Apa metode terbaik untuk menangkap spam snowshoe?

21

Saya menggunakan Smartermail untuk server surat kecil saya. Kami mengalami masalah akhir-akhir ini untuk mendapatkan gelombang spam snowshoe yang mengikuti pola yang sama. Mereka datang dalam batch 3 atau 4 sekaligus. Badan hampir identik kecuali untuk nama domain yang mereka tautkan. Sumber IP cenderung dari blok yang sama / 24 untuk sementara, kemudian mereka beralih ke / 24 yang lain. Domain cenderung baru. Mereka memiliki catatan PTR dan SPF yang valid dan memiliki omong kosong acak di bagian bawah tubuh untuk menipu filter bayesian.

Saya menggunakan selusin RBL yang berbeda termasuk Barracuda, Spamhaus, SURBL dan URIBL. Mereka melakukan pekerjaan yang layak untuk menangkap sebagian besar dari mereka, tetapi kami masih mendapatkan banyak kesalahan karena IP dan domain belum dimasukkan dalam daftar hitam.

Apakah ada strategi yang bisa saya terapkan, termasuk RBL yang memblokir domain yang baru dibuat atau menangani secara khusus dengan mengintai spam? Saya berharap untuk menghindari keharusan menggunakan layanan penyaringan pihak ke-3.

pooter03
sumber
2
Saya sarankan untuk mengedit judul Anda agar tidak terlalu mengarah ke "produk mana yang harus saya gunakan", karena pertanyaan belanja di luar topik untuk situs Stack Exchange. Mitigasi serangan snowshoe adalah topik yang bagus untuk ServerFault, dan saya akan meminta kolega saya untuk berkomentar.
Andrew B
Bermanfaat untuk mengetahui apa itu Snoeshow spam .
putih
1
Mayoritas RBL adalah layanan gratis yang dapat digunakan admin email mana pun. Apakah itu dianggap sebagai belanja?
pooter03
Ya, karena apakah itu gratis atau tidak, jawabannya hanya valid untuk jangka waktu tertentu. (yang disentuh tautan) Perusahaan keluar dari bisnis sepanjang waktu, termasuk yang menyediakan layanan gratis.
Andrew B
1
Saya mengubah pertanyaan. Tolong beri tahu saya jika ini lebih tepat.
pooter03

Jawaban:

14

Apakah ini menjadi masalah nyata bagi pengguna Anda?

Saya akan merekomendasikan layanan penyaringan surat lengkap pada saat ini. Bayesian tidak begitu panas lagi. Reputasi, RBL, tajuk / analisis maksud dan faktor-faktor lain tampaknya lebih membantu. Pertimbangkan layanan penyaringan cloud untuk menggabungkan beberapa pendekatan ( dan volume kolektif ) untuk memberikan perlindungan yang lebih baik ( saya menggunakan solusi cloud ESS Barracuda untuk pelanggan saya ).

Dan tentu saja: Memerangi Spam - Apa yang bisa saya lakukan sebagai: Administrator Email, Pemilik Domain, atau Pengguna?

Kami belum terpengaruh secara negatif oleh uptick dalam serangan Snowshoe. Saya memang melihat periode di mana volume surat meningkat tiga kali lipat sehari-hari dengan serangan-serangan ini. Tapi tidak ada hal buruk yang berhasil dilaluinya. Dalam 3 hari, Barracuda membawa volume ke level normal.

Saya pikir solusi penyaringan yang memiliki pandangan luas tentang aktivitas email di seluruh dunia dapat bereaksi terhadap serangan lebih baik daripada filter email individual.

Edit:

Ini juga dibahas baru-baru ini di Internet milis LOPSA :

Kontribusi saya: https://www.mail-archive.com/[email protected]/msg04180.html
Pendapat lain: https://www.mail-archive.com/[email protected]/msg04181 .html

putih
sumber
1
Mereka mulai mengeluh. Ini hanya beberapa lusin pelanggan dan kami menawarkan layanan surat kami dengan biaya rendah atau bahkan gratis sebagai bundel dengan layanan lain yang kami beli, jadi kami berharap untuk menghindari layanan berbayar jika memungkinkan. Saya akan menginvestasikan produk itu.
pooter03
Sekitar $ 8 / pengguna / tahun.
ewwhite
Terima kasih. Anggap ini upvote virtual sampai saya mendapatkan perwakilan untuk melakukannya. :)
pooter03
+1 untuk Barrucada.
colok
2
Saya masih merekomendasikan pemfilteran email Barracuda Cloud. Ini mungkin solusi terbersih untuk masalah Anda saat ini.
ewwhite
8

Saya seorang pria DNS Ops yang bekerja sama dengan grup yang sering menjadi sasaran serangan ini. Berurusan dengan serangan Snowshoe terutama merupakan masalah proses, dan seperti yang ditunjukkan oleh banyak orang, hal itu mungkin berada di luar jangkauan perusahaan Anda untuk diselesaikan sendiri. Saya akan mengatakan lebih jauh, kecuali jika Anda memiliki operasi yang cukup besar dan beberapa feed RBL komersial, Anda mungkin tidak boleh mencoba menyelesaikannya sendiri dengan menggunakan layanan penyaringan komersial.

