Was sind die besten Methoden zum Abfangen von Schneeschuh-Spam?

21

Ich verwende Smartermail für meinen kleinen Mailserver. Wir haben in letzter Zeit ein Problem damit, dass wir Schneeschuh-Spam- Wellen bekommen , die dem gleichen Muster folgen. Sie kommen in Chargen von 3 oder 4 auf einmal. Die Körper sind bis auf den Domainnamen, mit dem sie verknüpft sind, fast identisch. Die Quell-IPs stammen für eine Weile aus demselben / 24-Block und wechseln dann zu einem anderen / 24-Block. Die Domains sind in der Regel brandneu. Sie verfügen über gültige PTR- und SPF-Datensätze und haben zufälliges Kauderwelsch am unteren Rand des Körpers, um Bayes-Filter zu fälschen.

Ich verwende ein Dutzend verschiedener RBLs, darunter Barracuda, Spamhaus, SURBL und URIBL. Sie erledigen einen anständigen Job damit, die meisten von ihnen zu fangen, aber wir bekommen immer noch viel durch, weil die IPs und Domänen nicht auf die schwarze Liste gesetzt wurden.

Gibt es Strategien, die ich anwenden kann, einschließlich RBLs, die neu erstellte Domänen blockieren oder sich speziell mit Snoeshow-Spam befassen? Ich hoffe, dass ich keinen Filterdienst eines Drittanbieters verwenden muss.

blacklist spam rbl email pooter03
quelle
2
Ich empfehle, Ihren Titel so zu bearbeiten, dass er weniger in die Richtung zeigt, in die "welches Produkt ich verwenden soll", da Einkaufsfragen für Stack Exchange-Sites nicht relevant sind. Die Abwehr von Schneeschuh-Angriffen ist jedoch ein gutes Thema für ServerFault, und ich bitte einen Kollegen, dies zu kommentieren.
Andrew B
Gut zu wissen, was Snoeshow-Spam ist.
ewwhite
1
Die meisten RBLs sind kostenlose Dienste, die jeder E-Mail-Administrator nutzen kann. Zählt das zum Einkaufen?
pooter03
Ja, denn unabhängig davon, ob sie frei sind oder nicht, ist die Antwort nur für ein bestimmtes Zeitfenster gültig. (worauf dieser Link hinweist) Unternehmen werden ständig geschlossen, auch solche, die kostenlose Dienste anbieten.
Andrew B
1
Ich habe die Frage geändert. Bitte lassen Sie mich wissen, ob dies angemessener ist.
Pooter03

Antworten:

14

Wird dies zu einem echten Problem für Ihre Benutzer?

Ich würde an dieser Stelle einen umfassenden E-Mail-Filterdienst empfehlen. Bayesian ist nicht mehr so ​​heiß. Reputation, RBL, Header / Intent-Analyse und andere Faktoren scheinen mehr zu helfen. Ziehen Sie einen Cloud-Filterdienst in Betracht, um mehrere Ansätze ( und das Gesamtvolumen ) zu kombinieren und einen besseren Schutz zu bieten ( ich verwende die ESS-Cloud-Lösung von Barracuda für meine Kunden ).

Und natürlich: Spam bekämpfen - Was kann ich tun als: E-Mail-Administrator, Domaininhaber oder Benutzer?

Der Anstieg der Snowshoe-Angriffe hat uns nicht negativ beeinflusst. Ich habe eine Zeit erlebt, in der sich das Postaufkommen mit diesen Angriffen von Tag zu Tag verdreifachte. Aber keines der schlechten Dinge hat es geschafft. In 3 Tagen brachte Barracuda das Volumen auf ein normales Niveau.

Ich denke, Filterlösungen, die einen umfassenden Überblick über die weltweite Mail-Aktivität bieten, können besser auf Angriffe reagieren als einzelne Mail-Filter.

