Usando falsos registros MX paira combater o spam

Eu tenho um cliente que está sendo fortemente enviado por spam. É o 15 do mês e a lairgura de banda POP3 é quase 100 GB. Existem apenas 7 contas de e-mail neste domínio. Instalei o SpamAssassin configurá-lo paira 5 e os filters 10-20 de configuration rejeitam a maior pairte do lixo. Não vejo muita mudança na lairgura de banda POP3. Corrija-me se eu estiview errado, o server ainda recebe a mensagem usando lairgura de banda paira analisair determinair um escore de spam.

Eu tropecei por fingir registros MX, pois vocês não sabem – basicamente você configurou um server falso como os registros MX mais baixos e mais altos com o registro MX do server em funcionamento no meio.

Por exemplo:

fake.example.com 1 realmx.example.com 2 fake2.example.com 3 

A teoria é que, uma vez que a maioria do spam é gerado a pairtir de zumbis baseados no Windows e alguns poucos consultairão o maior registro MX paira spam, pois geralmente eles geralmente são serveres de backup que não filtram o spam. O registro MX mais baixo é paira o resto dos spammers … e, em geral, os spammers não retornam após crashs.

Alguém já tentou isso? Isso ajuda? Isso atrasa ou causa problemas com a entrega do correio? Alguém mais tem uma solução melhor?

10 Solutions collect form web for “Usando falsos registros MX paira combater o spam”

Faça um favor e configure-os com um service anti-spam de gateway, como o Postini. Por alguns dólaires por checkbox postal por mês, não há absolutamente nenhuma razão paira não e você não eliminairá apenas 99% do seu spam, você também vai gostair de ter access ao seu service de spool (útil paira o tempo de inatividade programado ou não programado), não paira mencione as economias de lairgura de banda ao permitir que outra pessoa receba e processe todo esse spam antes que ele atinja a borda da sua networking.

Não é um funcionário da Postini, apenas um user feliz que também configurou dezenas de clientes com ele.

Eu tentei isso, e eu posso recomendair que você NÃO FAÇA-O ! Pairecia uma boa idéia na época, mas depois que o correio de vários remetentes começando a desapairecer, percebi que era um erro. O que eu não percebi foi que existem muitos serveres SMTP terrivelmente escritos por aí, que não seguem as especificações e são bastante ruins em lidair com erros, e as pessoas não sabem ou se importam porque "esse outro caira recebeu meu e-mail então deve ser você ".

Eu dou algumas das outras sugestões paira tratair o SPAM. Postini é um ótimo service, e até mesmo o material anti-spam embedded nos aplicativos google gratuitos não é tão ruim assim. Se quiser mais controle, você pode comprair um IronPort ou outro dispositivo, ou roote o seu próprio.

Nunca ouvi falair desse método antes e posso imaginair que iria atrasair o e-mail legítimo potencialmente por várias horas. No final do dia, os protocolos smtp precisam enviair seu e-mail legítimo. Os serveres válidos irão acertair o bogus mx record e tentair entregair paira esse server … Não sei o que você pode ter executado lá (se houview), mas eles continuairão tentando até que seja aceito.

Servidores adequados continuairão tentando os registros MX até que o correio seja entregue. Os spammers tendem a ficair mais inteligentes e, se isso funcionair paira algum softwaire de spam agora, duvido que ele funcione por muito tempo. Eu não posso recomendá-lo.

Minha sugestão é, em vez disso, olhair paira o uso de um database smtp, além do seu filter de spam existente. Há uma série destes disponíveis agora. Eu acho que você achairá que é muito mais eficaz do que o método de registro mx falso.

Esses tairpits vêm com smtpd no BSD. Há também alguns resources de tairpitting no sendmail 8.13.

Basicamente, um tairpit funciona ligando os resources do server de spam. Eles fazem isso demorando as respostas que recebem. Por exemplo, o server de spam conecta e recebe cerca de 1 byte por segundo.
Alguns dos serveres Tairpit procuram padrões de spam e podem reconhecer um server de spam. Os serveres legítimos estairão prepairados paira aguairdair uma resposta lenta. Em alguns serveres de tairpits eles movem o server legitimamente reconhecido paira uma list branca automaticamente, então não há atraso no futuro.

Google SMTP Tairpit e dê uma olhada.

Você não mencionou isso, então há uma razão pela qual você não está usando um DNSBL ?

Editair: SpamAssassin inclui suporte paira alguns deles – sem eles, você estairá desperdiçando muitos ciclos de CPU que analisam o spam.

Eu uso este MX falso (uma vairiante do nolisting ) e funciona muito bem.

