Verwenden gefälschter MX-Einträge zur Bekämpfung von Spam

Ich habe einen Client, der stark überlastet wird. Es ist der 15. des Monats und die POP3-Bandbreite beträgt fast 100 GB. Es gibt nur 7 E-Mail-Konten in dieser Domain. Ich habe SpamAssassin auf 5 gesetzt und 10-20 Filter eingerichtet, die den größten Teil des Mülls ablehnen. Die POP3-Bandbreite hat sich kaum verändert. Korrigieren Sie mich, wenn ich falsch liege. Der Server empfängt die Nachricht trotzdem mit der erforderlichen Bandbreite, um zu analysieren, ob ein Spam-Score vorliegt.

Ich bin auf gefälschte MX-Datensätze gestoßen, ohne es zu merken. Im Grunde genommen haben Sie einen falschen Server als niedrigsten und höchsten MX-Datensatz festgelegt, wobei der MX-Datensatz des Arbeitsservers in der Mitte liegt.

Beispielsweise:

fake.example.com    1
realmx.example.com  2
fake2.example.com   3

Die Theorie ist, dass der Großteil des Spam von Windows-basierten Zombies generiert wird und nicht wenige nach dem höchsten MX-Eintrag für Spam fragen, da es sich in der Regel um Backup-Server handelt, die keinen Spam filtern. Der niedrigste gefälschte MX-Eintrag gilt für den Rest der Spammer. Im Allgemeinen versuchen es Spammer nach Fehlern nicht erneut.

Hat jemand das versucht? Hilft es? Verzögert oder verursacht es Probleme bei der Postzustellung? Hat jemand eine bessere Lösung?

Tun Sie sich selbst einen Gefallen und richten Sie sie bei einem Gateway-Anti-Spam-Dienst wie Postini ein. Für ein paar Dollar pro Mailbox und Monat gibt es absolut keinen Grund, dies nicht zu tun, und Sie werden nicht nur 99% Ihrer Spam-E-Mails beseitigen, sondern auch den Zugriff auf deren Spool-Service (praktisch für geplante oder ungeplante Ausfallzeiten) genießen und nicht auf Erwähnen Sie die Bandbreiteneinsparungen, indem Sie zulassen, dass andere Personen den gesamten Spam empfangen und verarbeiten, bevor er den Rand Ihres Netzwerks erreicht.

Kein Postini-Mitarbeiter, sondern ein zufriedener Benutzer, der bereits Dutzende von Kunden damit beauftragt hat.

Ich habe es versucht, und ich kann Ihnen nur empfehlen, es NICHT zu tun ! Es schien zu dieser Zeit eine gute Idee zu sein, aber als die Post von verschiedenen Absendern verschwand, wurde mir klar, dass es sich um einen Fehler handelte. Was ich nicht gemerkt habe, war, dass es viele schrecklich geschriebene SMTP-Server gibt, die sich nicht an die Spezifikation halten und ziemlich schlecht im Umgang mit Fehlern sind , so musst du es sein ".

Ich gehe auf einige der anderen Vorschläge zum Umgang mit SPAM ein. Postini ist ein großartiger Service, und selbst das integrierte Anti-Spam-Zeug in den kostenlosen Google Apps ist nicht so schlimm. Wenn Sie mehr Kontrolle wünschen, können Sie einen IronPort oder ein anderes Gerät kaufen oder Ihr eigenes rollen.

Ich habe noch nie von dieser Methode gehört und kann mir vorstellen, dass sie legitime E-Mails möglicherweise um mehrere Stunden verzögern würde. Letztendlich müssen die SMTP-Protokolle Ihre legitimen E-Mails zustellen. Die gültigen Server werden den gefälschten MX-Datensatz abrufen und versuchen, diesen Server zu beliefern. Ich weiß nicht, was Sie möglicherweise dort ausgeführt haben (wenn überhaupt), aber sie werden es weiterhin versuchen, bis es akzeptiert wird.

Richtige Server versuchen weiterhin, die MX-Einträge abzurufen, bis die E-Mails zugestellt werden. Spammer neigen dazu, schlauer zu werden, und wenn dies jetzt für einige Spam-Programme funktioniert, werde ich bezweifeln, dass es lange funktionieren wird. Ich kann es nicht empfehlen.

