อะไรคือวิธีที่ดีที่สุดในการจับสแปม Snowshoe


21

ฉันใช้ Smartermail สำหรับจดหมายเซิร์ฟเวอร์ขนาดเล็กของฉัน เราประสบปัญหาเมื่อไม่นานมานี้ที่ได้รับจดหมายขยะจากsnowshoeซึ่งเป็นไปตามรูปแบบเดียวกัน พวกเขามาในคราวละ 3 หรือ 4 ครั้ง เนื้อความนั้นเกือบจะเหมือนกันในการบันทึกสำหรับชื่อโดเมนที่ลิงก์ไป IP ต้นทางต้นทางมีแนวโน้มที่จะมาจาก / 24 block เดียวกันสำหรับชั่วขณะหนึ่งแล้วเปลี่ยนเป็นอีก / 24 โดเมนมีแนวโน้มที่จะเป็นแบรนด์ใหม่ พวกเขามีเร็กคอร์ด PTR และ SPF ที่ถูกต้องและมีการพูดพล่อยๆแบบสุ่มที่ด้านล่างของร่างกายเพื่อหลอกตัวกรองเบย์

ฉันใช้ RBL หลายโหลหรือหลายแบบรวมถึง Barracuda, Spamhaus, SURBL และ URIBL พวกเขาทำงานได้ดีและดึงดูดพวกเขาส่วนใหญ่ แต่เรายังคงได้รับความสนใจอย่างมากเนื่องจาก IP และโดเมนไม่ได้ขึ้นบัญชีดำ

มีกลยุทธ์ใดบ้างที่ฉันสามารถใช้รวมถึง RBL ที่บล็อกโดเมนที่สร้างขึ้นใหม่หรือจัดการโดยเฉพาะกับสแปม snoeshow ฉันหวังว่าจะไม่ต้องใช้บริการกรองของบุคคลที่สาม


2
ฉันขอแนะนำให้แก้ไขชื่อของคุณเพื่อให้สิ่งนี้ชี้ให้เห็นน้อยลงในทิศทางของ "ฉันควรใช้ผลิตภัณฑ์ใด" เพราะคำถามการช็อปปิ้งไม่ใช่หัวข้อสำหรับไซต์ Stack Exchange การลดการโจมตี Snowshoe เป็นหัวข้อที่ดีสำหรับ ServerFault แต่และฉันจะขอให้เพื่อนร่วมงานของฉันแสดงความคิดเห็น
Andrew B

มีประโยชน์ในการทราบว่าSnoeshowคืออะไรสแปม
ewwhite

1
RBL ส่วนใหญ่เป็นบริการฟรีที่ผู้ดูแลระบบอีเมลทุกคนสามารถใช้ได้ นั่นนับว่าเป็นการช็อปปิ้งหรือไม่?
pooter03

ใช่เพราะไม่ว่าจะว่างหรือไม่คำตอบนั้นใช้ได้สำหรับช่วงเวลาใดเวลาหนึ่งเท่านั้น (ซึ่งลิงก์นั้นเชื่อมโยงอยู่) บริษัท มักเลิกกิจการตลอดเวลารวมถึง บริษัท ที่ให้บริการฟรี
Andrew B

1
ฉันเปลี่ยนคำถาม โปรดแจ้งให้เราทราบหากนี่เหมาะสมกว่า
pooter03

คำตอบ:


14

สิ่งนี้กลายเป็นปัญหาที่แท้จริงสำหรับผู้ใช้ของคุณหรือไม่?

