Spam-Bekämpfung - Was kann ich tun als: E-Mail-Administrator, Domain-Inhaber oder Benutzer?

107

Dies ist eine kanonische Frage zur Bekämpfung von Spam.
Auch verwandt:

Es gibt so viele Techniken und so viel zu wissen, wie man SPAM bekämpft. Welche weit verbreiteten Techniken und Technologien stehen Administratoren, Domainbesitzern und Endbenutzern zur Verfügung, um den Müll aus unseren Posteingängen fernzuhalten?

Wir suchen nach einer Antwort, die verschiedene Technologien aus verschiedenen Blickwinkeln abdeckt. Die akzeptierte Antwort sollte eine Vielzahl von Technologien enthalten (z. B. SPF / SenderID, DomainKeys / DKIM, Graylisting, DNS RBLs, Reputation Services, Filtersoftware [SpamAssassin, etc]). Best Practices (z. B. Mail an Port 25 darf niemals weitergeleitet werden, Port 587 sollte verwendet werden; usw.), Terminologie (z. B. Open Relay, Backscatter, MSA / MTA / MUA, Spam / Ham) und möglicherweise andere Techniken.

Chris S
quelle
13
Ob kanonisch oder nicht, dies ist nicht der richtige Ort, um nach Informationen auf Benutzerebene zu fragen.
John Gardeniers

Antworten:

97

Um Ihren Feind zu besiegen, müssen Sie Ihren Feind kennen.

Was ist Spam?

Für unsere Zwecke ist Spam jede unerwünschte elektronische Massennachricht. Spam in diesen Tagen soll ahnungslose Benutzer dazu verleiten, eine (normalerweise zwielichtige) Website zu besuchen, auf der sie aufgefordert werden, Produkte zu kaufen oder Malware auf ihren Computern oder auf beiden zu installieren. Einige Spam-Mails liefern Malware direkt.

Es mag Sie überraschen zu erfahren, dass der erste Spam 1864 gesendet wurde. Dies war eine Werbung für zahnärztliche Leistungen, die per Western Union-Telegramm gesendet wurde. Das Wort selbst bezieht sich auf eine Szene in Monty Pythons Flying Circus .

Spam bezieht sich in diesem Fall nicht auf den Mailinglistenverkehr, den ein Benutzer abonniert hat, auch wenn er seine Meinung später geändert (oder vergessen hat), sich jedoch noch nicht abgemeldet hat.

Warum ist Spam ein Problem?

Spam ist ein Problem, weil es für die Spammer funktioniert . Spam generiert in der Regel mehr als genug Umsatz (oder Malware-Versand oder beides), um die Kosten für den Versand an den Spammer zu decken . Der Spammer berücksichtigt nicht die Kosten für den Empfänger, Sie und Ihre Benutzer. Selbst wenn eine winzige Minderheit von Benutzern, die Spam erhalten, darauf antwortet, reicht dies aus.

Sie müssen also die Kosten für Bandbreite, Server und Administratorzeit bezahlen, um mit eingehendem Spam umzugehen.

Wir blockieren Spam aus folgenden Gründen: Wir möchten ihn nicht sehen, um die Kosten für die Bearbeitung von E-Mails zu senken und Spam für die Spammer teurer zu machen.

Wie funktioniert Spam?

Spam wird normalerweise auf andere Weise als normale, legitime E-Mails übermittelt.

Spammer möchten fast immer den Ursprung der E-Mail verschleiern, sodass ein typischer Spam falsche Header-Informationen enthält. Die From:Adresse ist normalerweise falsch. Einige Spam-Mails enthalten falsche Received:Zeilen, um die Spur zu verschleiern. Eine Menge Spam wird über offene SMTP-Relays, offene Proxyserver und Botnets zugestellt. Alle diese Methoden erschweren die Ermittlung der Herkunft des Spam.

Sobald der Spam im Posteingang des Benutzers ist, soll er den Benutzer zum Besuch der beworbenen Website verleiten. Dort wird der Benutzer zum Kauf verleitet, oder die Website versucht, Malware auf dem Computer des Benutzers oder auf beiden zu installieren. Oder der Spam fordert den Benutzer auf, einen Anhang zu öffnen, der Malware enthält.

Wie beende ich Spam?

Als Systemadministrator eines Mailservers konfigurieren Sie Ihren Mailserver und Ihre Domäne so, dass es für Spammer schwieriger wird, ihren Benutzern Spam zuzustellen.

Ich werde auf Themen eingehen, die speziell auf Spam ausgerichtet sind, und möglicherweise Dinge überspringen, die nicht direkt mit Spam zusammenhängen (z. B. Verschlüsselung).

Führe kein offenes Relais aus

Die große Sünde des Mailservers ist es, ein offenes Relay zu betreiben , einen SMTP-Server, der Mail für jedes Ziel akzeptiert und weiterleitet. Spammer lieben offene Relais, weil sie die Zustellung praktisch garantieren. Sie übernehmen die Aufgabe, Nachrichten zuzustellen (und erneut zu versuchen!), Während der Spammer etwas anderes tut. Sie machen Spamming billig .

Offene Relais tragen auch zum Problem der Rückstreuung bei. Hierbei handelt es sich um Nachrichten, die vom Relay akzeptiert wurden, sich dann aber als unzustellbar erwiesen haben. Das Open Relay sendet dann eine Bounce-Nachricht an die From:Adresse, die eine Kopie des Spam enthält.

  • Konfigurieren Sie Ihren Mailserver so, dass eingehende E-Mails an Port 25 nur für Ihre eigene (n) Domain (s) akzeptiert werden. Bei den meisten Mailservern ist dies das Standardverhalten, aber Sie müssen dem Mailserver mindestens mitteilen, wie Ihre Domänen lauten.
  • Testen Sie Ihr System, indem Sie Ihrem SMTP-Server eine E-Mail von außerhalb Ihres Netzwerks senden, in der sich die From:und To:-Adressen nicht in Ihrer Domäne befinden. Die Nachricht sollte abgelehnt werden. (Oder verwenden Sie einen Onlinedienst wie MX Toolbox , um den Test durchzuführen. Beachten Sie jedoch, dass einige Onlinedienste Ihre IP-Adresse an Blacklists senden, wenn Ihr Mailserver den Test nicht besteht.)

Lehnen Sie alles ab, was zu verdächtig aussieht

Verschiedene Fehlkonfigurationen und Fehler können den Hinweis geben, dass eine eingehende Nachricht wahrscheinlich Spam oder auf andere Weise unzulässig ist.

