Saya menggunakan Smartermail untuk server surat kecil saya. Kami mengalami masalah akhir-akhir ini untuk mendapatkan gelombang spam snowshoe yang mengikuti pola yang sama. Mereka datang dalam batch 3 atau 4 sekaligus. Badan hampir identik kecuali untuk nama domain yang mereka tautkan. Sumber IP cenderung dari blok yang sama / 24 untuk sementara, kemudian mereka beralih ke / 24 yang lain. Domain cenderung baru. Mereka memiliki catatan PTR dan SPF yang valid dan memiliki omong kosong acak di bagian bawah tubuh untuk menipu filter bayesian.
Saya menggunakan selusin RBL yang berbeda termasuk Barracuda, Spamhaus, SURBL dan URIBL. Mereka melakukan pekerjaan yang layak untuk menangkap sebagian besar dari mereka, tetapi kami masih mendapatkan banyak kesalahan karena IP dan domain belum dimasukkan dalam daftar hitam.
Apakah ada strategi yang bisa saya terapkan, termasuk RBL yang memblokir domain yang baru dibuat atau menangani secara khusus dengan mengintai spam? Saya berharap untuk menghindari keharusan menggunakan layanan penyaringan pihak ke-3.
Jawaban:
Apakah ini menjadi masalah nyata bagi pengguna Anda?
Saya akan merekomendasikan layanan penyaringan surat lengkap pada saat ini. Bayesian tidak begitu panas lagi. Reputasi, RBL, tajuk / analisis maksud dan faktor-faktor lain tampaknya lebih membantu. Pertimbangkan layanan penyaringan cloud untuk menggabungkan beberapa pendekatan ( dan volume kolektif ) untuk memberikan perlindungan yang lebih baik ( saya menggunakan solusi cloud ESS Barracuda untuk pelanggan saya ).
Dan tentu saja: Memerangi Spam - Apa yang bisa saya lakukan sebagai: Administrator Email, Pemilik Domain, atau Pengguna?
Kami belum terpengaruh secara negatif oleh uptick dalam serangan Snowshoe. Saya memang melihat periode di mana volume surat meningkat tiga kali lipat sehari-hari dengan serangan-serangan ini. Tapi tidak ada hal buruk yang berhasil dilaluinya. Dalam 3 hari, Barracuda membawa volume ke level normal.
Saya pikir solusi penyaringan yang memiliki pandangan luas tentang aktivitas email di seluruh dunia dapat bereaksi terhadap serangan lebih baik daripada filter email individual.
Edit:
Ini juga dibahas baru-baru ini di Internet milis LOPSA :
Kontribusi saya: https://www.mail-archive.com/[email protected]/msg04180.html
Pendapat lain: https://www.mail-archive.com/[email protected]/msg04181 .html
sumber
Saya seorang pria DNS Ops yang bekerja sama dengan grup yang sering menjadi sasaran serangan ini. Berurusan dengan serangan Snowshoe terutama merupakan masalah proses, dan seperti yang ditunjukkan oleh banyak orang, hal itu mungkin berada di luar jangkauan perusahaan Anda untuk diselesaikan sendiri. Saya akan mengatakan lebih jauh, kecuali jika Anda memiliki operasi yang cukup besar dan beberapa feed RBL komersial, Anda mungkin tidak boleh mencoba menyelesaikannya sendiri dengan menggunakan layanan penyaringan komersial.
Yang mengatakan, kami memiliki beberapa pengalaman dengan ini dan itu lebih menarik untuk dibagikan daripada tidak. Beberapa titik sentuh adalah:
UDP-MIB::udpInErrors
melalui SNMP, karena platform email sangat mampu meluap antrian penerima yang menerima UDP saat serangan Snowshoe sedang berlangsung. Jika tidak, cara cepat untuk mengetahui di Linux adalah menjalankannyanetstat -s | grep 'packet receive errors'
di server DNS yang dimaksud; sejumlah besar menunjukkan bahwa mereka harus melepaskan duff mereka dan mulai memperhatikan. Mereka perlu menambah kapasitas atau menambah ukuran buffer penerima jika sering terjadi tumpahan. (yang berarti hilangnya permintaan DNS, dan kehilangan peluang untuk pencegahan spam)Pengungkapan penuh: Farsight Security didirikan oleh Paul Vixie, yang saya punya kebiasaan buruk dalam ventilasi ketika orang melanggar standar DNS.
sumber
Saya menginstal Declude (yang gratis) dan Message Sniffer (yang tidak) dan selama 4 hari terakhir saya telah melihat satu pesan spam masuk dalam akun email pengujian saya, berbeda dengan lusinan yang didapat per hari. Sejauh yang saya tahu, kami belum menyaring email yang bagus. Spamassassin mungkin juga akan menjadi solusi yang baik walaupun saya tidak beruntung ketika saya mencoba Spam Assassin in a Box ..
sumber
Banyak jawaban di sini untuk anti-spam umum. Untuk tingkat tertentu, ini masuk akal karena spammer tampaknya menuju snowshoe sebagai metode pengiriman yang disukai.
Snowshoe awalnya selalu dikirim dari pusat data dalam volume rendah (berdasarkan per-IP) dan selalu menyertakan tautan berhenti berlangganan (untuk tidak mengatakan apakah itu berfungsi). Saat ini, snowshoe hampir tidak pernah memiliki berhenti berlangganan informasi dan dikirim dalam volume tinggi dari IP-nya, tetapi dikirim dalam ledakan sehingga pada saat IP masuk daftar hitam, itu sudah selesai mengirim surat. Ini disebut spam hujan es .
Karena itu, DNSBL dan bahkan tanda tangan berbasis pola yang ketat sangat mengerikan dalam menangkap spam sepatu salju. Ada beberapa pengecualian, seperti daftar Spamhaus CSS (yang secara khusus ditujukan untuk jaringan snowshoe dan merupakan bagian dari SBL dan ZEN), tetapi secara umum Anda akan memerlukan greylisting / tarpitting (yang dapat menunda pengiriman hingga DNSBL mengejar ketinggalan ) dan, yang paling penting, sistem pembelajaran mesin berbasis token seperti penyaringan spam Bayesian . Bayes sangat baik dalam mendeteksi sepatu salju.
Jawaban Andrew B menyebutkan Domain dan Nama Inang (NOD) Farsight Security yang Baru Milik , yang mencoba mengantisipasi jaringan snowshoe ketika mereka berputar tetapi sebelum mereka mulai melakukan spam. Spamhaus CSS kemungkinan melakukan hal serupa. CSS siap untuk digunakan di lingkungan pemblokiran, sementara NOD benar-benar dirancang untuk menjadi umpan ke sistem kustom daripada sistem mandiri / pemblokiran.
sumber