가짜 MX 레코드를 사용하여 스팸 방지

스팸이 많은 클라이언트가 있습니다. 월 15 일이며 POP3 대역폭은 거의 100GB입니다. 이 도메인에는 7 개의 전자 메일 계정 만 있습니다. SpamAssassin을 5로 설정하고 10-20 필터를 설정하면 대부분의 정크를 거부합니다. POP3 대역폭에는 큰 변화가 없습니다. 내가 틀렸다면, 서버가 여전히 스팸 점수를 결정하기 위해 대역폭을 사용하여 메시지를 수신합니다.

기본적으로 작동하는 서버의 MX 레코드가 중간에있는 가짜 서버를 최저 및 최고 MX 레코드로 설정했습니다.

예를 들면 다음과 같습니다.

fake.example.com    1
realmx.example.com  2
fake2.example.com   3

이론 상으로는 대부분의 스팸이 Windows 기반 좀비에서 생성되므로 스팸을 필터링하지 않는 백업 서버이기 때문에 스팸에 대한 가장 높은 MX 레코드를 쿼리하는 사람이 상당히 많습니다. 가장 낮은 가짜 MX 레코드는 나머지 스패머를위한 것입니다. 일반적으로 스패머는 실패 후에 다시 시도하지 않습니다.

누구든지 이것을 시도 했습니까? 도움이 되나요? 메일 배달이 지연되거나 문제가됩니까? 다른 사람이 더 나은 솔루션을 가지고 있습니까?

자신에게 유리한 입장을 취하고 Postini와 같은 게이트웨이 스팸 방지 서비스로 설정하십시오. 한 달에 우편함 당 몇 달러를 지불해야 할 이유가 없으며 스팸의 99 %를 제거 할뿐만 아니라 스풀 서비스 (예약 된 또는 예약되지 않은 다운 타임에 적합)에 액세스 할 수 있습니다. 다른 사람이 네트워크의 경계에 도달하기 전에 모든 스팸을 수신하고 처리 할 수있게함으로써 대역폭 절약에 대해 언급하십시오.

Postini 직원이 아니라 수십 명의 고객을 보유한 행복한 사용자 일뿐입니다.

나는 이것을 시도했고, 당신이 그것을하지 말 것을 강력히 추천 할 수 있습니다 ! 당시에는 좋은 생각 같았지만 다양한 발신자가 보낸 메일이 사라지기 시작한 후에는 실수라는 것을 깨달았습니다. 내가 모르는 것은 거기에 끔찍하게 작성된 SMTP 서버가 많으며 사양을 따르지 않고 오류 처리가 상당히 나쁘다는 것입니다. 사람들은 "이 다른 사람이 내 이메일을 받았기 때문에 알거나 신경 쓰지 않습니다. "그래야합니다."

SPAM 처리를위한 다른 제안 중 두 번째입니다. Postini는 훌륭한 서비스이며 무료 Google 앱의 내장 스팸 방지 기능도 나쁘지 않습니다. 더 많은 제어 기능을 원하면 IronPort 또는 기타 장치를 구입하거나 직접 롤백 할 수 있습니다.

이 방법에 대해 들어 본 적이 없으며 합법적 인 이메일이 몇 시간 지연 될 수 있습니다. 하루가 끝나면 smtp 프로토콜이 합법적 인 이메일을 전달해야합니다. 유효한 서버는 가짜 mx 레코드에 도달하여 해당 서버로 전달하려고 시도합니다. 실행중인 서버가 무엇인지 모르겠지만 수락 될 때까지 계속 시도합니다.

적절한 서버는 메일이 배달 될 때까지 MX 레코드를 계속 시도합니다. 스패머는 더 똑똑해지는 경향이 있으며 이것이 현재 일부 스팸 소프트웨어에서 작동한다면 오랫동안 작동하지 않을 것입니다. 나는 그것을 추천 할 수 없다.

