Usando registros MX falsos para combater spam

14

Eu tenho um cliente que está recebendo muito spam. É o dia 15 do mês e a largura de banda POP3 é quase 100 GB. Existem apenas 7 contas de email neste domínio. Eu instalei o SpamAssassin, configure-o para 5 e a instalação de 10 a 20 filtros rejeitará a maior parte do lixo. Não vejo muita alteração na largura de banda POP3. Corrija-me se estiver errado, o servidor ainda recebe a mensagem usando a largura de banda para analisar determinar uma pontuação de spam.

Eu me deparei com registros MX falsos, para aqueles que desconhecem - basicamente você define um servidor falso como os registros MX mais baixos e mais altos com o registro MX do servidor em funcionamento no meio.

Por exemplo:

fake.example.com    1
realmx.example.com  2
fake2.example.com   3

A teoria é que, uma vez que a maioria do spam é gerada a partir de zumbis baseados no Windows, alguns solicitam o registro MX mais alto em spam, pois geralmente são servidores de backup que não filtram spam. O menor registro MX falso é para o restante dos remetentes de spam .. e geralmente os remetentes de spam não tentam novamente após falhas.

alguem ja tentou isso? Ajuda? Isso atrasa ou causa problemas na entrega de correio? Alguém mais tem uma solução melhor?

spam mx-record spamassassin Mikey1980
fonte

Respostas:

15

Faça um favor a si mesmo e configure-os com um serviço anti-spam de gateway, como o Postini. Por alguns dólares por caixa de correio por mês, não há absolutamente nenhuma razão para não fazê-lo e você não apenas elimina 99% do spam, como também desfruta de acesso ao serviço de spool (útil para tempo de inatividade programado ou não programado), para não mencione a economia de largura de banda, permitindo que outra pessoa receba e processe todo esse spam antes que ele atinja a borda da sua rede.

Não é um funcionário da Postini, apenas um usuário feliz que também configura dezenas de clientes.

gravyface
fonte
Obrigado pela sugestão, que é o plano B (plano C sendo renomear sua address..lol e-mail) Eu gosto da idéia de SaaS ou Front-end filtragem
Mikey1980
Embora seja a resposta que eu queria ouvir .. meu cliente foi com o Google Postini, o SPAM estava fora de controle e sem acesso root parecia a única opção - muito obrigado pela dica!
precisa saber é o seguinte
Você vai adorar, cara. Sério: é ótimo poder ativar o spool quando você está trabalhando no servidor. Além disso, eu os uso como um smarthost upstream e bloqueio o firewall de forma adequada, independentemente das caixas pertencentes às minhas redes (incluindo o (s) servidor (es) de correio)), elas só podem conversar com os servidores SMTP do Postini, que fazem filtragem de saída também.
Gravyface
Postini ... hein, por que não usar o Gmail? ;-P
poige
@poige: executar um servidor de email com um serviço de gateway não é o mesmo que hospedar seu email no Google Apps (gmail).
Gravyface
12

Eu tentei isso e recomendo fortemente que você NÃO O FAÇA ! Parecia uma boa ideia na época, mas depois que as mensagens de vários remetentes começaram a desaparecer, percebi que era um erro. O que eu não percebi foi que existem muitos servidores SMTP terrivelmente escritos por aí, que não seguem as especificações e são bastante ruins no tratamento de erros, e as pessoas não sabem ou se importam porque "esse outro cara recebeu meu email , então deve ser você ".

Segundo algumas das outras sugestões para lidar com SPAM. O Postini é um ótimo serviço, e até o material anti-spam embutido nos aplicativos gratuitos do Google não é tão ruim assim. Se você deseja ter mais controle, pode comprar um IronPort ou outro dispositivo ou usar o seu.

Jed Daniels
fonte
1
Obrigado Jed, exatamente o que eu queria .. uma experiência em primeira mão. Eu nunca pensei sobre problemas de SMTP, muito focado no +1 recebido
Mikey1980
1
Eu trabalho para uma empresa anti-spam (Red Condor) e temos os registros de maior prioridade para a maioria dos nossos clientes configurados para um endereço de buraco negro. No entanto, alguns clientes removem isso, porque pessoas tolas escrevem servidores de correio legítimos que apenas bombardeiam esse endereço. No entanto, optar por um provedor hospedado em SaaS permitirá descarregar a carga da largura de banda de forma barata.
Ryan Gooler
@ Ryan - obrigado! Você tem o seu "blackhole" relatórios server-busyou está completamente morto?
Mikey1980
6

Eu nunca ouvi falar desse método antes e posso imaginar que atrasaria o email legítimo potencialmente por várias horas. No final do dia, os protocolos smtp precisam entregar seu email legítimo. Os servidores válidos atingem o registro falso e tentam entregar para esse servidor ... Eu não sei o que você pode estar executando lá (se houver), mas eles continuarão tentando até que seja aceito.

