Pregunta Fighting Spam: ¿Qué puedo hacer como administrador de correo electrónico, propietario de dominio o usuario?


Esto es un Pregunta canónica sobre la lucha contra el spam.
  También relacionado:

Hay tantas técnicas y mucho que saber sobre cómo combatir el SPAM. ¿Qué técnicas y tecnologías ampliamente utilizadas están disponibles para el Administrador, los Propietarios de dominios y los Usuarios finales para ayudar a mantener la basura fuera de nuestras bandejas de entrada?

Estamos buscando una respuesta que cubra diferentes tecnologías desde varios ángulos. La respuesta aceptada debe incluir una variedad de tecnologías (por ejemplo, SPF / SenderID, DomainKeys / DKIM, Graylisting, DNS RBLs, Servicios de reputación, Software de filtrado [SpamAssassin, etc.]); las mejores prácticas (por ejemplo, el correo en el Puerto 25 nunca debe permitirse la retransmisión, se debe usar el Puerto 587; etc.), la terminología (por ejemplo, Open Relay, Backscatter, MSA / MTA / MUA, Spam / Ham) y posiblemente otras técnicas.


101
2017-08-20 20:30


origen


Canónico o no, este no es el lugar para preguntar sobre cosas de nivel de usuario. - John Gardeniers


Respuestas:


Para derrotar a tu enemigo, debes conocer a tu enemigo.

¿Qué es el spam?

Para nuestros propósitos, el spam es cualquier mensaje electrónico masivo no solicitado. El spam en estos días está destinado a atraer a usuarios confiados a que visiten un sitio web (generalmente sombrío) en el que se les pedirá que compren productos, o que envíen malware a sus computadoras, o ambos. Algún spam enviará malware directamente.

Puede que te sorprenda saber que el primer spam se envió en 1864. Era un anuncio de servicios dentales, enviado a través del telegrama de Western Union. La palabra en sí es una referencia a un escena en El circo volador de Monty Python.

Spam, en este caso, hace no consulte el tráfico de listas de correo al que se suscribió un usuario, incluso si cambiaron de opinión más adelante (o lo olvidaron) pero aún no se han dado de baja.

¿Por qué el spam es un problema?

El spam es un problema porque funciona para los spammers. Normalmente, el spam genera más que suficientes ventas (o entrega de malware, o ambas) para cubrir los costos - Al spammer - De enviarlo. El spammer no considera los costos para el destinatario, usted y sus usuarios. Incluso cuando una pequeña minoría de usuarios que reciben spam responde, es suficiente.

Por lo tanto, puede pagar las facturas por el ancho de banda, los servidores y el tiempo del administrador para hacer frente al spam entrante.

Bloqueamos el spam por estos motivos: no queremos verlo, reducir nuestros costos de manejo del correo electrónico y hacer que el spam sea más costoso para los spammers.

¿Cómo funciona el spam?

Por lo general, el correo no deseado se entrega de formas diferentes a las del correo electrónico normal y legítimo.

Los spammers casi siempre quieren ocultar el origen del correo electrónico, por lo que un spam típico contendrá información de encabezado falsa. los From: La dirección suele ser falsa. Algún spam incluye falso Received: Líneas en un intento de disimular el rastro. Una gran cantidad de spam se entrega a través de relés SMTP abiertos, servidores proxy abiertos y redes de bots. Todos estos métodos hacen que sea más difícil determinar quién originó el spam.

Una vez en la bandeja de entrada del usuario, el propósito del correo no deseado es atraer al usuario a visitar el sitio web anunciado. Allí, el usuario será tentado a realizar una compra, o el sitio intentará instalar malware en la computadora del usuario, o ambos. O, el correo no deseado le pedirá al usuario que abra un archivo adjunto que contiene malware.

¿Cómo detengo el spam?

Como administrador del sistema de un servidor de correo, configurará su servidor de correo y su dominio para que a los spammers les resulte más difícil enviar spam a sus usuarios.

Cubriré temas específicamente centrados en el spam y puedo omitir cosas que no estén directamente relacionadas con el spam (como el cifrado).

No ejecute un relé abierto

El gran servidor de correo es ejecutar un relé abierto, un servidor SMTP que aceptará el correo para cualquier destino y lo entregará en adelante. A los spammers les encantan los relés abiertos porque prácticamente garantizan la entrega. Asumen la carga de entregar mensajes (y de volver a intentarlo) mientras que el spammer hace otra cosa. Hacen spam barato.

Los relés abiertos también contribuyen al problema de la retrodispersión. Estos son mensajes que fueron aceptados por la retransmisión pero que luego no se pudieron entregar. El relé abierto enviará un mensaje de rebote a la From: Dirección que contiene una copia del spam.

  • Configure su servidor de correo para aceptar el correo entrante en el puerto 25 solo para sus propios dominios. Para la mayoría de los servidores de correo, este es el comportamiento predeterminado, pero al menos debe decirle al servidor de correo cuáles son sus dominios.
  • Pruebe su sistema enviando un correo electrónico a su servidor SMTP desde fuera de su red donde tanto From: y To: Las direcciones no están dentro de su dominio. El mensaje debe ser rechazado. (O, use un servicio en línea como Caja de herramientas MX para realizar la prueba, pero tenga en cuenta que algunos servicios en línea enviarán su dirección IP a las listas negras si su servidor de correo no pasa la prueba.)

Rechaza cualquier cosa que parezca demasiado sospechosa

Varias configuraciones erróneas y errores pueden indicar que un mensaje entrante probablemente sea spam o ilegítimo.