Ich empfehle stattdessen, zusätzlich zu Ihrem vorhandenen Spamfilter ein SMTP-Tarpit zu verwenden. Es gibt eine Reihe von diesen jetzt zur Verfügung. Ich denke, Sie werden feststellen, dass es viel effektiver ist als die gefälschte MX-Aufnahmemethode.

Solche Tarpits kommen mit SMTPD auf BSD. Es gibt auch einige Tarpitting-Funktionen in sendmail 8.13.

Grundsätzlich funktioniert ein Tarpit, indem Spam-Server-Ressourcen gebunden werden. Sie tun dies, indem sie die Antworten, die sie erhalten, verzögern. ZB verbindet sich der Spam-Server und empfängt ca. 1 Byte pro Sekunde.
Einige Tarpit-Server suchen nach Spam-Mustern und können einen Spam-Server erkennen. Legitime Server sind bereit, auf eine langsame Antwort zu warten. Bei einigen Tarpits-Servern wird der legitimierte Server automatisch auf eine Whitelist verschoben, sodass es in Zukunft keine Verzögerungen gibt.

Google SMTP Tarpit und werfen Sie einen Blick darauf.

Sie haben es nicht erwähnt. Gibt es einen Grund, warum Sie keine DNSBL verwenden ?

Bearbeiten: SpamAssassin unterstützt einige von ihnen - ohne sie verschwenden Sie eine Menge CPU-Zyklen, um Spam zu analysieren.

Ich benutze dieses gefälschte MX (eine Variante des Nolisting ) und es funktioniert sehr gut.

Ich habe einen Postfix MX mit allen üblichen Filtern verwendet und nach einigem Spambot habe ich beschlossen, den Server zwei- oder dreimal zu überlasten ... hier ist das Ergebnis:

versuche zu raten, wann ich den fake-mx implementiert habe! 8)

Das Ergebnis ist dasselbe wie bei Postgrey, aber im Gegensatz zu Postgrey müssen Sie Ihren Mailserver nicht ändern

Die Spambots probieren nun entweder den hohen oder den niedrigen MX aus, wodurch der echte MX von dem Versuch befreit wird, zu filtern (selbst bei DNSBL war die Last hoch) und echte E-Mails mit minimaler Verzögerung eingehen.

Aber seien Sie gewarnt, es gibt Risiken:

• Einige Server haben möglicherweise hohe Wiederholungszeiten. Die meisten Server werden den nächsten MX nach dem ersten Timeout erneut versuchen, andere werden es in den nächsten Minuten versuchen, aber ich habe bereits Server gesehen, die es erst nach einer Stunde oder einem Tag erneut versuchen. Sie sind sehr selten und für die, die ich fangen konnte, war es eine schlechte Konfiguration. Das Gespräch mit dem anderen Postmaster behebt das Problem

• Alle E-Mails haben eine Verzögerung. Eigentlich sehe ich überhaupt keine Verzögerung, fast alle echten Mailserver versuchen es nach dem ersten Timeout erneut mit dem nächsten MX, also sprechen wir von einer Verzögerung von 30s. Sie versuchen normalerweise mindestens 3 MX, bevor sie die Nachricht für eine längere Verzögerung in die Warteschlange stellen. Möglicherweise haben Sie jedoch Kontakt mit einem kaputten Mailserver, der dies nicht tut, und verzögern jede Nachricht um Minuten. Das ist also eine Sache, die bei der Bereitstellung dieser Lösung überwacht werden muss.

• Defekte Websites. Einige Webserver senden E-Mails für Kennwörter, Benachrichtigungen usw. und anstatt für einen internen E-Mail-Server zu senden, versuchen sie, ein "gefälschter" E-Mail-Server zu sein und direkt zuzustellen. Da es sich um einen Webserver handelt, werden sie es nie wiederholen und die E-Mail geht verloren. Auch hier ist es eine schlechte Konfiguration des Webmasters / der Webentwickler, da nur echte E-Mail-Server E-Mails senden sollten. Jedes Mal, wenn ich diese Probleme finde, spreche ich mit dem Webmaster über das Problem und in der Regel ist das Problem behoben.

