงสร้างพื้นฐานแบบเวอร์ช่ว

คอนโซลสถานะ Barracuda Spam & Virus Firewall 300 ป้อนคำอธิบายรูปภาพที่นี่


วิธีการใหม่กว่า:

ฉันทดลองใช้บริการรักษาความปลอดภัยอีเมลผ่านระบบคลาวด์ของ Barracudaในช่วงเดือนที่ผ่านมา สิ่งนี้คล้ายกับโซลูชันโฮสต์อื่น ๆ แต่เหมาะสมกับไซต์ขนาดเล็กซึ่งอุปกรณ์ราคาแพงนั้นต้องห้ามด้านต้นทุน สำหรับค่าธรรมเนียมรายปีเล็กน้อยบริการนี้ให้ประมาณ 85% ของสิ่งที่อุปกรณ์ฮาร์ดแวร์ทำ บริการยังสามารถทำงานควบคู่กับอุปกรณ์ภายในอาคารเพื่อลดแบนด์วิดท์ที่เข้ามาและให้ความปลอดภัยอีกชั้นหนึ่ง นอกจากนี้ยังเป็นบัฟเฟอร์ที่ดีที่สามารถเก็บจดหมายในกรณีที่เซิร์ฟเวอร์ขัดข้อง การวิเคราะห์ยังคงมีประโยชน์แม้ว่าจะไม่ได้รายละเอียดเหมือนกับหน่วยทางกายภาพ

Barracuda Cloud Email Security console ป้อนคำอธิบายรูปภาพที่นี่

โดยรวมแล้วฉันได้ลองใช้วิธีแก้ปัญหามากมาย แต่ด้วยขนาดของสภาพแวดล้อมบางอย่างและความต้องการที่เพิ่มขึ้นของฐานผู้ใช้ฉันต้องการโซลูชันที่หรูหราที่สุด การใช้วิธีการหลายง่ามและ "การกลิ้งของคุณเอง" เป็นไปได้อย่างแน่นอน แต่ฉันทำได้ดีกับการรักษาความปลอดภัยขั้นพื้นฐานและการใช้งานการตรวจสอบอุปกรณ์ Barracuda ที่ดี ผู้ใช้มีความสุขมากกับผลลัพธ์

หมายเหตุ: Cisco Ironportนั้นยอดเยี่ยมเช่นกัน ... ราคาถูกกว่า


25

ส่วนหนึ่งฉันรับรองสิ่งที่คนอื่นพูด ส่วนหนึ่งฉันทำไม่ได้

Spamassassin

นี้ทำงานได้เป็นอย่างดีสำหรับฉัน แต่คุณจำเป็นต้องใช้เวลาในการฝึกอบรมกรองคชกรรมกับทั้งแฮมและสแปม

greylisting

ewwhite อาจรู้สึกว่าวันนั้นมาถึงแล้ว แต่ฉันก็ไม่เห็นด้วย หนึ่งในลูกค้าของฉันถามว่าตัวกรองต่าง ๆ ของฉันมีประสิทธิภาพอย่างไรดังนั้นนี่คือสถิติโดยประมาณสำหรับเดือนกรกฎาคม 2012 สำหรับจดหมายเซิร์ฟเวอร์ส่วนบุคคลของฉัน:

  • พยายามส่งข้อความ 46,000 ข้อความ
  • 2293 ได้ผ่าน greylisting
  • 250 ได้ผ่าน greylisting + spamassassin ที่ผ่านการฝึกอบรม

ดังนั้นประมาณ 44,000 ไม่เคยทำมันผ่าน greylisting; ถ้าฉันไม่มี greylisting และยอมรับทุกสิ่งพวกเขาต้องการการกรองสแปมทั้งหมดโดยใช้ CPU และหน่วยความจำและแบนด์วิดท์แน่นอน