  • Marque como spam o rechace mensajes para los que la dirección IP no tenga DNS inverso (registro PTR). Trate la falta de un registro PTR más severamente para las conexiones IPv4 que para las conexiones IPv6, ya que muchas direcciones IPv6 aún no tienen DNS inverso, y puede que no lo hagan por varios años, hasta que el software del servidor DNS pueda manejar estas zonas potencialmente muy grandes.
  • Rechace los mensajes para los cuales el nombre de dominio en las direcciones del remitente o del destinatario no existe.
  • Rechace los mensajes que no utilicen nombres de dominio completos para los dominios del remitente o del destinatario, a menos que se originen dentro de su dominio y estén destinados a ser entregados dentro de su dominio (por ejemplo, servicios de monitoreo).
  • Rechazar conexiones donde el otro extremo no envíe un HELO/EHLO.
  • Rechazar conexiones donde el HELO/EHLO es:
    • no es un nombre de dominio completo ni una dirección IP
    • descaradamente incorrecto (por ejemplo, su propio espacio de direcciones IP)
  • Rechace las conexiones que utilizan tuberías sin estar autorizado para hacerlo.

Autentica a tus usuarios

El correo que llega a sus servidores debe considerarse en términos de correo entrante y saliente. El correo entrante es cualquier correo que llega a su servidor SMTP que está destinado en última instancia a su dominio; el correo saliente es cualquier correo que llegue a su servidor SMTP que se transferirá a otra parte antes de ser entregado (por ejemplo, va a otro dominio). El correo entrante puede ser manejado por sus filtros de correo no deseado, y puede provenir de cualquier parte, pero siempre debe estar destinado a sus usuarios. Este correo no puede ser autenticado, porque no es posible dar credenciales a todos los sitios que pueden enviarle correo.

Correo saliente, es decir, correo que será retransmitido, debe ser autenticado Este es el caso, ya sea que provenga de Internet o de su red (aunque debe restringir los rangos de direcciones IP permitidos para usar su servidor de correo si es posible); esto se debe a que los spambots pueden estar ejecutándose dentro de su red. Por lo tanto, configure su servidor SMTP de manera que el correo con destino a otras redes se eliminará (se denegará el acceso de retransmisión) a menos que se autentique ese correo. Mejor aún, use servidores de correo separados para el correo entrante y saliente, no permita la retransmisión para los entrantes y no permita el acceso no autenticado a los salientes.

Si su software lo permite, también debe filtrar los mensajes de acuerdo con el usuario autenticado; Si la dirección de correo del correo no coincide con el usuario que se autenticó, debe rechazarse. No actualice la dirección desde silencio; el usuario debe ser consciente del error de configuración.

También debe registrar el nombre de usuario que se usa para enviar correo o agregarle un encabezado de identificación. De esta manera, si ocurre un abuso, tiene evidencia y sabe qué cuenta se usó para hacerlo. Esto le permite aislar cuentas comprometidas y usuarios problemáticos, y es especialmente valioso para los proveedores de alojamiento compartido.

Tráfico de filtro

Desea estar seguro de que el correo que sale de su red en realidad lo envían sus usuarios (autenticados), no bots o personas externas. Los detalles específicos de cómo hacer esto dependen exactamente de qué tipo de sistema está administrando.

En general, es una buena idea bloquear el tráfico de egreso en los puertos 25, 465 y 587 (SMTP, SMTP / SSL y Envío) para todo menos sus servidores de correo salientes si es una red corporativa. Esto es para que los robots que ejecutan malware en su red no puedan enviar correo no deseado desde su red para abrir relés en Internet o directamente al MTA final para obtener una dirección.

Los hotspots son un caso especial porque el correo legítimo de ellos se origina en muchos dominios diferentes, pero (debido a SPF, entre otras cosas) un servidor de correo "forzado" no es apropiado y los usuarios deben usar el servidor SMTP de su propio dominio para enviar correo. Este caso es mucho más difícil, pero el uso de un IP o rango de IP público específico para el tráfico de Internet de estos hosts (para proteger la reputación de su sitio), el tráfico SMTP estancado y la inspección profunda de paquetes son soluciones a considerar.

Históricamente, los spambots han emitido spam principalmente en el puerto 25, pero nada les impide usar el puerto 587 con el mismo propósito, por lo que cambiar el puerto utilizado para el correo entrante es de dudoso valor. Sin embargo, el puerto 587 para el envío de correo es recomendado por RFC 2476, y permite una separación entre el envío de correo (al primer MTA) y la transferencia de correo (entre MTA) donde no es evidente a partir de la topología de la red; Si necesita tal separación, debe hacer esto.

Si usted es un ISP, host VPS, proveedor de colocación o similar, o si proporciona un punto de acceso para el uso por parte de los visitantes, bloquear el tráfico SMTP de egreso puede ser problemático para los usuarios que envían correo usando sus propios dominios. En todos los casos, excepto un punto de acceso público, debe exigir a los usuarios que necesitan acceso SMTP saliente porque están ejecutando un servidor de correo para solicitarlo específicamente. Hágales saber que las quejas de abuso terminarán por terminar el acceso para proteger su reputación.

Las IP dinámicas, y las que se usan para la infraestructura de escritorio virtual, nunca deben tener acceso SMTP saliente, excepto para el servidor de correo específico que se espera que esos nodos usen. Estos tipos de IPs debería también aparecen en listas negras y no debes intentar construir una reputación para ellos. Esto se debe a que es muy poco probable que estén ejecutando un MTA legítimo.

