Menyiapkan alamat email palsu untuk menjebak spammer

10

Saya telah mendengarnya menyarankan agar kami membuat alamat email khusus , dengan tujuan hanya untuk dipanen . Kemudian daftar hitam setiap pengirim yang menargetkan alamat ini.

Aku bertanya-tanya:

  • jika ada yang mencoba ini
  • bagaimana cara Anda melakukannya (mis. - letakkan alamat di bidang tersembunyi di situs web Anda - atau cara yang lebih baik?)
  • Apakah itu bekerja?
  • Apakah ada sesuatu yang harus diperhatikan ketika mencoba ini (mis. Pengirim yang sah menggunakan alamat yang dipanen?)
email spam honeypot Brent
sumber

Jawaban:

13

Adakah orang lain yang mencoba ini:

  • Tentu saja ya Hampir setiap layanan anti-spam di luar sana menggunakannya, istilah industri adalah "spamtraps"

Bagaimana Anda melakukannya?

  • Biasanya, temukan alamat di salah satu domain yang menerima banyak spam dan konfirmasi dengan pemilik bahwa itu tidak digunakan dan mereka tidak punya rencana untuk menghidupkannya kembali. Proses ini dapat (sebagian) otomatis.

Apakah itu bekerja?

  • Iya. Hal yang paling berguna adalah, karena Anda dapat menjamin bahwa pesan yang dikirim ke perangkap adalah spam, Anda dapat menggunakannya untuk mengkalibrasi efektivitas mesin pada waktu tertentu, untuk mengukur seberapa baik yang Anda lakukan dalam memblokir spam (false negative) - asalkan Anda memiliki sampel spam yang cukup besar; sebagian besar perusahaan anti-spam akan memiliki ratusan atau ribuan
  • Mereka juga dapat digunakan oleh sistem pembelajaran otomatis untuk "mempelajari" hal-hal tentang spam. Tapi itu bisa mempelajari tentang spam yang dikirim ke alamat non-spamtrap juga (tentu saja, Anda tidak pernah 100% yakin itu adalah spam jika dikirim ke alamat non-spamtrap)
  • Alamat pengirim "Daftar Hitam" biasanya tidak digunakan. Ini karena spammer yang terlihat biasanya menemukan alamat pengirim sampah, dan karena spammer yang sesekali mereformasi cara mereka dan mulai mengirim surat bersih
  • Daftar hitam alamat IP juga tidak digunakan (dalam bentuk sederhana), dengan alasan yang sama; alamat IP "buruk" dapat mulai menjadi "baik", jadi jika Anda memiliki larangan menyeluruh, email yang sah akan diblokir.

Biasanya Anda tidak akan menggunakan hanya satu alamat; itu tidak akan cukup. Coba beberapa ratus spread di seluruh domain Anda (untuk permulaan).

Anda dapat mengiklankannya jika Anda suka, tetapi jika domain Anda cukup dikenal oleh para spammer, calon alamat spamtrap mungkin sudah ada di dalamnya (mereka mungkin kotak surat yang tidak ada pada sistem pengguna akhir Anda).

Seluruh domain spamtrap dapat diatur - Saya yakin banyak perusahaan menggunakan ini - baik membeli domain bekas atau mendaftar yang terdengar realistis dengan situs web yang masuk akal (walaupun palsu). Subdomain juga bisa berfungsi. Domain spamtrap berguna karena Anda dapat mengaturnya dengan kata kunci atau domain tingkat atas tertentu yang mungkin ditargetkan oleh spammer.