  • Als Spam markieren oder Nachrichten ablehnen, für die die IP-Adresse kein Reverse-DNS (PTR-Eintrag) hat. Behandeln Sie das Fehlen eines PTR-Datensatzes für IPv4-Verbindungen härter als für IPv6-Verbindungen, da viele IPv6-Adressen noch kein umgekehrtes DNS haben und möglicherweise erst nach mehreren Jahren, wenn die DNS-Serversoftware diese potenziell sehr großen Zonen besser verarbeiten kann.
  • Nachrichten ablehnen, für die der Domänenname in der Absender- oder Empfängeradresse nicht vorhanden ist.
  • Nachrichten ablehnen, die keine vollständig qualifizierten Domänennamen für die Absender- oder Empfängerdomänen verwenden, es sei denn, sie stammen aus Ihrer Domäne und sollen innerhalb Ihrer Domäne zugestellt werden (z. B. Überwachungsdienste).
  • Lehnen Sie Verbindungen ab, bei denen das andere Ende kein HELO/ sendet EHLO.
  • Verbindungen ablehnen, bei denen das HELO/ EHLOist:
    • Kein vollständig qualifizierter Domainname und keine IP-Adresse
    • offensichtlich falsch (zB Ihr eigener IP-Adressraum)
  • Ablehnen von Verbindungen, die Pipelining verwenden, ohne dazu berechtigt zu sein.

Authentifizieren Sie Ihre Benutzer

E-Mails, die auf Ihren Servern ankommen, sollten als eingehende und ausgehende E-Mails betrachtet werden. Eingehende E-Mails sind alle E-Mails, die auf Ihrem SMTP-Server eingehen und letztendlich für Ihre Domain bestimmt sind. Ausgehende E-Mails sind alle E-Mails, die auf Ihrem SMTP-Server ankommen und vor der Zustellung an einen anderen Ort weitergeleitet werden (z. B. an eine andere Domäne). Eingehende E-Mails können von Ihren Spam-Filtern verarbeitet werden und kommen möglicherweise von überall her, müssen jedoch immer für Ihre Benutzer bestimmt sein. Diese E-Mail kann nicht authentifiziert werden, da es nicht möglich ist, jedem Standort, der Ihnen E-Mails sendet, Anmeldeinformationen zuzuweisen.

Ausgehende E-Mails, dh E-Mails, die weitergeleitet werden, müssen authentifiziert werden. Dies ist der Fall, unabhängig davon, ob es aus dem Internet oder aus Ihrem Netzwerk stammt (obwohl Sie die IP-Adressbereiche einschränken sollten, die für die Verwendung Ihres Mailservers zulässig sind, wenn dies betrieblich möglich ist). Dies liegt daran, dass möglicherweise Spambots in Ihrem Netzwerk ausgeführt werden. Konfigurieren Sie Ihren SMTP-Server daher so, dass für andere Netzwerke gebundene E-Mails verworfen werden (der Relay-Zugriff wird verweigert), es sei denn, diese E-Mails werden authentifiziert. Besser noch: Verwenden Sie separate Mailserver für eingehende und ausgehende Mail, lassen Sie für eingehende Mail kein Relaying zu und erlauben Sie keinen nicht authentifizierten Zugriff auf die ausgehenden Mailserver.

Wenn Ihre Software dies zulässt, sollten Sie Nachrichten auch nach dem authentifizierten Benutzer filtern. Wenn die Absenderadresse der E-Mail nicht mit dem authentifizierten Benutzer übereinstimmt, sollte sie abgelehnt werden. Aktualisieren Sie die Absenderadresse nicht unbeaufsichtigt. Der Benutzer sollte über den Konfigurationsfehler informiert sein.

Sie sollten auch den Benutzernamen protokollieren, der zum Senden von E-Mails verwendet wird, oder einen identifizierenden Header hinzufügen. Auf diese Weise verfügen Sie im Falle eines Missbrauchs über Beweise und wissen, welches Konto dafür verwendet wurde. Auf diese Weise können Sie gefährdete Konten und problematische Benutzer isolieren. Dies ist insbesondere für Shared Hosting-Anbieter von Nutzen.

Filtern Sie den Datenverkehr

Sie möchten sicher sein, dass E-Mails, die Ihr Netzwerk verlassen, tatsächlich von Ihren (authentifizierten) Benutzern gesendet werden, nicht von Bots oder Personen von außerhalb. Die Einzelheiten dazu hängen davon ab, welche Art von System Sie verwalten.

Im Allgemeinen ist es eine gute Idee, den ausgehenden Datenverkehr an den Ports 25, 465 und 587 (SMTP, SMTP / SSL und Übermittlung) für alles außer für Ihre ausgehenden Mailserver zu blockieren, wenn Sie ein Unternehmensnetzwerk sind. Auf diese Weise können von Malware ausgeführte Bots in Ihrem Netzwerk weder Spam von Ihrem Netzwerk aus senden, um Relays im Internet zu öffnen, noch direkt an den endgültigen MTA, um eine Adresse zu erhalten.

Hotspots sind ein Sonderfall, da legitime E-Mails von ihnen aus vielen verschiedenen Domänen stammen. Ein "erzwungener" Mailserver ist jedoch (unter anderem aufgrund von SPF) ungeeignet und Benutzer sollten den SMTP-Server ihrer eigenen Domäne zum Senden von E-Mails verwenden. Dieser Fall ist viel schwieriger, aber die Verwendung einer bestimmten öffentlichen IP-Adresse oder eines bestimmten IP-Bereichs für den Internetverkehr von diesen Hosts (um die Reputation Ihrer Site zu schützen), die Drosselung des SMTP-Verkehrs und die eingehende Paketprüfung sind zu berücksichtigende Lösungen.

In der Vergangenheit haben Spambots hauptsächlich auf Port 25 Spam ausgegeben, aber nichts hindert sie daran, Port 587 für den gleichen Zweck zu verwenden. Daher ist das Ändern des für eingehende E-Mails verwendeten Ports von zweifelhaftem Wert. Die Verwendung von Port 587 für die E- Mail-Übermittlung wird jedoch von RFC 2476 empfohlen und ermöglicht eine Trennung zwischen der E-Mail-Übermittlung (zum ersten MTA) und der E-Mail-Übertragung (zwischen MTAs), wenn dies aus der Netzwerktopologie nicht ersichtlich ist. Wenn Sie eine solche Trennung benötigen, sollten Sie dies tun.

Wenn Sie ein ISP, ein VPS-Host, ein Colocation-Anbieter oder ein ähnlicher Anbieter sind oder einen Hotspot zur Verwendung durch Besucher bereitstellen, kann das Blockieren des ausgehenden SMTP-Verkehrs für Benutzer problematisch sein, die E-Mails über ihre eigenen Domänen senden. In allen Fällen, mit Ausnahme eines öffentlichen Hotspots, sollten Sie Benutzer, die ausgehenden SMTP-Zugriff benötigen, weil sie einen Mailserver ausführen, auffordern, diesen speziell anzufordern. Lassen Sie sie wissen, dass Missbrauchsbeschwerden letztendlich dazu führen, dass der Zugriff beendet wird, um Ihren Ruf zu schützen.

Dynamische IP-Adressen und solche, die für die virtuelle Desktop-Infrastruktur verwendet werden, sollten niemals ausgehenden SMTP-Zugriff haben, außer auf den spezifischen Mailserver, den diese Knoten verwenden sollen. Diese Arten von IPs sollten auch auf Blacklists erscheinen und Sie sollten nicht versuchen, eine Reputation für sie aufzubauen. Dies liegt daran, dass es äußerst unwahrscheinlich ist, dass sie einen legitimen MTA ausführen.

