Was sind die besten Methoden zum Abfangen von Schneeschuh-Spam?

Ich verwende Smartermail für meinen kleinen Mailserver. Wir haben in letzter Zeit ein Problem damit, dass wir Schneeschuh-Spam- Wellen bekommen , die dem gleichen Muster folgen. Sie kommen in Chargen von 3 oder 4 auf einmal. Die Körper sind bis auf den Domainnamen, mit dem sie verknüpft sind, fast identisch. Die Quell-IPs stammen für eine Weile aus demselben / 24-Block und wechseln dann zu einem anderen / 24-Block. Die Domains sind in der Regel brandneu. Sie verfügen über gültige PTR- und SPF-Datensätze und haben zufälliges Kauderwelsch am unteren Rand des Körpers, um Bayes-Filter zu fälschen.

Ich verwende ein Dutzend verschiedener RBLs, darunter Barracuda, Spamhaus, SURBL und URIBL. Sie erledigen einen anständigen Job damit, die meisten von ihnen zu fangen, aber wir bekommen immer noch viel durch, weil die IPs und Domänen nicht auf die schwarze Liste gesetzt wurden.

Gibt es Strategien, die ich anwenden kann, einschließlich RBLs, die neu erstellte Domänen blockieren oder sich speziell mit Snoeshow-Spam befassen? Ich hoffe, dass ich keinen Filterdienst eines Drittanbieters verwenden muss.

Wird dies zu einem echten Problem für Ihre Benutzer?

Ich würde an dieser Stelle einen umfassenden E-Mail-Filterdienst empfehlen. Bayesian ist nicht mehr so ​​heiß. Reputation, RBL, Header / Intent-Analyse und andere Faktoren scheinen mehr zu helfen. Ziehen Sie einen Cloud-Filterdienst in Betracht, um mehrere Ansätze ( und das Gesamtvolumen ) zu kombinieren und einen besseren Schutz zu bieten ( ich verwende die ESS-Cloud-Lösung von Barracuda für meine Kunden ).

Und natürlich: Spam bekämpfen - Was kann ich tun als: E-Mail-Administrator, Domaininhaber oder Benutzer?

Der Anstieg der Snowshoe-Angriffe hat uns nicht negativ beeinflusst. Ich habe eine Zeit erlebt, in der sich das Postaufkommen mit diesen Angriffen von Tag zu Tag verdreifachte. Aber keines der schlechten Dinge hat es geschafft. In 3 Tagen brachte Barracuda das Volumen auf ein normales Niveau.

Ich denke, Filterlösungen, die einen umfassenden Überblick über die weltweite Mail-Aktivität bieten, können besser auf Angriffe reagieren als einzelne Mail-Filter.

Bearbeiten:

Dies wurde kürzlich auch auf der LOPSA- Mailingliste besprochen :

Mein Beitrag: https://www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
Eine andere Meinung: https://www.mail-archive.com/tech@lists.lopsa.org/msg04181 .html

Ich bin ein DNS Ops-Typ, der eng mit einer Gruppe zusammenarbeitet, die diesen Angriffen häufig ausgesetzt ist. Der Umgang mit Snowshoe-Angriffen ist in erster Linie ein Prozessproblem, und wie ewwhite darauf hinweist, kann es den Rahmen Ihres Unternehmens sprengen, das Problem intern zu lösen. Ich würde so weit gehen zu sagen, dass Sie wahrscheinlich nicht versuchen sollten, dies selbst zu lösen, indem Sie einen kommerziellen Filterdienst verwenden , es sei denn, Sie haben eine beträchtliche Operation und mehrere kommerzielle RBL-Feeds .