대신 기존 스팸 필터 외에 smtp tarpit을 사용하는 것이 좋습니다. 현재 여러 가지가 있습니다. 가짜 mx 레코드 방법보다 훨씬 효과적이라고 생각합니다.

이러한 타르 핏은 BSD에서 smtpd와 함께 제공됩니다. sendmail 8.13에는 일부 타 피팅 기능도 있습니다.

기본적으로 타르 핏은 스팸 서버 리소스를 연결하여 작동합니다. 그들은 그들이받는 응답을 늦춤으로써 그렇게합니다. 예를 들어 스팸 서버는 초당 약 1 바이트를 연결하고 수신합니다.
일부 타르 핏 서버는 스팸 패턴을 찾아 스팸 서버를 인식 할 수 있습니다. 합법적 인 서버는 느린 응답을 기다릴 준비가됩니다. 일부 tarpits 서버에서는 합법적으로 인식 된 서버를 화이트리스트로 자동 이동하므로 향후 지연이 없습니다.

Google SMTP Tarpit을 살펴보십시오.

언급하지 않았으므로 DNSBL을 사용하지 않는 이유가 있습니까?

편집 : SpamAssassin 에는 몇 가지 지원 이 포함되어 있습니다 . 스팸이 없으면 스팸을 분석하는 데 많은 CPU주기가 낭비됩니다.

나는이 가짜 MX ( nolisting 의 변형 )를 사용하고 매우 잘 작동합니다.

나는 모든 일반적인 필터와 함께 postfix MX를 사용했으며 일부 spambot이 서버에 2 ~ 3 번 과부하를 가한 후에 시도해보기로 결정했습니다 ... 결과는 다음과 같습니다.

내가 가짜 MX를 구현했을 때 추측하십시오! 8)

결과는 postgrey와 동일하지만 postgrey와 달리 메일 서버를 변경할 필요가 없습니다.

스팸봇은 이제 높은 MX 또는 낮은 MX를 시도하여 실제 MX를 필터링하려고 시도하지 않아도되며 (DNSBL을 사용하더라도로드는 높음) 실제 이메일은 최소한의 지연으로 도착합니다.

그러나 위험이 있습니다.

• 일부 서버는 재시도 시간이 길 수 있습니다. 대부분의 서버는 첫 번째 시간 초과 후 다음 MX를 다시 시도하고 다른 서버는 다음 몇 분 후에 시도하지만 이미 한 시간 또는 하루 후에 다시 시도하는 서버를 보았습니다. 그들은 매우 드물고 내가 잡을 수있는 사람들에게는 나쁜 구성이었습니다. 다른 포스트 마스터와 대화하면 문제가 해결됩니다.

• 모든 이메일은 지연됩니다. 실제로 지연이 전혀 보이지 않습니다. 거의 모든 실제 메일 서버는 첫 번째 시간 초과 후 다음 MX로 다시 시도하므로 약 30 초 지연되고 있습니다. 그들은 보통 더 긴 지연을 위해 메시지를 큐잉하기 전에 3 MX 이상을 시도합니다. 그러나 하나의 손상된 메일 서버와 접촉하여이를 수행하지 않을 수 있으며 모든 메시지를 몇 분 동안 지연시킬 수 있습니다. 따라서이 솔루션을 배포 할 때 모니터링해야합니다.

• 깨진 사이트. 일부 웹 서버는 암호, 알림 등을 위해 전자 메일을 보내며 내부 실제 메일 서버로 배달하는 대신 "가짜"메일 서버가되고 직접 배달하려고합니다. 웹 서버이므로 다시 시도하지 않으며 전자 메일이 손실됩니다. 실제 전자 메일 서버 만 전자 메일을 보내야하므로 웹 마스터 / 웹 개발자의 잘못된 구성입니다. 이 문제를 찾을 때마다 웹 마스터와 문제에 대해 이야기하며 일반적으로 문제가 해결됩니다.