Erwägen Sie die Verwendung von SpamAssassin

SpamAssassin ist ein E-Mail-Filter, mit dem Spam anhand der Kopfzeilen und des Inhalts von Nachrichten identifiziert werden kann. Es verwendet ein regelbasiertes Bewertungssystem, um die Wahrscheinlichkeit zu bestimmen, mit der eine Nachricht Spam ist. Je höher die Punktzahl, desto wahrscheinlicher ist es, dass die Nachricht Spam ist.

SpamAssassin verfügt auch über eine Bayes-Engine, mit der Spam- und Ham-Proben (legitime E-Mails) analysiert werden können, die zurückgesendet werden.

Die beste Vorgehensweise für SpamAssassin besteht darin, die E-Mails nicht abzulehnen, sondern in einem Junk- oder Spam-Ordner abzulegen. MUAs (Mail User Agents) wie Outlook und Thunderbird können eingerichtet werden, um die von SpamAssassin zu E-Mail-Nachrichten hinzugefügten Header zu erkennen und entsprechend abzulegen. False Positives können und können passieren, und obwohl sie selten vorkommen, werden Sie davon erfahren, wenn es dem CEO passiert. Diese Konversation wird viel besser, wenn die Nachricht einfach in den Junk-Ordner übertragen und nicht sofort abgelehnt wird.

SpamAssassin ist fast einzigartig, obwohl es einige Alternativen gibt .

Erwägen Sie die Verwendung von DNS-basierten Blackhole-Listen und Reputationsdiensten

DNSBLs (früher als RBLs oder Realtime-Blackhole-Listen bezeichnet) enthalten Listen mit IP-Adressen, die mit Spam oder anderen böswilligen Aktivitäten in Verbindung stehen. Diese werden von unabhängigen Dritten basierend auf ihren eigenen Kriterien betrieben. Prüfen Sie daher sorgfältig, ob die von einer DNSBL verwendeten Kriterien für die Auflistung und Löschung mit dem Erfordernis Ihrer Organisation, E-Mails zu erhalten, kompatibel sind. Zum Beispiel haben einige DNSBLs drakonische Richtlinien zum Löschen, die es sehr schwierig machen, jemanden zu entfernen, der versehentlich aufgelistet wurde. Andere werden automatisch gelöscht, nachdem die IP-Adresse für einen sichereren Zeitraum keinen Spam gesendet hat. Die meisten DNSBLs können kostenlos verwendet werden.

Reputationsdienste sind ähnlich, erheben jedoch den Anspruch, bessere Ergebnisse zu erzielen, indem mehr Daten analysiert werden, die für eine bestimmte IP-Adresse relevant sind. Für die meisten Reputationsdienste ist eine Abonnementzahlung oder ein Hardwarekauf oder beides erforderlich.

Es gibt Dutzende von DNSBLs und Reputationsdiensten, einige der bekannteren und nützlicheren, die ich verwende und empfehle, sind:

Konservative Listen:

Aggressive Listen:

Wie bereits erwähnt, sind viele Dutzend andere verfügbar und können Ihren Anforderungen entsprechen. Einer meiner Lieblingstricks ist es , die IP-Adresse nachzuschlagen, von der ein Spam stammt, der gegen mehrere DNSBLs eingegangen ist, um festzustellen, welche von ihnen ihn abgelehnt hätten.

  • Überprüfen Sie für jeden DNSBL- und Reputationsdienst dessen Richtlinien zum Auflisten und Löschen von IP-Adressen und stellen Sie fest, ob diese mit den Anforderungen Ihres Unternehmens kompatibel sind.
  • Fügen Sie die DNSBL zu Ihrem SMTP-Server hinzu, wenn Sie sich für die Verwendung dieses Dienstes entschieden haben.
  • Wägen Sie ab, jeder DNSBL eine Bewertung zuzuweisen und sie in SpamAssassin anstatt in Ihrem SMTP-Server zu konfigurieren . Dies verringert die Auswirkung eines falschen Positivs. Eine solche Nachricht würde zugestellt (möglicherweise an Junk / Spam), anstatt zurückgeschickt zu werden. Der Nachteil ist, dass Sie viel Spam versenden.
  • Oder lehnen Sie sofort ab, wenn sich die IP-Adresse in einer der konservativeren Listen befindet, und konfigurieren Sie die aggressiveren Listen in SpamAssassin.

Verwenden Sie SPF

Mit SPF (Sender Policy Framework; RFC 4408 und RFC 6652 ) können Sie das Spoofing von E-Mail-Adressen verhindern, indem Sie festlegen, welche Internet-Hosts berechtigt sind, E-Mails für einen bestimmten Domain-Namen zuzustellen.

  • Konfigurieren Sie Ihr DNS, um einen SPF-Eintrag bei Ihren autorisierten Postausgangsservern zu deklarieren und -allalle anderen abzulehnen.
  • Konfigurieren Sie Ihren Mailserver so, dass er die SPF-Datensätze eingehender E-Mails überprüft, sofern diese vorhanden sind, und E-Mails ablehnt, bei denen die SPF-Überprüfung fehlschlägt. Überspringen Sie diese Prüfung, wenn die Domain keine SPF-Einträge hat.

Untersuchen Sie DKIM

DKIM (DomainKeys Identified Mail, RFC 6376 ) ist eine Methode zum Einbetten digitaler Signaturen in E-Mail-Nachrichten, die mit im DNS veröffentlichten öffentlichen Schlüsseln überprüft werden können. Es ist in den USA patentgeschützt , was seine Einführung verlangsamt hat. DKIM-Signaturen können auch unterbrochen werden, wenn eine Nachricht während der Übertragung geändert wird (z. B. können SMTP-Server gelegentlich MIME-Nachrichten neu packen).

  • Überlegen Sie, ob Sie Ihre ausgehenden E-Mails mit DKIM-Signaturen signieren möchten. Beachten Sie jedoch, dass die Signaturen auch bei legitimen E-Mails möglicherweise nicht immer korrekt überprüft werden.

Erwägen Sie die Verwendung von Greylisting

Greylisting ist eine Technik, bei der der SMTP-Server eine temporäre Ablehnung für eine eingehende Nachricht und keine permanente Ablehnung ausgibt. Wenn die Zustellung in wenigen Minuten oder Stunden erneut versucht wird, akzeptiert der SMTP-Server die Nachricht.

Greylisting kann einige Spam-Programme stoppen, die nicht robust genug sind, um zwischen vorübergehenden und dauerhaften Ablehnungen zu unterscheiden. Spam-Mails, die an ein offenes Relay gesendet wurden, oder Spam-Programme, die robuster sind, können jedoch nicht geholfen werden. Es führt auch zu Lieferverzögerungen, die Benutzer möglicherweise nicht immer tolerieren.

  • Ziehen Sie in Betracht, Graulisten nur in extremen Fällen zu verwenden, da es sehr störend ist, den E-Mail-Verkehr zu legitimieren.

