스노우 슈 스팸을 잡는 가장 좋은 방법은 무엇입니까?


21

작은 메일 서버에 Smartermail을 사용하고 있습니다. 최근 같은 패턴을 따르는 스노 슈 스팸 메일 을 받는 데 문제가 있습니다. 한 번에 3 개 또는 4 개의 배치로 제공됩니다. 본문은 연결된 도메인 이름과 거의 동일합니다. 소스 IP는 한동안 같은 / 24 블록에있는 경향이 있으며 다른 / 24로 전환됩니다. 도메인은 새로운 경향이 있습니다. 그들은 유효한 PTR 및 SPF 레코드를 가지고 있으며, 베이지안 필터를 속이기 위해 몸의 바닥에 임의의 횡설수설이 있습니다.

Barracuda, Spamhaus, SURBL 및 URIBL을 포함하여 수십 가지의 다른 RBL을 사용하고 있습니다. 그들은 대부분의 사람들을 잡는 것이 괜찮은 일이지만 IP와 도메인이 블랙리스트에 오르지 않았기 때문에 여전히 많은 어려움을 겪고 있습니다.

새로 만든 도메인을 차단하거나 snoeshow 스팸을 처리하는 RBL을 포함하여 내가 사용할 수있는 전략이 있습니까? 타사 필터링 서비스를 사용하지 않기를 바라고 있습니다.


2
Stack Exchange 사이트에서 쇼핑 관련 질문 이 주제가 아니기 때문에 제목을 수정하여 "어떤 제품을 사용해야합니까"방향으로 표시하지 않는 것이 좋습니다 . 스노우 슈 (Snowshoe) 공격 완화 ServerFault의 좋은 주제이며, 동료에게 설명을 부탁 할 것입니다.
Andrew B

Snoeshow 스팸 이 무엇인지 아는 데 도움이됩니다 .
ewwhite

1
대부분의 RBL은 모든 메일 관리자가 사용할 수있는 무료 서비스입니다. 쇼핑으로 간주됩니까?
pooter03

예, 자유 여부에 관계없이 답변은 특정 기간에만 유효합니다. 회사는 무료 서비스를 제공하는 회사를 포함하여 항상 비즈니스를 중단합니다.
Andrew B

1
나는 질문을 바꿨다. 이것이 더 적절한 지 알려주십시오.
pooter03

답변:


14

이것이 사용자에게 실제 문제가됩니까?

이 시점에서 완전한 메일 필터링 서비스를 권장합니다. 베이지안은 더 이상 그렇게 뜨겁지 않습니다. 평판, RBL, 헤더 / 의도 분석 및 기타 요소가 더 도움이 될 것 같습니다. 더 나은 보호 기능을 제공 하기 위해 여러 가지 접근 방식 과 집단 볼륨 을 결합하는 클라우드 필터링 서비스를 고려하십시오 ( 저는 고객을 위해 바라쿠다의 ESS 클라우드 솔루션을 사용합니다 ).

그리고 물론 : 스팸 방지 – 이메일 관리자, 도메인 소유자 또는 사용자로 무엇을 할 수 있습니까?

스노 슈 공격의 업틱으로 인해 부정적인 영향을받지 않았습니다. 이러한 공격으로 메일 볼륨이 매일 3 배씩 증가한 기간을 보았습니다. 그러나 나쁜 일이 없었습니다. 3 일 만에 바라쿠다는 볼륨을 정상 수준으로 낮추었습니다.

전 세계 메일 활동을 광범위하게 볼 수있는 필터링 솔루션은 개별 메일 필터보다 공격에 더 잘 대응할 수 있다고 생각합니다.

편집하다:

LOPSA 메일 링리스트 에서도 최근에 논의되었습니다 :

나의 기여 : https://www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
다른 의견 : https://www.mail-archive.com/tech@lists.lopsa.org/msg04181 .html


1
그들은 불평하기 시작했다. 고객은 수십 명에 불과하며 메일 서비스를 저렴한 비용으로 제공하거나 심지어 구매하는 다른 서비스와 함께 무료로 제공하고 있으므로 가능한 경우 유료 서비스를 피하기를 희망했습니다. 나는 그 제품을 투자 할 것이다.
pooter03

사용자 당 연간 약 $ 8입니다.
ewwhite

감사. 담당자가 얻을 때까지 이것을 가상 공짜로 생각하십시오. :)
pooter03

바 루카 다 +1
찌르다

2
나는 여전히 바라쿠다 클라우드 메일 필터링을 추천합니다. 아마도 현재 문제에 대한 가장 깨끗한 해결책 일 것입니다.
ewwhite

8

저는 이러한 공격을 자주받는 그룹과 긴밀히 협력하는 DNS 운영 담당자입니다. Snowshoe 공격을 다루는 것은 주로 프로세스 문제이며, ewwhite가 지적한 바와 같이 사내 문제를 해결하는 것은 회사의 범위를 넘어 설 수 있습니다. 나는 지금까지 당신이 상당한 운영 및 여러 상업 RBL 피드를하지 않는 한, 당신이 말을 같이 가고 싶어 아마 상업 필터링 서비스를 사용하여 이상이 스스로 해결하려고해서는 안된다.

즉, 우리는 이것에 대한 경험이 있으며 공유하지 않는 것이 더 흥미 롭습니다. 일부 접점은 다음과 같습니다.