Servidores adequados continuarão tentando os registros MX até que o correio seja entregue. Os spammers tendem a ficar mais inteligentes e, se isso funcionar com algum software de spam agora, duvido que funcione por muito tempo. Eu não posso recomendar.

Minha sugestão é usar um tarpit smtp, além do filtro de spam existente. Existem vários disponíveis agora. Eu acho que você achará muito mais eficaz que o método de registro mx falso.

Esses tarpits vêm com smtpd no BSD. Existem também alguns recursos de tarpitting no sendmail 8.13.

Basicamente, um tarpit funciona amarrando recursos do servidor de spam. Eles fazem isso atrasando as respostas que recebem. por exemplo, o servidor de spam se conecta e recebe cerca de 1 byte por segundo.
Alguns servidores tarpit procuram padrões de spam e podem reconhecer um servidor de spam. Servidores legítimos estarão preparados para aguardar uma resposta lenta. Em alguns servidores tarpits, eles movem o servidor legitimamente reconhecido para uma lista de permissões automaticamente, para que não haja atrasos no futuro.

Google SMTP Tarpit e dê uma olhada.

Matt
fonte
Obrigado pela sugestão, mas meu cliente é uma empresa de Web Design (o cliente é o único com o problema) executando centenas de sites de baixo tráfego em host compartilhado e o WHM não tem acesso root ou SSH. Preso ao SpamAssassin .. btw Exim é a troca. Perdoe-me se isso não estiver claro .. minha semana está programando .. provavelmente faria um administrador de sistema horrível!
precisa saber é o seguinte
Também sou programador, mas passei várias horas executando os servidores freebsd da minha antiga empresa fazendo todo tipo de coisa.
Matt
5

Você não mencionou, existe algum motivo para você não estar usando um DNSBL ?

Editar: o SpamAssassin inclui suporte para alguns deles - sem eles, você estará perdendo muitos ciclos de CPU analisando spam.

danlefree
fonte
Outra ótima sugestão, no entanto estou muito limitada uma vez que meus clientes WHM não é raiz .. de acordo com webalizer, permitindo SpamAssassin fez quase nenhum impacto na largura de banda nas últimas 12 horas
Mikey1980
1
... sua melhor aposta seria enviar todos os serviços de e-mail pelo Google Apps ou usar outro serviço de terceiros para reduzir o spam se o provedor de hospedagem do seu cliente não estiver disposto a mexer na configuração do SpamAssassin.
Danlefree
Alguma idéia se DNSBL ou RBL são ativados por surdos? Você pensaria que eles seriam. Concordo, estou começando a pensar que uma filtragem MX front-end será a única solução.
Mikey1980
@ Mikey1980 - "Alguma idéia se DNSBL ou RBL são ativados por surdos?" Desculpe, não posso dizer - é melhor consultar diretamente com o provedor em qualquer caso, porque existe a possibilidade de eles aplicarem sua própria configuração.
Danlefree 16/09/10
Você pode verificar se o servidor de email filtra o spam com base no DNSBL: spamhaus.org/faq/answers.lasso?section=DNSBL%20Usage#205
ZippyV
4

Eu uso este MX falso (uma variante do nolisting ) e funciona muito bem.

Eu usei um postfix MX com todos os filtros usuais e depois de algum spambot conseguir sobrecarregar o servidor por 2 ou 3 vezes, decidi experimentá-lo ... aqui está o resultado: fake-mx, antes e depois

tente adivinhar quando eu implementei o fake-mx! 8)

O resultado é o mesmo que o postgrey, mas diferente do postgrey, você não precisa alterar o servidor de email

Os spambots agora tentam o MX alto ou o baixo MX, liberando o MX real da carga de tentar filtrar então (mesmo com DNSBL, a carga era alta) e o email real chega com um atraso mínimo.