• 로그가 없습니다. 연결되지 않은 IP에 대한 가짜 MX 포징으로 전달하려는 항목에 대한 로그가 없습니다. 당신은 누군가 불평 할 때 무언가 잘못되었다는 것을 알고 있습니다. 그러나 이것도 좋습니다. 이메일 전송 시도가 없다고 주장 할 수 있으므로 원격 문제가 발생합니다. 다른 쪽은 로그를 확인하고 문제를 해결해야합니다. 실제 서버에 연결되어 있지 않다는 것을 증명할 수 있으며 문제를 다른쪽으로 해결하라는 압력을가합니다. 상대방이 문제를 해결할 수 없으면 신뢰할 수없고 신뢰할 수없는 것으로 보입니다.

• 화이트리스트가 없습니다. 이것은 dns를 통해 모든 서버에 적용되므로 한 서버를 허용 목록에 올릴 수는 없습니다. 실제로 절반 만 사실이지만 더 어렵습니다. 화이트리스트 솔루션은 가장 낮은 MX가 smtp가 실행되는 IP를 가리 키지 만 모든 사람을 위해 방화벽으로 필터링하는 것입니다. 목록에있는 서버는 방화벽에서 허용되어야했습니다. 이렇게하면 모든 서버가 방화벽에 의해 거부되고 화이트리스트에있는 메일 서버로 배달 될 수 있습니다. 이메일 허용 목록이 아닌 IP 허용 목록에만 작동합니다.

원격 발신자가 "거부 된"배달에 대한 로그를 가지고있는 (포스트 문제를 지적 할 수있는) postgrey와는 달리, 가짜 MX는 웹 서버가 연결할 수없고 재 시도 할 수 없다는 것을 보여줄 것입니다. 문제에 대한 원격 측면. 실패한 MX는 postgrey보다 더 잘 받아들입니다. 항상 "라우팅 문제"라고 주장 할 수 있지만 백업 MX는 정상적으로 작동합니다. 다른 모든 이메일을받습니다 "

그것으로, 나는 거의 불만을 얻지 못하고 (약 3 개월마다 약 1), 나는 그것을 충분히 안전하다고 생각합니다 (모든 스팸 필터에는 위험이 있습니다).

모든 MX에 유효한 ipv4 주소를 사용하지만 가짜 주소에는 사용하지 않는 IP를 사용합니다 (따라서 모든 연결에서 시간 초과 / 호스트에 도달 할 수 없음). 이 규칙은 사용하지 않아도 적용됩니다. 전자 메일이 작동하려면 완벽하게 유효한 DNS 구성이 필요한 DNS 서버와 SMTP 서버가 있습니다. fake-MX도 유효해야하며 접근 할 수 없어야합니다.

가짜 MX에 대해 제어하지 않는 개인 IP 또는 IP를 사용하지 마십시오 (ipv6 주소를 추가하는 경우 ipv4 주소도 추가). 이렇게하면 DNS 및 메일 서버가 고장 나거나 다른 전자 메일을받는 것에 대한 놀라움을 피할 수 있습니다 (제어하지 않는 IP에 smtp 서버를 설치하여). 또한 CNAME은 MX에 대해 금지되어 있으므로 일반 A 레코드 만 사용하지 마십시오.

마지막으로 패킷을 삭제하여 일반 시간 초과 대신 성능 (호스트 또는 포트에 도달 할 수 없음)을 향상시키기 위해 가짜 MX에 대해 tcp-reset을 보내야하므로 방화벽에 추가하는 것이 좋습니다.

어쨌든, 나는 그것을 사용하는 것이 좋습니다.

메일 필터링에 관해서 는 SMTP 연결 중에 발신자 호스트 이름과 차단 목록을 확인하는 Spamassasin과 policy-weight의 조합에 대해 매우 기뻤습니다 . 그것은 두 가지 이유로 큰 일입니다.

1. 시스템 리소스 (베이지 분석에 시간이 다소 소요됨)와 대역폭을 절약하는 스파 마 사신으로 거부 된 전자 메일을 처리 할 필요가 없습니다.
2. 발신자 호스트가 거부되므로 합법적 인 전자 메일을 차단할 가능성이없는 경우 발신자가 배달 실패 알림을받습니다.

