poo*_*r03 21 email spam blacklist rbl
我在我的小型邮件服务器上使用 Smartermail。我们最近遇到了一个问题,即收到大量遵循相同模式的雪鞋垃圾邮件。它们一次分 3 或 4 批进货。除了它们链接到的域名外,主体几乎相同。源 IP 往往来自同一个 /24 块一段时间,然后它们切换到另一个 /24。域往往是全新的。他们有有效的 PTR 和 SPF 记录,并且在正文底部有随机胡言乱语以欺骗贝叶斯过滤器。
我使用了十几种不同的 RBL,包括 Barracuda、Spamhaus、SURBL 和 URIBL。他们在捕获其中大部分方面做得不错,但我们仍然有很多漏洞,因为 IP 和域没有被列入黑名单。
我是否可以采用任何策略,包括阻止新创建的域或专门处理 snoeshow 垃圾邮件的 RBL?我希望避免使用第三方过滤服务。
eww*_*ite 14
这对您的用户来说是一个真正的问题吗?
在这一点上,我建议使用全面的邮件过滤服务。贝叶斯不再那么热了。声誉、RBL、标题/意图分析和其他因素似乎更有帮助。考虑一个云过滤服务,结合多种方法(和集体卷)来提供更好的保护(我为我的客户使用 Barracuda 的 ESS 云解决方案)。
当然还有:打击垃圾邮件 - 作为电子邮件管理员、域所有者或用户,我可以做什么?
我们没有受到雪鞋袭击事件增加的负面影响。我确实看到过一段时间,邮件量因这些攻击而每天增加三倍。但没有一个坏的东西通过。在 3 天内,梭子鱼将交易量降至正常水平。
我认为对全球邮件活动有广泛了解的过滤解决方案比单个邮件过滤器可以更好地应对攻击。
编辑:
最近也在LOPSA邮件列表中讨论了这一点:
我的贡献:https
: //www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
另一种意见:https : //www.mail-archive.com/tech@lists.lopsa.org/msg04181 .html
我是一名 DNS 运营人员,与经常受到这些攻击的团队密切合作。处理 Snowshoe 攻击主要是一个流程问题,正如 ewwhite 指出的那样,它可能超出了您公司内部解决的范围。我什至要说,除非您有一个相当大的操作和几个商业 RBL 提要,否则您可能不应该尝试通过使用商业过滤服务来解决这个问题。
也就是说,我们确实在这方面有一些经验,分享比不分享更有趣。一些接触点是:
UDP-MIB::udpInErrors通过 SNMP进行监控,因为当 Snowshoe 攻击正在进行时,邮件平台非常有能力使 UDP 侦听器的接收队列溢出。如果不是,在 Linux 下快速判断的方法是netstat -s | grep 'packet receive errors'在有问题的 DNS 服务器上运行;大量计数表明他们需要摆脱笨拙并开始注意。如果频繁发生溢出,他们将需要增加容量或增加接收缓冲区的大小。(这意味着丢失了 DNS 查询,并失去了防止垃圾邮件的机会)全面披露:Farsight Security 是由 Paul Vixie 创立的,当人们违反 DNS 标准时,我有一个发泄的坏习惯。