Considere el uso de SpamAssassin

SpamAssassin es un filtro de correo que se puede usar para identificar el spam según los encabezados y el contenido del mensaje. Utiliza un sistema de puntuación basado en reglas para determinar la probabilidad de que un mensaje sea spam. Cuanto más alto sea el puntaje, más probable es que el mensaje sea spam.

SpamAssassin también tiene un motor bayesiano que puede analizar las muestras de spam y ham (correo electrónico legítimo) que se devuelven a él.

La mejor práctica para SpamAssassin es no rechazar el correo, sino colocarlo en una carpeta de correo no deseado o correo no deseado. Los MUA (agentes de usuario de correo), como Outlook y Thunderbird, pueden configurarse para reconocer los encabezados que SpamAssassin agrega a los mensajes de correo electrónico y archivar de forma adecuada. Los falsos positivos pueden suceder, y si bien son raros, cuando le suceda al CEO, lo sabrá. Esa conversación irá mucho mejor si el mensaje simplemente se enviara a la carpeta de correo no deseado en lugar de rechazarlo por completo.

SpamAssassin es casi único, aunque existen algunas alternativas.

  • Instale SpamAssassin y configure la actualización automática para sus reglas usando sa-update.
  • Considere usar reglas personalizadas donde corresponda.
  • Considere la posibilidad de establecer Filtrado bayesiano.

Considere la posibilidad de utilizar listas negras y servicios de reputación basados ​​en DNS.

Las DNSBL (anteriormente conocidas como RBL, o listas negras en tiempo real) proporcionan listas de direcciones IP asociadas con el spam o cualquier otra actividad maliciosa. Estos son administrados por terceros independientes según sus propios criterios, por lo tanto, investigue cuidadosamente si los criterios de inclusión y exclusión de la lista utilizados por DNSBL son compatibles con la necesidad de su organización de recibir correos electrónicos. Por ejemplo, unos pocos DNSBL tienen políticas draconianas de eliminación de la lista que hacen que sea muy difícil que se elimine a una persona que fue incluida accidentalmente en la lista. Otros se eliminan automáticamente después de que la dirección IP no haya enviado spam durante un período de tiempo, lo que es más seguro. La mayoría de las DNSBL son de uso gratuito.

Los servicios de reputación son similares, pero afirman proporcionar mejores resultados al analizar más datos relevantes para una dirección IP determinada. La mayoría de los servicios de reputación requieren un pago de suscripción o compra de hardware o ambos.

Hay docenas de DNSBLs y servicios de reputación disponibles, aunque algunos de los más conocidos y útiles que uso y recomiendo son:

Listas conservadoras:

Listas agresivas:

Como se mencionó anteriormente, muchas docenas de otras están disponibles y pueden satisfacer sus necesidades. Uno de mis trucos favoritos es buscar la dirección IP que entregó un correo no deseado que llegó a través de múltiples DNSBL para ver cuál de ellos lo habría rechazado.

  • Para cada DNSBL y servicio de reputación, examine sus políticas para el listado y la eliminación de listas de direcciones IP y determine si son compatibles con las necesidades de su organización.
  • Agregue el DNSBL a su servidor SMTP cuando haya decidido que es apropiado usar ese servicio.
  • Considere asignar a cada DNSBL una puntuación y configurándolo en SpamAssassin en lugar de su servidor SMTP. Esto reduce el impacto de un falso positivo; dicho mensaje sería entregado (posiblemente a chatarra / spam) en lugar de ser devuelto. La compensación es que entregarás un mucho de spam
  • O bien, rechace completamente cuando la dirección IP esté en una de las listas más conservadoras y configure las listas más agresivas en SpamAssassin.

Utilizar SPF

SPF (Marco de política del remitente; RFC 4408 y RFC 6652) es un medio para evitar la falsificación de direcciones de correo electrónico declarando qué hosts de Internet están autorizados para entregar correo para un nombre de dominio determinado.

  • Configure su DNS para declarar un registro SPF con sus servidores de correo salientes autorizados y -all para rechazar a todos los demás.
  • Configure su servidor de correo para verificar los registros SPF del correo entrante, si existen, y rechace el correo que falla la validación de SPF. Omita esta comprobación si el dominio no tiene registros SPF.

Investigar dkim

DKIM (DomainKeys Identified Mail; RFC 6376) es un método para incrustar firmas digitales en mensajes de correo que puede verificarse utilizando claves públicas publicadas en el DNS. Es con patente en Estados Unidos, lo que ha ralentizado su adopción. Las firmas DKIM también pueden romperse si se modifica un mensaje en tránsito (por ejemplo, los servidores SMTP en ocasiones pueden volver a empaquetar mensajes MIME).

  • Considere firmar su correo saliente con firmas DKIM, pero tenga en cuenta que es posible que las firmas no siempre se verifiquen correctamente incluso en el correo legítimo.

Considere el uso de greylisting

La lista gris es una técnica en la que el servidor SMTP emite un rechazo temporal para un mensaje entrante, en lugar de un rechazo permanente. Cuando se reintenta la entrega en unos pocos minutos u horas, el servidor SMTP aceptará el mensaje.

La lista gris puede detener algunos programas de spam que no son lo suficientemente sólidos para diferenciar entre rechazos temporales y permanentes, pero no ayudan con el spam que se envió a un retransmisor abierto o con un software de spam más sólido. También introduce retrasos en la entrega que los usuarios no siempre pueden tolerar.

  • Considere el uso de listas grises solo en casos extremos, ya que es altamente perjudicial para el tráfico de correo electrónico legítimo.