Erwägen Sie die Verwendung von Nolisting

Nolisting ist eine Methode zum Konfigurieren Ihrer MX-Einträge, bei der für den Eintrag mit der höchsten Priorität (niedrigste Präferenznummer) kein SMTP-Server ausgeführt wird. Dies beruht auf der Tatsache, dass eine Menge Spam-Software nur den ersten MX-Eintrag versucht, während legitime SMTP-Server alle MX-Einträge in aufsteigender Reihenfolge ihrer Präferenz versuchen. Einige Spam-Programme versuchen unter Verstoß gegen RFC 5321 auch , MX-Einträge direkt an die niedrigste Priorität (höchste Präferenznummer) zu senden , sodass auch eine IP-Adresse ohne SMTP-Server festgelegt werden kann. Es wird berichtet, dass dies sicher ist, obwohl Sie wie bei allem, was Sie tun, zuerst sorgfältig testen sollten.

  • Stellen Sie Ihren MX-Eintrag mit der höchsten Priorität so ein, dass er auf einen Host verweist, der auf Port 25 nicht antwortet.
  • Stellen Sie Ihren MX-Eintrag mit der niedrigsten Priorität so ein, dass er auf einen Host verweist, der auf Port 25 nicht antwortet.

Betrachten Sie eine Spam-Filter-Appliance

Stellen Sie eine Spam-Filter-Appliance wie Cisco IronPort oder Barracuda Spam & Virus Firewall (oder eine ähnliche Appliance) vor Ihren vorhandenen SMTP-Server, um die Reduzierung des Spam- Aufkommens zu vereinfachen . Diese Appliances sind mit DNSBLs, Reputationsdiensten, Bayes-Filtern und den anderen von mir abgedeckten Funktionen vorkonfiguriert und werden von ihren Herstellern regelmäßig aktualisiert.

  • Informieren Sie sich über Hardware- und Abonnementkosten der Spamfilter-Appliance.

Betrachten Sie gehostete E-Mail-Dienste

Wenn es Ihnen (oder Ihren überlasteten IT-Mitarbeitern) zu viel ist, können Sie Ihre E-Mails jederzeit von einem Drittanbieter bearbeiten lassen. Dienste wie Postini von Google , Symantec MessageLabs Email Security (oder andere) filtern Nachrichten für Sie. Einige dieser Dienste können auch behördliche und gesetzliche Anforderungen erfüllen.

  • Recherchieren Sie die Abonnementkosten für gehostete E-Mail-Dienste.

Welche Anleitungen sollten Sysadmins Endbenutzern zur Bekämpfung von Spam geben?

Das Wichtigste, was Endbenutzer tun sollten, um Spam zu bekämpfen, ist:

  • Reagieren Sie nicht auf den Spam.

    Wenn es lustig aussieht, klicken Sie nicht auf den Website-Link und öffnen Sie den Anhang nicht. Egal wie attraktiv das Angebot erscheint. Dieses Viagra ist nicht so billig, man wird wirklich keine nackten Bilder von irgendjemandem bekommen, und es gibt in Nigeria oder anderswo keine 15 Millionen Dollar, außer dem Geld, das von Leuten genommen wurde, die auf den Spam geantwortet haben.

  • Wenn Sie eine Spam-Nachricht sehen, markieren Sie sie je nach E-Mail-Client als Junk oder Spam.

  • Markieren Sie eine Nachricht NICHT als Junk / Spam, wenn Sie sich tatsächlich für den Empfang der Nachrichten angemeldet haben und sie einfach nicht mehr empfangen möchten. Melden Sie sich stattdessen mit der bereitgestellten Abmeldemethode von der Mailingliste ab.

  • Überprüfen Sie regelmäßig Ihren Junk / Spam-Ordner, um festzustellen, ob legitime Nachrichten eingegangen sind. Markieren Sie diese als Nicht Junk / Nicht Spam und fügen Sie den Absender Ihren Kontakten hinzu, um zu verhindern, dass ihre Nachrichten in Zukunft als Spam markiert werden.

Michael Hampton
quelle
5
@MichaelHampton: UCEPROTECT ist eine zwielichtige Organisation.
InternetSeriousBusiness
10
@Stephane Wenn Sie den PTR-Datensatz nicht einstellen / ändern können, haben Sie keine Kontrolle über die IP-Adresse. Es ist nichts Falsches daran, Mails auf dieser Grundlage abzulehnen.
Michael Hampton
1
@ewwhite Das ist ziemlich drakonisch und 3 Wochen sind ziemlich lächerlich. Das Ablehnen von E-Mails, wenn kein PTR-Datensatz vorhanden ist, ist jedoch weit verbreitet. Ich bin mir also sicher, dass sie alle möglichen Probleme haben.
Michael Hampton
2
Die Ablehnung ist weit verbreitet, aber ich behaupte, dass sie sowohl nutzlos als auch unnötig ist. Tatsächlich habe ich meine eigenen Spam-Statistiken kurz überprüft und es hat sich herausgestellt, dass die Anzahl der Spam-Mails, die von IPs ohne Reverse stammen, unter 5% liegt SMTP-Verbindungen. Daher meine Schlussfolgerung: Es ist eine sinnlose Einschränkung.
Stephane
2
Welche Beweise haben Sie für Ihre Behauptung, dass es unwirksam ist? Meine Protokolle zeigen, dass es bei der Vorabprüfung von E-Mails überaus effektiv ist. Eine Reihe anderer Leute, die ich kenne, haben ähnliche Erfahrungen gemacht.
Chris S
30

Ich habe im Laufe der Jahre über 100 verschiedene E-Mail-Umgebungen verwaltet und zahlreiche Prozesse verwendet, um Spam zu reduzieren oder zu beseitigen.

Die Technologie hat sich im Laufe der Zeit weiterentwickelt. In dieser Antwort werden einige der Dinge erläutert, die ich in der Vergangenheit ausprobiert habe, und der aktuelle Stand der Dinge erläutert.

Ein paar Gedanken zum Schutz ...

  • Sie möchten Port 25 Ihres Posteingangsservers davor schützen, ein offenes Relay zu sein , über das jeder E-Mails über Ihre Infrastruktur senden kann. Dies ist unabhängig von der verwendeten Mail-Server-Technologie. Remotebenutzer sollten einen alternativen Übermittlungsport und eine erforderliche Authentifizierung für die Weiterleitung von E-Mails verwenden. Port 587 oder Port 465 sind die gängigen Alternativen zu 25.
  • Verschlüsselung ist auch ein Plus. Es wird viel Postverkehr im Klartext verschickt. Wir sind an dem Punkt angelangt, an dem die meisten Mail-Systeme irgendeine Form der Verschlüsselung unterstützen können. irgendein Ereignis erwartet es.
  • Dies sind proaktivere Ansätze, um zu verhindern, dass Ihre Mail-Site als Spam-Quelle eingestuft wird ...

In Bezug auf eingehenden Spam ...

