Snowshoe स्पैम को पकड़ने के लिए सबसे अच्छे तरीके क्या हैं?


21

मैं अपने छोटे मेलस्वर के लिए Smartermail का उपयोग कर रहा हूं। हम स्नोशू स्पैम की तरंगों को प्राप्त करने में एक समस्या है जो उसी पैटर्न का अनुसरण करते हैं। वे एक बार में 3 या 4 के बैच में आते हैं। वे जिस डोमेन नाम से लिंक करते हैं उसके लिए निकाय लगभग समान हैं। स्रोत IP एक ही / 24 ब्लॉक से थोड़ी देर के लिए होते हैं, फिर वे दूसरे / 24 पर स्विच करते हैं। डोमेन एकदम नए हैं। उनके पास वैध पीटीआर और एसपीएफ रिकॉर्ड हैं और बेएजियन फिल्टर को खराब करने के लिए शरीर के निचले भाग में यादृच्छिक गिब्रिश है।

मैं एक दर्जन या इतने अलग-अलग RBL का उपयोग कर रहा हूं जिनमें बाराकुडा, स्पामॉस, SURBL और URIBL शामिल हैं। वे उनमें से अधिकांश को पकड़ने का एक अच्छा काम करते हैं, लेकिन हमें अभी भी बहुत से पर्ची मिलती हैं क्योंकि आईपी और डोमेन को ब्लैकलिस्ट नहीं किया गया है।

क्या ऐसी कोई रणनीतियाँ हैं जिन्हें मैं नियोजित कर सकता हूँ, जिसमें आरबीएल शामिल हैं जो नए बनाए गए डोमेन को ब्लॉक करते हैं या विशेष रूप से स्नोशो स्पैम से निपटते हैं? मैं एक 3 पार्टी फ़िल्टरिंग सेवा का उपयोग करने से बचने की उम्मीद कर रहा हूं।


2
मैं "किस उत्पाद का उपयोग करूं" की दिशा में इसे कम इंगित करने के लिए मैं आपके शीर्षक को संपादित करने की सलाह देता हूं, क्योंकि स्टैक एक्सचेंज साइटों के लिए खरीदारी प्रश्न ऑफ-टॉपिक हैं। Snowshoe आक्रमण न्यूनीकरण है ServerFault हालांकि के लिए एक अच्छा विषय है, और मैं टिप्पणी करने के लिए मेरा एक सहयोगी के लिए कहेंगे।
एंड्रयू बी

Snoeshow स्पैम क्या है, यह जानने में मददगार ।
ewwhite

1
RBL के अधिकांश हिस्से मुफ्त सेवाएँ हैं जिनका उपयोग कोई भी मेल व्यवस्थापक कर सकता है। क्या वह खरीदारी के रूप में गिना जाता है?
pooter03

हाँ, क्योंकि वे स्वतंत्र हैं या नहीं, इसका उत्तर केवल किसी विशेष विंडो के लिए ही मान्य है। (जो कि लिंक को छूता है) कंपनियां हर समय उन व्यवसायों से बाहर निकलती हैं, जिनमें मुफ्त सेवाएं प्रदान की जाती हैं।
एंड्रयू बी

1
मैंने सवाल बदल दिया। कृपया मुझे बताएं कि क्या यह अधिक उपयुक्त है।
pooter03

जवाबों:


14

क्या यह आपके उपयोगकर्ताओं के लिए एक वास्तविक समस्या बन रही है?

मैं इस बिंदु पर एक पूर्ण-फ़िल्टरिंग सेवा की सिफारिश करूंगा। Bayesian वास्तव में अब गर्म नहीं है। प्रतिष्ठा, आरबीएल, हेडर / आशय-विश्लेषण और अन्य कारक अधिक मदद करने लगते हैं। बेहतर सुरक्षा प्रदान करने के लिए कई दृष्टिकोणों ( और सामूहिक मात्रा ) को संयोजित करने के लिए क्लाउड फ़िल्टरिंग सेवा पर विचार करें ( मैं अपने ग्राहकों के लिए बाराकुडा के ईएसएस क्लाउड समाधान का उपयोग करता हूं )।

और निश्चित रूप से: लड़ स्पैम - मैं क्या कर सकता हूँ: ईमेल व्यवस्थापक, डोमेन स्वामी, या उपयोगकर्ता?