Das heißt, wir haben einige Erfahrungen damit und es ist interessanter zu teilen, als nicht. Einige Berührungspunkte sind:

• Wenn möglich, trainieren Sie Ihre E-Mail-Plattform, um die Merkmale eines laufenden Snowshoe-Angriffs zu ermitteln und Nachrichten aus den betreffenden Netzwerken vorübergehend abzulehnen. Gut erzogene Clients versuchen, Nachrichten bei einem vorübergehenden Fehler erneut zu senden, andere eher nicht.
• Stellen Sie sicher, dass Ihre DNS-Administratoren UDP-MIB::udpInErrorsüber SNMP überwachen , da Mail-Plattformen die Empfangswarteschlangen der UDP-Listener bei einem Snowshoe-Angriff sehr gut überfüllen können. Wenn dies nicht der Fall ist, können Sie dies unter Linux schnell feststellen, indem Sie es netstat -s | grep 'packet receive errors'auf den betreffenden DNS-Servern ausführen . Eine große Anzahl zeigt an, dass sie ihre Sachen ablegen und aufpassen müssen. Sie müssen die Kapazität erhöhen oder die Größe der Empfangspuffer erhöhen, wenn häufiges Verschütten auftritt. (was bedeutet, dass DNS-Abfragen verloren gegangen sind und Möglichkeiten zur Spam-Prävention verloren gegangen sind)
• Wenn diese Angriffe häufig unter Verwendung von neu erstellten Domänen auftreten, sind RBLs vorhanden, die diese hervorheben. Ein Beispiel dafür ist FarSight NOD (Leute, die dies lesen, sollten ihre eigenen Forschungen durchführen), aber es ist nicht kostenlos.

Vollständige Offenlegung: Farsight Security wurde von Paul Vixie gegründet. Ich habe die schlechte Angewohnheit, wenn Leute gegen DNS-Standards verstoßen.

Ich habe Declude (kostenlos) und Message Sniffer (nicht) installiert und in den letzten 4 Tagen eine Spam-Nachricht in meinem Test-E-Mail-Konto gefunden, im Gegensatz zu den Dutzenden, die es pro Tag erhalten hat. Soweit ich das beurteilen kann, haben wir keine guten E-Mails herausgefiltert. Spamassassin wäre wahrscheinlich auch eine gute Lösung, obwohl ich kein Glück damit hatte, als ich Spamassassin in a Box ausprobierte.

Viele Antworten hier beziehen sich auf allgemeine Spam-Schutzmaßnahmen. Bis zu einem gewissen Grad ist dies sinnvoll, da Spammer anscheinend auf Schneeschuh als bevorzugte Versandmethode zusteuern.

Snowshoe wurde ursprünglich immer von Rechenzentren mit geringem Datenvolumen (auf IP-Basis) gesendet und enthielt immer einen Link zum Abbestellen (ganz zu schweigen davon, ob es funktioniert). Heutzutage hat Schneeschuh fast nie Informationen zum Abbestellen und wird in großem Umfang von seinen IP-Adressen gesendet, wird jedoch in einem Burst gesendet, sodass das Versenden von E-Mails bereits abgeschlossen ist, wenn die IP-Adresse auf die schwarze Liste gesetzt wird. Dies wird als Hagelsturm-Spam bezeichnet .

Aus diesem Grund sind DNSBLs und sogar enge musterbasierte Signaturen für das Abfangen von Schneeschuh-Spam schrecklich. Es gibt einige Ausnahmen, wie die Spamhaus-CSS-Liste (die sich speziell an Schneeschuh-Netzwerke richtet und sowohl Teil von SBL als auch von ZEN ist), aber im Allgemeinen benötigen Sie ein Greylisting / Tarpitting (das die Zustellung verzögern kann, bis die DNSBLs aufholen) ) und vor allem ein tokengesteuertes maschinelles Lernsystem wie die Bayes'sche Spam-Filterung . Bayes erkennt besonders gut Schneeschuhe.

In der Antwort von Andrew B werden die neuen Domänen und Hostnamen ( Newly Owned Domains and Hostnames, NOD) von Farsight Security erwähnt , die versuchen, Schneeschuh-Netzwerke zu antizipieren, wenn sie hochgefahren werden, aber bevor sie zu spammen beginnen. Spamhaus CSS macht wahrscheinlich etwas Ähnliches. CSS kann in einer blockierenden Umgebung verwendet werden, während NOD eigentlich als Feed für ein benutzerdefiniertes System und nicht als eigenständiges / blockierendes System konzipiert ist.