  • Greylisting war für kurze Zeit ein interessanter Ansatz. Erzwingen Sie eine vorübergehende Ablehnung / Verzögerung, in der Hoffnung, dass ein Spammer die Verbindung unterbricht und die Exposition sowie die Zeit und die Ressourcen, die zum Anfordern von Nachrichten erforderlich sind, vermeidet. Dies führte zu unvorhersehbaren Verzögerungen bei der E-Mail-Zustellung, funktionierte nicht gut mit E-Mails von großen Serverfarmen und Spammer entwickelten schließlich Problemumgehungen. Die schlimmste Auswirkung war die Verletzung der Benutzererwartung einer schnellen Postzustellung.
  • Mehrere MX-Relais müssen noch geschützt werden. Einige Spammer versuchten, eine Sicherungskopie oder einen MX mit niedrigerer Priorität zu senden, in der Hoffnung, dass die Filterung weniger robust war.
  • Realtime Black (Hole) Lists (RBL / DNSBL) - Diese verweisen auf zentral verwaltete Datenbanken, um zu überprüfen, ob ein sendender Server aufgeführt ist. Starkes Vertrauen in RBLs ist mit Vorbehalten verbunden. Einige waren nicht so seriös wie andere. Die Angebote von Spamhaus haben mir immer gut getan. Andere, wie SORBS , haben einen schlechten Ansatz bei der Auflistung von IPs und blockieren oft legitime E-Mails. Es wurde in einigen Fällen mit einem Erpressungskomplott verglichen, da das Delisting häufig mit $$$ verbunden ist.
  • SPF ( Sender Policy Framework ) - Grundsätzlich ein Mittel, um sicherzustellen, dass ein bestimmter Host berechtigt ist, E-Mails für eine bestimmte Domain zu senden, wie in einem DNS-TXT-Eintrag definiert. Es hat sich bewährt, SPF-Datensätze für Ihre ausgehenden E-Mails zu erstellen, es ist jedoch eine schlechte Praxis, diese von den an Sie gesendeten Servern zu fordern .
  • Domain-Schlüssel - Noch nicht weit verbreitet.
  • Bounce-Unterdrückung - Verhindert, dass ungültige E-Mails an die Quelle zurückgeschickt werden. Einige Spammer würden versuchen herauszufinden, welche Adressen aktuell bzw. gültig sind, indem sie die Rückstreuung analysieren , um eine Karte der verwendbaren Adressen zu erstellen.
  • Reverse DNS / PTR-Überprüfungen - Überprüfen Sie, ob ein sendender Server über einen gültigen Reverse PTR-Eintrag verfügt. Dies muss nicht mit der Ursprungsdomäne übereinstimmen, da eine 1: 1-Zuordnung von Domänen zu einem Host möglich ist. Es empfiehlt sich jedoch, den Besitz eines IP-Bereichs zu bestimmen und festzustellen, ob der Ursprungsserver Teil eines dynamischen IP-Blocks ist (z. B. Home Broadband - Lesen: Kompromittierte Spambots).
  • Inhaltsfilterung - (unzuverlässig) - Der Versuch, Permutationen von "(Viagra, v \ | agra, viagra, vilgra.)" Entgegenzuwirken, ist für den Administrator zeitaufwändig und lässt sich in einer größeren Umgebung nicht skalieren.
  • Bayes'sche Filterung - Weiterentwickelte Spam-Lösungen ermöglichen die globale oder benutzerspezifische Schulung von E-Mails. Lesen Sie den verlinkten Artikel über die Heuristik, aber der wichtigste Punkt ist, dass E-Mails manuell als gut (Ham) oder schlecht (Spam) klassifiziert werden können und die resultierenden Nachrichten eine Bayes-Datenbank füllen, auf die verwiesen werden kann, um die Kategorisierung zukünftiger Nachrichten zu bestimmen. In der Regel ist dies mit einem Spam-Score oder einer Spam-Gewichtung verbunden und kann eine von wenigen Techniken sein, die verwendet werden, um zu bestimmen, ob eine Nachricht zugestellt werden soll.
  • Ratensteuerung / -drosselung - Einfacher Ansatz. Begrenzen Sie, wie viele Nachrichten ein bestimmter Server innerhalb eines bestimmten Zeitraums zuzustellen versucht. Verschieben Sie alle Nachrichten über diesen Schwellenwert. Dies wird normalerweise auf der Seite des Mailservers konfiguriert.
  • Hosted- und Cloud-Filterung. Postini kommt in den Sinn, da dies eine Cloud- Lösung war, bevor Cloud ein Schlagwort war. Die Stärke einer gehosteten Lösung, die jetzt im Besitz von Google ist, besteht darin, dass die Verarbeitung des auftretenden E-Mail-Volumens Skaleneffekte mit sich bringt. Durch Datenanalyse und einfache geografische Reichweite kann eine gehostete Spam-Filterlösung an Trends angepasst werden. Die Ausführung ist jedoch einfach. 1). Richten Sie Ihren MX-Eintrag auf die gehostete Lösung. 2). Geben Sie eine Post-Filtering-Server-Lieferadresse an. 3). Profit .

Mein aktueller Ansatz:

Ich bin ein starker Befürworter von Appliance-basierten Spam-Lösungen. Ich möchte am Rande des Netzwerks ablehnen und die CPU-Zyklen auf der Mail-Server-Ebene speichern. Die Verwendung einer Appliance bietet auch eine gewisse Unabhängigkeit von der eigentlichen Mailserver-Lösung (Mail Delivery Agent).

Ich empfehle Barracuda Spam Filter Appliances aus einer Reihe von Gründen. Ich habe mehrere Dutzend Einheiten bereitgestellt, und die webgesteuerte Benutzeroberfläche, die branchenübliche Mindshare-Funktion und die Set-and-Forget-Appliance machen sie zu einem Gewinner. Die Backend-Technologie beinhaltet viele der oben aufgeführten Techniken.