Yang mengatakan, kami memiliki beberapa pengalaman dengan ini dan itu lebih menarik untuk dibagikan daripada tidak. Beberapa titik sentuh adalah:

  • Jika memungkinkan, latih platform surat Anda untuk mengidentifikasi karakteristik serangan Snowshoe yang sedang berlangsung dan untuk sementara menolak pesan dari jaringan yang dimaksud. Klien yang berperilaku baik akan mencoba mengirim ulang pesan dengan kegagalan sementara, yang lain cenderung tidak.
  • Pastikan admin DNS Anda memantau UDP-MIB::udpInErrorsmelalui SNMP, karena platform email sangat mampu meluap antrian penerima yang menerima UDP saat serangan Snowshoe sedang berlangsung. Jika tidak, cara cepat untuk mengetahui di Linux adalah menjalankannyanetstat -s | grep 'packet receive errors' di server DNS yang dimaksud; sejumlah besar menunjukkan bahwa mereka harus melepaskan duff mereka dan mulai memperhatikan. Mereka perlu menambah kapasitas atau menambah ukuran buffer penerima jika sering terjadi tumpahan. (yang berarti hilangnya permintaan DNS, dan kehilangan peluang untuk pencegahan spam)
  • Jika Anda sering melihat serangan ini menggunakan domain yang baru dibuat, RBL yang menyorotnya memang ada. Sebuah contoh dari satu Farsight NOD (orang yang membaca ini harus melakukan penelitian mereka sendiri), tapi tidak gratis.

Pengungkapan penuh: Farsight Security didirikan oleh Paul Vixie, yang saya punya kebiasaan buruk dalam ventilasi ketika orang melanggar standar DNS.

Andrew B
sumber
Poin kedua Anda sangat menarik. Saya menduga bahwa kami kehilangan kueri DNS ke RBL yang telah memasukkan daftar hitam IP atau URL, tetapi saya belum dapat membuktikannya. Namun, server surat ada di Windows 2012 dan menggunakan server DNS Windows. Ini adalah server volume yang cukup rendah tetapi saya ingin menyelidiki ini lebih lanjut. Sayangnya itu tidak menjelaskan semuanya karena beberapa hal yang lolos belum punya waktu untuk domain atau IP mereka ditangkap oleh RBL utama.
pooter03
Volume rata-rata server DNS tidak masalah. Karakteristik utama dari limpahan antrian penerimaan adalah tidak dapat memproses paket masuk Anda cukup cepat untuk mengeluarkannya dari antrian, dan serangan Snowshoe berdasarkan volume lebih dari mampu mencapai ini tergantung pada berapa banyak pencarian DNS yang Anda lakukan per spam.
Andrew B
2
Saran pertama Anda umumnya dikenal sebagai greylisting .
Nate Eldredge
2
@Nate Ini adalah bentuk greylisting, tetapi menggunakan istilah itu tanpa pengecualian akan menyarankan kepada kebanyakan orang bahwa tindakan ini diambil sebagai tanggapan terhadap IP yang baru diamati. Jaringan penyerang cenderung menghabiskan waktu untuk membangun koneksi (tanpa mengirim header) dalam persiapan untuk pengiriman muatan yang disinkronkan. Sifat itulah yang Anda tindak lanjuti, karena memungkinkan Anda untuk memprediksi bahwa IP yang belum Anda lihat terlibat dalam serangan itu.
Andrew B
Untuk apa pun nilainya, saya telah mengaktifkan greylisting (yang lebih umum) di server dan spammer merespons dengan benar setelah periode tertentu. Untuk semua maksud dan tujuan, email tersebut tampaknya datang dari server mail yang sah dengan catatan PTR yang dikonfigurasi dengan benar, catatan SPF, dll.
pooter03
1

Saya menginstal Declude (yang gratis) dan Message Sniffer (yang tidak) dan selama 4 hari terakhir saya telah melihat satu pesan spam masuk dalam akun email pengujian saya, berbeda dengan lusinan yang didapat per hari. Sejauh yang saya tahu, kami belum menyaring email yang bagus. Spamassassin mungkin juga akan menjadi solusi yang baik walaupun saya tidak beruntung ketika saya mencoba Spam Assassin in a Box ..

pooter03
sumber
0

Banyak jawaban di sini untuk anti-spam umum. Untuk tingkat tertentu, ini masuk akal karena spammer tampaknya menuju snowshoe sebagai metode pengiriman yang disukai.

Snowshoe awalnya selalu dikirim dari pusat data dalam volume rendah (berdasarkan per-IP) dan selalu menyertakan tautan berhenti berlangganan (untuk tidak mengatakan apakah itu berfungsi). Saat ini, snowshoe hampir tidak pernah memiliki berhenti berlangganan informasi dan dikirim dalam volume tinggi dari IP-nya, tetapi dikirim dalam ledakan sehingga pada saat IP masuk daftar hitam, itu sudah selesai mengirim surat. Ini disebut spam hujan es .

Karena itu, DNSBL dan bahkan tanda tangan berbasis pola yang ketat sangat mengerikan dalam menangkap spam sepatu salju. Ada beberapa pengecualian, seperti daftar Spamhaus CSS (yang secara khusus ditujukan untuk jaringan snowshoe dan merupakan bagian dari SBL dan ZEN), tetapi secara umum Anda akan memerlukan greylisting / tarpitting (yang dapat menunda pengiriman hingga DNSBL mengejar ketinggalan ) dan, yang paling penting, sistem pembelajaran mesin berbasis token seperti penyaringan spam Bayesian . Bayes sangat baik dalam mendeteksi sepatu salju.

Jawaban Andrew B menyebutkan Domain dan Nama Inang (NOD) Farsight Security yang Baru Milik , yang mencoba mengantisipasi jaringan snowshoe ketika mereka berputar tetapi sebelum mereka mulai melakukan spam. Spamhaus CSS kemungkinan melakukan hal serupa. CSS siap untuk digunakan di lingkungan pemblokiran, sementara NOD benar-benar dirancang untuk menjadi umpan ke sistem kustom daripada sistem mandiri / pemblokiran.

Adam Katz
sumber