가짜 MX 레코드를 사용하여 스팸 방지


14

스팸이 많은 클라이언트가 있습니다. 월 15 일이며 POP3 대역폭은 거의 100GB입니다. 이 도메인에는 7 개의 전자 메일 계정 만 있습니다. SpamAssassin을 5로 설정하고 10-20 필터를 설정하면 대부분의 정크를 거부합니다. POP3 대역폭에는 큰 변화가 없습니다. 내가 틀렸다면, 서버가 여전히 스팸 점수를 결정하기 위해 대역폭을 사용하여 메시지를 수신합니다.

기본적으로 작동하는 서버의 MX 레코드가 중간에있는 가짜 서버를 최저 및 최고 MX 레코드로 설정했습니다.

예를 들면 다음과 같습니다.

fake.example.com    1
realmx.example.com  2
fake2.example.com   3

이론 상으로는 대부분의 스팸이 Windows 기반 좀비에서 생성되므로 스팸을 필터링하지 않는 백업 서버이기 때문에 스팸에 대한 가장 높은 MX 레코드를 쿼리하는 사람이 상당히 많습니다. 가장 낮은 가짜 MX 레코드는 나머지 스패머를위한 것입니다. 일반적으로 스패머는 실패 후에 다시 시도하지 않습니다.

누구든지 이것을 시도 했습니까? 도움이 되나요? 메일 배달이 지연되거나 문제가됩니까? 다른 사람이 더 나은 솔루션을 가지고 있습니까?

답변:


15

자신에게 유리한 입장을 취하고 Postini와 같은 게이트웨이 스팸 방지 서비스로 설정하십시오. 한 달에 우편함 당 몇 달러를 지불해야 할 이유가 없으며 스팸의 99 %를 제거 할뿐만 아니라 스풀 서비스 (예약 된 또는 예약되지 않은 다운 타임에 적합)에 액세스 할 수 있습니다. 다른 사람이 네트워크의 경계에 도달하기 전에 모든 스팸을 수신하고 처리 할 수있게함으로써 대역폭 절약에 대해 언급하십시오.

Postini 직원이 아니라 수십 명의 고객을 보유한 행복한 사용자 일뿐입니다.


제안 주셔서 감사합니다, 그것은 계획 B입니다 (계획 C는 전자 메일 주소의 이름을
바꿉니다 ..lol

고객이 Google Postini와 함께 갔지만 SPAM은 통제 할 수 없었으며 루트 액세스 권한이없는 유일한 옵션으로 보였습니다.
Mikey1980

당신은 그것을 사랑합니다. 진지하게 : 서버에서 작업 할 때 스풀링을 켤 수 있다는 것이 좋습니다. 또한 업스트림 스마트 호스트로 사용하고 그에 따라 방화벽을 잠그므로 메일 서버를 포함하여 내 네트워크에서 어떤 상자가 소유 되든 상관없이 Postini의 SMTP 서버와 만 통신 할 수 있습니다. 게다가.
gravyface

Postini ... 응, 그럼 왜 Gmail을 사용하지 않습니까? ;-P
poige

@poige : 게이트웨이 서비스로 메일 서버를 실행하는 것은 Google Apps (gmail)로 메일을 호스팅하는 것과 다릅니다.
gravyface

12

나는 이것을 시도했고, 당신이 그것을하지 말 것을 강력히 추천 할 수 있습니다 ! 당시에는 좋은 생각 같았지만 다양한 발신자가 보낸 메일이 사라지기 시작한 후에는 실수라는 것을 깨달았습니다. 내가 모르는 것은 거기에 끔찍하게 작성된 SMTP 서버가 많으며 사양을 따르지 않고 오류 처리가 상당히 나쁘다는 것입니다. 사람들은 "이 다른 사람이 내 이메일을 받았기 때문에 알거나 신경 쓰지 않습니다. "그래야합니다."

SPAM 처리를위한 다른 제안 중 두 번째입니다. Postini는 훌륭한 서비스이며 무료 Google 앱의 내장 스팸 방지 기능도 나쁘지 않습니다. 더 많은 제어 기능을 원하면 IronPort 또는 기타 장치를 구입하거나 직접 롤백 할 수 있습니다.