MarkR
sumber
1
Lupa untuk menyebutkan, saya bekerja untuk perusahaan antispam besar :)
MarkR
Perhatikan bahwa jika Anda menyiapkan jebakan pada domain yang juga menerima email yang sah, Anda harus memilih alamat yang, meskipun tampak masuk akal, cukup berbeda dari alamat yang masih ada, yang sah untuk mencegah kemungkinan kesalahan ketik yang mengarah ke daftar hitam. Demikian juga, pahami pertukaran antara menggunakan alamat "tidak aktif" dan alamat baru sebagai perangkap spam: Yang pertama memberi Anda lebih banyak cakupan, tetapi berisiko positif palsu dari, misalnya, email yang diteruskan oleh pengirim non-komersial yang sah ke sejumlah besar alamat.
user70549
5

Saya belum pernah mencoba metode ini, tetapi saya rasa [kecuali Anda menangani puluhan ribu kotak surat] Anda akan jauh lebih baik menggunakan sistem anti-spam yang mengambil keputusan berdasarkan beberapa rbls dan pemeriksaan konten seperti dcc / razor / pyzor .

banyak rbls menggunakan jebakan spam pada skala yang jauh lebih luas daripada yang saya pikir Anda bisa gunakan.

pQd
sumber
Kami sudah memiliki filter spam yang cukup bagus. Saya mempertimbangkan ini sebagai langkah tambahan, karena daftar hitam akan mengurangi beban pada mailfilters.
Brent
5

Project Honey Pot dapat memberi Anda beberapa ide mengenai metode dan efektivitas. Jika mau, Anda dapat berlangganan daftar hitam mereka dan membiarkan mereka menangani semua ini.

Saya bingung apa yang Anda maksud dengan "pengirim yang sah menggunakan alamat yang dipanen" - Saya akan, dalam hampir semua kasus, menganggap pengirim seperti itu tidak sah menurut definisi.

ceejayoz
sumber
1
Ini sepertinya tempat yang bagus untuk menggunakan kerja keras orang lain untuk membuat / mengelola daftar hitam.
GreenKiwi
3

Kekhawatiran saya dengan daftar hitam setiap pengirim adalah bahwa cukup mudah untuk menipu siapa yang mengirim email.

Andy
sumber
5
jika ada yang akan melakukan blacklist apapun saya pasti akan melakukannya berdasarkan ip bukan alamat email pengirim.
pQd
Poin bagus. Tetapi apakah spammer memiliki lebih banyak kesulitan dalam spoofing IP? benar-benar ingin tahu
Andy
1
Ya, ini lebih sulit. Plus, mereka memiliki sedikit alasan untuk melakukannya.
Draemon
Apa yang terjadi ketika Anda mendapatkan spam dari seseorang di belakang alamat NATed yang besar? Seluruh hotel, sekolah, dll. Akan diblokir ketika menggunakan teknik ini jika pelanggar / komputer yang terinfeksi memasuki jaringan ini.
Ben Ashton
3

Hmm ... Hanya menambahkan pendapat saya ke diskusi.

Saya tidak berpikir metode ini memiliki tingkat keberhasilan yang baik. Baru saja melihat sekelompok Spam. Umumnya spammer menggunakan alamat email palsu saat melakukan spam dan mereka tidak pernah menggunakan alamat yang sama berulang kali. Jadi memasukkan alamat email atau Domain ke daftar hitam tidak akan menjadi solusi yang baik.

Tetapi alamat tersembunyi Anda sepertinya ide yang bagus. Karena pengguna yang sebenarnya tidak melihatnya dan hanya perayap yang dapat memfilter alamat email Anda dapat mengasumsikan bahwa hanya spammer yang akan mendapatkan alamat itu.

Kemudian Anda dapat mengintegrasikan ide itu dengan alamat IP. Jika email yang dikirim ke alamat tersembunyi berasal dari beberapa rentang IP, Anda bisa mengasumsikan bahwa rentang IP adalah rentang spam.