• Keine Protokolle. Als das gefälschte MX-Poing auf nicht verbundene IPs haben Sie keine Protokolle darüber, was zugestellt werden wollte. Sie wissen nur, dass etwas schief gelaufen ist, wenn sich jemand beschwert hat. das ist aber auch gut so Sie können jederzeit behaupten, dass Sie keinen Versuch haben, eine E-Mail zuzustellen, sodass es sich um ein Remote-Problem handelt. Die andere Seite muss ihre Protokolle überprüfen und das Problem beheben. Ich kann nachweisen, dass überhaupt keine Verbindung zu meinem realen Server besteht, wodurch der Druck, das Problem zu lösen, auf die andere Seite verlagert wird. Wenn die andere Seite das Problem nicht beheben kann, erscheint sie als nicht vertrauenswürdig und unzuverlässig.

• Keine Whitelist. Dies gilt für alle Server über DNS, so dass Sie nicht einen Server auf die Whitelist setzen können ... eigentlich ist es nur halb so wahr, aber es ist schwieriger. Die Whitelist-Lösung besteht darin, dass der niedrigste MX auf eine IP verweist, auf der ein SMTP ausgeführt wird, aber für alle nach Firewall gefiltert wird. Die Server, die Sie in die Liste aufnehmen möchten, mussten in der Firewall zugelassen sein. Auf diese Weise werden alle Server von der Firewall abgelehnt und die Whitelist kann an den Mailserver senden. Es funktioniert, aber nur für die IP-Whitelist, nicht für die E-Mail-Whitelist.

Im Gegensatz zu Postgrey, wo der entfernte Absender ein Protokoll über eine "abgelehnte" Zustellung hat (und so auf uns als Problem hinweisen kann), zeigt der fake-MX, dass der Webserver keine Verbindung herstellen konnte und es nicht erneut versucht hat, und gibt keine Entschuldigung für die entfernte Seite über das Problem. Ein fehlerhafter MX wird besser als ein Postgrey-MX akzeptiert, da wir immer ein "Routing-Problem" melden können, aber der Backup-MX funktioniert einwandfrei, wir bekommen alle anderen E-Mails "

Trotzdem bekomme ich nur sehr wenig Beschwerden (etwa alle 3 Monate), daher halte ich es für sicher genug (jeder Spam-Filter birgt Risiken).

Bitte beachte, dass ich für alle MX eine gültige IPv4-Adresse verwende, aber für die gefälschten verwende ich eine IP, die ich kontrolliere und die nicht verwendet wird. Diese Regeln gelten auch, wenn Sie dies nicht verwenden. Es gibt DNS- und SMTP-Server, die eine perfekt gültige DNS-Konfiguration benötigen, damit die E-Mail funktioniert. Der Fake-MX muss auch gültig sein, sie sollten einfach nicht erreichbar sein.

Verwenden Sie keine privaten IPs oder IPs, die Sie nicht für den gefälschten MX kontrollieren (wenn Sie eine IPv6-Adresse hinzufügen, fügen Sie AUCH eine IPv4-Adresse hinzu). So vermeiden Sie Probleme mit defekten DNS- und Mailservern und die Überraschung, dass andere Ihre E-Mails erhalten (indem Sie einen SMTP-Server auf der IP installieren, die Sie nicht kontrollieren). CNAME ist auch für MX verboten, verwenden Sie es also nicht, sondern nur einen einfachen A-Datensatz

Schließlich sollte ein TCP-Reset für den gefälschten MX gesendet werden, um die Leistung (Host oder nicht erreichbarer Port) anstelle einer normalen Zeitüberschreitung (durch Verwerfen des Pakets) zu verbessern. Es wird daher empfohlen, es Ihrer Firewall hinzuzufügen.

sowieso benutze ich es nicht nur immer noch, da ich jedem empfehle, es zu benutzen

Was das Filtern von E-Mails angeht , bin ich sehr zufrieden mit der Kombination aus Spamassasin und policyd-weight , die den Hostnamen des Absenders und die Blocklisten während der SMTP-Verbindung überprüft. Das ist aus zwei Gründen eine großartige Sache:

1. Sie müssen die abgelehnte E-Mail nicht mit Spamassasin verarbeiten, wodurch Sie Systemressourcen (die Bayes'sche Analyse benötigt einige Zeit) und Bandbreite sparen
2. Absender-Hosts werden abgelehnt. In dem unwahrscheinlichen Fall, dass legitime E-Mails blockiert werden, erhält der Absender eine Benachrichtigung über einen Zustellungsfehler

Ich verwende das Setup für Postfix, aber angeblich gibt es eine Möglichkeit, policyd-weight mit Exim zu installieren .

