Menggunakan data MX palsu untuk memerangi spam

14

Saya memiliki klien yang mendapatkan spam besar. Ini tanggal 15 bulan ini dan bandwidth POP3 hampir 100 GB. Hanya ada 7 akun email di domain ini. Saya menginstal SpamAssassin mengaturnya ke 5 dan mengatur 10-20 filter menolak sebagian besar sampah. Saya tidak melihat banyak perubahan pada bandwidth POP3. Perbaiki saya jika saya salah, server masih menerima pesan menggunakan bandwidth untuk menganalisis menentukan skor spam.

Saya sengaja menemukan catatan MX palsu, bagi mereka yang tidak tahu - pada dasarnya Anda menetapkan server palsu sebagai catatan MX terendah dan tertinggi dengan catatan MX server yang bekerja di tengah.

Sebagai contoh:

fake.example.com    1
realmx.example.com  2
fake2.example.com   3

Teorinya adalah, karena sebagian besar spam dihasilkan dari zombie berbasis Windows dan beberapa akan meminta catatan MX tertinggi untuk spam karena biasanya mereka adalah server cadangan yang tidak memfilter spam. Catatan MX palsu terendah adalah untuk sisa spammer .. dan umumnya spammer tidak mencoba lagi setelah kegagalan.

Adakah yang sudah mencoba ini? Apakah ini membantu? Apakah itu menunda atau menyebabkan masalah dengan pengiriman surat? Apakah ada orang lain yang memiliki solusi yang lebih baik?

Mikey1980
sumber

Jawaban:

15

Bantulah diri Anda sendiri dan aturlah dengan layanan anti-spam gateway seperti Postini. Untuk beberapa dolar per kotak surat per bulan, sama sekali tidak ada alasan untuk tidak melakukannya dan Anda tidak hanya akan menghilangkan 99% dari spam Anda, Anda juga akan menikmati akses ke layanan spool mereka (berguna untuk downtime yang dijadwalkan atau tidak terjadwal), tidak untuk menyebutkan penghematan bandwidth dengan membiarkan orang lain menerima dan memproses semua spam itu sebelum menyentuh tepi jaringan Anda.

Bukan karyawan Postini, hanya pengguna yang bahagia yang juga mengatur lusinan klien dengannya.

gravyface
sumber
terima kasih atas sarannya, itulah rencana B (rencana C mengganti nama alamat email mereka..lol) Saya suka gagasan SaaS atau pemfilteran Front-end
Mikey1980
Meskipun itu jawaban yang ingin saya dengar .. klien saya menggunakan Google Postini, SPAM tidak terkendali dan tanpa akses root sepertinya satu-satunya pilihan - terima kasih banyak atas tipnya!
Mikey1980
Anda akan menyukainya man. Serius: bisa menyalakan spooling ketika Anda bekerja di server itu bagus. Saya juga menggunakan mereka sebagai smarthost hulu dan mengunci firewall sehingga tidak peduli kotak apa yang dimiliki di jaringan saya (termasuk server mail), mereka hanya dapat berbicara dengan server SMTP Postini, yang melakukan penyaringan outbound demikian juga.
gravyface
Postini ... ya, mengapa tidak menggunakan Gmail? ;-P
poige
@poige: menjalankan server email dengan layanan gateway tidak sama dengan menjalankan email Anda di-host dengan Google Apps (gmail).
gravyface
12

Saya sudah mencoba ini, dan saya sangat menyarankan agar Anda TIDAK MELAKUKANNYA ! Tampaknya itu ide yang bagus pada saat itu, tetapi setelah surat dari berbagai pengirim mulai menghilang, saya menyadari bahwa itu adalah kesalahan. Apa yang saya tidak sadari adalah bahwa ada banyak server SMTP yang ditulis dengan sangat buruk di luar sana, yang tidak mengikuti spesifikasi dan cukup buruk dalam menangani kesalahan, dan orang-orang tidak tahu atau peduli karena "orang lain ini menerima email saya , jadi itu pasti kamu ".

Saya mendukung beberapa saran lain untuk menangani SPAM. Postini adalah layanan hebat, dan bahkan hal-hal anti-spam bawaan di aplikasi google gratis tidaklah buruk. Jika Anda ingin lebih banyak kontrol, Anda dapat membeli IronPort atau perangkat lain, atau roll sendiri.