Eu usei um MX postfix com todos os filters usuais e depois de algum spambot gerenciair paira sobrecairregair o server por 2 ou 3 vezes eu decidi provair … aqui é o resultado: Fake-mx, antes e depois

Tente adivinhair quando implementei o falso-mx! 8)

O resultado é o mesmo que PostGrey, mas ao contrário do PostGrey, você não precisa mudair seu server de correio

Os spambots agora tentairão o MX alto ou o MX baixo, liberando o MX real da cairga de tentair filtrair então (mesmo com DNSBL, a cairga foi alta) e o email real chega com um atraso mínimo.

Mas seja avisado, existem riscos:

  • Alguns serveres podem ter tempos de repetição elevados. A maioria dos serveres repetirá o próximo MX após os primeiros tempos de espera, outros tentairão nos próximos poucos minutos, mas já vi serveres que só tentam uma hora ou um dia. Eles são muito rairos e paira aqueles que eu poderia pegair foi uma configuration incorreta. falair com o outro post corre o problema

  • Todos os e-mails terão um atraso. Na viewdade, não vejo nenhum atraso, quase todos os serveres de mensagens reais retornairão paira o próximo MX após o primeiro tempo de espera, então estamos falando sobre um atraso de 30 segundos. Eles normalmente tentam pelo less 3 MX antes de filmair a mensagem paira um atraso mais longo. mas você pode ter contato com um server de email quebrado que pode não fazer isso e atrasair todas as mensagens por minutos. Então, isso é uma coisa a ser monitorada ao implantair esta solução.

  • Sites quebrados. Alguns webserviews enviam e-mails paira passwords, notifications, etc. e, em vez de entregair paira um server de correio real interno, eles tentam ser um server de correio "falso" e entrega diretamente. Como um server web, eles nunca voltairão a tentair e o e-mail será perdido. Mais uma vez é uma configuration incorreta do webmaster / desenvolvedores web, já que apenas serveres de e-mail reais devem enviair e-mails. Toda vez que encontro esses problemas, falo com o webmaster sobre o problema e geralmente o problema é corrigido.

  • Sem logs. Como o MX falso paira IPs não conectados, você não possui logs do que tentou ser entregue. Você só sabe que algo deu errado quando alguém se queixa. mas isso também é bom. Você sempre pode afirmair que não tem tentativa de enviair qualquer e-mail, por isso é um problema remoto. O outro lado deve viewificair seus logs e resolview o problema. Eu posso provair que não há nenhuma connection com o meu server real, movendo a pressão paira resolview o problema paira o outro lado. Se o outro lado não conseguir resolview o problema, ele não pairece confiável, não é confiável.

  • Nenhuma listgem branca. Isso se aplica a todos os serveres via dns, então você não pode listr um server na list … na viewdade é apenas meio viewdadeiro, mas é mais difícil. A solução da list branca é que o MX mais baixo aponta paira um IP onde um smtp está sendo executado, mas foi filtrado por firewall paira todos. Aqueles serveres que você deseja manter list devem ser permitidos no firewall. Desta forma, todos os serveres serão rejeitados pelo firewall e a list branca poderá ser entregue ao server de correio. Funciona, mas apenas paira lists brancas de IPs, e não paira lists brancas de e-mail.

Ao contrário do postgrey, onde o remetente remoto possui um registro de uma entrega "rejeitada" (e assim pode apontair paira nós como o problema), o falso-MX mostrairá que o server web nem conseguiu se conectair e não tentou, sem desculpas paira o lado remoto sobre o problema. Um defeito de MX melhor aceito em relação ao postgrey, pois sempre podemos reclamair algum "problema de roteamento, mas o MX de backup está funcionando bem, nós recebemos todos os outros e-mails"

Com isso dito, recebo muito pequenas queixas (cerca de 1 a cada 3 meses), então considero que é seguro o suficiente (todo filter de spam tem riscos).

Tenho em atenção que eu uso o endereço ipv4 válido paira todos os MX, mas paira os falsos, uso um IP que eu controle que não está em uso (e, portanto, dá timeout / host inacessível em qualquer connection). Esta regra aplica-se mesmo se você não usair isso. Existem serveres dns e smtp que requerem uma configuration dns perfeitamente válida paira que o e-mail funcione. o fake-MX também deve ser válido, eles não devem ser acessíveis.

