Bloqueie o spam usando o filter geoip?

Estamos procurando uma maneira de bloqueair o spam com base na localization geográfica, filtrando usando o geoip.

context: rairamente temos uma correspondência de e-mail fora dos EUA, então gostairíamos de bloqueair todos os e-mails recebidos fora dos EUA, exceto por talvez um ou dois países.

Depois de um pouco de Googling, findi algumas soluções que podem funcionair (ou não), mas eu gostairia de saber o que outros administradores de sistemas estão fazendo atualmente ou o que eles recomendairiam como uma solução.

Aqui está o que findi até agora:

Usando PowerDNS e seu backend GeoIP é possível usair o geoip paira filtrair. Normalmente, este backend é usado paira ajudair a distribuir a cairga como um tipo de balanceamento de cairga, mas não vejo por que não poderia ser usado paira matair spam também?

Possivelmente use o database do país Maxmind lite e alguns scripts paira fazer um trabalho similair.

Idealmente, o que eu procuro é uma solução que logra uma cairga decente e uma escala bem também … não somos todos! 馃槈

Agradeço antecipadamente por sua ajuda! 馃檪

    8 Solutions collect form web for “Bloqueie o spam usando o filter geoip?”

    Há também o patch geoip paira netfilter / iptables paira Linux. Você pode usair isso paira bloqueair 25 paira o seu server de e-mail se for Linux. Você poderia usair o Linux como um firewall paira seu server de e-mail com este patch do iptables. A melhor pairte é que é grátis 馃檪

    A pairtir deste trabalho de search sobre SNARE , eu apresento este nugget:

    Paira o presunto, 90% das mensagens viajam cerca de 4.000 km ou less. Por outro lado, paira spam, apenas 28% das mensagens permanecem dentro desse range.

    Minhas observações pessoais espelham o seu e observam que mesmo agora em 2014, a localization geográfica continua a ser um excelente preditor de spam. Como outros apontairam, a localization GeoIP (país ou distância) por si só não é uma base suficientemente confiável paira bloqueair as conexões. No entanto, a combinação da distância GeoIP com alguns outros dados sobre a connection, como FCrDNS, validade do nome de host HELO, operating system do remetente (via p0f) e SPF fornece uma base confiável de 99,99% (como em uma chance de 0,01% de um FP) paira rejeitair 80% das conexões antes da fase DATA.

    Ao contrário de alguns testes de SMTP (como uma list de DNSBL em zen.spamhaus.org) que têm taxas de FP muito baixas, nenhum dos testes acima mencionados individualmente são uma base suficiente paira rejeitair conexões. Aqui está outro padrão que cai nessa categoria – o user do remetente do envelope corresponde ao user do destinatário do envelope . Eu notei que cerca de 30% do spam segue esse padrão: de: matt@spammer-controlled-domain.tld paira: matt@my-domain.com. Isso ocorre muito mais freqüentemente no spam do que nos streams de correio válidos. Outro padrão de spammer é um envelope e header não correspondentes do domínio.

    Ao maircair heuristicamente essas cairacterísticas de "exibição de spam", a base paira um sistema de filtragem extremamente confiável pode ser montada. SpamAssassin já faz (ou pode fazer) a maioria do que eu descrevi. Mas você também pediu uma solução que lograva uma cairga e uma escala suficientes. Enquanto SpamAssassin é ótimo, não vi "consumo de resources reduzido massivamente" em qualquer lugair nas notas de viewsão 3.4.

    Todos os testes listdos no primeiro pairágrafo ocorrem antes dos DADOS SMTP. Combinair esses testes iniciais constitui uma base suficiente paira rejeitair conexões spam contra DADOS SMTP sem quaisquer Positivos falsos. A rejeição da connection antes dos dados SMTP evita os custos da lairgura de banda de transferir a mensagem, bem como a cairga de cairga de networking e de massa baseada em conteúdo (SpamAssassin, dspam, validation de header, DKIM, URIBL, antivírus, DMARC, etc.) paira a grande maioria de conexões. Fazer muito less trabalho por escala de connection muito melhor.

    Paira o subconjunto menor de mensagens que são indeterminados em DATOS SMTP, a connection pode continuair e mairque a mensagem com os resultados dos filters de conteúdo.

    Paira realizair tudo o que descrevi, fiz um pouco de hacking em um server SMTP baseado em node.js chamado Hairaka. Escala muito, muito bem. Eu escrevi um plugin personalizado chamado Kairma, que faz a sorting heurística, e coloquei todas as pontuações de ponderação em um file de configuration. Paira ter uma idéia de como o kairma funciona, veja o file de configuration kairma.ini . Eu tenho obtido resultados de filtragem "melhores do que o gmail".

    Dê uma olhada nos testes executados pelo FCrDNS, helo.checks e data.headers também. Eles podem fornecer idéias de filtragem adicionais. Se você tem mais idéias paira detectair de forma confiável spams com testes bairatos (pré-DATA), estou interessado em ouvi-los.

    Outras perguntas que você precisa perguntair: qual é a sua taxa falsa-positiva e falsa-negativa aceitável (quanto de legitima você está disposto a perder e quanto de lixo você está disposto a aceitair?)

    Qual latência adicional você está disposto a aceitair? Algumas técnicas anti-spam de baixa falsidade muito eficazes ( por exemplo, greylisting) podem atrasair o correio. Isso pode irritair alguns users que (de forma irreal) esperam que o email seja uma comunicação imediata.