Considere el uso de nolisting

Nolisting es un método para configurar sus registros MX de manera que el registro de mayor prioridad (número de preferencia más bajo) no tenga un servidor SMTP en ejecución. Esto se basa en el hecho de que una gran cantidad de software de spam solo probará el primer registro MX, mientras que los servidores SMTP legítimos intentan todos los registros MX en orden ascendente de preferencia. Algunos programas de spam también intentan enviar directamente al registro MX de prioridad más baja (número de preferencia más alto) en violación de RFC 5321, por lo que también podría establecerse en una dirección IP sin un servidor SMTP. Se informa que esto es seguro, aunque como con cualquier cosa, primero debe probar cuidadosamente.

  • Considere configurar su registro MX de mayor prioridad para que apunte a un host que no responde en el puerto 25.
  • Considere configurar su registro MX de menor prioridad para que apunte a un host que no responde en el puerto 25.

Considere un dispositivo de filtrado de spam

Coloque un dispositivo de filtrado de spam como Cisco IronPort o Barracuda Spam & Virus Firewall (u otros dispositivos similares) en frente de su servidor SMTP existente para eliminar gran parte del trabajo de reducir el spam que recibe. Estos dispositivos están preconfigurados con DNSBL, servicios de reputación, filtros bayesianos y las otras características que he cubierto, y son actualizados regularmente por sus fabricantes.

  • Investigue el hardware del dispositivo de filtrado de spam y los costos de suscripción.

Considere servicios de correo electrónico alojados

Si es demasiado para usted (o su personal de TI con exceso de trabajo), siempre puede tener un proveedor de servicios externo que maneje su correo electrónico por usted. Servicios como el de Google Postini, Symantec MessageLabs Email Security (u otros) filtrarán los mensajes para usted. Algunos de estos servicios también pueden manejar los requisitos reglamentarios y legales.

  • Investigue los costos de suscripción del servicio de correo electrónico alojado

¿Qué orientación deben dar los administradores de sistemas a los usuarios finales con respecto a la lucha contra el spam?

La cosa # 1 absoluta que los usuarios finales deben hacer para combatir el spam es:

  • NO RESPONDER AL SPAM.

    Si parece gracioso, no haga clic en el enlace del sitio web y no abra el archivo adjunto. No importa lo atractiva que parezca la oferta. Esa viagra no es tan barata, realmente no vas a sacar fotos desnudas de nadie, y no hay $ 15 millones de dólares en Nigeria o en otro lugar, excepto por el dinero tomado de personas que hizo responder al spam.

  • Si ve un mensaje de spam, márquelo como Junk o Spam dependiendo de su cliente de correo.

  • NO HAGA marque un mensaje como Junk / Spam si realmente se suscribió para recibir los mensajes y solo quiere dejar de recibirlos. En su lugar, cancele la suscripción de la lista de correo utilizando el método de cancelación de suscripción provisto.

  • Revise su carpeta de correo no deseado con regularidad para ver si se ha recibido algún mensaje legítimo. Marque estos como No basura / No spam y agregue el remitente a sus contactos para evitar que sus mensajes se marquen como correo no deseado en el futuro.


93
2017-08-20 23:02



@MichaelHampton: UCEPROTECT es una organización sombría. - InternetSeriousBusiness
@Stephane Si no puede establecer / cambiar el registro de PTR, no puede controlar la dirección IP. No hay nada de malo en rechazar el correo basado en esto. - Michael Hampton♦
@ewwhite Eso es bastante draconiano, y 3 semanas es bastante ridículo. Pero rechazar el correo cuando no hay un registro PTR es bastante común, así que estoy seguro de que están teniendo todo tipo de problemas. - Michael Hampton♦
El rechazo es común, pero sostengo que es inútil e innecesario. De hecho, he revisado rápidamente mis propias estadísticas de correo no deseado y resulta que la cantidad de correo no deseado proveniente de direcciones IP sin retroceso es inferior al 5% y parece ser casi el mismo número que el que veo en general Conexiones SMTP. De ahí mi conclusión: es una restricción sin sentido. - Stephane
¿Qué evidencia tiene para respaldar su afirmación de que es ineficaz? Mis registros muestran que es abrumadoramente efectivo en la preselección del correo electrónico. Un número de otras personas que conozco tienen experiencias similares. - Chris S


A través de los años, he administrado más de 100 entornos de correo separados y he usado numerosos procesos para reducir o ayudar a eliminar el spam.

La tecnología ha evolucionado a lo largo del tiempo, por lo que esta respuesta explicará algunas de las cosas que he probado en el pasado y detallará el estado actual de las cosas.

Algunos pensamientos sobre la protección ...

  • Desea proteger el puerto 25 de su servidor de correo entrante de ser un relé abierto, donde cualquier persona puede enviar correo a través de su infraestructura. Esto es independiente de la tecnología de servidor de correo particular que pueda estar usando. Los usuarios remotos deben usar un puerto de envío alternativo y alguna forma de autenticación requerida para retransmitir correo. El puerto 587 o el puerto 465 son las alternativas comunes a 25.
  • El cifrado es también un plus. Una gran cantidad de tráfico de correo se envía en texto claro. Estamos en el punto en el que la mayoría de los sistemas de correo pueden admitir algún tipo de cifrado; Algún evento lo espera.
  • Estos son enfoques más proactivos para prevenir tu sitio de correo de ser clasificado como una fuente de spam ...

Con respecto al spam entrante ...