Postfix에서 설정을 사용하고 있지만 Exim과 함께 policy-weight 를 설치 하는 방법이있을 것입니다 .

솔직히 아이디어를 완전히 얻지 못했습니다.

좋아, 내 주 메일 서버가 가짜라고 말하고 있습니다. 그럼? 전혀 존재하지 않습니까? (SPAMers의 마지막 부분을 어느 쪽이든 잘랐다 고 가정 해 봅시다.) "생존자"는 2 차를 사용합니다. 문제 없습니다. 그러나이 설정에 3 번째 서버가있는 이유는 무엇입니까?

이것은 의심의 여지가 아니라 내 대답이어야한다고 결론을 내 렸습니다 . 실제 효과를보고 싶다면 Greylisting, man을 사용해보십시오 .

Spamhaus zen 목록에 호스트 연결이 지연되어 대부분의 스팸이 제거됩니다. Spambots는 지연을 좋아하지 않습니다. HELO 명령에서 명백한 서버 위조를 탐지하면 많은 스팸이 제거됩니다. 서버 위조를 나타내는 것으로 밝혀진 조건은 다음과 같습니다.

• 내 호스트 이름 또는 IP 주소를 사용합니다.
• 규정되지 않은 호스트 이름 사용
• FQDN 대신 도메인 리터럴 ([192.0.2.15]) 사용 (예, RFC에 필요하지만 요즘에는 인터넷 메일 서버에서 사용되지 않습니다.)
• HELO 이름에 대한 SPF 실패는 메일이 아닙니다 (실패, 소프트 실패 및 중립으로 차단합니다).

자동화 된 메일 또는 마케팅 메일을 소중하게 생각하면 작동하지 않는 HELO 명령을 확인하십시오. 내 경험에 따르면 다른 모든 메일은 이러한 조건을 통과합니다.

• 호스트에 FQDN 대신 두 번째 수준의 도메인 이름을 사용합니다.
• rDNS를 확인하려면 IP 또는 HELO 이름이 필요합니다.
• FQDN에 유효한 두 번째 수준 도메인이 필요합니다. (local은 유효한 도메인이 아니며 localdomain도 아닙니다.)

반송 경로에 서명하면 일부 스팸을 차단할 수 있습니다. 최근에는 가짜 바운스가 훨씬 적습니다.

안타깝게도 합법적 인 자동 또는 마케팅 메일의 비율이 높은 것으로 나타났습니다. 이러한 호스트에는 종종 유효한 포스트 마스터 주소가 없습니다. 반환 경로에 유효한 도메인을 요구하는 것이 가능하다는 것을 알았습니다. 스팸보다 합법적 인 전자 메일에서 훨씬 더 많은 SPF 실패 응답을 얻습니다.

최근에 Exim으로 스팸을 차단 한 경험을 게시했습니다.

게이트웨이가 망가진 합법적 인 사람들이 잃어버린 전자 메일 외에도 오래 전에 (15 년 전 +/-) 시도되었으며 스패머는 거의 즉시 그에 적응했습니다. 스팸에 거의 영향을 미치지 않으면서도 전자 메일 안정성에 순 손실이있을 것으로 생각됩니다. 그러나 시도해 보시면 결과를 보내 주시기 바랍니다!

불행히도, 첫 번째 MX 레코드에 도달 할 수없는 경우 특정 운송 업체가 메일을 보내지 않습니다. 나는 최근 에 블로그 항목에서 이것 에 대한 내 경험을 썼 으므로 여기서는 반복하지 않을 것입니다. 스패머가 아직 IPv6을 사용하지 않는다고 생각했기 때문에 첫 번째 MX 레코드는 실제로 IPv6 전용 MX 레코드였습니다. 불행히도 이로 인해 문제가 발생하여 결국 내 영역의 첫 번째 MX 레코드에 IPv4 주소를 추가해야했습니다.