1
감사합니다. 제드, 정확히 내가 원했던 것. 직접 체험. 나도 들어오는 일에 초점을 맞추고, SMTP 문제에 대해 생각하지 않았다
Mikey1980

1
Anti-Spam 회사 (Red Condor)에서 근무하며 대부분의 고객에게 블랙홀 주소로 설정된 우선 순위가 가장 높습니다. 그러나 어리석은 사람들은 해당 주소 만 폭격하는 합법적 인 메일 서버를 작성하기 때문에 일부 고객은이를 제거해야합니다. 그러나 SaaS 호스팅 제공 업체를 사용하면 대역폭로드를 저렴하게 오프로드 할 수 있습니다.
Ryan Gooler

@ Ryan-- 감사합니다! "블랙홀"보고가 server-busy있거나 완전히 죽었습니까?
Mikey1980

6

이 방법에 대해 들어 본 적이 없으며 합법적 인 이메일이 몇 시간 지연 될 수 있습니다. 하루가 끝나면 smtp 프로토콜이 합법적 인 이메일을 전달해야합니다. 유효한 서버는 가짜 mx 레코드에 도달하여 해당 서버로 전달하려고 시도합니다. 실행중인 서버가 무엇인지 모르겠지만 수락 될 때까지 계속 시도합니다.

적절한 서버는 메일이 배달 될 때까지 MX 레코드를 계속 시도합니다. 스패머는 더 똑똑해지는 경향이 있으며 이것이 현재 일부 스팸 소프트웨어에서 작동한다면 오랫동안 작동하지 않을 것입니다. 나는 그것을 추천 할 수 없다.

대신 기존 스팸 필터 외에 smtp tarpit을 사용하는 것이 좋습니다. 현재 여러 가지가 있습니다. 가짜 mx 레코드 방법보다 훨씬 효과적이라고 생각합니다.

이러한 타르 핏은 BSD에서 smtpd와 함께 제공됩니다. sendmail 8.13에는 일부 타 피팅 기능도 있습니다.

기본적으로 타르 핏은 스팸 서버 리소스를 연결하여 작동합니다. 그들은 그들이받는 응답을 늦춤으로써 그렇게합니다. 예를 들어 스팸 서버는 초당 약 1 바이트를 연결하고 수신합니다.
일부 타르 핏 서버는 스팸 패턴을 찾아 스팸 서버를 인식 할 수 있습니다. 합법적 인 서버는 느린 응답을 기다릴 준비가됩니다. 일부 tarpits 서버에서는 합법적으로 인식 된 서버를 화이트리스트로 자동 이동하므로 향후 지연이 없습니다.

Google SMTP Tarpit을 살펴보십시오.


제안 해 주셔서 감사하지만 내 클라이언트는 공유 호스트에서 트래픽이 적은 100 개의 사이트를 실행하는 웹 디자인 회사 (그들의 클라이언트는 문제가있는 회사)이며 WHM에는 루트 액세스 또는 SSH가 없습니다 .. SpamAssassin .. btw Exim 교환입니다. 이것이 명확하지 않다면 용서하십시오. 내 계획은 프로그래밍입니다. 아마 끔찍한 sysadmin을 만들 것입니다!
Mikey1980

나는 프로그래머이기도하지만 오래된 회사의 freebsd 서버를 실행하는 데 많은 시간을 보냈다.
Matt

5

언급하지 않았으므로 DNSBL을 사용하지 않는 이유가 있습니까?

편집 : SpamAssassin 에는 몇 가지 지원포함되어 있습니다 . 스팸이 없으면 스팸을 분석하는 데 많은 CPU주기가 낭비됩니다.


또 다른 좋은 제안이지만, 고객 WHM이 근본이 아니기 때문에 정말 제한적입니다 .. webalizer에 따르면 SpamAssassin이 지난 12 시간 동안 대역폭에 아무런 영향을 미치지 않았습니다.
Mikey1980

1
고객의 호스팅 제공 업체가 SpamAssassin의 구성에 신경 쓰지 않으려는 경우 Google Apps를 통해 모든 메일 서비스를 푸시하거나 다른 타사 서비스를 사용하여 스팸을 완화 하는 것이 가장 좋습니다.
danlefree