Ich bin ehrlich gesagt nicht ganz auf die Idee gekommen.

Ok, ich sage, mein primärer Mailserver ist Fake. Dann so? Gibt es das überhaupt nicht oder was? (Nehmen wir an, es ist endlich so oder so möglich, einen Teil von SPAMern auszuschneiden.) Die "Überlebenden" würden sekundär verwenden - kein Problem. Aber warum gibt es in diesem Setup den 3. Server?

Da dies meine Antwort sein sollte, keine Frage, würde ich daraus schließen: Es ist krank und ein blasser Schatten von Greylisting. Wenn Sie einen echten Effekt sehen möchten, versuchen Sie es mit Greylisting, Mann .

Ich lösche die meisten meiner Spam-Mails, indem ich die Verbindungen zu Hosts verzögere, die in der Spamhaus-Zen-Liste aufgeführt sind. Spambots mögen keine Verzögerung. Das Erkennen offensichtlicher Server-Fälschungen im HELO-Befehl löscht auch viele Spam-E-Mails. Ich habe festgestellt, dass Server-Fälschungen enthalten sind.

• Verwendung meines Hostnamens oder meiner IP-Adresse.
• Verwendung eines nicht qualifizierten Hostnamens.
• Verwenden eines Domänenliteral ([192.0.2.15]) anstelle eines vollqualifizierten Domänennamens. (Ja, die RFCs erfordern dies, aber heutzutage wird es nicht von Internet-Mail-Servern verwendet.)
• Fehlerhafter SPF für den HELO-Namen, nicht Mail (ich blockiere Fail, Softfail und Neutral).

Wenn Sie Wert auf automatisierte oder Marketing-E-Mails legen, aktivieren Sie den Befehl HELO, der nicht funktioniert. Ich habe die Erfahrung gemacht, dass alle anderen E-Mails diese Bedingungen erfüllen.

• Verwenden eines Domänennamens der zweiten Ebene anstelle eines vollqualifizierten Domänennamens für den Host.
• Anforderung des IP- oder HELO-Namens zur Überprüfung von rDNS.
• Erforderlich ist eine gültige Domain der zweiten Ebene für den FQDN. (local ist weder eine gültige Domain noch localdomain.)

Wenn Sie Ihren Rückweg unterschreiben, können Sie Spam blockieren. Obwohl ich in letzter Zeit viel weniger gefälschte Bounces sehe.

Leider finde ich einen hohen Prozentsatz legitimer automatisierter oder Marketing-Mails, die ihren Rückweg fälschen. Diese Hosts haben oft auch keine gültige Postmaster-Adresse. Ich finde, dass eine gültige Domäne im Rückgabepfad erforderlich ist. Ich bekomme weit mehr SPF-Fehlerantworten bei legitimen E-Mails als bei Spam.

Ich habe kürzlich meine Erfahrungen mit dem Blockieren von Spam mit Exim veröffentlicht

Abgesehen von den verlorenen E-Mails von legitimen Personen mit kaputten Gateways wurde es vor langer Zeit (wie vor 15 Jahren +/-) versucht und die Spammer haben sich damals fast sofort daran gewöhnt. Ich gehe davon aus, dass dies einen Nettoverlust für Ihre E-Mail-Zuverlässigkeit darstellt, ohne dass sich dies auf Spam auswirkt. Sollten Sie es dennoch versuchen, senden Sie uns bitte die Ergebnisse!

Leider gibt es bestimmte Netzbetreiber, die Ihnen keine E-Mails senden, wenn der erste MX-Datensatz nicht erreichbar ist. Ich habe kürzlich meine Erfahrungen damit in einem Blogeintrag niedergeschrieben, damit ich es hier nicht wiederhole. Die Zusammenfassung ist jedoch, dass mein erster MX-Eintrag tatsächlich ein reiner IPv6-MX-Eintrag war, da ich vermutete, dass Spammer (noch) kein IPv6 verwenden. Leider verursachte dies Probleme und am Ende musste ich dem ersten MX-Eintrag in meiner Zone eine IPv4-Adresse hinzufügen.