Mas esteja avisado, há riscos:

  • Alguns servidores podem ter tempos de repetição altos. A maioria dos servidores tentará novamente o próximo MX após o primeiro tempo limite, outros tentarão nos próximos minutos, mas eu já vi servidores que só tentam novamente após uma hora ou um dia. Eles são muito raros e para os que eu pude pegar, foi uma configuração ruim. conversar com o outro postmaster resolve o problema

  • Todos os e-mails terão um atraso. Na verdade, não vejo nenhum atraso, quase todos os servidores de correio reais tentarão novamente para o próximo MX após o primeiro tempo limite, por isso estamos falando de um atraso de 30s. Eles geralmente tentam pelo menos 3 MX antes de enfileirar a mensagem por um atraso maior. mas você pode ter contato com um servidor de e-mail quebrado que pode não fazer isso e atrasar todas as mensagens por minutos. Portanto, isso é algo a ser monitorado ao implantar esta solução.

  • Sites quebrados. Alguns servidores da Web enviam email para obter senhas, notificações, etc. Em vez de entregarem para um servidor de email real interno, eles tentam ser um servidor de email "falso" e entregam diretamente. Por ser um servidor da web, eles nunca tentarão novamente e o e-mail será perdido. Novamente, é uma configuração ruim para os webmasters / desenvolvedores da web, pois apenas servidores de email reais devem enviar email. toda vez que encontro esses problemas, converso com o webmaster sobre o problema e, geralmente, o problema é corrigido.

  • Sem registros. Como o falso MX direcionando para IPs desconectados, você não possui registros do que tentou ser entregue. você só sabe que algo deu errado quando alguém reclama. mas isso também é bom. Você sempre pode alegar que não tem nenhuma tentativa de enviar nenhum email, por isso é um problema remoto. O outro lado deve verificar seus logs e resolver o problema. Posso provar que não há conexão alguma com o meu servidor real, movendo a pressão para resolver o problema para o outro lado. Se o outro lado não conseguir resolver o problema, ele parecerá não confiável, não confiável.

  • Nenhuma lista de permissões. isso se aplica a todos os servidores via DNS, portanto você não pode colocar na lista de permissões um servidor ... na verdade, é apenas meia verdade, mas é mais difícil. a solução da lista de permissões é que o MX mais baixo aponta para um IP em que um smtp está sendo executado, mas filtrado por firewall para todos. Os servidores que você deseja colocar na lista de permissões precisam ser permitidos no firewall. Dessa forma, todos os servidores serão rejeitados pelo firewall e a lista de permissões poderá entregar ao servidor de email. Funciona, mas apenas para a lista de permissões de IPs, não para a lista de permissões de email.

Diferente do postgrey, onde o remetente remoto tem um registro de uma entrega "rejeitada" (e pode apontar para nós como o problema), o fake-MX mostrará que o servidor da web não conseguiu nem se conectar e não tentou novamente, não dando desculpas para o lado remoto sobre o problema. Um MX com falha é melhor aceito pelo postgrey, pois sempre podemos reivindicar alguns "problemas de roteamento, mas o MX de backup está funcionando bem, recebemos todos os outros emails"

Com isso dito, recebo muito poucas reclamações (cerca de 1 a cada 3 meses), por isso considero seguro o suficiente (todos os filtros de spam têm riscos).

Observe que eu uso um endereço ipv4 válido para todo o MX, mas para os falsos eu uso um IP que eu controle que não está em uso (e, portanto, fornece tempo limite / host inacessível em qualquer conexão). essas regras se aplicam mesmo se você não usar isso. Existem servidores DNS e SMTP que requerem uma configuração DNS perfeitamente válida para que o email funcione. o MX falso também deve ser válido, eles não devem ser alcançáveis.

Não use IPs privados ou IPs que você não controla para o MX falso (se você adicionar um endereço IPv6, adicione também um IPv4). Isso evita problemas com DNS e servidores de correio quebrados e surpresas de outros receberem seu email (instalando um servidor smtp no IP que você não controla). Além disso, CNAME é proibido para MX, portanto, não use-o também, apenas um registro A simples

Finalmente, um tcp-reset deve ser enviado para o MX falso, para melhorar o desempenho (host ou porta inacessível) em vez de um tempo limite simples (eliminando o pacote), por isso é recomendável adicioná-lo ao firewall.

de qualquer forma, não apenas eu ainda o uso, como recomendo a todos que o usem

higuita
fonte
Isso é nolisting , não apenas uma variante. Realmente funciona, mas é difícil de medir, pois você está furando os dados dos servidores falsos (o gráfico acima é meramente anedótico!). Eu recomendo um servidor de alta prioridade que seja um servidor real (que você controla!) Com a porta 25 fechada - mas NÃO descartada, você deseja uma falha muito rápida - e um servidor de baixa prioridade (no espaço IP que você controla!) que não está ativo ou elimina de forma transparente as conexões dessa porta.
Adam Katz
1
O @AdamKatz Nolisting é apenas para o MX de prioridade mais alta, essa variante também tem um servidor falso na prioridade mais baixa ... essa é a diferença! Além disso, se você ler meus últimos parágrafos, verá que eu digo exatamente o que você escreveu! :)
higuita
2