แก้ไข : เนื่องจากคำตอบนี้ดูเหมือนจะมีประโยชน์กับบางคนฉันคิดว่าฉันจะนำสถิติที่ทันสมัย ดังนั้นฉันจึงทำการวิเคราะห์ในบันทึกอีเมลอีกครั้งจากเดือนมกราคม 2015 2.5 ปีต่อมา

  • พยายามส่งข้อความ 115,500 ข้อความ
  • มีการผ่าน greylisting 13,300 (และการตรวจสติพื้นฐานบางอย่างเช่นโดเมนผู้ส่งที่ถูกต้อง)
  • 8,500 ได้ผ่าน greylisting + spamassassin ที่ผ่านการฝึกอบรม

ตัวเลขนั้นไม่สามารถเปรียบเทียบได้โดยตรงเพราะฉันไม่มีบันทึกว่าฉันไปถึงตัวเลขปี 2555 ได้อย่างไรดังนั้นฉันจึงไม่สามารถมั่นใจได้ว่าวิธีการเหมือนกัน แต่ฉันมีความมั่นใจว่าฉันไม่จำเป็นต้องเรียกใช้การกรองสแปมที่มีราคาแพงในเนื้อหาที่น่าสะพรึงกลัวในตอนนั้น

SPF

นี่ไม่ใช่เทคนิคการต่อต้านอีเมลขยะจริงๆ แต่มันสามารถลดจำนวนแบ็คสแตทเตอร์ที่คุณต้องรับมือได้หากคุณเป็นโจเซฟ คุณควรใช้ทั้งในและนอกนั่นคือ: คุณควรตรวจสอบระเบียน SPF ของผู้ส่งเพื่อดูอีเมลขาเข้าและยอมรับ / ปฏิเสธตามนั้น นอกจากนี้คุณยังควรเผยแพร่ระเบียน SPF ของคุณเองได้อย่างเต็มที่รายการเครื่องทั้งหมดที่ได้รับการอนุมัติในการส่งอีเมลที่คุณและล็อคออกอื่น ๆ -allทั้งหมดที่มี ระเบียน SPF ที่ไม่ได้จบลง-allนั้นไร้ประโยชน์อย่างสมบูรณ์

รายการ Blackhole

RBLs เป็นปัญหาเนื่องจากคนหนึ่งสามารถเข้าถึงพวกเขาได้โดยไม่มีความผิดของตัวเองและพวกเขาก็ยากที่จะลง อย่างไรก็ตามพวกเขามีการใช้งานที่ถูกต้องตามกฎหมายในการต่อสู้กับสแปมแบบ แต่ฉันจะขอแนะนำว่าไม่ควร RBL เคยถูกนำมาใช้เป็นแบบทดสอบที่สดใสเส้นสำหรับการยอมรับอีเมล สแปมเมอร์assinจัดการกับ RBL ได้อย่างไรโดยการใช้หลาย ๆ อย่างซึ่งแต่ละอันมีผลต่อคะแนนรวมและเป็นคะแนนที่ทำให้การตัดสินใจยอมรับ / ปฏิเสธนั้นดีกว่ามาก

Dropbox

ผมไม่ได้หมายถึงการให้บริการในเชิงพาณิชย์ฉันหมายความว่าเซิร์ฟเวอร์อีเมลของฉันมีอยู่หนึ่งซึ่งตัดผ่านทั้งหมด greylisting และตัวกรองสแปมของฉัน แต่แทนที่จะส่งไปยังกล่องจดหมายของทุกคนมันจะไปยังโฟลเดอร์โลกเขียนได้ใน/varซึ่งเป็น ตัดอีเมลทุกคืนที่อายุเกิน 14 วันโดยอัตโนมัติ