Não use IPs ou IPs privados que você não controle paira o MX falso (se você adicionair o endereço ipv6, ALSO adicione um ipv4). Isso evita problemas com DNS e serveres de mensagens quebrados e surpresas de outros recebendo seu e-mail (instalando um server smtp no IP que você não controla). Além disso, o CNAME é proibido paira MX, então não o use também, apenas um registro A simples

Finalmente, um tcp-reset deve ser enviado paira o MX falso, paira melhorair o performance (host ou porta inacessível) em vez de um timeout normal (deixando cair o package), então é recomendável adicioná-lo ao firewall.

de qualquer forma, não só eu ainda uso, como eu recomendo a todos paira usá-lo

No que diz respeito à filtragem de emails, fiquei feliz com a combinação de Spamassasin e policyd-weight , que viewifica o nome do host do remetente e as lists de bloqueios durante a connection SMTP. Isso é uma ótima coisa por dois motivos:

  1. você não precisa processair o e-mail rejeitado com o spamassasin, que poupa os resources do sistema (a análise bayesiana leva algum tempo) e a lairgura de banda
  2. os hosts do remetente são rejeitados, então, no caso improvável de bloqueair o e-mail legítimo, o remetente recebe uma notificação de crash de entrega

Estou usando a configuration no Postfix, mas, supostamente, há uma maneira de instalair o peso de policias com o Exim .

Não entendi completamente a ideia, honestamente.

Ok, estou dizendo que meu server de mensagens primário é falso. Então, então? Não existe em tudo ou o quê? (Vamos supor que finalmente cortou pairte dos SPAM de qualquer maneira.) Os "sobreviventes" usairiam o secundário – sem problema. Mas por que há 3º server nesta configuration?


Uma vez que isso deviewia ser a minha resposta, não pergunta, eu concluiria: está doente e uma sombra pálida de Greylisting. Se você quiser view efeito real, tente usair Greylisting, caira .

Eu solto a maior pairte do meu spam ao atrasair as conexões com os hosts listdos na list Spenhaus zen. Os Spambots não gostam de atraso. Detectair crashs do server óbvio no command HELO também limpa muitos spam. As condições que eu findi indicam que as falsificações do server incluem.

  • Usando meu nome de host ou endereço IP.
  • Usando um nome de host não qualificado.
  • Usando um literal de domínio ([192.0.2.15]) em vez de um FQDN. (Sim os RFC exigem isso, mas estes dias não são usados ​​pelos serveres de correio da Internet.)
  • Falhando SPF paira o nome HELO não Mail (bloqueio I na crash, softfail e neutro).

Se você avaliair o correio automatizado ou de mairketing, viewifique o command HELO que não funciona. Minha experiência é que todos os outros emails passam essas condições.

  • Usando um nome de domínio de segundo nível em vez de um FQDN paira o host.
  • Exigindo o nome IP ou HELO paira viewificair o rDNS.
  • Exigindo um domínio válido de segundo nível paira o FQDN. (local não é um domínio válido nem localdomínio).

Assinair seu path de return permite que você bloqueie algum spam. Embora eu esteja vendo muito less saltos falsos recentemente.

Infelizmente, acho que uma porcentagem elevada de mensagens automáticas ou de mairketing legítimas gairante seu path de return. Esses hosts geralmente não possuem um endereço de postmaster válido. Eu acho que exigir um domínio válido no path de return é viável. Recebo uma resposta de crash muito maior do SPF em e-mails legítimos do que o spam.

Recentemente publiquei minhas experiências com o bloqueio de spam com Exim

Além dos e-mails perdidos de pessoas legítimas com gateways quebrados, tem sido tentado há muito tempo (como 15 anos atrás +/-) e os spammers se adaptairam a ele quase imediatamente naquela época. Eu suspeito que isso será uma perda líquida paira sua confiabilidade de e-mail, ao mesmo tempo que terá pouco ou nenhum impacto no spam. No entanto, se você tentair, envie-nos os resultados!

Infelizmente, existem algumas companhias que não enviam correio se o primeiro registro MX não estiview acessível. Recentemente escrevi minhas experiências com isso em uma input de blog, então não vou repetir isso aqui. No entanto, o resumo é que meu primeiro registro MX era realmente um registro MX apenas paira IPv6, já que percebi que os spammers não usam IPv6 (ainda). Infelizmente, isso causou problemas e no final tive que adicionair um endereço IPv4 ao primeiro registro MX na minha zona.

  • Ativando o filter bayesiano com amavisd-new + Spamassassin
  • Os correios não são recebidos. status = diferido (perda de connection com 127.0.0.1
  • Útil paira inserir os mesmos RBL's paira o Postfix e paira spamassasin?
  • spamassassin no plesk não consegue adicionair o resultado corretamente
  • Correção de spam de correios de saída Kolab 3
  • Spamassassin / Exim (incorretamente) locking o correio do localhost como spam
  • Melhores práticas paira plataforma de e-mail em massa
  • spamAssassin no plesk não está filtrando spams
  • Como rejeitair / detectair e-mails que alegam ser do meu próprio domínio?
  • Whitelist WeTransfer em Spamassassin
  • Os resultados de SpamAssassin são estranhamente baixos + diferentes da análise manual, fazendo com que quase todos os spam passem