  • Ich blockiere Port 25 auf der IP-Adresse meines Mailservers und setze stattdessen den MX-Eintrag für die Domain auf die öffentliche Adresse der Barracuda-Appliance - z. B. spam.domain.com. Port 25 ist für die Postzustellung geöffnet.
  • Der Kern ist SpamAssassin - abgeleitet von einer einfachen Schnittstelle zu einem Nachrichtenprotokoll (und einer Bayes'schen Datenbank), mit der gute und schlechte E-Mails während einer anfänglichen Schulungsphase klassifiziert werden können.
  • Barracuda nutzt standardmäßig mehrere RBLs, einschließlich der von Spamhaus.org , und ihre eigene BRBL-Reputationsdatenbank . Hinweis - Die BRBL kann kostenlos als Standard-RBL für andere Mailsysteme verwendet werden .
  • Die Barracuda-Reputationsdatenbank wird aus Live-Daten, Honigtöpfen, umfangreichen Analysen und einer beliebigen Anzahl von proprietären Techniken zusammengestellt. Es hat eine registrierte Whitelist und Blocklist. E-Mail-Absender mit hohem Volumen und hoher Sichtbarkeit registrieren sich häufig bei Barracuda für das automatische Whitelisting. Beispiele hierfür sind Blackberry, Constant Contact usw.
  • SPF-Prüfungen können aktiviert werden (ich aktiviere sie jedoch nicht).
  • Es gibt eine Schnittstelle, über die E-Mails überprüft und bei Bedarf erneut aus dem E-Mail-Cache der Appliance übermittelt werden können. Dies ist hilfreich, wenn ein Benutzer eine Nachricht erwartet hat, die möglicherweise nicht alle Spam-Prüfungen bestanden hat.
  • Die LDAP / Active Directory-Benutzerüberprüfung beschleunigt die Erkennung ungültiger E-Mail-Empfänger. Das spart Bandbreite und verhindert Rückstreuung .
  • IP / Absenderadresse / Domain / Herkunftsland können alle konfiguriert werden. Wenn ich alle E-Mails von italienischen Domain-Suffixen ablehnen möchte, ist dies möglich. Wenn ich verhindern möchte, dass E-Mails von einer bestimmten Domain gesendet werden, ist dies einfach zu konfigurieren. Wenn ich den Stalker eines Benutzers daran hindern möchte, E-Mails an den Benutzer zu senden, ist dies möglich (wahre Geschichte).
  • Barracuda bietet eine Reihe von vorgefertigten Berichten und eine gute visuelle Anzeige des Appliance-Status und der Spam-Metriken.
  • Ich mag es, eine Appliance vor Ort zu haben, die diese Verarbeitung intern verwaltet und möglicherweise über eine Postfilter-E-Mail-Journal-Verbindung verfügt (in Umgebungen, in denen die Aufbewahrung von E-Mails erforderlich ist).
  • Plus Die Appliance kann sich in einer virtualisierten Infrastruktur befinden .

Barracuda Spam & Virus Firewall 300 Statuskonsole Bildbeschreibung hier eingeben


Neuerer Ansatz:

Ich habe im letzten Monat mit dem Cloud-basierten E-Mail-Sicherheitsdienst von Barracuda experimentiert . Dies ist mit anderen gehosteten Lösungen vergleichbar, eignet sich jedoch gut für kleinere Standorte, an denen eine teure Appliance unerschwinglich ist. Gegen eine jährliche Schutzgebühr bietet dieser Service ungefähr 85% der Leistung der Hardware-Appliance. Der Dienst kann auch zusammen mit einer Vor-Ort-Appliance ausgeführt werden, um die eingehende Bandbreite zu reduzieren und eine weitere Sicherheitsebene bereitzustellen. Es ist auch ein netter Puffer, der Mail im Falle eines Serverausfalls spoolen kann. Die Analysen sind immer noch nützlich, obwohl sie nicht so detailliert sind wie die einer physikalischen Einheit.

Barracuda Cloud E-Mail-Sicherheitskonsole Bildbeschreibung hier eingeben

Alles in allem habe ich viele Lösungen ausprobiert, aber angesichts des Umfangs bestimmter Umgebungen und der wachsenden Anforderungen der Anwenderbasis möchte ich die elegantesten verfügbaren Lösungen. Es ist sicherlich möglich, den mehrgliedrigen Ansatz zu wählen und "Roll your own" zu wählen, aber ich habe einige grundlegende Sicherheits- und Nutzungsüberwachungsmaßnahmen für das Barracuda-Gerät gut durchgeführt. Die Nutzer sind sehr zufrieden mit dem Ergebnis.

Hinweis: Cisco Ironport ist auch großartig ... Einfach teurer.

ewwhite
quelle
25

Zum Teil unterstütze ich, was andere gesagt haben; teilweise nicht.

Spamassassin

Das funktioniert sehr gut für mich, aber Sie müssen einige Zeit damit verbringen, den Bayes-Filter sowohl mit Schinken als auch mit Spam zu trainieren .

Greylisting

ewwhite mag das Gefühl haben, sein Tag sei gekommen und vergangen, aber ich kann dem nicht zustimmen. Einer meiner Kunden fragte, wie effektiv meine verschiedenen Filter waren. Hier sind die ungefähren Statistiken für Juli 2012 für meinen persönlichen Mailserver:

  • 46000 Nachrichten versuchten zugestellt zu werden
  • 1750 kam Greylisting durch
  • 250 haben Greylisting + ausgebildete Spamassassins bestanden

Ungefähr 44000 haben es also nie durch das Greylisting geschafft. Wenn ich kein Greylisting gehabt hätte und all diese akzeptiert hätte, hätten sie alle Spam-Filter benötigt, alle mit CPU und Speicher und in der Tat mit Bandbreite.

Bearbeiten : Da diese Antwort für einige Leute nützlich zu sein scheint, dachte ich, ich würde die Statistiken auf den neuesten Stand bringen. Deshalb habe ich die Analyse der E-Mail-Protokolle ab Januar 2015, 2,5 Jahre später, erneut durchgeführt.

  • 115.500 Nachrichten versuchten zuzustellen
  • 13.300 haben das Greylisting (und einige grundlegende Überprüfungen, zB eine gültige Absender-Domain) durchlaufen
  • 8.500 kamen durch Greylisting + ausgebildete Spamassassins

Die Zahlen sind nicht direkt vergleichbar, da ich nicht mehr weiß, wie ich zu den Zahlen für 2012 gekommen bin. Daher kann ich nicht sicher sein, ob die Methoden identisch waren. Ich bin jedoch zuversichtlich, dass ich damals keine rechenintensive Spam-Filterung für eine ganze Menge Inhalte durchführen musste, und ich weiß es immer noch nicht, weil ich Greylisting durchgeführt habe.

SPF

Dies ist keine wirkliche Anti-Spam-Technik, kann aber die Menge der Rückstreuung verringern, mit der Sie zu kämpfen haben, wenn Sie auf Jobbank sind. Sie sollten es sowohl rein als auch raus verwenden, dh: Sie sollten den SPF-Datensatz des Absenders auf eingehende E-Mails überprüfen und dementsprechend akzeptieren / ablehnen. Sie sollten auch Ihre eigenen SPF-Datensätze veröffentlichen, in denen alle Computer aufgeführt sind, die zum Senden von E-Mails wie Sie zugelassen sind, und alle anderen-all Computer mit denen Sie sperren . SPF-Datensätze, die nicht auf enden, -allsind völlig nutzlos.

Blackhole-Listen

RBLs sind problematisch, da man ohne eigenes Verschulden auf sie zugreifen kann und es schwierig sein kann, sie zu überwinden. Nichtsdestotrotz haben sie eine legitime Verwendung bei der Spam-Bekämpfung, aber ich würde nachdrücklich empfehlen, dass keine RBL jemals als Test für die Akzeptanz von E-Mails verwendet werden sollte . Die Art und Weise, wie Spamassassin mit RBLs umgeht - indem viele verwendet werden, von denen jeder zu einer Gesamtpunktzahl beiträgt, und es ist diese Punktzahl, die die Annahme- / Ablehnungsentscheidung trifft -, ist viel besser.

Dropbox

Ich meine nicht den kommerziellen Dienst, ich meine, dass mein Mail-Server eine Adresse hat, die alle meine Greylisting- und Spam-Filter durchschneidet, sondern die statt in den Posteingang eines anderen Empfängers in einen weltweit beschreibbaren Ordner abgelegt /varwird E-Mails, die älter als 14 Tage sind, werden nachts automatisch entfernt.

