Estoy usando Smartermail para mi pequeño servidor de correo. Últimamente hemos tenido problemas para recibir oleadas de spam con raquetas de nieve que siguen el mismo patrón. Vienen en lotes de 3 o 4 a la vez. Los cuerpos son casi idénticos excepto por el nombre de dominio al que se vinculan. Las IP de origen tienden a ser del mismo bloque / 24 por un tiempo, luego cambian a otro / 24. Los dominios tienden a ser nuevos. Tienen registros PTR y SPF válidos y tienen galimatías aleatorias en la parte inferior del cuerpo para falsificar los filtros bayesianos.
Estoy usando una docena de RBL diferentes, incluidos Barracuda, Spamhaus, SURBL y URIBL. Hacen un trabajo decente al atrapar a la mayoría de ellos, pero aún así se nos escapa mucho porque las IP y los dominios no han sido incluidos en la lista negra.
¿Hay alguna estrategia que pueda emplear, incluidas las RBL que bloquean los dominios recién creados o tratan específicamente el spam de snoeshow? Espero evitar tener que usar un servicio de filtrado de terceros.
Respuestas:
¿Se está convirtiendo en un problema real para sus usuarios?
Recomendaría un servicio completo de filtrado de correo en este momento. Bayesian ya no es tan sexy. Reputación, RBL, encabezado / análisis de intenciones y otros factores parecen ayudar más. Considere un servicio de filtrado en la nube para combinar múltiples enfoques ( y volumen colectivo ) para proporcionar una mejor protección ( uso la solución de nube ESS de Barracuda para mis clientes ).
Y, por supuesto: Fighting Spam: ¿qué puedo hacer como administrador de correo electrónico, propietario de dominio o usuario?
No hemos sido afectados negativamente por el aumento en los ataques con raquetas de nieve. Vi un período en el que el volumen de correo se triplicó día a día con estos ataques. Pero ninguna de las cosas malas sobrevivió. En 3 días, Barracuda redujo los volúmenes a niveles normales.
Creo que las soluciones de filtrado que tienen una visión amplia de la actividad de correo mundial pueden reaccionar a los ataques mejor que los filtros de correo individuales.
Editar:
Esto también se discutió recientemente en la lista de correo LOPSA :
Mi contribución: https://www.mail-archive.com/[email protected]/msg04180.html
Otra opinión: https://www.mail-archive.com/[email protected]/msg04181 .html
fuente
Soy un tipo de DNS Ops que trabaja en estrecha colaboración con un grupo que con frecuencia está sujeto a estos ataques. Hacer frente a los ataques con raquetas de nieve es principalmente un problema de proceso, y como señala ewwhite, puede ir más allá del alcance de su empresa resolverlo internamente. Diría que, a menos que tenga una operación considerable y varias fuentes RBL comerciales, probablemente no debería intentar resolverlo usted mismo utilizando un servicio de filtrado comercial.
Dicho esto, tenemos algo de experiencia con esto y es más interesante compartirlo que no. Algunos puntos de contacto son:
UDP-MIB::udpInErrors
través de SNMP, ya que las plataformas de correo son muy capaces de desbordar las colas de recepción de los oyentes UDP cuando se está produciendo un ataque Snowshoe. Si no lo están, una forma rápida de saberlo en Linux es ejecutarnetstat -s | grep 'packet receive errors'
en los servidores DNS en cuestión; un recuento grande indica que necesitan quitarse las duffs y comenzar a prestar atención. Tendrán que agregar capacidad o aumentar el tamaño de los tampones de recepción si se produce un derrame frecuente. (lo que significa consultas DNS perdidas y oportunidades perdidas para la prevención de spam)Divulgación completa: Farsight Security fue fundada por Paul Vixie, a quien tengo la mala costumbre de desahogarme cuando las personas violan los estándares de DNS.
fuente
Instalé Declude (que es gratis) y Message Sniffer (que no lo es) y en los últimos 4 días he visto un mensaje de spam en mi cuenta de correo electrónico de prueba, a diferencia de las docenas que recibía por día. Por lo que puedo decir, no hemos tenido un buen correo electrónico filtrado. Spamassassin probablemente también sería una buena solución, aunque no tuve suerte cuando probé Spam Assassin in a Box ...
fuente
Muchas de las respuestas aquí son para anti-spam en general. Hasta cierto punto, esto tiene sentido ya que los spammers parecen dirigirse hacia las raquetas de nieve como un método de entrega preferido.
Originalmente, Snowshoe siempre se enviaba desde los centros de datos en un volumen bajo (por IP) y siempre incluía un enlace para cancelar la suscripción (sin mencionar si funciona). Hoy en día, las raquetas de nieve casi nunca tienen información para darse de baja y se envían en grandes cantidades desde sus IP, pero se envían en una ráfaga para que cuando la IP se ponga en la lista negra, ya haya terminado de enviar correo. Esto se llama granizo spam .
Debido a esto, los DNSBL e incluso firmas basadas en patrones ajustados son horribles para atrapar el correo basura con raquetas de nieve. Hay algunas excepciones, como la lista CSS de Spamhaus (que está específicamente dirigida a redes de raquetas de nieve y es parte de SBL y ZEN), pero en general necesitará listas grises / tarpitting (que pueden retrasar la entrega hasta que los DNSBL se pongan al día) ) y, lo que es más importante, un sistema de aprendizaje automático basado en tokens como el filtrado de spam Bayesiano . Bayes es particularmente bueno para detectar raquetas de nieve.
La respuesta de Andrew B menciona los nuevos dominios y nombres de host (NOD) de Farsight Security , que intenta anticipar las redes de raquetas de nieve a medida que se activan, pero antes de que comiencen a enviar spam. Spamhaus CSS probablemente hace algo similar. CSS está listo para su uso en un entorno de bloqueo, mientras que NOD está realmente diseñado para ser un feed a un sistema personalizado en lugar de un sistema independiente / de bloqueo.
fuente