ในตอนนี้ฉันขอแนะนำบริการกรองอีเมลแบบเต็ม Bayesian ไม่ได้ร้อนแรงอีกต่อไป ชื่อเสียง, RBL, การวิเคราะห์ส่วนหัว / เจตนาและปัจจัยอื่น ๆ ดูเหมือนจะช่วยได้มากขึ้น พิจารณาบริการการกรองแบบคลาวด์เพื่อรวมวิธีการต่างๆ ( และปริมาณรวม ) เพื่อให้การป้องกันที่ดีกว่า ( ฉันใช้โซลูชันคลาวด์ ESS ของ Barracuda สำหรับลูกค้าของฉัน )

และแน่นอน: การต่อสู้กับสแปม - ฉันจะทำอะไรได้บ้างในฐานะผู้ดูแลระบบอีเมลเจ้าของโดเมนหรือผู้ใช้

เราไม่ได้รับผลกระทบในทางลบจากการอัพติคในการโจมตี Snowshoe ฉันเห็นช่วงเวลาที่ปริมาณจดหมายเพิ่มขึ้นสามเท่าในแต่ละวันจากการโจมตีเหล่านี้ แต่ไม่มีสิ่งเลวร้ายที่ทำให้มันผ่าน ใน 3 วัน Barracuda นำปริมาณลงมาสู่ระดับปกติ

ฉันคิดว่าโซลูชันการกรองที่มีมุมมองกว้างของกิจกรรมจดหมายทั่วโลกสามารถตอบสนองต่อการโจมตีได้ดีกว่าตัวกรองจดหมายแต่ละรายการ

แก้ไข:

สิ่งนี้ถูกกล่าวถึงเมื่อเร็ว ๆ นี้ในรายชื่อผู้รับจดหมายLOPSA :

ความช่วยเหลือของฉัน: https://www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
ความคิดเห็นอื่น: https://www.mail-archive.com/tech@lists.lopsa.org/msg04181 .html


1
พวกเขาเริ่มบ่น เป็นลูกค้าเพียงไม่กี่โหลและเราเสนอบริการอีเมลของเราในราคาประหยัดหรือฟรีเป็นชุดรวมกับบริการอื่น ๆ ที่เราซื้อดังนั้นเราจึงหวังว่าจะหลีกเลี่ยงบริการชำระเงินถ้าเป็นไปได้ ฉันจะลงทุนผลิตภัณฑ์นั้นอย่างไร
pooter03

ประมาณ 8 ดอลลาร์ต่อผู้ใช้ต่อปี
ewwhite

ขอบคุณ ลองพิจารณา upvote เสมือนนี้จนกว่าฉันจะได้รับตัวแทนทำเช่นนั้น :)
pooter03

+1 สำหรับ Barrucada
กระตุ้น

2
ฉันยังคงแนะนำการกรองจดหมายบน Barracuda Cloud มันอาจจะเป็นทางออกที่ดีที่สุดสำหรับปัญหาปัจจุบันของคุณ
ewwhite

8

ฉันเป็นผู้ชาย DNS Ops ที่ทำงานอย่างใกล้ชิดกับกลุ่มที่มักถูกโจมตี การจัดการกับการโจมตีของ Snowshoe นั้นเป็นปัญหาขั้นต้นและ ewwhite ชี้ให้เห็นว่ามันอาจเกินขอบเขตของ บริษัท ของคุณในการแก้ปัญหาภายใน บริษัท ฉันจะไปไกลถึงจะบอกว่าถ้าคุณไม่มีการดำเนินการขนาดใหญ่และฟีด RBL เชิงพาณิชย์หลายแห่งคุณอาจไม่ควรพยายามแก้ไขด้วยตัวคุณเองโดยใช้บริการตัวกรองเชิงพาณิชย์

ที่กล่าวว่าเรามีประสบการณ์บางอย่างกับเรื่องนี้และมันเป็นเรื่องที่น่าสนใจมากกว่าที่จะแบ่งปัน บางจุดสัมผัสคือ:

  • หากเป็นไปได้ให้ฝึกอบรมแพลตฟอร์มอีเมลของคุณเพื่อระบุลักษณะของการโจมตี Snowshoe ที่กำลังดำเนินอยู่และปฏิเสธข้อความจากเครือข่ายที่สงสัยชั่วคราว ลูกค้าที่มีความประพฤติดีจะพยายามส่งข้อความอีกครั้งเมื่อเกิดความล้มเหลวชั่วคราวและอื่น ๆ มักจะไม่ทำเช่นนั้น
  • ตรวจสอบให้แน่ใจว่าผู้ดูแลระบบ DNS ของคุณกำลังตรวจสอบ UDP-MIB::udpInErrorsผ่านทาง SNMP เนื่องจากแพลตฟอร์มจดหมายมีความสามารถในการรับคิวการรับฟัง UDP มากเกินไปเมื่อการโจมตีของ Snowshoe กำลังดำเนินอยู่ หากไม่มีวิธีที่จะบอกได้อย่างรวดเร็วภายใต้ Linux คือการทำงานnetstat -s | grep 'packet receive errors'บนเซิร์ฟเวอร์ DNS ที่เป็นปัญหา การนับจำนวนมากบ่งชี้ว่าพวกเขาจำเป็นต้องออกจากกองและเริ่มให้ความสนใจ พวกเขาจะต้องเพิ่มกำลังการผลิตหรือเพิ่มขนาดของบัฟเฟอร์การรับถ้าเกิดการรั่วไหลบ่อยครั้ง (ซึ่งหมายถึงการค้นหา DNS ที่สูญหายและโอกาสในการป้องกันสแปมที่หายไป)
  • หากคุณเห็นการโจมตีเหล่านี้บ่อยครั้งโดยใช้โดเมนที่สร้างขึ้นใหม่ RBL ที่เน้นสิ่งเหล่านี้จะมีอยู่ ตัวอย่างหนึ่งคือFarsight NOD (คนที่อ่านข้อความนี้ควรดำเนินการวิจัยของตัวเอง) แต่มันไม่ฟรี

การเปิดเผยอย่างสมบูรณ์: Farsight Security ก่อตั้งโดย Paul Vixie ซึ่งฉันมีนิสัยไม่ดีที่จะระบายออกเมื่อคนละเมิดมาตรฐาน DNS


ประเด็นที่สองของคุณน่าสนใจเป็นพิเศษ ฉันสงสัยว่าเราขาดการสืบค้น DNS ไปยัง RBL ที่ได้ขึ้นบัญชีดำหรือ URL แล้ว แต่ฉันไม่สามารถพิสูจน์ได้ อย่างไรก็ตาม mailserver นั้นใช้ Windows 2012 และใช้เซิร์ฟเวอร์ Windows DNS เป็นเซิร์ฟเวอร์ที่มีปริมาณค่อนข้างต่ำ แต่ฉันต้องการตรวจสอบเพิ่มเติม น่าเสียดายที่มันไม่ได้อธิบายทุกอย่างเพราะบางสิ่งที่ผ่านพ้นไปแล้วยังไม่มีเวลาสำหรับโดเมนหรือ IP ของพวกเขาที่จะถูกจับโดย RBLs ที่สำคัญ
pooter03

ปริมาณเฉลี่ยของเซิร์ฟเวอร์ DNS จะไม่สำคัญมาก คุณสมบัติหลักของการรับคิวล้นไม่สามารถประมวลผลแพ็คเก็ตขาเข้าของคุณเร็วพอที่จะทำให้พวกเขาออกจากคิวและการโจมตี Snowshoe ตามปริมาณนั้นมากเกินความสามารถในการบรรลุเป้าหมายนี้ขึ้นอยู่กับจำนวน DNS ที่คุณทำการค้นหา สแปม
Andrew B

2
คำแนะนำแรกของคุณเป็นที่รู้จักกันทั่วไปว่าเป็นgreylisting
Nate Eldredge

2
@Nate มันเป็นรูปแบบหนึ่งของ greylisting แต่การใช้คำนั้นอย่างไม่มีเงื่อนไขจะแนะนำให้คนส่วนใหญ่ทราบว่าการกระทำนี้เกิดขึ้นเพื่อตอบสนองต่อ IP ที่เพิ่งถูกสังเกตเห็น เครือข่ายที่ถูกโจมตีมักจะใช้เวลาในการสร้างการเชื่อมต่อ (โดยไม่ส่งส่วนหัว) เพื่อเตรียมการสำหรับการจัดส่ง payload ที่ซิงโครไนซ์ ลักษณะดังกล่าวเป็นสิ่งที่คุณกำลังทำอยู่เพราะจะช่วยให้คุณคาดการณ์ได้ว่า IP ที่คุณยังไม่เคยเห็นมีส่วนเกี่ยวข้องกับการโจมตี
Andrew B