Ich ermutige alle Benutzer, davon Gebrauch zu machen, wenn sie z. B. E-Mail-Formulare ausfüllen, für die eine gültige E-Mail-Adresse erforderlich ist. Dort erhalten Sie eine E-Mail, die Sie aufbewahren müssen, von der Sie jedoch nie wieder hören möchten, oder wenn Sie kaufen von Online-Anbietern, die ihre Adresse wahrscheinlich verkaufen und / oder als Spam versenden (insbesondere von Anbietern, die außerhalb der Reichweite der europäischen Datenschutzgesetze liegen). Anstatt ihre tatsächliche Adresse anzugeben, kann ein Benutzer die Dropbox-Adresse angeben und nur dann in der Dropbox nachsehen, wenn er etwas von einem Korrespondenten (normalerweise einem Computer) erwartet. Wenn es ankommt, kann sie es heraussuchen und in ihrer richtigen Postkollektion speichern. Kein Benutzer muss zu einem anderen Zeitpunkt in die Dropbox schauen.

MadHatter
quelle
Mir gefällt die Idee mit der Dropbox-Adresse sehr gut.
Blalor
Greylisting ist eine "egoistische" Lösung. Es verzögert viele legitime E-Mails, und da immer mehr E-Mail-Server es bereitstellen, stellen immer mehr Spammer sicher, dass ihr Spam zuverlässig ist. Am Ende verlieren wir. Ich würde Greylisting für kleine Bereitstellungen empfehlen und es für größere Bereitstellungen nachdrücklich ablehnen. Betrachten Sie stattdessen Tarpitting . Milter-Greylist kann beides .
Adam Katz
1
@AdamKatz das ist sicher ein Gesichtspunkt. Ich bin mir nicht sicher, wie Spammer ihre Spam-Mails gegen Greylisting schützen sollen, ohne auf Feuer-und-Vergessen-Spam zu verzichten. In diesem Fall ist die Aufgabe erledigt. Aber ich stimme Ihnen in Bezug auf Selbstsucht nicht zu. Wenn der Kompromiss erklärt wird (wenn Sie E-Mails in Echtzeit für unregelmäßige Korrespondenten erhalten möchten, wird das E-Mail- und Kommunikationsbudget um das Zwanzigfache erhöht), bevorzugen die meisten die Verzögerung.
MadHatter
@AdamKatz beachte auch, dass meine "Dropbox" oben nicht von Greylisting getroffen wird. Jeder Benutzer, der dringend eine vorab festgelegte E-Mail rechtzeitig erhalten möchte, hat eine automatische Abhilfemaßnahme: Er muss die "sofortige" Adresse angeben und die Dropbox im Auge behalten, bis der betreffende Artikel eingeht.
MadHatter
1
@AdamKatz Da mein Greylisting auf einer 10-minütigen Pause zwischen erstem und erfolgreichem Zustellversuch besteht, ist die 15-minütige Pause keine große Härte. Was die Erwartungen der Benutzer betrifft, können (und sollten) diese wie alle anderen verwaltet werden. Der Rest Ihrer Argumentation ist viel überzeugender - vielleicht könnten Sie Ihre eigene Antwort hinzufügen und einige konkrete Zahlen zur Wirksamkeit von Tarpitting in Ihren Bereitstellungen einbringen? Wir können für immer über die erwartete relative Wirksamkeit theoretisieren, aber die Daten sind viel aufschlussreicher - nullius in verba !
MadHatter
14

Ich verwende eine Reihe von Techniken, um Spam auf ein akzeptables Maß zu reduzieren.

Verzögerung beim Akzeptieren von Verbindungen von falsch konfigurierten Servern. Ein Großteil des Spam, den ich erhalte, stammt von Spambots, die auf einem mit Malware infizierten System ausgeführt werden. Fast alle von ihnen bestehen die rDNS-Validierung nicht. Eine Verzögerung von etwa 30 Sekunden vor jeder Antwort führt dazu, dass die meisten Spambots aufgeben, bevor sie ihre Nachricht zugestellt haben. Wenn Sie dies nur auf Server anwenden, bei denen rDNS ausfällt, wird vermieden, dass ordnungsgemäß konfigurierte Server benachteiligt werden. Einige falsch konfigurierte legitime Massen- oder automatisierte Absender werden bestraft, liefern jedoch mit minimaler Verzögerung.

Das Konfigurieren von SPF für alle Ihre Domänen schützt Ihre Domänen. Die meisten Subdomains sollten nicht zum Versenden von E-Mails verwendet werden. Die Hauptausnahme sind MX-Domains, die in der Lage sein müssen, E-Mails selbst zu senden. Eine Reihe von legitimen Absendern delegiert Massen- und automatisierte E-Mails an Server, die gemäß ihrer Richtlinie nicht zulässig sind. Wenn Sie die SPF-Konfiguration zurückstellen, anstatt sie auf der Grundlage von SPF zurückzuweisen, können Sie die SPF-Konfiguration korrigieren oder eine Whitelist für sie erstellen.

Erfordern eines FQDN (Fully Qualified Domain Name) im HELO / EHLO-Befehl. Spam verwendet häufig einen nicht qualifizierten Hostnamen, Adressliterale, IP-Adressen oder eine ungültige TLD (Top Level Domain). Leider verwenden einige legitime Absender ungültige TLDs, so dass es in diesem Fall angemessener sein kann, den Versand zu verschieben. Dies kann eine Überwachung und ein Whitelisting erforderlich machen, um die E-Mail-Weiterleitung zu ermöglichen.

DKIM hilft bei der Nicht-Zurückweisung, ist aber ansonsten nicht sehr nützlich. Meiner Erfahrung nach ist es unwahrscheinlich, dass Spam signiert wird. Es ist wahrscheinlicher, dass Ham signiert wird, daher hat es einen gewissen Wert bei der Spam-Bewertung. Einige legitime Absender veröffentlichen ihre öffentlichen Schlüssel nicht oder konfigurieren ihr System nicht ordnungsgemäß.

Greylisting ist hilfreich für Server, die Anzeichen einer Fehlkonfiguration aufweisen. Server, die richtig konfiguriert sind, werden irgendwann durchkommen, daher schließe ich sie vom Greylisting aus. Greylist-Freemailer sind nützlich, da sie gelegentlich für Spam verwendet werden. Die Verzögerung gibt einigen Eingaben des Spamfilters Zeit, um den Spammer zu fangen. Es neigt auch dazu, Spambots abzulenken, da sie es normalerweise nicht wiederholen.

Blacklists und Whitelists können ebenfalls helfen.

  • Ich habe festgestellt, dass Spamhaus eine zuverlässige schwarze Liste ist.
  • Durch die automatische Weißliste im Spam-Filter wird die Bewertung von häufigen Absendern, die gelegentlich Spam sind, oder von Spammern, die gelegentlich Hamish sind, geglättet.
  • Ich finde die Whitelist von dnsl.org auch nützlich.