ฉันขอแนะนำให้ผู้ใช้ทุกคนใช้ประโยชน์จากมันเมื่อเช่นกรอกแบบฟอร์มอีเมลที่ต้องมีที่อยู่อีเมลที่ถูกต้องซึ่งคุณจะได้รับอีเมลหนึ่งฉบับที่คุณต้องการเก็บไว้ แต่จากที่คุณไม่ต้องการได้ยินอีกหรือเมื่อซื้อ จากผู้ขายออนไลน์ที่มีแนวโน้มว่าจะขายและ / หรือสแปมที่อยู่ของพวกเขา (โดยเฉพาะผู้ที่อยู่นอกขอบเขตของกฎหมายความเป็นส่วนตัวของยุโรป) แทนที่จะให้ที่อยู่ที่แท้จริงของเธอผู้ใช้สามารถให้ที่อยู่ดรอปบ็อกซ์และดูในดรอปบ็อกซ์เฉพาะเมื่อเธอคาดหวังอะไรจากผู้สื่อข่าว (โดยปกติจะเป็นเครื่อง) เมื่อมันมาถึงเธอสามารถเลือกออกมาและบันทึกลงในชุดจดหมายที่เหมาะสม ผู้ใช้ไม่จำเป็นต้องดูในดรอปบ็อกซ์ในเวลาอื่น


ฉันชอบแนวคิดที่อยู่ดรอปบ็อกซ์จริงๆ
blalor

Greylisting เป็นทางออกที่ "เห็นแก่ตัว"; มันล่าช้าจดหมายจำนวนมากที่ถูกต้องตามกฎหมายและในขณะที่เซิร์ฟเวอร์อีเมลใช้งานมากขึ้นสแปมเมอร์จำนวนมากขึ้นเรื่อย ๆ จะมั่นใจได้ว่าสแปมของพวกเขาจะแข็งแกร่ง ในที่สุดเราก็แพ้ ฉันจะแนะนำ greylisting สำหรับการปรับใช้ขนาดเล็กและขอแนะนำอย่างยิ่งกับการปรับใช้ที่ใหญ่กว่า พิจารณาการทำผ้าใบกันน้ำแทน Milter-greylistสามารถทำได้เช่นกัน
Adam Katz

1
@ AdamKatz ซึ่งเป็นมุมมองที่แน่นอน ฉันไม่แน่ใจว่าผู้ส่งอีเมลขยะควรทำให้สแปมของตนแข็งแกร่งต่อการเป็น greylisting ได้อย่างไรโดยไม่ละทิ้งสแปมไฟและลืมในกรณีนี้งานที่ทำ - ต่างจากการเอาชนะ tarpitting ซึ่งต้องการการปรับปรุงโค้ดขนาดเล็กในซอมบี้ แต่ฉันไม่เห็นด้วยกับคุณเกี่ยวกับความเห็นแก่ตัว เมื่ออธิบายการแลกเปลี่ยน (ถ้าคุณต้องการอีเมลแบบเรียลไทม์สำหรับผู้ติดต่อที่ไม่สม่ำเสมอจดหมายและงบประมาณเพิ่มขึ้นยี่สิบเท่า) ส่วนใหญ่ชอบความล่าช้า
MadHatter

@AdamKatz โปรดทราบด้วยว่า "ดรอปบ็อกซ์" ด้านบนของฉันไม่ได้รับความนิยมโดย greylisting ดังนั้นผู้ใช้ทุกคนที่ต้องการรับอีเมลที่ได้รับการจัดการล่วงหน้าอย่างทันท่วงทีจะมีวิธีแก้ไขปัญหาอัตโนมัติ - พวกเขารู้ว่าจะให้ที่อยู่ "ทันที" และจับตาที่ดรอปบ็อกซ์จนกว่าจะได้รับรายการเฉพาะ
MadHatter