  • Greylisting Fue un enfoque interesante por un corto período de tiempo. Forzar un rechazo / retraso temporal con la esperanza de que un spammer se desconecte y evite la exposición o el tiempo y los recursos necesarios para volver a poner en cola los mensajes. Esto tuvo el efecto de demoras impredecibles en la entrega de correo, no funcionó bien con el correo de grandes granjas de servidores y los spammers eventualmente desarrollaron soluciones alternativas. El peor impacto fue romper la expectativa del usuario de una rápida entrega de correo.
  • Varios relés MX aún necesitan protección. Algunos spammers intentaban enviar a un copia de seguridad o baja prioridad MX con la esperanza de que tuviera un filtrado menos robusto.
  • Listas negras en tiempo real (RBL / DNSBL): estas bases de datos de mantenimiento centralizadas para verificar si un servidor de envío está en la lista. La gran dependencia de RBL viene con advertencias. Algunos no eran tan reputados como otros. Las ofrendas de Spamhaus siempre han sido buenos para mi Otros, como SORBS, tiene un enfoque deficiente para enumerar los IP y, a menudo, bloquea el correo electrónico legítimo. Se ha comparado con un plan de extorsión en algunos casos, porque la exclusión de la lista a menudo implica $$$.
  • Marco de política del remitente (SPF): básicamente, un medio para garantizar que un host determinado esté autorizado para enviar correo para un dominio en particular, como lo define un registro DNS TXT. Es una buena práctica crear registros SPF para su correo saliente, pero es una mala práctica exigirLo enviamos desde los servidores.
  • Claves de dominio - No en uso generalizado ... todavía.
  • Supresión de rebote: evita que el correo no válido se devuelva a su origen. Algunos spammers intentaban ver qué direcciones eran vivas / válidas analizando retrodispersión para crear un mapa de direcciones utilizables.
  • Reverse DNS / PTR check: comprueba que un servidor de envío tenga un registro PTR inverso válido. No es necesario que esto coincida con el dominio de origen, ya que es posible tener una asignación de dominios de muchos a uno a un host. Pero es bueno determinar la propiedad de un espacio de IP y determinar si el servidor de origen es parte de un bloqueo de IP dinámico (por ejemplo, banda ancha doméstica - leer: spambots comprometidos).
  • Filtrado de contenido - (no confiable) - Tratar de contrarrestar las permutaciones de "(Viagra, v \ | agra, viagra, vilgra.)" Requiere mucho tiempo para el administrador y no se escala en un entorno más amplio.
  • Filtrado bayesiano - Las soluciones de spam más avanzadas permiten la formación global o por usuario del correo. Lea el artículo vinculado sobre las heurísticas, pero el punto principal es que el correo puede clasificarse manualmente como bueno (Ham) o malo (Spam), y los mensajes resultantes llenan una base de datos bayesiana a la que se puede hacer referencia para determinar la categorización de los mensajes futuros. Por lo general, esto se asocia con una puntuación o ponderación de correo no deseado y puede ser una de las pocas técnicas utilizadas para determinar si se debe entregar un mensaje.
  • Control de velocidad / estrangulamiento - enfoque simple. Limite la cantidad de mensajes que un servidor determinado puede intentar entregar en un determinado período de tiempo. Aplazar todos los mensajes por encima de ese umbral. Esto generalmente se configura en el lado del servidor de correo.
  • Hosted y filtrado de nubes. Postini viene a la mente, ya que eso era un nube solución antes nube era una palabra de moda. Ahora propiedad de Google, la fortaleza de una solución alojada es que existen economías de escala inherentes al procesamiento del volumen de correo que encuentran. El análisis de datos y el alcance geográfico simple pueden ayudar a una solución de filtrado de spam alojada a adaptarse a las tendencias. Sin embargo, la ejecución es simple. 1). Apunte su registro MX a la solución alojada, 2). proporcionar una dirección de entrega de servidor de post-filtrado. 3). Lucro.

Mi enfoque actual:

Soy un firme defensor de las soluciones de spam basadas en dispositivos. Quiero rechazar en el perímetro de la red y guardar los ciclos de la CPU en el nivel del servidor de correo. El uso de un dispositivo también proporciona cierta independencia de la solución del servidor de correo real (agente de entrega de correo).

yo recomiendo Barracuda Spam Filter dispositivos por un número de razones. He implementado varias docenas de unidades, y la interfaz basada en web, la mentalidad de la industria y la naturaleza del dispositivo de configurar y olvidar lo convierten en un ganador. La tecnología backend incorpora muchas de las técnicas enumeradas anteriormente.

  • Bloqueo el puerto 25 en la dirección IP de mi servidor de correo y, en cambio, configuro el registro MX para el dominio en la dirección pública del dispositivo Barracuda, por ejemplo. spam.dominio.com. El puerto 25 estará abierto para la entrega de correo.
  • El núcleo es SpamAssassin-debido con una interfaz simple a un registro de mensajes (y una base de datos bayesiana) que se puede usar para clasificar el correo bueno del malo durante un período de entrenamiento inicial.
  • Barracuda aprovecha varios RBL por defecto, incluidos los de Spamhaus.org, y su propia Base de datos de reputación BRBL. Nota la BRBL se puede utilizar de forma gratuita como RBL estándar para otros sistemas de correo.
  • La base de datos de reputación de Barracuda se compila a partir de datos en vivo, honeypots, análisis a gran escala y cualquier número de técnicas patentadas. Tiene una lista blanca registrada y lista de bloqueo. Los remitentes de correo de gran volumen y alta visibilidad a menudo se registran en Barracuda para la inclusión automática en listas blancas. Los ejemplos incluyen Blackberry, Contacto constante, etc.
  • Las comprobaciones de SPF se pueden habilitar (aunque no las habilito).
  • Hay una interfaz para revisar el correo y el redeliver desde la caché de correo del dispositivo según sea necesario. Esto es útil en los casos en que un usuario esperaba un mensaje que puede no haber pasado todas las comprobaciones de correo no deseado.
  • La verificación de usuarios de LDAP / Active Directory ayuda a acelerar la detección de destinatarios de correo no válidos. Esto ahorra ancho de banda y evita retrodispersión.
  • Se puede configurar la dirección IP / remitente / dominio / país de origen. Si quiero negar todo el correo de los sufijos de dominio italiano, es posible. Si quiero evitar el correo de un dominio en particular, es fácil de configurar. Si quiero bloquear un usuario acosador de enviar un correo electrónico al usuario, es factible (historia real).
  • Barracuda proporciona una serie de informes enlatados y una buena visualización del estado del dispositivo y las métricas de spam.
  • Me gusta tener un dispositivo en el sitio para mantener este procesamiento interno y, posiblemente, tener una conexión de registro de correo electrónico posterior al filtro (en entornos donde es necesaria la retención de correo).
  • Más El aparato puede residir en un infraestructura virtualizada.

