Snowshoe स्पैम को पकड़ने के लिए सबसे अच्छे तरीके क्या हैं?

मैं अपने छोटे मेलस्वर के लिए Smartermail का उपयोग कर रहा हूं। हम स्नोशू स्पैम की तरंगों को प्राप्त करने में एक समस्या है जो उसी पैटर्न का अनुसरण करते हैं। वे एक बार में 3 या 4 के बैच में आते हैं। वे जिस डोमेन नाम से लिंक करते हैं उसके लिए निकाय लगभग समान हैं। स्रोत IP एक ही / 24 ब्लॉक से थोड़ी देर के लिए होते हैं, फिर वे दूसरे / 24 पर स्विच करते हैं। डोमेन एकदम नए हैं। उनके पास वैध पीटीआर और एसपीएफ रिकॉर्ड हैं और बेएजियन फिल्टर को खराब करने के लिए शरीर के निचले भाग में यादृच्छिक गिब्रिश है।

मैं एक दर्जन या इतने अलग-अलग RBL का उपयोग कर रहा हूं जिनमें बाराकुडा, स्पामॉस, SURBL और URIBL शामिल हैं। वे उनमें से अधिकांश को पकड़ने का एक अच्छा काम करते हैं, लेकिन हमें अभी भी बहुत से पर्ची मिलती हैं क्योंकि आईपी और डोमेन को ब्लैकलिस्ट नहीं किया गया है।

क्या ऐसी कोई रणनीतियाँ हैं जिन्हें मैं नियोजित कर सकता हूँ, जिसमें आरबीएल शामिल हैं जो नए बनाए गए डोमेन को ब्लॉक करते हैं या विशेष रूप से स्नोशो स्पैम से निपटते हैं? मैं एक 3 पार्टी फ़िल्टरिंग सेवा का उपयोग करने से बचने की उम्मीद कर रहा हूं।

क्या यह आपके उपयोगकर्ताओं के लिए एक वास्तविक समस्या बन रही है?

मैं इस बिंदु पर एक पूर्ण-फ़िल्टरिंग सेवा की सिफारिश करूंगा। Bayesian वास्तव में अब गर्म नहीं है। प्रतिष्ठा, आरबीएल, हेडर / आशय-विश्लेषण और अन्य कारक अधिक मदद करने लगते हैं। बेहतर सुरक्षा प्रदान करने के लिए कई दृष्टिकोणों ( और सामूहिक मात्रा ) को संयोजित करने के लिए क्लाउड फ़िल्टरिंग सेवा पर विचार करें ( मैं अपने ग्राहकों के लिए बाराकुडा के ईएसएस क्लाउड समाधान का उपयोग करता हूं )।

और निश्चित रूप से: लड़ स्पैम - मैं क्या कर सकता हूँ: ईमेल व्यवस्थापक, डोमेन स्वामी, या उपयोगकर्ता?

हम Snowshoe हमलों में उठापटक से नकारात्मक रूप से प्रभावित नहीं हुए हैं। मैंने एक अवधि देखी जिसमें मेल वॉल्यूम इन हमलों के साथ दिन-प्रतिदिन तीन गुना हो गया। लेकिन किसी भी बुरी चीज ने इसे नहीं बनाया। 3 दिनों में, बाराकुडा ने सामान्य स्तर तक मात्रा को नीचे लाया।

मुझे लगता है कि दुनिया भर में मेल गतिविधि के बारे में व्यापक विचार रखने वाले समाधानों को व्यक्तिगत मेल फिल्टर की तुलना में बेहतर हमलों पर प्रतिक्रिया दे सकते हैं।

संपादित करें:

यह भी हाल ही में LOPSA मेलिंग सूची पर चर्चा की गई थी :

मेरा योगदान: https://www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
एक अन्य राय: https://www.mail-archive.com/tech@lists.lopsa.org/msg04181 .html

मैं एक DNS ऑप्स आदमी हूं जो एक समूह के साथ मिलकर काम करता है जो अक्सर इन हमलों के अधीन होता है। Snowshoe हमलों से निपटना मुख्य रूप से एक प्रक्रिया समस्या है, और जैसा कि ewwhite बताते हैं कि यह आपकी कंपनी के दायरे से परे घर में हल करने के लिए हो सकता है। मैं यह कहना चाहूंगा कि जब तक आपके पास एक बड़ा ऑपरेशन और कई वाणिज्यिक आरबीएल फीड नहीं होते हैं, तब तक शायद आपको वाणिज्यिक फ़िल्टरिंग सेवा का उपयोग करके इसे स्वयं हल करने की कोशिश नहीं करनी चाहिए।

उस ने कहा, हमारे पास इसके साथ कुछ अनुभव है और यह साझा करने के लिए अधिक दिलचस्प है। कुछ स्पर्श बिंदु हैं:

• यदि संभव हो तो, अपने मेल प्लेटफ़ॉर्म को प्रशिक्षण में स्नोशू हमले की विशेषताओं को पहचानने के लिए प्रशिक्षित करें और नेटवर्क में प्रश्न से संदेशों को अस्थायी रूप से अस्वीकार करें। अच्छी तरह से व्यवहार किए गए ग्राहक एक अस्थायी विफलता पर संदेशों को फिर से भेजने की कोशिश करेंगे, दूसरों को नहीं।
• यह सुनिश्चित करना कि आपके DNS व्यवस्थापक UDP-MIB::udpInErrorsएसएनएमपी के माध्यम से निगरानी कर रहे हैं , क्योंकि मेल प्लेटफॉर्म यूडीपी श्रोताओं की प्राप्त कतारों को ओवरफ्लो करने में सक्षम हैं जब एक स्नोशू हमला जारी है। यदि वे नहीं हैं, तो लिनक्स के तहत बताने का एक त्वरित तरीका विचाराधीन netstat -s | grep 'packet receive errors'DNS सर्वरों पर चलना है ; एक बड़ी गिनती इंगित करती है कि उन्हें अपने डफ से निकलने और ध्यान देने की आवश्यकता है। यदि लगातार रिसाव हो रहा है, तो उन्हें क्षमता जोड़ने या प्राप्त बफ़र्स के आकार को बढ़ाने की आवश्यकता होगी। (जिसका अर्थ है खोई हुई DNS क्वेरी और स्पैम की रोकथाम के लिए खोए हुए अवसर)
• यदि आप अक्सर इन हमलों को नए सिरे से बनाए गए डोमेन का उपयोग करते हुए देख रहे हैं, तो इन पर प्रकाश डालने वाले आरबीएल मौजूद हैं। एक उदाहरण से एक की है farsight NOD (यह पढ़ लोग अपने अनुसंधान प्रदर्शन करना चाहिए), लेकिन यह मुक्त नहीं है।

पूर्ण प्रकटीकरण: दूरदर्शी सुरक्षा की स्थापना पॉल विक्सी द्वारा की गई थी, जिन्हें मुझे उस समय वेंट करने की बुरी आदत है जब लोग DNS मानकों का उल्लंघन करते हैं।

मैंने Declude (जो मुफ़्त है) और संदेश स्निफ़र (जो नहीं है) स्थापित किया है और पिछले 4 दिनों में मैंने अपने परीक्षण ईमेल खाते में एक स्पैम संदेश को देखा है, जैसा कि दर्जनों प्रति दिन मिल रहा था। जहां तक ​​मैं बता सकता हूं, हमारे पास अच्छा ईमेल नहीं आया है। Spamassassin शायद एक अच्छा समाधान भी होगा, हालांकि मुझे इसके साथ कोई भाग्य नहीं था जब मैंने एक बॉक्स में स्पैम हत्यारे की कोशिश की ..

यहाँ बहुत सारे उत्तर सामान्य एंटी-स्पैम के लिए हैं। एक हद तक, यह समझ में आता है क्योंकि स्पैमर एक पसंदीदा डिलीवरी विधि के रूप में स्नोशू की ओर जा रहे हैं।

Snowshoe मूल रूप से हमेशा datacenters से कम मात्रा (एक-आईपी आधार पर) में भेजे जाते थे और हमेशा एक अनसब्सक्राइब लिंक (यह काम करता है या नहीं इसके बारे में कुछ भी नहीं कहने के लिए) शामिल थे। आजकल, स्नोशू की लगभग कभी भी जानकारी अनसब्सक्राइब नहीं होती है और इसे अपने आईपी से उच्च मात्रा में भेजा जाता है, लेकिन इसे एक फट में भेजा जाता है ताकि जब तक आईपी ब्लैकलिस्ट न हो जाए, तब तक यह मेल भेजना पहले ही कर लेता है। इसे ओलावृष्टि स्पैम कहते हैं ।

इस वजह से, DNSBLs और यहां तक ​​कि तंग पैटर्न-आधारित हस्ताक्षर स्नोशू स्पैम को पकड़ने में भयानक हैं। वहाँ इस तरह के रूप कुछ अपवाद भी हैं Spamhaus सीएसएस सूची (जो विशेष रूप से स्नोशू नेटवर्क के उद्देश्य से है और दोनों एसबीएल और ज़ेन का एक हिस्सा है है), लेकिन सामान्य रूप में आप की आवश्यकता होगी greylisting / tarpitting (जो वितरण में देरी कर सकते जब तक DNSBLs पकड़ने ) और, सबसे महत्वपूर्ण बात, बायसन स्पैम फ़िल्टरिंग की तरह एक टोकन चालित मशीन लर्निंग सिस्टम । बेयर्स स्नोशू का पता लगाने में विशेष रूप से अच्छा है।

एंड्रयू बी के जवाब में फ़ार्सिटी सिक्योरिटी के न्यु ओव्ड डोमेन्स एंड होस्टनाम (NOD) का उल्लेख है , जो स्नूशो नेटवर्क का अनुमान लगाने की कोशिश करता है क्योंकि वे स्पैन अप कर रहे हैं लेकिन इससे पहले कि वे स्पैमिंग शुरू करें। स्पामॉस सीएसएस की संभावना कुछ इसी तरह की है। सीएसएस एक अवरुद्ध वातावरण में उपयोग के लिए तैयार है, जबकि एनओडी वास्तव में एक स्वसंपूर्ण या अवरुद्ध प्रणाली के बजाय एक कस्टम सिस्टम के लिए एक फ़ीड के रूप में डिज़ाइन किया गया है।