Bearbeiten:

Dies wurde kürzlich auch auf der LOPSA- Mailingliste besprochen :

Mein Beitrag: https://www.mail-archive.com/[email protected]/msg04180.html
Eine andere Meinung: https://www.mail-archive.com/[email protected]/msg04181 .html

ewwhite
quelle
1
Sie fangen an sich zu beschweren. Es sind nur ein paar Dutzend Kunden, und wir bieten unseren Postdienst zu niedrigen Kosten oder sogar kostenlos als Paket mit anderen von uns gekauften Diensten an. Wir hofften daher, kostenpflichtige Dienste nach Möglichkeit zu vermeiden. Ich werde dieses Produkt jedoch investieren.
pooter03
Es sind ungefähr 8 US-Dollar pro Benutzer und Jahr.
Ewwhite
Vielen Dank. Betrachten Sie dies als eine virtuelle Aufwertung, bis ich den Repräsentanten dazu bekomme. :)
pooter03
+1 für Barrucada.
Poke
2
Ich empfehle weiterhin das Filtern von Barracuda Cloud-E-Mails. Es ist wahrscheinlich die sauberste Lösung für Ihr aktuelles Problem.
ewwhite
8

Ich bin ein DNS Ops-Typ, der eng mit einer Gruppe zusammenarbeitet, die diesen Angriffen häufig ausgesetzt ist. Der Umgang mit Snowshoe-Angriffen ist in erster Linie ein Prozessproblem, und wie ewwhite darauf hinweist, kann es den Rahmen Ihres Unternehmens sprengen, das Problem intern zu lösen. Ich würde so weit gehen zu sagen, dass Sie wahrscheinlich nicht versuchen sollten, dies selbst zu lösen, indem Sie einen kommerziellen Filterdienst verwenden , es sei denn, Sie haben eine beträchtliche Operation und mehrere kommerzielle RBL-Feeds .

Das heißt, wir haben einige Erfahrungen damit und es ist interessanter zu teilen, als nicht. Einige Berührungspunkte sind:

  • Wenn möglich, trainieren Sie Ihre E-Mail-Plattform, um die Merkmale eines laufenden Snowshoe-Angriffs zu ermitteln und Nachrichten aus den betreffenden Netzwerken vorübergehend abzulehnen. Gut erzogene Clients versuchen, Nachrichten bei einem vorübergehenden Fehler erneut zu senden, andere eher nicht.
  • Stellen Sie sicher, dass Ihre DNS-Administratoren UDP-MIB::udpInErrorsüber SNMP überwachen , da Mail-Plattformen die Empfangswarteschlangen der UDP-Listener bei einem Snowshoe-Angriff sehr gut überfüllen können. Wenn dies nicht der Fall ist, können Sie dies unter Linux schnell feststellen, indem Sie es netstat -s | grep 'packet receive errors'auf den betreffenden DNS-Servern ausführen . Eine große Anzahl zeigt an, dass sie ihre Sachen ablegen und aufpassen müssen. Sie müssen die Kapazität erhöhen oder die Größe der Empfangspuffer erhöhen, wenn häufiges Verschütten auftritt. (was bedeutet, dass DNS-Abfragen verloren gegangen sind und Möglichkeiten zur Spam-Prävention verloren gegangen sind)
  • Wenn diese Angriffe häufig unter Verwendung von neu erstellten Domänen auftreten, sind RBLs vorhanden, die diese hervorheben. Ein Beispiel dafür ist FarSight NOD (Leute, die dies lesen, sollten ihre eigenen Forschungen durchführen), aber es ist nicht kostenlos.

Vollständige Offenlegung: Farsight Security wurde von Paul Vixie gegründet. Ich habe die schlechte Angewohnheit, wenn Leute gegen DNS-Standards verstoßen.