Barracuda Spam & Virus Firewall 300 consola de estado enter image description here


Nuevo enfoque:

He estado experimentando con Servicio de seguridad de correo electrónico basado en la nube de Barracuda durante el mes pasado Esto es similar a otras soluciones alojadas, pero se adapta bien a sitios más pequeños, donde un dispositivo costoso tiene un costo prohibitivo. Por una tarifa anual nominal, este servicio proporciona aproximadamente el 85% de lo que hace el dispositivo de hardware. El servicio también se puede ejecutar en conjunto con un dispositivo en el sitio para reducir el ancho de banda entrante y proporcionar otra capa de seguridad. También es un buen búfer que puede poner correo en cola en caso de una interrupción del servidor. Las analíticas siguen siendo útiles, aunque no tan detalladas como las de una unidad física.

Consola Barracuda Cloud Email Security enter image description here

En general, he probado muchas soluciones, pero dada la escala de ciertos entornos y las crecientes demandas de la base de usuarios, quiero las soluciones más elegantes disponibles. Sin duda, es posible adoptar el enfoque multifacético y "rodar los tuyos", pero lo he hecho bien con algo de seguridad básica y buen control de uso del dispositivo Barracuda. Los usuarios están muy contentos con el resultado.

Nota: Cisco Ironport También es genial ... Sólo más costoso.


27
2017-08-23 14:08





En parte, apoyo lo que otros han dicho; En parte, no lo hago.

Spamassassin

Esto funciona muy bien para mí, pero necesitas pasar un tiempo entrenando el filtro bayesiano con jamon y spam.

Greylisting

ewwhite puede sentir que su día llegó y se fue, pero no puedo estar de acuerdo. Uno de mis clientes preguntó qué tan efectivos eran mis diversos filtros, por lo que aquí hay estadísticas aproximadas para julio de 2012 para mi servidor de correo personal:

  • 46000 mensajes intentaron entrega
  • 1750 consiguió a través de greylisting
  • 250 consiguieron a través de greylisting + entrenados spamassassin

Así que alrededor de 44000 nunca lograron salir de la lista gris; si no hubiera tenido la lista gris, y hubiera aceptado todos esos, habrían necesitado todos los filtros de correo no deseado, todos usando CPU y memoria, y de hecho ancho de banda.

Editar: como esta respuesta parece haber sido útil para algunas personas, pensé en actualizar las estadísticas. Así que volví a ejecutar el análisis en los registros de correo de enero de 2015, 2,5 años después.

  • 115.500 mensajes intentaron ser entregados
  • 13,300 obtuvieron mediante listas grises (y algunas comprobaciones básicas de integridad, por ejemplo, dominio de remitente válido)
  • 8.500 consiguieron a través de greylisting + entrenados spamassassin

Los números no son directamente comparables, porque ya no tengo una nota de cómo llegué a las cifras de 2012, por lo que no puedo estar seguro de que las metodologías fueran idénticas. Pero confío en que no tenía que ejecutar un filtro de spam caro en términos computacionales en una gran cantidad de contenido en ese entonces, y aún no lo hago, debido a la lista gris.

SPF

Esta no es realmente una técnica antispam, pero puede reducir la cantidad de retrodifusión con la que tiene que lidiar, si es un banco de trabajo. Debe usarlo tanto dentro como fuera, es decir: debe verificar el registro SPF del remitente para el correo electrónico entrante y aceptar / rechazar en consecuencia. También debe publicar sus propios registros SPF, con una lista completa de todas las máquinas que están aprobadas para enviar correos como usted, y bloquear todos los demás con -all. Registros SPF que no terminan en -all Son completamente inútiles.

Listas negras

Los RBL son problemáticos, ya que uno puede acceder a ellos sin que sea culpa nuestra, y puede ser difícil deshacerse de ellos. Sin embargo, tienen un uso legítimo en la lucha contra el spam, pero Recomiendo encarecidamente que no se utilice RBL como prueba de línea brillante para la aceptación del correo.. La forma en que spamassassin maneja los RBL (mediante el uso de muchos, cada uno de los cuales contribuye a una puntuación total, y es esta puntuación la que hace que la decisión de aceptar / rechazar) sea mucho mejor.

Dropbox

No me refiero al servicio comercial, me refiero a que mi servidor de correo tiene una dirección que corta a través de todas mis listas grises y filtros de spam, pero que en lugar de entregar a INBOX de cualquiera, va a una carpeta de escritura mundial en /var, que se elimina automáticamente cada noche de cualquier correo electrónico de más de 14 días.

