스노우 슈 스팸을 잡는 가장 좋은 방법은 무엇입니까?

작은 메일 서버에 Smartermail을 사용하고 있습니다. 최근 같은 패턴을 따르는 스노 슈 스팸 메일 을 받는 데 문제가 있습니다. 한 번에 3 개 또는 4 개의 배치로 제공됩니다. 본문은 연결된 도메인 이름과 거의 동일합니다. 소스 IP는 한동안 같은 / 24 블록에있는 경향이 있으며 다른 / 24로 전환됩니다. 도메인은 새로운 경향이 있습니다. 그들은 유효한 PTR 및 SPF 레코드를 가지고 있으며, 베이지안 필터를 속이기 위해 몸의 바닥에 임의의 횡설수설이 있습니다.

Barracuda, Spamhaus, SURBL 및 URIBL을 포함하여 수십 가지의 다른 RBL을 사용하고 있습니다. 그들은 대부분의 사람들을 잡는 것이 괜찮은 일이지만 IP와 도메인이 블랙리스트에 오르지 않았기 때문에 여전히 많은 어려움을 겪고 있습니다.

새로 만든 도메인을 차단하거나 snoeshow 스팸을 처리하는 RBL을 포함하여 내가 사용할 수있는 전략이 있습니까? 타사 필터링 서비스를 사용하지 않기를 바라고 있습니다.

이것이 사용자에게 실제 문제가됩니까?

이 시점에서 완전한 메일 필터링 서비스를 권장합니다. 베이지안은 더 이상 그렇게 뜨겁지 않습니다. 평판, RBL, 헤더 / 의도 분석 및 기타 요소가 더 도움이 될 것 같습니다. 더 나은 보호 기능을 제공 하기 위해 여러 가지 접근 방식 과 집단 볼륨 을 결합하는 클라우드 필터링 서비스를 고려하십시오 ( 저는 고객을 위해 바라쿠다의 ESS 클라우드 솔루션을 사용합니다 ).

그리고 물론 : 스팸 방지 – 이메일 관리자, 도메인 소유자 또는 사용자로 무엇을 할 수 있습니까?

스노 슈 공격의 업틱으로 인해 부정적인 영향을받지 않았습니다. 이러한 공격으로 메일 볼륨이 매일 3 배씩 증가한 기간을 보았습니다. 그러나 나쁜 일이 없었습니다. 3 일 만에 바라쿠다는 볼륨을 정상 수준으로 낮추었습니다.

전 세계 메일 활동을 광범위하게 볼 수있는 필터링 솔루션은 개별 메일 필터보다 공격에 더 잘 대응할 수 있다고 생각합니다.

편집하다:

LOPSA 메일 링리스트 에서도 최근에 논의되었습니다 :

나의 기여 : https://www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
다른 의견 : https://www.mail-archive.com/tech@lists.lopsa.org/msg04181 .html

저는 이러한 공격을 자주받는 그룹과 긴밀히 협력하는 DNS 운영 담당자입니다. Snowshoe 공격을 다루는 것은 주로 프로세스 문제이며, ewwhite가 지적한 바와 같이 사내 문제를 해결하는 것은 회사의 범위를 넘어 설 수 있습니다. 나는 지금까지 당신이 상당한 운영 및 여러 상업 RBL 피드를하지 않는 한, 당신이 말을 같이 가고 싶어 아마 상업 필터링 서비스를 사용하여 이상이 스스로 해결하려고해서는 안된다.

즉, 우리는 이것에 대한 경험이 있으며 공유하지 않는 것이 더 흥미 롭습니다. 일부 접점은 다음과 같습니다.

• 가능하면 메일 플랫폼을 교육하여 진행중인 Snowshoe 공격의 특성을 식별하고 해당 네트워크의 메시지를 일시적으로 거부하십시오. 잘 동작하는 클라이언트는 일시적인 실패로 메시지를 다시 보내려고하지만 다른 사람들은 그렇지 않습니다.
• UDP-MIB::udpInErrorsSnowshoe 공격이 진행 중일 때 메일 플랫폼이 UDP 리스너의 수신 대기열을 오버플로 할 수 있기 때문에 DNS 관리자가 SNMP를 통해 모니터링하고 있는지 확인하십시오 . 그렇지 않은 경우 Linux에서 빠르게 알 수있는 방법은 netstat -s | grep 'packet receive errors'해당 DNS 서버에서 실행 하는 것입니다. 많은 수는 더프를 벗고주의를 기울여야한다는 것을 나타냅니다. 자주 유출이 발생하면 용량을 추가하거나 수신 버퍼의 크기를 늘려야합니다. (이는 DNS 쿼리 손실 및 스팸 방지 기회 손실을 의미합니다)
• 새로 생성 된 도메인을 활용하여 이러한 공격을 자주 보는 경우이를 강조하는 RBL이 존재합니다. 하나 의 예 는 FarSight NOD (이것을 읽는 사람들은 자신의 연구를 수행해야합니다)이지만 무료가 아닙니다.

전체 공개 : Farsight Security는 Paul Vixie에 의해 설립되었습니다. Paul Vixie는 사람들이 DNS 표준을 위반할 때 통풍이 잘 안되는 습관을 가지고 있습니다.

Declude (무료) 및 Message Sniffer (없는)를 설치했으며 지난 4 일 동안 하루에 수십 건의 스팸 메일과는 대조적으로 테스트 전자 메일 계정에 스팸 메시지가 한 번 표시되었습니다. 내가 알 수있는 한, 우리는 좋은 이메일을 걸러 내지 못했습니다. Spaassassin은 Box에서 Spam Assassin을 시도했을 때 운이 없었지만 아마도 좋은 해결책 일 것입니다.

여기에 많은 답변이 일반적인 스팸 방지에 대한 것입니다. 스패머가 선호하는 배송 방법으로 스노우 슈를 향하고있는 것으로 보이므로 어느 정도 의미가 있습니다.

Snowshoe는 원래 데이터 센터에서 항상 IP별로 낮은 볼륨으로 전송되었으며 구독 취소 링크 (작동 여부에 대해서는 아무 것도 말하지 않음)를 항상 포함했습니다. 오늘날 스노우 슈는 거의 수신 거부 정보를 가지고 있지 않으며 IP에서 대량으로 전송되지만 IP가 블랙리스트에 올 때까지 이미 메일 전송을 완료하도록 버스트로 전송됩니다. 이를 우박 스팸 이라고 합니다 .

이로 인해 DNSBL 과 엄격한 패턴 기반 시그니처는 스노우 슈 스팸을 포착하는 데 끔찍합니다. 이 같은 일부 예외입니다 Spamhaus의 CSS 목록 (특히 스노 네트워크를 목표로하고 SBL 및 ZEN 모두의 일부입니다)하지만, 일반적으로 다음이 필요합니다 그레이 리스팅 / 타 피팅 DNSBLs 잡을 때까지 배달을 지연 할 수있는 ( ), 그리고 가장 중요한 것은 베이 즈 스팸 필터링 과 같은 토큰 중심 머신 러닝 시스템 입니다. 베이는 특히 스노우 슈를 감지하는 데 탁월합니다.

Andrew B의 답변은 Farsight Security의 새로 소유 한 도메인 및 호스트 이름 (NOD)에 대해 언급합니다 . Spamhaus CSS는 비슷한 기능을 수행합니다. CSS는 블로킹 환경에서 사용할 수있는 반면, NOD는 실제로 독립형 / 차단 시스템이 아닌 사용자 지정 시스템에 대한 피드로 설계되었습니다.