1
@ AdamKatz เนื่องจาก greylist ของฉันยืนยันในช่องว่าง 10 นาทีระหว่างความพยายามในการจัดส่งครั้งแรกและครั้งที่ประสบความสำเร็จการหยุด 15 นาทีเป็นความยากลำบากที่สำคัญ สำหรับความคาดหวังของผู้ใช้ผู้ใช้สามารถจัดการ (และแน่นอน) ได้เช่นเดียวกับคนอื่น ๆ ส่วนที่เหลือของการโต้แย้งของคุณน่าเชื่อถือมากขึ้น - บางทีคุณอาจเพิ่มคำตอบของคุณเองแนะนำตัวเลขที่เป็นรูปธรรมเกี่ยวกับประสิทธิผลของการทำผ้าใบกันน้ำในการปรับใช้ของคุณ? เราสามารถทฤษฎีเกี่ยวกับประสิทธิภาพญาติคาดว่าตลอด แต่ข้อมูลมีมาก enlightening - nullius ใน Verba !
MadHatter

14

ฉันใช้เทคนิคหลายอย่างที่ช่วยลดสแปมให้อยู่ในระดับที่ยอมรับได้

ความล่าช้าในการยอมรับการเชื่อมต่อจากเซิร์ฟเวอร์ที่กำหนดค่าไม่ถูกต้อง สแปมที่ฉันได้รับส่วนใหญ่มาจากสแปมบอทที่รันบนระบบที่ติดมัลแวร์ สิ่งเหล่านี้เกือบทั้งหมดไม่ผ่านการตรวจสอบ rDNS การล่าช้าเป็นเวลา 30 วินาทีหรือมากกว่านั้นก่อนการตอบกลับแต่ละครั้งจะทำให้สแปมบอทส่วนใหญ่ยอมแพ้ก่อนที่จะส่งข้อความ การใช้สิ่งนี้กับเซิร์ฟเวอร์ที่ล้มเหลว rDNS เพื่อหลีกเลี่ยงการลงโทษเซิร์ฟเวอร์ที่ตั้งค่าไว้อย่างเหมาะสม ผู้ส่งจำนวนมากหรือผู้ส่งอัตโนมัติที่ถูกกำหนดค่าอย่างไม่ถูกต้องบางคนอาจได้รับการลงโทษ

การกำหนดค่า SPF สำหรับโดเมนทั้งหมดของคุณจะปกป้องโดเมนของคุณ ไม่ควรใช้โดเมนย่อยส่วนใหญ่ในการส่งอีเมล ข้อยกเว้นหลักคือโดเมน MX ซึ่งจะต้องสามารถส่งจดหมายได้ด้วยตนเอง จำนวนผู้ส่งที่ถูกต้องตามกฎหมายจำนวนมากและ mail อัตโนมัติไปยังเซิร์ฟเวอร์ที่ไม่ได้รับอนุญาตตามนโยบายของพวกเขา การชะลอการแทนที่จะปฏิเสธตามค่า SPF ช่วยให้พวกเขาแก้ไขการกำหนดค่า SPF ของพวกเขาหรือคุณอนุญาตรายการที่อนุญาต

ต้องการ FQDN (ชื่อโดเมนที่ผ่านการรับรองโดยสมบูรณ์) ในคำสั่ง HELO / EHLO จดหมายขยะมักจะใช้ชื่อโฮสต์, ตัวอักษรที่อยู่, ที่อยู่ IP หรือ TLD ที่ไม่ถูกต้อง (โดเมนระดับบนสุด) ที่ไม่ถูกต้อง น่าเสียดายที่ผู้ส่งที่ถูกกฎหมายบางรายใช้ TLD ที่ไม่ถูกต้องดังนั้นจึงอาจเหมาะสมกว่าที่จะเลื่อนในกรณีนี้ สิ่งนี้อาจต้องการการตรวจสอบและรายการที่อนุญาตพิเศษเพื่อเปิดใช้งานอีเมล