हम Snowshoe हमलों में उठापटक से नकारात्मक रूप से प्रभावित नहीं हुए हैं। मैंने एक अवधि देखी जिसमें मेल वॉल्यूम इन हमलों के साथ दिन-प्रतिदिन तीन गुना हो गया। लेकिन किसी भी बुरी चीज ने इसे नहीं बनाया। 3 दिनों में, बाराकुडा ने सामान्य स्तर तक मात्रा को नीचे लाया।

मुझे लगता है कि दुनिया भर में मेल गतिविधि के बारे में व्यापक विचार रखने वाले समाधानों को व्यक्तिगत मेल फिल्टर की तुलना में बेहतर हमलों पर प्रतिक्रिया दे सकते हैं।

संपादित करें:

यह भी हाल ही में LOPSA मेलिंग सूची पर चर्चा की गई थी :

मेरा योगदान: https://www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
एक अन्य राय: https://www.mail-archive.com/tech@lists.lopsa.org/msg04181 .html


1
वे शिकायत करने लगे हैं। यह केवल कुछ दर्जन ग्राहक हैं और हम कम कीमत पर अपनी मेल सेवा प्रदान कर रहे हैं या यहां तक ​​कि अन्य सेवाओं के साथ बंडल के रूप में मुफ्त भी खरीद रहे हैं, इसलिए हम यदि संभव हो तो भुगतान सेवाओं से बचने की उम्मीद कर रहे थे। मैं हालांकि उस उत्पाद का निवेश करूंगा।
pooter03

यह लगभग $ 8 / उपयोगकर्ता / वर्ष है।
इविविट

धन्यवाद। जब तक मुझे ऐसा करने के लिए प्रतिनिधि नहीं मिल जाता है, तब तक इस आभासी अपवाह पर विचार करें। :)
pooter03

बर्रुकदा के लिए +1।
प्रहार

2
मैं अभी भी बाराकुडा क्लाउड मेल फ़िल्टरिंग की सलाह देता हूं । यह शायद आपकी वर्तमान समस्या का सबसे साफ समाधान है।
ewwhite

8

मैं एक DNS ऑप्स आदमी हूं जो एक समूह के साथ मिलकर काम करता है जो अक्सर इन हमलों के अधीन होता है। Snowshoe हमलों से निपटना मुख्य रूप से एक प्रक्रिया समस्या है, और जैसा कि ewwhite बताते हैं कि यह आपकी कंपनी के दायरे से परे घर में हल करने के लिए हो सकता है। मैं यह कहना चाहूंगा कि जब तक आपके पास एक बड़ा ऑपरेशन और कई वाणिज्यिक आरबीएल फीड नहीं होते हैं, तब तक शायद आपको वाणिज्यिक फ़िल्टरिंग सेवा का उपयोग करके इसे स्वयं हल करने की कोशिश नहीं करनी चाहिए।

उस ने कहा, हमारे पास इसके साथ कुछ अनुभव है और यह साझा करने के लिए अधिक दिलचस्प है। कुछ स्पर्श बिंदु हैं:

  • यदि संभव हो तो, अपने मेल प्लेटफ़ॉर्म को प्रशिक्षण में स्नोशू हमले की विशेषताओं को पहचानने के लिए प्रशिक्षित करें और नेटवर्क में प्रश्न से संदेशों को अस्थायी रूप से अस्वीकार करें। अच्छी तरह से व्यवहार किए गए ग्राहक एक अस्थायी विफलता पर संदेशों को फिर से भेजने की कोशिश करेंगे, दूसरों को नहीं।
  • यह सुनिश्चित करना कि आपके DNS व्यवस्थापक UDP-MIB::udpInErrorsएसएनएमपी के माध्यम से निगरानी कर रहे हैं , क्योंकि मेल प्लेटफॉर्म यूडीपी श्रोताओं की प्राप्त कतारों को ओवरफ्लो करने में सक्षम हैं जब एक स्नोशू हमला जारी है। यदि वे नहीं हैं, तो लिनक्स के तहत बताने का एक त्वरित तरीका विचाराधीन netstat -s | grep 'packet receive errors'DNS सर्वरों पर चलना है ; एक बड़ी गिनती इंगित करती है कि उन्हें अपने डफ से निकलने और ध्यान देने की आवश्यकता है। यदि लगातार रिसाव हो रहा है, तो उन्हें क्षमता जोड़ने या प्राप्त बफ़र्स के आकार को बढ़ाने की आवश्यकता होगी। (जिसका अर्थ है खोई हुई DNS क्वेरी और स्पैम की रोकथाम के लिए खोए हुए अवसर)
  • यदि आप अक्सर इन हमलों को नए सिरे से बनाए गए डोमेन का उपयोग करते हुए देख रहे हैं, तो इन पर प्रकाश डालने वाले आरबीएल मौजूद हैं। एक उदाहरण से एक की है farsight NOD (यह पढ़ लोग अपने अनुसंधान प्रदर्शन करना चाहिए), लेकिन यह मुक्त नहीं है।

पूर्ण प्रकटीकरण: दूरदर्शी सुरक्षा की स्थापना पॉल विक्सी द्वारा की गई थी, जिन्हें मुझे उस समय वेंट करने की बुरी आदत है जब लोग DNS मानकों का उल्लंघन करते हैं।


आपका दूसरा बिंदु विशेष रूप से दिलचस्प है। मुझे संदेह है कि हम आरबीएल को डीएनएस प्रश्न याद कर रहे हैं जो पहले से ही आईपी या यूआरएल को ब्लैकलिस्ट कर चुका है, लेकिन मैं इसे साबित नहीं कर पाया हूं। हालाँकि, mailserver Windows 2012 पर है और Windows DNS सर्वर का उपयोग करता है। यह एक बहुत ही कम वॉल्यूम सर्वर है, लेकिन मैं आगे इसकी जांच करना चाहता हूं। दुर्भाग्य से यह सब कुछ स्पष्ट नहीं करता है क्योंकि कुछ चीजें जिनके माध्यम से पर्ची होती हैं, उनके डोमेन या आईपी के लिए प्रमुख आरबीएल द्वारा अभी तक पकड़े जाने का समय नहीं था।
pooter03

DNS सर्वर की औसत मात्रा इतनी अधिक नहीं होगी। एक प्राप्त कतार अतिप्रवाह की मुख्य विशेषता आपके आने वाले पैकेटों को तेजी से संसाधित करने में सक्षम नहीं हो पा रही है, उन्हें कतार से बाहर निकालने के लिए, और वॉल्यूम आधारित स्नोवशो हमला इस बात पर निर्भर करता है कि आप कितने डीएनएस लुकअप कर रहे हैं, उसके आधार पर इसे प्राप्त करने में सक्षम है। स्पैम।
एंड्रयू बी

2
आपके पहले सुझाव को आमतौर पर greylisting के रूप में जाना जाता है ।
नैट एल्ड्रेडगे

2
@ यह समझ में आने वाला एक रूप है, लेकिन अयोग्य घोषित शब्द का उपयोग करने से ज्यादातर लोगों को यह सुझाव मिलेगा कि आईपी के जवाब में यह कार्रवाई नए सिरे से की जाए। हमला करने वाले नेटवर्क सिंक्रनाइज़ पेलोड वितरण के लिए तैयारी में (हेडर भेजे बिना) कनेक्शन स्थापित करने में समय व्यतीत करते हैं। यह विशेषता वह है जिस पर आप कार्य कर रहे हैं, क्योंकि यह आपको यह अनुमान लगाने की अनुमति देता है कि आपके द्वारा अभी तक देखे गए आईपीएस हमले में शामिल नहीं हैं।
एंड्रयू बी