Spam-Filter-Software ist einigermaßen gut darin, Spam zu finden, obwohl einige durchkommen werden. Es kann schwierig sein, das falsche Negativ auf ein vernünftiges Niveau zu bringen, ohne das falsche Positiv zu stark zu erhöhen. Ich finde, Spamassassin fängt den größten Teil des Spam ab, der es erreicht. Ich habe einige benutzerdefinierte Regeln hinzugefügt, die meinen Anforderungen entsprechen.

Postmaster sollten die erforderlichen Missbrauchs- und Postmaster-Adressen konfigurieren. Bestätigen Sie das Feedback, das Sie an diese Adressen erhalten, und reagieren Sie darauf. Auf diese Weise können andere Benutzer sicherstellen, dass Ihr Server ordnungsgemäß konfiguriert ist und keinen Spam verursacht.

Wenn Sie ein Entwickler sind, verwenden Sie die vorhandenen E-Mail-Dienste, anstatt Ihren eigenen Server einzurichten. Ich habe die Erfahrung gemacht, dass Server, die für automatisierte E-Mail-Absender eingerichtet wurden, wahrscheinlich falsch konfiguriert sind. Überprüfen Sie die RFCs und senden Sie ordnungsgemäß formatierte E-Mails von einer legitimen Adresse in Ihrer Domain.

Endbenutzer können eine Reihe von Maßnahmen ergreifen, um Spam zu reduzieren:

  • Mach es nicht auf. Kennzeichnen Sie es als Spam oder löschen Sie es.
  • Stellen Sie sicher, dass Ihr System sicher und frei von Malware ist.
  • Überwachen Sie Ihre Netzwerknutzung, insbesondere, wenn Sie Ihr System nicht verwenden. Wenn es viel Netzwerkverkehr erzeugt, wenn Sie es nicht verwenden, sendet es möglicherweise Spam.
  • Schalten Sie Ihren Computer aus, wenn Sie ihn nicht verwenden. (Es kann keinen Spam generieren, wenn es ausgeschaltet ist.)

Domaininhaber / ISPs können Abhilfe schaffen, indem sie den Internetzugriff auf Port 25 (SMTP) auf offizielle E-Mail-Server beschränken. Dies schränkt die Fähigkeit von Spambots ein, Daten ins Internet zu senden. Dies ist auch hilfreich, wenn dynamische Adressen Namen zurückgeben, die die rDNS-Validierung nicht bestehen. Noch besser ist es, zu überprüfen, ob der PTR-Datensatz für Mail-Server die rDNS-Bewertung besteht. (Überprüfen Sie, ob Tippfehler vorliegen, wenn Sie PTR-Datensätze für Ihre Clients konfigurieren.)

Ich habe damit begonnen, E-Mails in drei Kategorien einzuteilen:

  • Ham (fast immer von ordnungsgemäß konfigurierten Servern, ordnungsgemäß formatierten und in der Regel persönlichen E-Mails)
  • Spam (Hauptsächlich von Spambots, ein gewisser Prozentsatz stammt jedoch von Freemailern oder anderen Absendern mit nicht ordnungsgemäß konfigurierten Servern.)
  • Bacn; kann Ham oder Spam sein (Enthält viele E-Mails von Mailinglisten und automatisierten Systemen. Ham landet normalerweise hier, weil DNS und / oder Server falsch konfiguriert sind.)
BillThor
quelle
Bacn (beachten Sie das Fehleno) ist ein standardisierter Begriff, der sich auf "Mail, die Sie möchten, aber gerade nicht" bezieht. Eine weitere Kategorie für E-Mails ist Graymail. Hierbei handelt es sich um Massen-E- Mails , die technisch gesehen keine Spam-Mails sind und von einigen Empfängern unerwünscht und von anderen gewünscht werden können.
Adam Katz
6

Die effektivste Lösung, die ich je gesehen habe, ist die Verwendung eines externen Mail-Filterdienstes.

Ich habe Erfahrung mit folgenden Dienstleistungen bei aktuellen Kunden. Ich bin sicher, dass es noch andere gibt. Jeder von ihnen hat meiner Erfahrung nach hervorragende Arbeit geleistet. Die Kosten sind für alle drei angemessen.

  • Postini von Google
  • MXLogic von McAfee
  • SecureTide von AppRiver

Die Services bieten gegenüber lokalen Lösungen mehrere enorme Vorteile.

  1. Sie stoppen die meisten (> 99%) der Spam-Mails, BEVOR sie Ihre Internetverbindung und Ihren E-Mail-Server erreichen. Angesichts des Spam-Aufkommens sind dies viele Daten, die sich nicht auf Ihre Bandbreite und nicht auf Ihren Server beziehen. Ich habe einen dieser Dienste ein Dutzend Mal implementiert und jeder hat zu einer spürbaren Leistungsverbesserung des E-Mail-Servers geführt.

  2. Sie filtern auch Viren, normalerweise in beide Richtungen. Dies verringert die Notwendigkeit einer "Mail-Anti-Virus" -Lösung auf Ihrem Server und bewahrt die Viren vollständig auf

Sie können auch hervorragend Spam blockieren. In 2 Jahren bei einem Unternehmen, das MXLogic einsetzt, habe ich noch nie ein falsches Positiv erhalten und kann die legitimen Spam-Nachrichten zählen, die auf der einen Seite eingegangen sind.

tomjedrz
quelle
2
+1 für das Erkennen des Nutzens gehosteter Lösungen und der Verfügbarkeit / Skalierung sowie des reduzierten Verkehrsnutzens. Das einzige Problem, das mir auffällt, ist das Fehlen von Anpassungen und Antworten in einigen Fällen (aus der Sicht von jemandem, der an durch diese Dienste geschützte Domänen senden muss). Einige Firmen haben auch Sicherheits- / Compliance-Gründe dafür, dass sie keine externe Filterung verwenden können.
Ewwhite
5

Keine zwei Mail-Umgebungen sind gleich. Der Aufbau einer effektiven Lösung erfordert also eine Menge Versuch und Irrtum in Bezug auf die vielen verschiedenen verfügbaren Techniken, da der Inhalt von E-Mail, Datenverkehr, Software, Netzwerken, Absendern, Empfängern und vielem mehr in den verschiedenen Umgebungen sehr unterschiedlich sein wird.

Die folgenden Blocklisten (RBLs) sind jedoch für die allgemeine Filterung gut geeignet:

Wie bereits erwähnt, ist SpamAssassin bei korrekter Konfiguration eine großartige Lösung. Installieren Sie nur so viele Perl-Zusatzmodule wie möglich in CPAN sowie Razor, Pyzor und DCC. Postfix funktioniert sehr gut mit SpamAssassin und ist viel einfacher zu verwalten und zu konfigurieren als beispielsweise EXIM.

Das endgültige Blockieren von Clients auf IP-Ebene mithilfe von fail2ban und iptables oder ähnlichem für kurze Zeit (z. B. einen Tag bis eine Woche) nach bestimmten Ereignissen, z. Warum sollten Ressourcen verschwendet werden, die mit einem bekannten virusinfizierten Host kommunizieren?

Fetter Finger
quelle