¿Cuáles son los mejores métodos para atrapar spam con raquetas de nieve?

21

Estoy usando Smartermail para mi pequeño servidor de correo. Últimamente hemos tenido problemas para recibir oleadas de spam con raquetas de nieve que siguen el mismo patrón. Vienen en lotes de 3 o 4 a la vez. Los cuerpos son casi idénticos excepto por el nombre de dominio al que se vinculan. Las IP de origen tienden a ser del mismo bloque / 24 por un tiempo, luego cambian a otro / 24. Los dominios tienden a ser nuevos. Tienen registros PTR y SPF válidos y tienen galimatías aleatorias en la parte inferior del cuerpo para falsificar los filtros bayesianos.

Estoy usando una docena de RBL diferentes, incluidos Barracuda, Spamhaus, SURBL y URIBL. Hacen un trabajo decente al atrapar a la mayoría de ellos, pero aún así se nos escapa mucho porque las IP y los dominios no han sido incluidos en la lista negra.

¿Hay alguna estrategia que pueda emplear, incluidas las RBL que bloquean los dominios recién creados o tratan específicamente el spam de snoeshow? Espero evitar tener que usar un servicio de filtrado de terceros.

blacklist spam rbl email pooter03
fuente
2
Recomiendo editar su título para que esto sea menos puntiagudo en la dirección de "qué producto debería usar", porque las preguntas de compra no están relacionadas con los sitios de Stack Exchange. Sin embargo, la mitigación de ataques con raquetas de nieve es un buen tema para ServerFault, y le pediré a un colega mío que comente.
Andrew B
Útil para saber qué es Snoeshow spam .
Ewwhite
1
La mayoría de los RBL son servicios gratuitos que cualquier administrador de correo puede usar. ¿Eso cuenta como compras?
pooter03
Sí, porque sean gratuitos o no, la respuesta solo es válida para un período de tiempo determinado. (que ese enlace toca) Las empresas cierran todo el tiempo, incluidas las que ofrecen servicios gratuitos.
Andrew B
1
Cambié la pregunta Avíseme si esto es más apropiado.
pooter03

Respuestas:

14

¿Se está convirtiendo en un problema real para sus usuarios?

Recomendaría un servicio completo de filtrado de correo en este momento. Bayesian ya no es tan sexy. Reputación, RBL, encabezado / análisis de intenciones y otros factores parecen ayudar más. Considere un servicio de filtrado en la nube para combinar múltiples enfoques ( y volumen colectivo ) para proporcionar una mejor protección ( uso la solución de nube ESS de Barracuda para mis clientes ).

Y, por supuesto: Fighting Spam: ¿qué puedo hacer como administrador de correo electrónico, propietario de dominio o usuario?

No hemos sido afectados negativamente por el aumento en los ataques con raquetas de nieve. Vi un período en el que el volumen de correo se triplicó día a día con estos ataques. Pero ninguna de las cosas malas sobrevivió. En 3 días, Barracuda redujo los volúmenes a niveles normales.

Creo que las soluciones de filtrado que tienen una visión amplia de la actividad de correo mundial pueden reaccionar a los ataques mejor que los filtros de correo individuales.

Editar:

Esto también se discutió recientemente en la lista de correo LOPSA :

Mi contribución: https://www.mail-archive.com/[email protected]/msg04180.html
Otra opinión: https://www.mail-archive.com/[email protected]/msg04181 .html

ewwhite
fuente
1
Están empezando a quejarse. Son solo unas pocas docenas de clientes y estamos ofreciendo nuestro servicio de correo a bajo costo o incluso gratis como un paquete con otros servicios que compramos, por lo que esperábamos evitar servicios pagos si es posible. Sin embargo, inventariaré ese producto.
pooter03
Es alrededor de $ 8 / usuario / año.
Ewwhite
Gracias. Considere esto un voto virtual hasta que obtenga el representante para hacerlo. :)
pooter03
+1 para Barrucada.
meter
2
Yo todavía recomiendo el filtrado de correo Barracuda nube. Es probablemente la solución más limpia para su problema actual.
ewwhite
8

Soy un tipo de DNS Ops que trabaja en estrecha colaboración con un grupo que con frecuencia está sujeto a estos ataques. Hacer frente a los ataques con raquetas de nieve es principalmente un problema de proceso, y como señala ewwhite, puede ir más allá del alcance de su empresa resolverlo internamente. Diría que, a menos que tenga una operación considerable y varias fuentes RBL comerciales, probablemente no debería intentar resolverlo usted mismo utilizando un servicio de filtrado comercial.