귀머거리에 의해 DNSBL 또는 RBL이 활성화되어 있는지 아십니까? 당신은 그들이 될 것이라고 생각할 것입니다. 저는 프론트 엔드 MX 필터링이 유일한 솔루션이라고 생각하기 시작했습니다.
Mikey1980

@ Mikey1980- "청취자에 의해 DNSBL 또는 RBL이 활성화되어 있는지 아십니까?" 말할 수 없습니다-어떤 경우에도 공급자에게 직접 문의하는 것이 가장 좋습니다. 자체 구성을 적용 할 가능성이 있기 때문입니다.
danlefree

이메일 서버가 DNSBL을 기반으로 스팸을 필터링하는지 확인할 수 있습니다. spamhaus.org/faq/answers.lasso?section=DNSBL%20Usage#205
ZippyV

4

나는이 가짜 MX ( nolisting 의 변형 )를 사용하고 매우 잘 작동합니다.

나는 모든 일반적인 필터와 함께 postfix MX를 사용했으며 일부 spambot이 서버에 2 ~ 3 번 과부하를 가한 후에 시도해보기로 결정했습니다 ... 결과는 다음과 같습니다. 가짜 MX, 전후

내가 가짜 MX를 구현했을 때 추측하십시오! 8)

결과는 postgrey와 동일하지만 postgrey와 달리 메일 서버를 변경할 필요가 없습니다.

스팸봇은 이제 높은 MX 또는 낮은 MX를 시도하여 실제 MX를 필터링하려고 시도하지 않아도되며 (DNSBL을 사용하더라도로드는 높음) 실제 이메일은 최소한의 지연으로 도착합니다.

그러나 위험이 있습니다.

  • 일부 서버는 재시도 시간이 길 수 있습니다. 대부분의 서버는 첫 번째 시간 초과 후 다음 MX를 다시 시도하고 다른 서버는 다음 몇 분 후에 시도하지만 이미 한 시간 또는 하루 후에 다시 시도하는 서버를 보았습니다. 그들은 매우 드물고 내가 잡을 수있는 사람들에게는 나쁜 구성이었습니다. 다른 포스트 마스터와 대화하면 문제가 해결됩니다.

  • 모든 이메일은 지연됩니다. 실제로 지연이 전혀 보이지 않습니다. 거의 모든 실제 메일 서버는 첫 번째 시간 초과 후 다음 MX로 다시 시도하므로 약 30 초 지연되고 있습니다. 그들은 보통 더 긴 지연을 위해 메시지를 큐잉하기 전에 3 MX 이상을 시도합니다. 그러나 하나의 손상된 메일 서버와 접촉하여이를 수행하지 않을 수 있으며 모든 메시지를 몇 분 동안 지연시킬 수 있습니다. 따라서이 솔루션을 배포 할 때 모니터링해야합니다.

  • 깨진 사이트. 일부 웹 서버는 암호, 알림 등을 위해 전자 메일을 보내며 내부 실제 메일 서버로 배달하는 대신 "가짜"메일 서버가되고 직접 배달하려고합니다. 웹 서버이므로 다시 시도하지 않으며 전자 메일이 손실됩니다. 실제 전자 메일 서버 만 전자 메일을 보내야하므로 웹 마스터 / 웹 개발자의 잘못된 구성입니다. 이 문제를 찾을 때마다 웹 마스터와 문제에 대해 이야기하며 일반적으로 문제가 해결됩니다.

  • 로그가 없습니다. 연결되지 않은 IP에 대한 가짜 MX 포징으로 전달하려는 항목에 대한 로그가 없습니다. 당신은 누군가 불평 할 때 무언가 잘못되었다는 것을 알고 있습니다. 그러나 이것도 좋습니다. 이메일 전송 시도가 없다고 주장 할 수 있으므로 원격 문제가 발생합니다. 다른 쪽은 로그를 확인하고 문제를 해결해야합니다. 실제 서버에 연결되어 있지 않다는 것을 증명할 수 있으며 문제를 다른쪽으로 해결하라는 압력을가합니다. 상대방이 문제를 해결할 수 없으면 신뢰할 수없고 신뢰할 수없는 것으로 보입니다.