สำหรับสิ่งที่คุ้มค่าฉันมี greylisting (ทั่วไป) ที่เปิดใช้งานบนเซิร์ฟเวอร์และผู้ส่งอีเมลขยะตอบสนองอย่างถูกต้องหลังจากระยะเวลาหนึ่ง สำหรับทุกเจตนาและวัตถุประสงค์อีเมลดูเหมือนว่าจะมาจากเซิร์ฟเวอร์อีเมลที่ถูกต้องตามกฎหมายที่มีการบันทึก PTR ที่กำหนดไว้อย่างถูกต้องระเบียน SPF และอื่น ๆ
pooter03

1

ฉันติดตั้ง Declude (ซึ่งฟรี) และ Message Sniffer (ซึ่งไม่ใช่) และในช่วง 4 วันที่ผ่านมาฉันเห็นข้อความสแปมหนึ่งข้อความมาในบัญชีอีเมลทดสอบของฉันเมื่อเทียบกับหลายสิบรายการที่ได้รับต่อวัน เท่าที่ฉันจะบอกได้เราไม่มีอีเมลที่ดีที่ถูกกรองออกไป Spamassassin น่าจะเป็นทางออกที่ดีแม้ว่าฉันจะไม่มีโชคกับมันเมื่อฉันลอง Spam Assassin ในกล่อง


0

คำตอบมากมายสำหรับการต่อต้านสแปมทั่วไป ในระดับนี้เหมาะสมเนื่องจากผู้ส่งอีเมลขยะดูเหมือนจะมุ่งหน้าไปยัง Snowshoe เป็นวิธีการจัดส่งที่ต้องการ

เดิม Snowshoe ส่งจากดาต้าเซ็นเตอร์ในปริมาณต่ำเสมอ (บนพื้นฐานต่อ IP) และรวมลิงค์ยกเลิกการเป็นสมาชิกเสมอ (เพื่อบอกอะไรเกี่ยวกับการใช้งาน) ทุกวันนี้ snowshoe แทบไม่เคยมีข้อมูลการยกเลิกและถูกส่งไปในปริมาณมากจาก IP ของมัน แต่ถูกส่งมาอย่างต่อเนื่องดังนั้นเมื่อ IP ถูกขึ้นบัญชีดำมันได้ทำการส่งอีเมลแล้ว นี้เรียกว่าสแปมลูกเห็บ

ด้วยเหตุนี้ DNSBLsและลายเซ็นที่ใช้รูปแบบที่ จำกัด จึงเป็นเรื่องที่น่ากลัวมากเมื่อพบว่ามีจดหมายขยะ Snowshoe มีข้อยกเว้นบางอย่างเช่นรายการSpamhaus CSS (ซึ่งมีจุดประสงค์เป็นพิเศษที่เครือข่าย Snowshoe และเป็นส่วนหนึ่งของทั้ง SBL และ ZEN) แต่โดยทั่วไปคุณจะต้องมีgreylisting / tarpitting (ซึ่งสามารถชะลอการส่งจนกว่า DNSBLs จะทำงานต่อ ) และที่สำคัญที่สุดคือระบบการเรียนรู้เครื่อง token-ขับเคลื่อนเช่นBayesian กรองสแปม Bayes นั้นดีในการตรวจจับ Snowshoe

คำตอบของแอนดรูว์บีกล่าวถึงโดเมนและชื่อโฮสต์ (NOD) ที่เป็นเจ้าของใหม่ของ Farsight Security ซึ่งพยายามคาดการณ์เครือข่ายสโนว์ชูในขณะที่พวกเขากำลังปั่น แต่ก่อนที่พวกเขาจะเริ่มส่งสแปม Spamhaus CSS มีแนวโน้มที่จะทำสิ่งที่คล้ายกัน CSS พร้อมใช้งานในสภาพแวดล้อมการบล็อกในขณะที่ NOD ได้รับการออกแบบให้เป็นฟีดไปยังระบบที่กำหนดเองมากกว่าระบบสแตนด์อะโลน / การปิดกั้น

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.