Dicho esto, tenemos algo de experiencia con esto y es más interesante compartirlo que no. Algunos puntos de contacto son:

  • Si es posible, capacite a su plataforma de correo para identificar las características de un ataque con raquetas de nieve en curso y rechace temporalmente los mensajes de las redes en cuestión. Los clientes con buen comportamiento intentarán reenviar mensajes en caso de falla temporal, otros tienden a no hacerlo.
  • Asegurarse de que sus administradores de DNS estén monitoreando a UDP-MIB::udpInErrorstravés de SNMP, ya que las plataformas de correo son muy capaces de desbordar las colas de recepción de los oyentes UDP cuando se está produciendo un ataque Snowshoe. Si no lo están, una forma rápida de saberlo en Linux es ejecutar netstat -s | grep 'packet receive errors'en los servidores DNS en cuestión; un recuento grande indica que necesitan quitarse las duffs y comenzar a prestar atención. Tendrán que agregar capacidad o aumentar el tamaño de los tampones de recepción si se produce un derrame frecuente. (lo que significa consultas DNS perdidas y oportunidades perdidas para la prevención de spam)
  • Si con frecuencia ve estos ataques utilizando dominios recién creados, existen RBL que resaltan estos. Un ejemplo de esto es FarSight NOD (las personas que leen esto deberían realizar su propia investigación), pero no es gratis.

Divulgación completa: Farsight Security fue fundada por Paul Vixie, a quien tengo la mala costumbre de desahogarme cuando las personas violan los estándares de DNS.

Andrew B
fuente
Su segundo punto es particularmente interesante. Sospeché que nos faltan consultas DNS a RBL que ya habían incluido en la lista negra la IP o la URL, pero no he podido probarlo. Sin embargo, el servidor de correo está en Windows 2012 y usa el servidor DNS de Windows. Es un servidor de bastante bajo volumen, pero quiero investigar esto más a fondo. Desafortunadamente, no explica todo porque algunas de las cosas que pasan no han tenido tiempo para que sus dominios o IP sean capturados por los principales RBL todavía.
pooter03
El volumen promedio del servidor DNS no importará tanto. La característica principal de un desbordamiento de la cola de recepción es no poder procesar sus paquetes entrantes lo suficientemente rápido como para sacarlos de la cola, y el ataque Snowshoe basado en el volumen es más que capaz de lograr esto dependiendo de cuántas búsquedas DNS esté realizando por correo no deseado.
Andrew B
2
Su primera sugerencia se conoce comúnmente como lista gris .
Nate Eldredge
2
@Nate Es una forma de lista gris, pero el uso de ese término no calificado sugeriría a la mayoría de las personas que esta acción se tome en respuesta a la nueva observación de IP. Las redes de ataque tienden a pasar tiempo estableciendo conexiones (sin enviar encabezados) en preparación para la entrega sincronizada de la carga útil. Actúa sobre ese rasgo, ya que le permite predecir que las IP que aún no ha visto están involucradas en el ataque.
Andrew B
Para lo que sea que valga la pena, tengo una lista gris (más general) habilitada en el servidor y los spammers responden adecuadamente después de un cierto período. Para todos los efectos, el correo electrónico parece provenir de servidores de correo legítimos con registros PTR configurados correctamente, registros SPF, etc.
pooter03
1

Instalé Declude (que es gratis) y Message Sniffer (que no lo es) y en los últimos 4 días he visto un mensaje de spam en mi cuenta de correo electrónico de prueba, a diferencia de las docenas que recibía por día. Por lo que puedo decir, no hemos tenido un buen correo electrónico filtrado. Spamassassin probablemente también sería una buena solución, aunque no tuve suerte cuando probé Spam Assassin in a Box ...

pooter03
fuente
0

Muchas de las respuestas aquí son para anti-spam en general. Hasta cierto punto, esto tiene sentido ya que los spammers parecen dirigirse hacia las raquetas de nieve como un método de entrega preferido.

Originalmente, Snowshoe siempre se enviaba desde los centros de datos en un volumen bajo (por IP) y siempre incluía un enlace para cancelar la suscripción (sin mencionar si funciona). Hoy en día, las raquetas de nieve casi nunca tienen información para darse de baja y se envían en grandes cantidades desde sus IP, pero se envían en una ráfaga para que cuando la IP se ponga en la lista negra, ya haya terminado de enviar correo. Esto se llama granizo spam .

Debido a esto, los DNSBL e incluso firmas basadas en patrones ajustados son horribles para atrapar el correo basura con raquetas de nieve. Hay algunas excepciones, como la lista CSS de Spamhaus (que está específicamente dirigida a redes de raquetas de nieve y es parte de SBL y ZEN), pero en general necesitará listas grises / tarpitting (que pueden retrasar la entrega hasta que los DNSBL se pongan al día) ) y, lo que es más importante, un sistema de aprendizaje automático basado en tokens como el filtrado de spam Bayesiano . Bayes es particularmente bueno para detectar raquetas de nieve.

La respuesta de Andrew B menciona los nuevos dominios y nombres de host (NOD) de Farsight Security , que intenta anticipar las redes de raquetas de nieve a medida que se activan, pero antes de que comiencen a enviar spam. Spamhaus CSS probablemente hace algo similar. CSS está listo para su uso en un entorno de bloqueo, mientras que NOD está realmente diseñado para ser un feed a un sistema personalizado en lugar de un sistema independiente / de bloqueo.

Adam Katz
fuente