Jed Daniels
sumber
1
Terima kasih Jed, persis apa yang saya inginkan .. pengalaman langsung. Saya tidak pernah memikirkan masalah SMTP, terlalu fokus pada +1 yang masuk
Mikey1980
1
Saya bekerja untuk perusahaan Anti-Spam (Red Condor) dan kami memiliki catatan prioritas tertinggi untuk sebagian besar pelanggan kami yang disetel ke alamat blackhole. Namun, kami memiliki beberapa pelanggan yang menghapusnya, karena orang-orang bodoh menulis server surat yang sah yang hanya mengebom alamat itu. Namun, pergi dengan penyedia yang dihosting SaaS akan memungkinkan Anda menurunkan beban bandwidth dengan murah.
Ryan Gooler
@ Ryan - terima kasih! Apakah Anda melaporkan "lubang hitam" server-busyatau benar-benar mati?
Mikey1980
6

Saya belum pernah mendengar metode ini sebelumnya dan saya bisa membayangkan itu akan menunda email yang sah berpotensi beberapa jam. Pada akhirnya, protokol smtp perlu mengirimkan email Anda yang sah. Server yang valid akan mencapai catatan palsu mx dan mencoba mengirim ke server itu ... Saya tidak tahu apa yang mungkin Anda jalankan di sana (jika ada), tetapi mereka akan terus mencoba sampai diterima.

Server yang tepat akan terus mencoba data MX hingga surat dikirimkan. Spammer cenderung menjadi lebih pintar dan jika ini berfungsi untuk beberapa perangkat lunak spam sekarang, saya ragu itu akan bekerja lama. Saya tidak bisa merekomendasikannya.

Saran saya adalah untuk melihat menggunakan smtp tarpit selain filter spam yang ada. Ada beberapa yang tersedia sekarang. Saya pikir Anda akan menemukan itu jauh lebih efektif daripada metode rekaman mx palsu.

Terpal tersebut datang dengan smtpd di BSD. Ada juga beberapa fitur tarpitting di sendmail 8.13.

Pada dasarnya, tarpit bekerja dengan cara mengikat sumber daya server spam. Mereka melakukan itu dengan menunda tanggapan yang mereka dapatkan. mis. server spam menghubungkan dan menerima sekitar 1 byte per detik.
Beberapa server tarpit mencari pola spam dan dapat mengenali server spam. Server yang sah akan disiapkan untuk menunggu melalui respons yang lambat. Di beberapa server tarpits, mereka memindahkan server yang diakui secara sah ke daftar putih secara otomatis sehingga tidak ada penundaan di masa mendatang.

Google SMTP Tarpit dan lihatlah.

Mat
sumber
Terima kasih atas sarannya, tetapi klien saya adalah firma Desain Web (klien mereka yang bermasalah) menjalankan 100-an situs lalu lintas rendah pada host bersama dan WHM tidak memiliki akses root atau SSH .. terjebak dengan SpamAssassin .. btw Exim adalah pertukaran. Maafkan saya jika ini tidak jelas .. benteng saya pemrograman .. saya mungkin akan membuat sysadmin mengerikan!
Mikey1980
Saya seorang programmer juga, tetapi telah menghabiskan beberapa jam menjalankan server freebsd perusahaan lama saya melakukan segala hal.
Matt
5

Anda tidak menyebutkannya, jadi adakah alasan Anda tidak menggunakan DNSBL ?

Sunting: SpamAssassin menyertakan dukungan untuk beberapa di antaranya - tanpa mereka, Anda akan menghabiskan banyak siklus CPU untuk menganalisis spam.