  • 가능하면 메일 플랫폼을 교육하여 진행중인 Snowshoe 공격의 특성을 식별하고 해당 네트워크의 메시지를 일시적으로 거부하십시오. 잘 동작하는 클라이언트는 일시적인 실패로 메시지를 다시 보내려고하지만 다른 사람들은 그렇지 않습니다.
  • UDP-MIB::udpInErrorsSnowshoe 공격이 진행 중일 때 메일 플랫폼이 UDP 리스너의 수신 대기열을 오버플로 할 수 있기 때문에 DNS 관리자가 SNMP를 통해 모니터링하고 있는지 확인하십시오 . 그렇지 않은 경우 Linux에서 빠르게 알 수있는 방법은 netstat -s | grep 'packet receive errors'해당 DNS 서버에서 실행 하는 것입니다. 많은 수는 더프를 벗고주의를 기울여야한다는 것을 나타냅니다. 자주 유출이 발생하면 용량을 추가하거나 수신 버퍼의 크기를 늘려야합니다. (이는 DNS 쿼리 손실 및 스팸 방지 기회 손실을 의미합니다)
  • 새로 생성 된 도메인을 활용하여 이러한 공격을 자주 보는 경우이를 강조하는 RBL이 존재합니다. 하나 의 FarSight NOD (이것을 읽는 사람들은 자신의 연구를 수행해야합니다)이지만 무료가 아닙니다.

전체 공개 : Farsight Security는 Paul Vixie에 의해 설립되었습니다. Paul Vixie는 사람들이 DNS 표준을 위반할 때 통풍이 잘 안되는 습관을 가지고 있습니다.


두 번째 요점은 특히 흥미 롭습니다. 이미 IP 또는 URL을 블랙리스트에 올린 RBL에 대한 DNS 쿼리가 누락되었다고 의심했지만 증명할 수 없었습니다. 그러나 메일 서버는 Windows 2012에 있으며 Windows DNS 서버를 사용합니다. 꽤 적은 양의 서버이지만 더 자세히 조사하고 싶습니다. 유감스럽게도 주요 RBL이 도메인이나 IP를 잡을 시간이 없었기 때문에 모든 것을 설명하지는 못합니다.
pooter03

DNS 서버의 평균 볼륨은 그다지 중요하지 않습니다. 수신 큐 오버플로의 주요 특징은 들어오는 패킷을 큐에서 충분히 빨리 처리 할 수 ​​없다는 것입니다. 그리고 볼륨 기반 Snowshoe 공격은 수행중인 DNS 조회 수에 따라이를 달성 할 수 있습니다. 스팸.
앤드류 B

2
첫 번째 제안은 일반적으로 그레이 리스팅이라고 합니다.
Nate Eldredge

2
@Nate 그레이 리스팅 의 한 형태 이지만 규정되지 않은 용어를 사용하면 대부분의 사람들에게 IP가 새로 관찰되는 것에 대한 응답으로이 조치가 취해질 것을 제안합니다. 공격 네트워크는 동기화 된 페이로드 전달을 준비하기 위해 헤더를 보내지 않고 연결을 설정하는 데 시간을 소비하는 경향이 있습니다. 이 특성은 아직 보지 않은 IP가 공격과 관련되어 있음을 예측할 수 있도록하기위한 조치입니다.
앤드류 B

가치가있는 모든 것에 대해 서버에서 (보다 일반적인) 그레이 리스팅을 사용하도록 설정했으며 스패머는 특정 기간 후에 올바르게 응답합니다. 모든 의도와 목적을 위해, 전자 메일은 PTR 레코드, SPF 레코드 등이 올바르게 구성된 합법적 인 메일 서버에서 온 것으로 보입니다.
pooter03

1

Declude (무료) 및 Message Sniffer (없는)를 설치했으며 지난 4 일 동안 하루에 수십 건의 스팸 메일과는 대조적으로 테스트 전자 메일 계정에 스팸 메시지가 한 번 표시되었습니다. 내가 알 수있는 한, 우리는 좋은 이메일을 걸러 내지 못했습니다. Spaassassin은 Box에서 Spam Assassin을 시도했을 때 운이 없었지만 아마도 좋은 해결책 일 것입니다.


0

여기에 많은 답변이 일반적인 스팸 방지에 대한 것입니다. 스패머가 선호하는 배송 방법으로 스노우 슈를 향하고있는 것으로 보이므로 어느 정도 의미가 있습니다.

Snowshoe는 원래 데이터 센터에서 항상 IP별로 낮은 볼륨으로 전송되었으며 구독 취소 링크 (작동 여부에 대해서는 아무 것도 말하지 않음)를 항상 포함했습니다. 오늘날 스노우 슈는 거의 수신 거부 정보를 가지고 있지 않으며 IP에서 대량으로 전송되지만 IP가 블랙리스트에 올 때까지 이미 메일 전송을 완료하도록 버스트로 전송됩니다. 이를 우박 스팸 이라고 합니다 .

이로 인해 DNSBL 과 엄격한 패턴 기반 시그니처는 스노우 슈 스팸을 포착하는 데 끔찍합니다. 이 같은 일부 예외입니다 Spamhaus의 CSS 목록 (특히 스노 네트워크를 목표로하고 SBL 및 ZEN 모두의 일부입니다)하지만, 일반적으로 다음이 필요합니다 그레이 리스팅 / 타 피팅 DNSBLs 잡을 때까지 배달을 지연 할 수있는 ( ), 그리고 가장 중요한 것은 베이 즈 스팸 필터링 과 같은 토큰 중심 머신 러닝 시스템 입니다. 베이는 특히 스노우 슈를 감지하는 데 탁월합니다.

Andrew B의 답변은 Farsight Security의 새로 소유 한 도메인 및 호스트 이름 (NOD)에 대해 언급합니다 . Spamhaus CSS는 비슷한 기능을 수행합니다. CSS는 블로킹 환경에서 사용할 수있는 반면, NOD는 실제로 독립형 / 차단 시스템이 아닌 사용자 지정 시스템에 대한 피드로 설계되었습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.