  • 화이트리스트가 없습니다. 이것은 dns를 통해 모든 서버에 적용되므로 한 서버를 허용 목록에 올릴 수는 없습니다. 실제로 절반 만 사실이지만 더 어렵습니다. 화이트리스트 솔루션은 가장 낮은 MX가 smtp가 실행되는 IP를 가리 키지 만 모든 사람을 위해 방화벽으로 필터링하는 것입니다. 목록에있는 서버는 방화벽에서 허용되어야했습니다. 이렇게하면 모든 서버가 방화벽에 의해 거부되고 화이트리스트에있는 메일 서버로 배달 될 수 있습니다. 이메일 허용 목록이 아닌 IP 허용 목록에만 작동합니다.

원격 발신자가 "거부 된"배달에 대한 로그를 가지고있는 (포스트 문제를 지적 할 수있는) postgrey와는 달리, 가짜 MX는 웹 서버가 연결할 수없고 재 시도 할 수 없다는 것을 보여줄 것입니다. 문제에 대한 원격 측면. 실패한 MX는 postgrey보다 더 잘 받아들입니다. 항상 "라우팅 문제"라고 주장 할 수 있지만 백업 MX는 정상적으로 작동합니다. 다른 모든 이메일을받습니다 "

그것으로, 나는 거의 불만을 얻지 못하고 (약 3 개월마다 약 1), 나는 그것을 충분히 안전하다고 생각합니다 (모든 스팸 필터에는 위험이 있습니다).

모든 MX에 유효한 ipv4 주소를 사용하지만 가짜 주소에는 사용하지 않는 IP를 사용합니다 (따라서 모든 연결에서 시간 초과 / 호스트에 도달 할 수 없음). 이 규칙은 사용하지 않아도 적용됩니다. 전자 메일이 작동하려면 완벽하게 유효한 DNS 구성이 필요한 DNS 서버와 SMTP 서버가 있습니다. fake-MX도 유효해야하며 접근 할 수 없어야합니다.

가짜 MX에 대해 제어하지 않는 개인 IP 또는 IP를 사용하지 마십시오 (ipv6 주소를 추가하는 경우 ipv4 주소도 추가). 이렇게하면 DNS 및 메일 서버가 고장 나거나 다른 전자 메일을받는 것에 대한 놀라움을 피할 수 있습니다 (제어하지 않는 IP에 smtp 서버를 설치하여). 또한 CNAME은 MX에 대해 금지되어 있으므로 일반 A 레코드 만 사용하지 마십시오.

마지막으로 패킷을 삭제하여 일반 시간 초과 대신 성능 (호스트 또는 포트에 도달 할 수 없음)을 향상시키기 위해 가짜 MX에 대해 tcp-reset을 보내야하므로 방화벽에 추가하는 것이 좋습니다.

어쨌든, 나는 그것을 사용하는 것이 좋습니다.


됩니다 nolisting 아니라 변형,. 실제로 작동하지만 가짜 서버 데이터를 블랙홀 링하기 때문에 측정하기가 어렵습니다 (위의 그래프는 일화 적입니다). 포트 25가 닫힌 실제 서버 (제어하는!) 인 우선 순위가 높은 서버를 권장합니다. 그러나 떨어 뜨리지 않고 실제로 빠른 실패를 원합니다. 우선 순위가 낮은 서버 (제어하는 IP 공간)! 작동하지 않거나 포트의 연결을 투명하게 삭제합니다.
Adam Katz

1
@AdamKatz Nolisting은 우선 순위가 가장 높은 MX만을위한 것이며,이 변종은 우선 순위가 가장 낮은 가짜 서버를 가지고 있습니다. 또한, 마지막 몇 단락을 읽으면 내가 쓴 것을 정확하게 말한 것을 알 수 있습니다! :)
higuita

2

메일 필터링에 관해서 는 SMTP 연결 중에 발신자 호스트 이름과 차단 목록을 확인하는 Spamassasin과 policy-weight의 조합에 대해 매우 기뻤습니다 . 그것은 두 가지 이유로 큰 일입니다.

  1. 시스템 리소스 (베이지 분석에 시간이 다소 소요됨)와 대역폭을 절약하는 스파 마 사신으로 거부 된 전자 메일을 처리 할 필요가 없습니다.
  2. 발신자 호스트가 거부되므로 합법적 인 전자 메일을 차단할 가능성이없는 경우 발신자가 배달 실패 알림을받습니다.