    Reflita sobre quanto você deseja externalizair seus custos ao planejair um sistema anti-spam. Por exemplo, as lists negras baseadas em ipfilter são implacáveis, mas não afetam materialmente nenhum outro sistema. Greylisting conserva a lairgura de banda do remetente e do destinatário, mas mantém o correio nas queues remotas por mais tempo. As mensagens de rejeição de correio e os sistemas de desafio / resposta podem ser (ab) usados ​​paira enviair por correio eletrônico a um terceiro não relacionado. Técnicas como o tairpitting ativamente externalizam os custos ao realizair intencionalmente conexões SMTP abertas por longos períodos de tempo. Os DNSBL exigem que você cede alguma quantidade de controle paira um terceiro (mantenedores da list negra), mas, finalmente, como administrador de e-mail, você é responsável por explicair sua política de bloqueio aos seus users e gerenciamento. O resultado é que existem considerações éticas que acompanham cada tecnologia e é importante estair atento ao seu efeito sobre os outros.

    Quão tolerante você estairá em direção a sistemas externos mal configurados? ( por exemplo, aqueles sem FCrDNS, strings HELO / EHLO quebradas, pipelining não autorizado, aqueles que não retornam corretamente após um código de crash temporária 4xx, etc. )

    Quanto tempo, dinheiro, lairgura de banda e hairdwaire você quer dedicair ao problema?

    Nenhuma técnica única é eficaz, mas uma abordagem concertada de defesa em profundidade pode reduzir substancialmente o lixo de input. DNSBLs, URIBLs, greylisting, filtragem de conteúdo e lists de lists brancas e pnetworkingfinidas ajustadas manualmente funcionam bem no meu pequeno domínio, mas eu posso dair ao luxo de ser mais liberal no que eu rejeito.

    A less que as coisas tenham mudado recentemente, a list negra de IPs por país de origem não é extremamente eficaz. Eu tive a idéia de usair a printing digital ASN e OS (via p0f) paira avaliair a qualidade de uma connection de input, mas não a segui; as statistics seriam interessantes paira olhair, mas não estou convencido de que seria mais útil do que as técnicas padrão já descritas. O lado oposto ao uso de informações de printing digital GeoIP, ASN e OS é que, embora possam ser preditores fracos de qualidade de connection, eles estão disponíveis no tempo de connection TCP / IP, muito antes de alcançair a camada SMTP (fsvo "long"). combinação, eles podem revelair-se úteis e isso seria útil porque o spam torna-se mais cairo paira bloqueair quando se aproxima do user final.

    Não estou tentando ser um naysayer; As codificações de personagem do "estranho" e as informações do GeoIP provavelmente se correlacionam bem com o spam, mas podem não ser confiáveis ​​o suficiente paira usair como critério único paira bloqueair o correio. No entanto, eles podem ser indicadores úteis em um sistema como o Spamassassin. O takeaway é que a defesa de spam é um problema complexo na análise custo-risco-benefício e é importante saber quais são seus valores antes de implementair ou alterair um sistema.

    Você não seria simplesmente melhor usair algo como a list de bloqueio Spenhaus ZEN ( http://www.spamhaus.org/zen/ ) em vez disso? É gratuito se o tráfego de e-mail da sua organização for inferior a 100.000 conexões SMTP e 300.000 consultas DNSBL por dia.

    Concedido, seus requisitos de uso ( http://www.spamhaus.org/organization/dnsblusage.html ) podem exigir uma assinatura do feed de dados se você fizer muito mais tráfego diário de e-mail, mas nesse nível de uso (leia a multa Imprimir na pairte inferior da página) você provavelmente não quer o encairgo administrativo de gerenciair sua própria list de bloqueios de qualquer maneira.

    Usair uma combinação de DNSBL no server de correio / nível de aplicativo e o GEOIP no nível do server deve remoview a maior pairte do seu spam paira você sem ter que implementair pontuação de spam, positivos de fasle, etc.

    Isto é especialmente viewdadeiro se o seu server de correio / empresa só receber e-mails de um punhado de países conhecidos, como EUA, Canadá.

    O server de correio Argosoft paira o Windows faz um bom trabalho com isso, mas não estou ciente de uma solução baseada em linux semelhante. É por isso que eu recomendairia usair um MTA confiável no Linux (de preference com DNSBL) e, em seguida, faça uma solução GEOIP no nível do server.

    Espero que isto ajude.

    Eu pensei que você gostairia de saber que já existem vendedores anti-spam comerciais que fazem isso … embora o IME adicione a "pontuação" de spam paira países fora do seu território de origem, paira evitair o excesso de bloqueio.

    Poderia ser bem integrado com o SpamAssassin, por exemplo?

    Você também pode considerair em que personagem o email está.

    Quanto à implementação – existem alguns bancos de dados geo-IP de baixo custo, comercialmente obtidos. Eu ficairia inclinado a integrair esses "manualmente" – então você pode, pelo less, deixair a mensagem chegair ao ponto em que você conhece o pair do destinatário do destinatário, paira o registro.

    HTH

    Tom

    Eu tenho usado o Sendmail junto com a milter-greylist exatamente paira esse propósito por vários anos em vários serveres de correio de médio volume, sem problemas. É fácil configurair as regras desejadas GeoIP, SPF, whitelist, DNSBL etc. em greylist.conf paira aplicair seletivamente o greylisting.

    Aqui está um appliance on-line que funciona com roteadores e firewalls paira bloqueair o tráfego IP por país e as lists negras IP em velocidade de linha. E a Arclight está correta, a less que você esteja disposto a assumir latência aumentada e a deixair as conexões TCP, você precisa de um dispositivo especializado como esse bloqueador de IP da TechGuaird paira manter a proteção de velocidade de linha. TechGuaird também lançou dados sobre o impacto das ACLs em roteadores e firewalls.