danlefree
sumber
Saran bagus lainnya, namun saya sangat terbatas karena klien saya WHM bukan root .. menurut webalizer, mengaktifkan SpamAssassin hampir tidak berdampak pada bandwidth dalam 12 jam terakhir
Mikey1980
1
... maka taruhan terbaik Anda adalah mendorong semua layanan email melalui Google Apps atau menggunakan layanan pihak ketiga lain untuk mengurangi spam jika penyedia hosting klien Anda tidak mau mengotak-atik konfigurasi SpamAssasin.
danlefree
Adakah yang tahu apakah DNSBL atau RBL diaktifkan oleh tunarungu? Anda akan berpikir mereka akan seperti itu. Saya setuju, saya mulai berpikir penyaringan MX front-end akan menjadi satu-satunya solusi.
Mikey1980
@ Mikey1980 - "Ada gagasan apakah DNSBL atau RBL diaktifkan oleh tuli?" Maaf, tidak bisa mengatakan - sebaiknya bertanya langsung dengan penyedia dalam hal apa pun karena ada kemungkinan mereka menerapkan konfigurasi mereka sendiri.
danlefree
Anda dapat memeriksa apakah server email memfilter spam berdasarkan DNSBL: spamhaus.org/faq/answers.lasso?section=DNSBL%20Usage#205
ZippyV
4

Saya menggunakan ini MX palsu ini ( varian nolisting ) dan itu bekerja dengan sangat baik.

Saya menggunakan MX postfix dengan semua filter yang biasa dan setelah beberapa spambot berhasil membebani server selama 2 atau 3 kali saya memutuskan untuk mencobanya ... berikut ini hasilnya: palsu-mx, sebelum dan sesudah

coba tebak ketika saya telah menerapkan palsu-mx! 8)

Hasilnya sama dengan postgrey, tetapi tidak seperti postgrey, Anda tidak perlu mengubah server email Anda

Robot spam sekarang akan mencoba MX tinggi atau MX rendah, membebaskan MX nyata dari beban saat mencoba memfilter (bahkan dengan DNSBL, bebannya tinggi) dan email asli tiba dengan penundaan minimal.

Tetapi berhati-hatilah, ada risiko:

  • Beberapa server mungkin memiliki waktu coba ulang yang tinggi. Sebagian besar server akan mencoba kembali MX berikutnya setelah timeout pertama, yang lain akan mencoba dalam beberapa menit berikutnya, tetapi saya sudah melihat server yang hanya mencoba kembali setelah satu jam atau satu hari. Mereka sangat langka dan untuk yang saya bisa tangkap itu konfigurasi yang buruk. berbicara dengan kepala kantor pos lainnya memperbaiki masalahnya

  • Semua email akan mengalami keterlambatan. Sebenarnya saya tidak melihat penundaan sama sekali, hampir semua pengirim email nyata akan mencoba kembali ke MX berikutnya setelah waktu habis pertama, jadi kita berbicara tentang penundaan 30-an. Mereka biasanya mencoba setidaknya 3 MX sebelum mengantri pesan untuk penundaan yang lebih lama. tetapi Anda mungkin memiliki kontak dengan satu server surat yang rusak yang mungkin tidak melakukan ini dan menunda setiap pesan selama beberapa menit. Jadi ini adalah hal yang harus dipantau ketika menggunakan solusi ini.

  • Situs yang rusak. Beberapa webservers mengirim email untuk kata sandi, pemberitahuan, dll dan alih-alih mengirimkan untuk server surat nyata internal, mereka mencoba untuk menjadi server surat "palsu" dan pengiriman secara langsung. Sebagai server web, mereka tidak akan pernah mencoba lagi dan emailnya hilang. Sekali lagi ini merupakan konfigurasi yang buruk dari webmaster / pengembang web, karena hanya server email asli yang boleh mengirim email. setiap kali saya menemukan masalah ini saya berbicara dengan webmaster tentang masalah dan biasanya masalahnya sudah diperbaiki.

  • Tidak ada log. Sebagai MX MX palsu ke IP yang tidak terhubung, Anda tidak memiliki log tentang apa yang mencoba dikirim. Anda hanya tahu bahwa ada yang tidak beres ketika seseorang mengeluh. tapi ini juga bagus. Anda selalu dapat mengklaim bahwa Anda tidak berusaha mengirim email apa pun, jadi ini masalah yang jauh. Sisi lain harus memeriksa log mereka dan menyelesaikan masalah. Saya bisa membuktikan tidak ada koneksi sama sekali ke server saya yang sebenarnya, menggerakkan tekanan untuk menyelesaikan masalah ke sisi lain. Jika pihak lain tidak dapat memperbaiki masalah itu tampak tidak tepercaya, tidak dapat diandalkan.