Aliento a todos los usuarios a que lo aprovechen al completar, por ejemplo, formularios de correo electrónico que requieren una dirección de correo electrónico válida, en la que recibirá un correo electrónico que debe conservar, pero a quien nunca desea volver a escuchar, o al comprar de proveedores en línea que probablemente venderán y / o enviarán correo no deseado a su dirección (especialmente aquellos que están fuera del alcance de las leyes de privacidad europeas). En lugar de dar su dirección real, un usuario puede dar la dirección de Dropbox y mirar en el Dropbox solo cuando espera algo de un corresponsal (generalmente una máquina). Cuando llega, puede escogerlo y guardarlo en su colección de correo adecuada. Ningún usuario necesita mirar el dropbox en ningún otro momento.


23
2017-08-21 03:10



Me gusta mucho la idea de la dirección de Dropbox. - blalor
La lista gris es una solución "egoísta"; retrasa mucho correo legítimo y, a medida que más y más servidores de correo lo implementan, más y más spammers se asegurarán de que su spam sea robusto. Al final, salimos perdiendo. Recomendaría greylisting para pequeños despliegues y lo haría fuertemente Recomienda en su contra para implementaciones más grandes. Considerar tarpitas en lugar. Milter-greylist puede hacer cualquiera de las dos. - Adam Katz
@AdamKatz que sin duda es un punto de vista. No estoy seguro de cómo se supone que los spammers deben hacer que su spam sea robusto para hacer listas grises sin abandonar el spam de deshabilitar y disparar, en cuyo caso, trabajo hecho, en lugar de derrotar a los ladrillos, que solo requiere una pequeña mejora de código en los zombies. Pero no estoy de acuerdo contigo sobre el egoísmo. Cuando se explica la compensación (si desea un correo electrónico en tiempo real para los corresponsales irregulares, el presupuesto de correo y comunicaciones se multiplica por veinte), la mayoría prefiere el retraso. - MadHatter
@AdamKatz nota también que mi "dropbox", arriba, no es golpeada por la lista gris. Por lo tanto, cualquier usuario que necesite desesperadamente recibir un correo electrónico preestablecido de manera oportuna tiene una solución automática: sabe que debe proporcionar la dirección "inmediata" y vigilar el buzón hasta que se reciba el elemento en particular. - MadHatter
@AdamKatz, ya que mi lista de grises insiste en una brecha de 10 minutos entre el primer intento de entrega y el éxito, la pausa de más de 15 minutos no es una dificultad mayor. En cuanto a las expectativas del usuario, éstas pueden (y, por supuesto, deberían) administrarse, como cualquier otra. El resto de su argumento es mucho más convincente: ¿quizás podría agregar su propia respuesta, introduciendo algunas cifras concretas sobre la eficacia de los tarpits en sus implementaciones? Podemos teorizar sobre la efectividad relativa esperada para siempre, pero los datos son mucho más esclarecedores. nullius in verba! - MadHatter


Estoy utilizando una serie de técnicas que reducen el spam a niveles aceptables.

Retraso en aceptar conexiones de servidores configurados incorrectamente. La mayoría del Spam que recibo es de Spambots que se ejecutan en un sistema infectado con malware. Casi todos estos no pasan la validación rDNS. La demora de aproximadamente 30 segundos antes de cada respuesta hace que la mayoría de los Spambots se rindan antes de que hayan enviado su mensaje. Aplicando esto solo a los servidores que fallan, rDNS evita penalizar a los servidores configurados correctamente. Algunos emisores automáticos o masivos legítimamente configurados incorrectamente son penalizados, pero se entregan con un retraso mínimo.

La configuración de SPF para todos sus dominios protege sus dominios. La mayoría de los subdominios no deben utilizarse para enviar correos electrónicos. La excepción principal son los dominios MX que deben poder enviar correos por su cuenta. Varios remitentes legítimos delegan correo masivo y automatizado a servidores que no están permitidos por su política. Aplazar en lugar de rechazar en función de SPF les permite arreglar su configuración de SPF, o usted puede incluirlos en la lista blanca.

Requerir un FQDN (Nombre de dominio completo) en el comando HELO / EHLO. El spam a menudo utiliza un nombre de host no calificado, direcciones literales, direcciones IP o TLD no válido (dominio de nivel superior). Desafortunadamente, algunos remitentes legítimos utilizan TLD no válidos, por lo que puede ser más apropiado diferir en este caso. Esto puede requerir monitoreo y listas blancas para habilitar el correo.

DKIM ayuda con el no repudio, pero por lo demás no es muy útil. Mi experiencia es que no es probable que Spam esté firmado. Es más probable que Ham esté firmado, por lo que tiene cierto valor en la puntuación de Spam. Un número de remitentes legítimos no publican sus claves públicas, o de otro modo configuran su sistema de manera incorrecta.

La lista gris es útil para los servidores que muestran algunos signos de mala configuración. Los servidores que están correctamente configurados se comunicarán con el tiempo, por lo que tiendo a excluirlos de la lista gris. Es útil para los correos electrónicos de listas grises, ya que tienden a usarse ocasionalmente para el spam. El retraso le da a algunas de las entradas del filtro de Spam tiempo para atrapar al Spammer. También tiende a desviar a los Spambots ya que generalmente no vuelven a intentarlo.

Las listas negras y las listas blancas pueden ayudar también.

  • He encontrado que Spamhaus es una lista negra confiable.
  • La Lista blanca automática en el filtro de Spam ayuda a suavizar la calificación de los remitentes frecuentes que son ocasionalmente Spamish, o Spammers que ocasionalmente son Hamish.
  • También encuentro útil la lista blanca de dnsl.org.