Namun, menurut pandangan saya, hasil yang Anda peroleh dari hal ini tidak layak ketika menyangkut upaya tersebut. Saya pikir mekanisme penyaringan berbasis konten berbuah daripada machanism "pot madu" ini

Chathuranga Chandrasekara
sumber
"Saya pikir mekanisme penyaringan berbasis konten berbuah daripada machanism" pot madu "ini." Pot madu bisa menjadi luar biasa untuk mendapatkan konten yang akan disaring. Anda mengaturnya dan menggunakannya untuk menyaring filter konten Anda.
ceejayoz
2

Saya sudah melakukan ini. Saya perhatikan di log saya alamat yang tidak valid tertabrak berulang kali. Ini adalah alamat yang tidak pernah aktif atau diposting di mana pun. Jadi saya mengatur kotak surat yang mengirim email ke sa-learning untuk membantu melatih basis data Bayesian dari spamassassin. Saya belum pernah menguji keefektifan ini dengan cara apa pun, tapi saya tidak terlalu khawatir tentang hal itu karena memerlukan sedikit waktu untuk pemasangan.

sherbang
sumber
2

Namun yang pertama saya adalah bahwa ini akan bernilai kecil karena alamat selalu berubah.

Tetapi dalam pengalaman saya, spammer sering mengirim ke banyak [email protected] - hampir dengan cara yang kasar.

Mungkin ada baiknya mengatur alamat (katakanlah [email protected]) dan memfilter bukan pada alamat atau IP, tetapi pada konten - filter email apa pun yang juga dikirim ke "adam". Anda ingin memilih alamat email secara leksikografis sebelum alamat sebenarnya untuk meningkatkan peluang Anda. Selain itu, Anda harus memperhitungkan perbedaan konten yang kecil.

Saya masih curiga itu termasuk dalam kategori terlalu banyak usaha, terlalu sedikit perolehan, tetapi itu adalah pemikiran jika Anda bereksperimen.

Draemon
sumber
2

Produk anti-spam kami memungkinkan kami melakukan ini, daftar hitam otomatis dari semua yang dikirim ke honeypot. Berikut adalah beberapa poin penting:

  • Anda memposting alamat email di situs web Anda sehingga bot dapat menemukannya dan mengambilnya, tetapi tidak ada orang sungguhan yang akan melihatnya atau mengirim pesan ke alamat itu.

  • Anda memberi tahu produk anti-spam Anda untuk memantau email masuk yang dikirim ke alamat dan semua email yang masuk ke honeypot itu akan masuk daftar hitam.

  • Ini berfungsi pada level alamat IP pengirim, bukan pada alamat FROM pengirim, begitulah cara menghindari masalah pengirim palsu yang disebutkan.

  • Meskipun kami memiliki honeypot untuk pelaporan spam, kami tidak menggunakan fitur ini, inilah alasannya. Spammer akan secara rutin mengirim beberapa pesan dari hotmail, yahoo, gmail, dll. Ini biasanya adalah pesan penipuan 419 yang sulit untuk dihentikan. Meskipun persentasenya tidak tinggi, itu akan cukup jika kita menggunakan sistem otomatis, itu akan memblokir email yang sah.

Singkatnya, kami belum menggunakan sistem daftar hitam otomatis seperti yang Anda sebutkan, namun memiliki honeypot masih merupakan fitur yang bermanfaat. Kami memantaunya dan menggunakan email yang diterima untuk melaporkan spam, dan untuk menentukan keefektifan tindakan anti-spam kami.

Harun
sumber
1

Saya memasukkan alamat dalam komentar di halaman utama saya. Ia mendapat sekitar 5 email sehari.

Paul Tomblin
sumber
1

Saya menggunakan ASSP ( asspsmtp.org ), filter SPAM open source. Jika Anda mengatur otentikasi, ini dapat secara otomatis membuat alamat spamtrap untuk alamat yang tidak dikenal setelah beberapa kali mencoba ... jadi jika saya berulang kali mendapatkan email untuk "[email protected]", setelah mencoba nomor X, sistem akan mulai memanen semua pesan yang dikirim ke alamat itu sebagai spam. X disetel cukup tinggi sehingga kesalahan ketik dan kesalahan normal tidak akan menyebabkan kesalahan, tetapi spammer akan melakukannya.

Jim G.
sumber