  • Tidak ada daftar putih. ini berlaku untuk semua server melalui dns, jadi Anda tidak bisa memasukkan satu server ke daftar putih ... sebenarnya hanya setengah-benar, tetapi lebih sulit. solusi daftar putih adalah bahwa poin MX terendah ke IP tempat smtp berjalan, tetapi difilter oleh firewall untuk semua orang. Server-server yang ingin Anda daftar perlu diizinkan di firewall. Dengan cara ini semua server akan ditolak oleh firewall dan daftar putih akan dapat dikirimkan ke server email. Ini berfungsi, tetapi hanya untuk daftar putih IP, bukan untuk daftar putih email.

Tidak seperti postgrey, di mana pengirim jarak jauh memiliki log pengiriman yang "ditolak" (dan juga dapat menunjuk pada kita sebagai masalahnya), MX palsu akan menunjukkan bahwa server web bahkan tidak dapat terhubung dan tidak mencoba lagi, tidak memberikan alasan untuk sisi jarak jauh tentang masalah tersebut. MX yang gagal diterima lebih baik daripada postgrey, karena kami selalu dapat mengklaim beberapa "masalah perutean, tetapi cadangan MX berfungsi dengan baik, kami mendapatkan semua email lainnya"

dengan itu, saya mendapat sedikit keluhan (sekitar 1 setiap 3 bulan), jadi saya menganggapnya cukup aman (setiap filter spam memiliki risiko).

Harap dicatat bahwa saya menggunakan alamat ipv4 yang valid untuk semua MX, tetapi untuk yang palsu saya menggunakan IP yang saya kontrol yang tidak digunakan (dan itu memberikan batas waktu / host tidak dapat dijangkau pada koneksi apa pun). aturan ini berlaku bahkan jika Anda tidak menggunakan ini. Ada server dns dan smtp yang memerlukan konfigurasi dns yang benar-benar valid agar email dapat berfungsi. palsu-MX juga harus valid, mereka seharusnya tidak dapat dijangkau.

Jangan gunakan IP pribadi atau IP yang tidak Anda kontrol untuk MX palsu (jika Anda menambahkan alamat ipv6, JUGA menambahkan satu ipv4). Ini menghindari masalah dengan DNS yang rusak dan server pesan dan kejutan lain dari mendapatkan email Anda (dengan menginstal server smtp pada IP yang tidak Anda kontrol). CNAME juga dilarang untuk MX, jadi jangan gunakan juga, hanya catatan A biasa

Akhirnya, tcp-reset harus dikirim untuk MX palsu, untuk meningkatkan kinerja (host atau port yang tidak terjangkau) alih-alih waktu habis (dengan menjatuhkan paket), jadi disarankan untuk menambahkannya ke firewall Anda.

Lagi pula, tidak hanya saya masih menggunakannya, karena saya merekomendasikan semua orang untuk menggunakannya

higuita
sumber
Ini adalah nolisting , bukan hanya varian. Memang memang bekerja, tetapi sulit untuk mengukur karena Anda menghitamkan data server palsu (grafik di atas hanyalah anekdotal!). Saya merekomendasikan server prioritas tinggi yang merupakan server nyata (yang Anda kendalikan!) Dengan port 25 ditutup - tetapi TIDAK dijatuhkan, Anda menginginkan kegagalan yang sangat cepat - dan server prioritas rendah (dalam ruang IP yang Anda kendalikan!) yang tidak naik atau yang lain menjatuhkan koneksi port secara transparan.
Adam Katz
1
@AdamKatz Nolisting hanya untuk MX dengan prioritas tertinggi, varian ini juga memiliki server palsu dengan prioritas terendah ... itulah bedanya! Juga, jika Anda membaca beberapa paragraf terakhir saya, Anda akan melihat bahwa saya mengatakan dengan tepat apa yang Anda tulis! :)
higuita
2

Sejauh pemfilteran email berjalan, saya sangat senang dengan kombinasi Spamassasin dan policyd-weight , yang memeriksa nama host pengirim dan daftar blokir selama koneksi SMTP. Itu adalah hal yang hebat karena dua alasan:

  1. Anda tidak perlu memproses e-mail yang ditolak dengan spamassasin, yang menghemat sumber daya sistem Anda (analisis bayesian membutuhkan waktu) dan bandwidth
  2. host pengirim ditolak, jadi jika tidak mungkin memblokir email yang sah, pengirimnya akan menerima pemberitahuan kegagalan pengiriman

Saya menggunakan pengaturan pada Postfix, tetapi seharusnya ada cara untuk menginstal policyd-weight dengan Exim .

che
sumber
1

Jujur saja, aku tidak mengerti maksudnya.