El software de filtrado de spam es razonablemente bueno para encontrarlo, aunque algunos lo lograrán. Puede ser complicado llevar el falso negativo a un nivel razonable sin aumentar demasiado el falso positivo. Encuentro que Spamassassin atrapa la mayor parte del Spam que lo alcanza. He añadido algunas reglas personalizadas que se ajustan a mis necesidades.

Los administradores de correo deben configurar las direcciones de abuso y administrador de correo requeridas. Reconozca los comentarios que recibe de estas direcciones y actúe en consecuencia. Esto permite que otros lo ayuden a asegurarse de que su servidor esté configurado correctamente y que no genere Spam.

Si es un desarrollador, use los servicios de correo electrónico existentes en lugar de configurar su propio servidor. Según mi experiencia, es probable que la configuración de los servidores para los remitentes de correo automatizados se configure incorrectamente. Revise los RFC y envíe correos electrónicos con el formato correcto desde una dirección legítima en su dominio.

Los usuarios finales pueden hacer varias cosas para ayudar a reducir el spam:

  • No lo abras. Marcarlo como spam o eliminarlo.
  • Asegúrese de que su sistema sea seguro y libre de malware.
  • Controle el uso de su red, especialmente cuando no está utilizando su sistema. Si genera mucho tráfico de red cuando no lo está utilizando, puede estar enviando correo no deseado.
  • Apague su computadora cuando no la esté usando. (No podrá generar Spam si está desactivado).

Los propietarios de dominio / ISP pueden ayudar limitando el acceso a Internet en el puerto 25 (SMTP) a los servidores de correo electrónico oficiales. Esto limitará la capacidad de los Spambots para enviar a Internet. También ayuda cuando las direcciones dinámicas devuelven nombres que no pasan la validación rDNS. Aún mejor es verificar que el registro PTR para servidores de correo pase la valuación rDNS. (Verifique si hay errores tipográficos al configurar registros PTR para sus clientes).

He comenzado a clasificar el correo electrónico en tres categorías:

  • Ham (casi siempre desde servidores configurados correctamente, con el formato correcto y, en general, correo electrónico personal).
  • Spam (en su mayoría de Spambots, pero un cierto porcentaje proviene de freemailers u otros remitentes con servidores configurados incorrectamente).
  • Bacn; podría ser Ham o Spam (incluye una gran cantidad de correo de listas de correo y sistemas automatizados. Ham suele terminar aquí debido a una configuración incorrecta del DNS y / o del servidor).

14
2017-08-25 22:16



Bacn (note la falta o) es un término estandarizado que se refiere al "correo que desea, pero no ahora". Otra categoria para correo es Graymail, que es un correo masivo que no es técnicamente spam y que algunos de sus destinatarios no lo desean y otros lo desean. - Adam Katz


La SOLA solución más efectiva que he visto es usar uno de los servicios de filtrado de correo externo.

Tengo experiencia con los siguientes servicios en clientes actuales. Estoy seguro de que hay otros. Cada uno de estos ha hecho un excelente trabajo en mi experiencia. El costo es razonable para los tres.

  • Postini de Google
  • MXLogic de McAfee
  • SecureTide de AppRiver

Los servicios tienen varias ventajas enormes sobre las soluciones locales.

  1. Detienen la mayoría (> 99%) del spam ANTES de que llegue a su conexión a Internet y a su servidor de correo electrónico. Dado el volumen de spam, esta es una gran cantidad de datos que no están en su ancho de banda y no en su servidor. He implementado uno de estos servicios una docena de veces y cada uno resultó en una mejora notable en el rendimiento del servidor de correo electrónico.

  2. También hacen filtrado de virus, normalmente en ambas direcciones. Esto mitiga la necesidad de tener una solución de "antivirus de correo" en su servidor y también mantiene el virii completamente

También hacen un gran trabajo bloqueando el spam. En 2 años trabajando en una empresa que utiliza MXLogic, nunca he tenido un falso positivo y puedo contar los mensajes de spam legítimos que se han recibido de una mano.


5
2018-06-11 01:37



+1 para reconocer el beneficio de las soluciones alojadas y el tiempo de actividad / escala y los beneficios de tráfico reducidos. El único problema que encuentro es la falta de personalización y respuesta en algunos casos (desde la perspectiva de alguien que tiene que ENVIAR a dominios protegidos por esos servicios). Además, algunas empresas tienen motivos de seguridad / cumplimiento para no poder utilizar el filtrado externo. - ewwhite


No hay dos entornos de correo iguales. Por lo tanto, construir una solución efectiva requerirá una gran cantidad de pruebas y errores en torno a las diferentes técnicas disponibles, ya que el contenido del correo electrónico, el tráfico, el software, las redes, los remitentes, los destinatarios y muchas más variarán enormemente en los diferentes entornos.

Sin embargo, encuentro que las siguientes listas de bloqueo (RBL) son adecuadas para el filtrado general:

Como ya se dijo, SpamAssassin es una gran solución cuando se configura correctamente, solo asegúrese de instalar tantos módulos adicionales de Perl en CPAN como Razor, Pyzor y DCC. Postfix funciona muy bien con SpamAssassin y es mucho más fácil de administrar y configurar que EXIM, por ejemplo.

Finalmente, el bloqueo de clientes a nivel de IP mediante fail2ban e iptables o similares durante cortos períodos de tiempo (por ejemplo, de un día a una semana) después de algunos eventos, como la activación de un RBL por comportamiento abusivo, también puede ser muy efectivo. ¿Por qué desperdiciar recursos hablando con un host conocido infectado con virus?


4