जो कुछ भी इसके लायक है, मेरे पास सर्वर पर सक्षम (अधिक सामान्य) ग्रीलेस्टिंग है और एक निश्चित अवधि के बाद स्पैमर ठीक से प्रतिक्रिया दे रहे हैं। सभी इरादों और उद्देश्यों के लिए, ईमेल वैध मेल सर्वर से उचित रूप से कॉन्फ़िगर किए गए पीटीआर रिकॉर्ड, एसपीएफ रिकॉर्ड आदि के साथ प्रतीत होता है
pooter03

1

मैंने Declude (जो मुफ़्त है) और संदेश स्निफ़र (जो नहीं है) स्थापित किया है और पिछले 4 दिनों में मैंने अपने परीक्षण ईमेल खाते में एक स्पैम संदेश को देखा है, जैसा कि दर्जनों प्रति दिन मिल रहा था। जहां तक ​​मैं बता सकता हूं, हमारे पास अच्छा ईमेल नहीं आया है। Spamassassin शायद एक अच्छा समाधान भी होगा, हालांकि मुझे इसके साथ कोई भाग्य नहीं था जब मैंने एक बॉक्स में स्पैम हत्यारे की कोशिश की ..


0

यहाँ बहुत सारे उत्तर सामान्य एंटी-स्पैम के लिए हैं। एक हद तक, यह समझ में आता है क्योंकि स्पैमर एक पसंदीदा डिलीवरी विधि के रूप में स्नोशू की ओर जा रहे हैं।

Snowshoe मूल रूप से हमेशा datacenters से कम मात्रा (एक-आईपी आधार पर) में भेजे जाते थे और हमेशा एक अनसब्सक्राइब लिंक (यह काम करता है या नहीं इसके बारे में कुछ भी नहीं कहने के लिए) शामिल थे। आजकल, स्नोशू की लगभग कभी भी जानकारी अनसब्सक्राइब नहीं होती है और इसे अपने आईपी से उच्च मात्रा में भेजा जाता है, लेकिन इसे एक फट में भेजा जाता है ताकि जब तक आईपी ब्लैकलिस्ट न हो जाए, तब तक यह मेल भेजना पहले ही कर लेता है। इसे ओलावृष्टि स्पैम कहते हैं ।

इस वजह से, DNSBLs और यहां तक ​​कि तंग पैटर्न-आधारित हस्ताक्षर स्नोशू स्पैम को पकड़ने में भयानक हैं। वहाँ इस तरह के रूप कुछ अपवाद भी हैं Spamhaus सीएसएस सूची (जो विशेष रूप से स्नोशू नेटवर्क के उद्देश्य से है और दोनों एसबीएल और ज़ेन का एक हिस्सा है है), लेकिन सामान्य रूप में आप की आवश्यकता होगी greylisting / tarpitting (जो वितरण में देरी कर सकते जब तक DNSBLs पकड़ने ) और, सबसे महत्वपूर्ण बात, बायसन स्पैम फ़िल्टरिंग की तरह एक टोकन चालित मशीन लर्निंग सिस्टम । बेयर्स स्नोशू का पता लगाने में विशेष रूप से अच्छा है।

एंड्रयू बी के जवाब में फ़ार्सिटी सिक्योरिटी के न्यु ओव्ड डोमेन्स एंड होस्टनाम (NOD) का उल्लेख है , जो स्नूशो नेटवर्क का अनुमान लगाने की कोशिश करता है क्योंकि वे स्पैन अप कर रहे हैं लेकिन इससे पहले कि वे स्पैमिंग शुरू करें। स्पामॉस सीएसएस की संभावना कुछ इसी तरह की है। सीएसएस एक अवरुद्ध वातावरण में उपयोग के लिए तैयार है, जबकि एनओडी वास्तव में एक स्वसंपूर्ण या अवरुद्ध प्रणाली के बजाय एक कस्टम सिस्टम के लिए एक फ़ीड के रूप में डिज़ाइन किया गया है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.