DKIM ช่วยด้วยการปฏิเสธไม่ได้ แต่ไม่เป็นประโยชน์อย่างมาก ประสบการณ์ของฉันคือว่าสแปมไม่น่าจะมีการลงนาม แฮมมีแนวโน้มที่จะได้รับการลงนามมากขึ้นดังนั้นจึงมีค่าบางอย่างในการให้คะแนนสแปม ผู้ส่งที่ถูกกฎหมายจำนวนหนึ่งไม่เผยแพร่กุญแจสาธารณะหรือกำหนดค่าระบบของพวกเขาอย่างไม่เหมาะสม

Greylisting มีประโยชน์สำหรับเซิร์ฟเวอร์ที่แสดงสัญญาณของการกำหนดค่าผิดพลาด เซิร์ฟเวอร์ที่ได้รับการกำหนดค่าอย่างเหมาะสมจะผ่านในที่สุดดังนั้นฉันมักจะแยกพวกเขาออกจาก greylisting มันมีประโยชน์สำหรับผู้ใช้ Freemailers greylist เนื่องจากมีแนวโน้มที่จะใช้เป็นครั้งคราวสำหรับสแปม การหน่วงเวลาใช้เวลาในการกรองตัวกรองสแปมเพื่อดักจับตัวกรองสแปม นอกจากนี้ยังมีแนวโน้มที่จะหันเหความสนใจของสแปมบอทเนื่องจากพวกเขามักจะไม่ลองอีกครั้ง

บัญชีดำและบัญชีขาวสามารถช่วยเหลือได้เช่นกัน

  • ฉันพบว่า Spamhaus เป็นบัญชีดำที่เชื่อถือได้
  • Auto WhiteListing ในตัวกรองจดหมายขยะช่วยให้การจัดอันดับผู้ส่งบ่อย ๆ เป็นไปอย่างราบรื่นเป็นครั้งคราวหรือสแปมเมอร์ซึ่งเป็น Hamish เป็นครั้งคราว
  • ฉันพบว่ารายการที่อนุญาตของ dnsl.org มีประโยชน์เช่นกัน

ซอฟต์แวร์กรองสแปมนั้นค่อนข้างดีในการค้นหาสแปมแม้ว่าบางอันจะผ่านไปได้ มันอาจเป็นการยากหากจะลบค่า false ให้อยู่ในระดับที่เหมาะสมโดยไม่ต้องเพิ่มค่าบวกที่ผิดมากเกินไป ฉันพบว่า Spamassassin จับสแปมส่วนใหญ่ที่มาถึง ฉันได้เพิ่มกฎที่กำหนดเองสองสามข้อเพื่อให้เหมาะกับความต้องการของฉัน

ผู้ดูแลระบบควรกำหนดค่าที่อยู่ที่ไม่เหมาะสมและที่อยู่ของผู้ดูแลระบบ รับทราบข้อเสนอแนะที่คุณได้รับไปยังที่อยู่เหล่านี้และดำเนินการกับมัน วิธีนี้ช่วยให้ผู้อื่นช่วยให้คุณมั่นใจได้ว่าเซิร์ฟเวอร์ของคุณได้รับการกำหนดค่าอย่างเหมาะสมและไม่ได้มาจากสแปม

หากคุณเป็นนักพัฒนาให้ใช้บริการอีเมลที่มีอยู่แทนที่จะตั้งค่าเซิร์ฟเวอร์ของคุณเอง เป็นประสบการณ์ของฉันที่การตั้งค่าเซิร์ฟเวอร์สำหรับผู้ส่งจดหมายอัตโนมัติมีแนวโน้มที่จะกำหนดค่าไม่ถูกต้อง ตรวจสอบ RFC และส่งอีเมลที่จัดรูปแบบอย่างถูกต้องจากที่อยู่ที่ถูกต้องในโดเมนของคุณ

ผู้ใช้สามารถทำหลายสิ่งเพื่อช่วยลดสแปม:

  • อย่าเปิดมัน ติดธงว่าเป็นสแปมหรือลบทิ้ง
  • ตรวจสอบว่าระบบของคุณปลอดภัยและปราศจากมัลแวร์
  • ตรวจสอบการใช้เครือข่ายของคุณโดยเฉพาะเมื่อคุณไม่ได้ใช้ระบบของคุณ ถ้ามันสร้างการรับส่งข้อมูลเครือข่ายจำนวนมากเมื่อคุณไม่ได้ใช้มันอาจเป็นการส่งสแปม
  • ปิดเครื่องคอมพิวเตอร์เมื่อไม่ได้ใช้งาน (มันจะไม่สามารถสร้างสแปมได้หากปิดอยู่)

เจ้าของโดเมน / ISP สามารถช่วยได้โดย จำกัด การเข้าถึงอินเทอร์เน็ตบนพอร์ต 25 (SMTP) ไปยังเซิร์ฟเวอร์อีเมลทางการ สิ่งนี้จะจำกัดความสามารถของสแปมบอทในการส่งไปยังอินเทอร์เน็ต นอกจากนี้ยังช่วยเมื่อที่อยู่ไดนามิกส่งคืนชื่อที่ไม่ผ่านการตรวจสอบ rDNS ยิ่งไปกว่านั้นคือการตรวจสอบระเบียน PTR สำหรับเมลเซิร์ฟเวอร์จะผ่านการประเมินค่า rDNS (ตรวจสอบข้อผิดพลาดในการพิมพ์เมื่อกำหนดค่าเรคคอร์ด PTR สำหรับลูกค้าของคุณ)

ฉันเริ่มจำแนกอีเมลในสามหมวดหมู่:

  • แฮม (เกือบทุกครั้งจากเซิร์ฟเวอร์ที่กำหนดค่าอย่างเหมาะสมรูปแบบที่เหมาะสมและอีเมลส่วนตัวโดยทั่วไป)
  • สแปม (ส่วนใหญ่มาจากสแปมบอท แต่มีเปอร์เซ็นต์บางส่วนจากผู้ใช้บริการอิสระหรือผู้ส่งอื่น ๆ ที่มีเซิร์ฟเวอร์ที่กำหนดค่าไว้อย่างไม่เหมาะสม)
  • Bacn; อาจเป็นแฮมหรือสแปม (รวมถึงจดหมายจำนวนมากจากรายชื่อผู้รับจดหมายและระบบอัตโนมัติแฮมมักจะจบลงที่นี่เพราะ DNS และ / หรือการกำหนดค่าเซิร์ฟเวอร์ผิด)

Bacn (หมายเหตุที่ขาดหายไปo) เป็นคำมาตรฐานที่อ้างถึง "เมลที่คุณต้องการ แต่ไม่ใช่ตอนนี้" หมวดหมู่สำหรับจดหมายอีกฉบับหนึ่งคือ Graymailซึ่งเป็นจดหมายขยะที่ไม่ได้เป็นสแปมในทางเทคนิคและอาจเป็นที่ต้องการของผู้รับบางคนที่ผู้อื่นต้องการ
Adam Katz

6

โซลูชันที่มีประสิทธิภาพสูงสุดที่ฉันเคยเห็นคือใช้บริการกรองจดหมายภายนอกหนึ่งใน

ฉันมีประสบการณ์กับบริการต่อไปนี้ที่ลูกค้าปัจจุบัน ฉันแน่ใจว่ามีคนอื่น แต่ละสิ่งเหล่านี้ทำงานได้ยอดเยี่ยมในประสบการณ์ของฉัน ราคาสมเหตุสมผลสำหรับทั้งสาม