No que diz respeito à filtragem de e-mail, fiquei satisfeito com a combinação de Spamassasin e policyd-weight , que verifica o nome do host do remetente e as listas de bloqueio durante a conexão SMTP. Isso é ótimo por duas razões:

  1. você não precisa processar o email rejeitado com spamassasin, o que poupa os recursos do sistema (a análise bayesiana leva algum tempo) e a largura de banda
  2. hosts remetentes são rejeitados; portanto, no improvável evento de bloqueio de emails legítimos, o remetente recebe uma notificação de falha na entrega

Estou usando a instalação no Postfix, mas supostamente existe uma maneira de instalar policyd-weight com o Exim .

che
fonte
1

Eu não entendi completamente a ideia, honestamente.

Ok, estou dizendo que meu servidor de correio principal é falso. Entao Não existe ou o quê? (Vamos supor que, finalmente, corte parte de SPAMers de qualquer maneira.) Os "sobreviventes" usariam secundário - não há problema. Mas por que existe o terceiro servidor nessa configuração?

Como essa deveria ser a minha resposta, não a pergunta, eu concluiria: é doentio e uma pálida sombra da lista cinza. Se você quer ver um efeito real, tente usar o Greylisting, cara .

poige
fonte
Formulação extraordinária, mas você está certo. A lista cinza é a solução adequada (que não seja um sistema decente de filtragem anti-spam). Funcionará com a mesma eficácia que os registros MX falsos, sem todas as desvantagens.
John Gardeniers
1

Eu descarto a maior parte do meu spam atrasando as conexões com os hosts listados na lista zam do Spamhaus. Spambots não gostam de atraso. A detecção de falsificações óbvias de servidor no comando HELO também elimina muito spam. As condições que encontrei para indicar falsificações de servidor incluem.

  • Usando meu nome de host ou endereço IP.
  • Usando um nome de host não qualificado.
  • Usando um literal de domínio ([192.0.2.15]) em vez de um FQDN. (Sim, as RFCs exigem isso, mas atualmente não são usadas pelos servidores de correio da Internet.)
  • O SPF com falha para o nome HELO não Mail (eu bloqueio em falha, falha suave e neutro).

Se você valoriza emails automatizados ou de marketing, verifique o comando HELO que não funciona inclui. Minha experiência é que todos os outros emails passam nessas condições.

  • Usando um nome de domínio de segundo nível em vez de um FQDN para o host.
  • Exigindo o nome IP ou HELO para verificar o rDNS.
  • Exigindo um domínio de segundo nível válido para o FQDN. (local não é um domínio válido nem localdomain.)

A assinatura do caminho de retorno permite bloquear alguns spams. Embora eu esteja vendo muito menos saltos falsos recentemente.

Infelizmente, acho que uma alta porcentagem de emails legítimos automatizados ou de marketing forja seu caminho de retorno. Esses hosts geralmente também não têm um endereço postmaster válido. Acho que exigir um domínio válido no caminho de retorno é viável. Recebo muito mais respostas de falha de SPF em emails legítimos do que spam.

Recentemente, publiquei minhas experiências com o bloqueio de spam com o Exim

BillThor
fonte
0

Além dos e-mails perdidos de pessoas legítimas com gateways quebrados, já foi tentado há muito tempo (há 15 anos +/-) e os spammers se adaptaram a ele quase imediatamente na época. Suspeito que isso provará ser uma perda líquida para a confiabilidade do seu email, embora tenha pouco ou nenhum impacto sobre o spam. No entanto, se você tentar, envie-nos os resultados!

Brian Knoblauch
fonte
0

Infelizmente, existem algumas operadoras por aí que não enviarão e-mails se o primeiro registro MX não estiver acessível. Recentemente, escrevi minhas experiências com isso em uma entrada de blog para não repeti-la aqui. O resumo, porém, é que meu primeiro registro MX era na verdade um registro MX somente para IPv6, pois achei que os remetentes de spam ainda não usam o IPv6. Infelizmente, isso causou problemas e, no final, tive que adicionar um endereço IPv4 ao primeiro registro MX na minha zona.

Wes Hardaker
fonte