Oke, saya katakan server surat utama saya adalah Palsu. Lalu apa? Tidak ada sama sekali atau apa? (Anggap saja pada akhirnya memotong bagian dari SPAMers baik.) "Yang selamat" akan menggunakan sekunder - tidak ada masalah. Tapi mengapa ada server ke-3 dalam pengaturan ini?


Karena ini seharusnya jawaban saya, bukan pertanyaan, saya menyimpulkan demikian: sakit dan bayangan pucat Greylisting. Jika Anda ingin melihat efek nyata coba gunakan Greylisting, man .

poige
sumber
Kata-kata luar biasa tetapi Anda cukup benar. Greylisting ADALAH solusi yang tepat (selain sistem penyaringan anti-spam yang layak). Ini akan bekerja seefektif catatan MX palsu, tanpa semua kekurangan.
John Gardeniers
1

Saya menjatuhkan sebagian besar spam saya dengan menunda koneksi ke host terdaftar di daftar Spamhaus zen. Spambot tidak suka menunda. Mendeteksi pemalsuan server yang jelas dalam perintah HELO juga menghapus banyak spam. Kondisi yang saya temukan untuk menunjukkan pemalsuan server termasuk.

  • Menggunakan nama host atau alamat IP saya.
  • Menggunakan nama host yang tidak berkualitas.
  • Menggunakan domain literal ([192.0.2.15]) sebagai ganti FQDN. (Ya RFC membutuhkannya, tetapi hari ini tidak digunakan oleh server surat Internet.)
  • Gagal SPF untuk nama HELO bukan Mail (saya memblokir gagal, kegagalan lunak, dan netral).

Jika Anda menghargai surat otomatis atau pemasaran, periksa perintah HELO yang tidak berfungsi termasuk. Pengalaman saya adalah bahwa semua surat lain melewati persyaratan ini.

  • Menggunakan nama domain tingkat kedua dan bukan FQDN untuk host.
  • Membutuhkan nama IP atau HELO untuk memverifikasi rDNS.
  • Memerlukan domain tingkat kedua yang valid untuk FQDN. (lokal bukan domain yang valid juga bukan domain lokal.)

Menandatangani jalur pengembalian memungkinkan Anda memblokir beberapa spam. Meskipun saya melihat bouncing palsu lebih sedikit baru-baru ini.

Sayangnya, saya menemukan persentase tinggi dari surat otomatis atau pemasaran yang sah memalsukan jalur pengembalian mereka. Host ini sering juga tidak memiliki alamat postmaster yang valid. Saya menemukan bahwa membutuhkan domain yang valid di jalur pengembalian bisa diterapkan. Saya mendapatkan jauh lebih banyak respons gagal SPF pada email yang sah daripada spam.

Saya baru-baru ini memposting pengalaman saya dengan memblokir spam dengan Exim

BillThor
sumber
0

Selain email yang hilang dari orang-orang yang sah dengan gateway rusak, sudah dicoba sejak lama (seperti 15 tahun yang lalu +/-) dan spammer beradaptasi dengan itu segera. Saya menduga ini akan terbukti sebagai kerugian bersih bagi keandalan email Anda sementara sedikit atau tidak berdampak pada spam. Namun, jika Anda mencobanya, silakan kirim hasilnya kepada kami!

Brian Knoblauch
sumber
0

Sayangnya, ada beberapa operator di luar sana yang tidak akan mengirimi Anda email jika data MX pertama tidak dapat dijangkau. Baru-baru ini saya menulis pengalaman saya dengan ini di entri blog sehingga saya tidak akan mengulanginya di sini. Ringkasannya adalah bahwa catatan MX pertama saya sebenarnya hanya catatan MX IPv6 karena saya pikir spammer tidak menggunakan IPv6 (belum). Sayangnya, ini menyebabkan masalah dan pada akhirnya saya harus menambahkan alamat IPv4 ke catatan MX pertama di zona saya.

Wes Hardaker
sumber