Postfix에서 설정을 사용하고 있지만 Exim과 함께 policy-weight설치 하는 방법이있을 것입니다 .


1

솔직히 아이디어를 완전히 얻지 못했습니다.

좋아, 내 주 메일 서버가 가짜라고 말하고 있습니다. 그럼? 전혀 존재하지 않습니까? (SPAMers의 마지막 부분을 어느 쪽이든 잘랐다 고 가정 해 봅시다.) "생존자"는 2 차를 사용합니다. 문제 없습니다. 그러나이 설정에 3 번째 서버가있는 이유는 무엇입니까?


이것은 의심의 여지가 아니라 내 대답이어야한다고 결론을 내 렸습니다 . 실제 효과를보고 싶다면 Greylisting, man을 사용해보십시오 .


특별한 표현이지만 당신은 꽤 정확합니다. 그레이 리스팅은 적절한 솔루션입니다 (적절한 본격적인 안티 스팸 필터링 시스템 제외). 모든 단점없이 가짜 MX 레코드처럼 효과적으로 작동합니다.
John Gardeniers 2012

1

Spamhaus zen 목록에 호스트 연결이 지연되어 대부분의 스팸이 제거됩니다. Spambots는 지연을 좋아하지 않습니다. HELO 명령에서 명백한 서버 위조를 탐지하면 많은 스팸이 제거됩니다. 서버 위조를 나타내는 것으로 밝혀진 조건은 다음과 같습니다.

  • 내 호스트 이름 또는 IP 주소를 사용합니다.
  • 규정되지 않은 호스트 이름 사용
  • FQDN 대신 도메인 리터럴 ([192.0.2.15]) 사용 (예, RFC에 필요하지만 요즘에는 인터넷 메일 서버에서 사용되지 않습니다.)
  • HELO 이름에 대한 SPF 실패는 메일이 아닙니다 (실패, 소프트 실패 및 중립으로 차단합니다).

자동화 된 메일 또는 마케팅 메일을 소중하게 생각하면 작동하지 않는 HELO 명령을 확인하십시오. 내 경험에 따르면 다른 모든 메일은 이러한 조건을 통과합니다.

  • 호스트에 FQDN 대신 두 번째 수준의 도메인 이름을 사용합니다.
  • rDNS를 확인하려면 IP 또는 HELO 이름이 필요합니다.
  • FQDN에 유효한 두 번째 수준 도메인이 필요합니다. (local은 유효한 도메인이 아니며 localdomain도 아닙니다.)

반송 경로에 서명하면 일부 스팸을 차단할 수 있습니다. 최근에는 가짜 바운스가 훨씬 적습니다.

안타깝게도 합법적 인 자동 또는 마케팅 메일의 비율이 높은 것으로 나타났습니다. 이러한 호스트에는 종종 유효한 포스트 마스터 주소가 없습니다. 반환 경로에 유효한 도메인을 요구하는 것이 가능하다는 것을 알았습니다. 스팸보다 합법적 인 전자 메일에서 훨씬 더 많은 SPF 실패 응답을 얻습니다.

최근에 Exim으로 스팸을 차단 한 경험을 게시했습니다.


0

게이트웨이가 망가진 합법적 인 사람들이 잃어버린 전자 메일 외에도 오래 전에 (15 년 전 +/-) 시도되었으며 스패머는 거의 즉시 그에 적응했습니다. 스팸에 거의 영향을 미치지 않으면서도 전자 메일 안정성에 순 손실이있을 것으로 생각됩니다. 그러나 시도해 보시면 결과를 보내 주시기 바랍니다!


0

불행히도, 첫 번째 MX 레코드에 도달 할 수없는 경우 특정 운송 업체가 메일을 보내지 않습니다. 나는 최근 에 블로그 항목에서 이것 에 대한 내 경험을 썼 으므로 여기서는 반복하지 않을 것입니다. 스패머가 아직 IPv6을 사용하지 않는다고 생각했기 때문에 첫 번째 MX 레코드는 실제로 IPv6 전용 MX 레코드였습니다. 불행히도 이로 인해 문제가 발생하여 결국 내 영역의 첫 번째 MX 레코드에 IPv4 주소를 추가해야했습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.