  • Postiniจาก Google
  • MXLogicจาก McAfee
  • SecureTideจาก AppRiver

บริการมีข้อได้เปรียบมากมายเหนือโซลูชันท้องถิ่น

  1. พวกเขาหยุดยั้งสแปมส่วนใหญ่ (> 99%) ก่อนที่มันจะกระทบการเชื่อมต่ออินเทอร์เน็ตและเซิร์ฟเวอร์อีเมลของคุณ เมื่อพิจารณาจากปริมาณสแปมนี่เป็นข้อมูลจำนวนมากที่ไม่ได้อยู่ในแบนด์วิดท์ของคุณและไม่ใช่ในเซิร์ฟเวอร์ของคุณ ฉันใช้งานหนึ่งในบริการเหล่านี้หลายสิบครั้งและทุกบริการส่งผลให้มีการปรับปรุงประสิทธิภาพของเซิร์ฟเวอร์อีเมล

  2. พวกเขายังทำการกรองแอนตี้ไวรัสโดยทั่วไปแล้วทั้งสองทิศทาง สิ่งนี้จะช่วยลดความจำเป็นที่จะต้องมีโซลูชัน "mail anti-virus" บนเซิร์ฟเวอร์ของคุณและยังทำให้ virii สมบูรณ์

พวกเขายังทำงานได้อย่างยอดเยี่ยมในการบล็อกสแปม ใน 2 ปีที่ทำงานกับ บริษัท ที่ใช้ MXLogic ฉันไม่เคยมีข้อผิดพลาดที่เป็นบวกและสามารถนับจำนวนข้อความสแปมที่ถูกต้องที่ผ่านมาได้ด้วยมือเดียว


2
+1 สำหรับการรับรู้ถึงประโยชน์ของโซลูชันที่โฮสต์และสถานะการออนไลน์ / สเกลและผลประโยชน์การจราจรลดลง ปัญหาเดียวที่ฉันพบคือการขาดการปรับแต่งและการตอบสนองในบางกรณี (จากมุมมองของคนที่ต้องส่งไปยังโดเมนที่ได้รับการคุ้มครองโดยบริการเหล่านั้น) นอกจากนี้บาง บริษัท มีเหตุผลด้านความปลอดภัย / การปฏิบัติตามกฎระเบียบเนื่องจากไม่สามารถใช้การกรองภายนอก
ewwhite

5

ไม่มีสองสภาพแวดล้อมของเมลที่เหมือนกัน ดังนั้นการสร้างโซลูชันที่มีประสิทธิภาพจะต้องใช้การทดลองและข้อผิดพลาดมากมายรอบ ๆ เทคนิคต่าง ๆ ที่มีอยู่เนื่องจากเนื้อหาของอีเมลการรับส่งข้อมูลซอฟต์แวร์เครือข่ายผู้ส่งผู้รับและอื่น ๆ อีกมากมายจะแตกต่างกันอย่างมากในสภาพแวดล้อมที่แตกต่างกัน

อย่างไรก็ตามฉันพบว่ารายการบล็อก (RBL) ต่อไปนี้เหมาะสำหรับการกรองทั่วไป:

ตามที่ระบุไว้แล้ว SpamAssassin เป็นทางออกที่ดีเมื่อกำหนดค่าอย่างถูกต้องเพียงตรวจสอบให้แน่ใจว่าได้ติดตั้งโมดูล addon Perl จำนวนมากใน CPAN ให้มากที่สุดเท่าที่จะทำได้เช่นเดียวกับมีดโกน, Pyzor และ DCC Postfix ใช้งานได้ดีกับ SpamAssassin และง่ายต่อการจัดการและกำหนดค่ามากกว่า EXIM

ในที่สุดการปิดกั้นลูกค้าในระดับ IP โดยใช้ fail2ban และ iptables หรือคล้ายกันในช่วงเวลาสั้น ๆ (พูดวันหนึ่งถึงหนึ่งสัปดาห์) หลังจากเหตุการณ์บางอย่างเช่นการเรียกใช้การโจมตีบน RBL สำหรับพฤติกรรมที่ไม่เหมาะสมอาจมีประสิทธิภาพมาก เหตุใดทรัพยากรเสียจึงพูดกับโฮสต์ที่ติดเชื้อไวรัสที่รู้จัก

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.