Andrew B
quelle
Ihr zweiter Punkt ist besonders interessant. Ich habe den Verdacht, dass wir DNS-Abfragen an RBLs verpassen, die die IP oder URL bereits auf die schwarze Liste gesetzt haben, aber ich konnte es nicht beweisen. Der Mailserver läuft jedoch unter Windows 2012 und verwendet den Windows-DNS-Server. Es ist ein Server mit ziemlich geringem Volumen, aber ich möchte dies weiter untersuchen. Leider erklärt es nicht alles, da einige der Dinge, die durchgleiten, noch keine Zeit hatten, dass ihre Domains oder IPs von wichtigen RBLs abgefangen wurden.
pooter03
Das durchschnittliche Volumen des DNS-Servers spielt dabei keine Rolle. Das Hauptmerkmal eines Überlaufs der Empfangswarteschlange besteht darin, dass eingehende Pakete nicht schnell genug verarbeitet werden können, um sie aus der Warteschlange zu entfernen, und ein volumenbasierter Snowshoe-Angriff kann dies mehr als erreichen, je nachdem, wie viele DNS-Lookups Sie pro ausführen Spam.
Andrew B
2
Ihr erster Vorschlag wird allgemein als Greylisting bezeichnet .
Nate Eldredge
2
@Nate Es handelt sich um eine Form des Greylistings, aber die unqualifizierte Verwendung dieses Begriffs würde den meisten Menschen nahe legen, dass diese Aktion als Reaktion auf die neu beobachtete IP durchgeführt wird. Die angreifenden Netzwerke verbringen in der Regel Zeit damit, Verbindungen herzustellen (ohne Header zu senden), um die synchronisierte Übermittlung von Nutzdaten vorzubereiten. Auf diese Eigenschaft reagieren Sie, da Sie vorhersagen können, dass IPs, die Sie noch nicht gesehen haben, an dem Angriff beteiligt sind.
Andrew B
Was auch immer es wert ist, ich habe (allgemeiner) Greylisting auf dem Server aktiviert und die Spammer reagieren nach einer bestimmten Zeit korrekt. In jeder Hinsicht scheint die E-Mail von legitimen Mail-Servern mit ordnungsgemäß konfigurierten PTR-Einträgen, SPF-Einträgen usw. zu stammen
pooter03
1

Ich habe Declude (kostenlos) und Message Sniffer (nicht) installiert und in den letzten 4 Tagen eine Spam-Nachricht in meinem Test-E-Mail-Konto gefunden, im Gegensatz zu den Dutzenden, die es pro Tag erhalten hat. Soweit ich das beurteilen kann, haben wir keine guten E-Mails herausgefiltert. Spamassassin wäre wahrscheinlich auch eine gute Lösung, obwohl ich kein Glück damit hatte, als ich Spamassassin in a Box ausprobierte.

pooter03
quelle
0

Viele Antworten hier beziehen sich auf allgemeine Spam-Schutzmaßnahmen. Bis zu einem gewissen Grad ist dies sinnvoll, da Spammer anscheinend auf Schneeschuh als bevorzugte Versandmethode zusteuern.

Snowshoe wurde ursprünglich immer von Rechenzentren mit geringem Datenvolumen (auf IP-Basis) gesendet und enthielt immer einen Link zum Abbestellen (ganz zu schweigen davon, ob es funktioniert). Heutzutage hat Schneeschuh fast nie Informationen zum Abbestellen und wird in großem Umfang von seinen IP-Adressen gesendet, wird jedoch in einem Burst gesendet, sodass das Versenden von E-Mails bereits abgeschlossen ist, wenn die IP-Adresse auf die schwarze Liste gesetzt wird. Dies wird als Hagelsturm-Spam bezeichnet .

Aus diesem Grund sind DNSBLs und sogar enge musterbasierte Signaturen für das Abfangen von Schneeschuh-Spam schrecklich. Es gibt einige Ausnahmen, wie die Spamhaus-CSS-Liste (die sich speziell an Schneeschuh-Netzwerke richtet und sowohl Teil von SBL als auch von ZEN ist), aber im Allgemeinen benötigen Sie ein Greylisting / Tarpitting (das die Zustellung verzögern kann, bis die DNSBLs aufholen) ) und vor allem ein tokengesteuertes maschinelles Lernsystem wie die Bayes'sche Spam-Filterung . Bayes erkennt besonders gut Schneeschuhe.

In der Antwort von Andrew B werden die neuen Domänen und Hostnamen ( Newly Owned Domains and Hostnames, NOD) von Farsight Security erwähnt , die versuchen, Schneeschuh-Netzwerke zu antizipieren, wenn sie hochgefahren werden, aber bevor sie zu spammen beginnen. Spamhaus CSS macht wahrscheinlich etwas Ähnliches. CSS kann in einer blockierenden Umgebung verwendet werden, während NOD eigentlich als Feed für ein benutzerdefiniertes System und nicht als eigenständiges / blockierendes System konzipiert ist.

Adam Katz
quelle