Lutte contre le spam – Que puis-je faire en tant que: Administrateur d'emails, Propriétaire du domaine ou Utilisateur?

C'est une question canonique sur Fighting Spam.
Aussi liés:

  • Comment empêcher les gens d'utiliser mon domaine pour envoyer des spams?
  • Quels sont les loggings SPF, et comment les configurer?

Il y a tellement de techniques et tant de choses à savoir pour lutter contre les SPAM. Quelles techniques et technologies largement utilisées sont disponibles pour l'administrateur, les propriétaires de domaine et les users finaux pour aider à garder les déchets de nos boîtes de réception?

Nous recherchons une réponse qui couvre différentes technologies sous différents angles. La réponse acceptée devrait inclure une variété de technologies (p. Ex. SPF / SenderID, DomainKeys / DKIM, Graylisting, DNS RBL, Reputation Services, Filtering Software [SpamAssassin, etc.]); les meilleures pratiques (par exemple, le courrier sur le port 25 ne doit jamais être autorisé à relayer, le port 587 devrait être utilisé, etc.), la terminologie (par exemple, relais ouvert, rétrodiffusion, MSA / MTA / MUA, spam / jambon) et éventuellement d'autres techniques.

6 Solutions collect form web for “Lutte contre le spam – Que puis-je faire en tant que: Administrateur d'emails, Propriétaire du domaine ou Utilisateur?”

Pour vaincre votre ennemi, vous devez connaître votre ennemi.

Qu'est-ce que le spam?

Pour nos besoins, le spam est un message électronique en vrac non sollicité. Le spam de nos jours vise à inciter les users sans méfiance à visiter un site Web (habituellement ombragé) où ils seront invités à acheter des produits ou à faire malware dans leur ordinateur, ou les deux. Certains spam fournissent des logiciels malveillants directement.

Cela pourrait vous surprendre d'apprendre que le premier spam a été envoyé en 1864. Il s'agissait d'une publicité pour les services dentaires, envoyée via le télégramme Western Union. Le mot lui-même est une reference à une scène dans Flying Circus Monty Python .

Le spam, dans ce cas, ne se réfère pas au trafic de la list de diffusion auquel un user est abonné, même s'ils ont changé d'avis plus tard (ou l'ont oublié), mais ne sont pas encore inscrits.

Pourquoi le spam est-il un problème?

Le spam est un problème car il fonctionne pour les spammeurs . Le spam génère généralement plus que suffisamment de ventes (ou la livraison de logiciels malveillants, ou les deux) pour couvrir les coûts – pour le spammeur – de l'envoyer. Le spammeur ne considère pas les coûts pour le destinataire, vous et vos users. Même lorsqu'une petite minorité d'users recevant des courriels répondent à cela, c'est suffisant.

Donc, vous pouvez payer les factures pour la bande passante, les servers et le time d'administrateur pour faire face au spam entrant.

Nous bloquons le spam pour ces raisons: nous ne voulons pas le voir, réduire nos coûts de traitement des courriels et rendre le spaming plus cher pour les spammeurs.

Comment fonctionne le spam?

Le courrier indésirable est généralement livré de différentes façons à partir d'un courrier électronique normal et légitime.

Les spammeurs veulent presque obscurcir l'origine de l'email, donc un spam typique contiendra de fausses informations d'en-tête. L'adresse From: est généralement fausse. Certains courriers indésirables incluent les fausses lignes Received: dans une tentative de déguiser le parcours. Beaucoup de spams sont livrés via des relais SMTP ouverts, des servers proxy et des botnets ouverts. Toutes ces methods rendent plus difficile la détermination d'origine du spam.

Une fois dans la boîte de réception de l'user, le but du spam est d'inciter l'user à visiter le site Web annoncé. Là, l'user sera incité à effectuer un achat, ou le site tentera d'installer des logiciels malveillants sur l'ordinateur de l'user, ou les deux. Ou, le spam requestra à l'user d'ouvrir une pièce jointe contenant des logiciels malveillants.

Comment puis-je arrêter le spam?

En tant qu'administrateur système d'un server de messagerie, vous configurerez votre server de messagerie et votre domaine afin de rendre plus difficile pour les spammeurs de transmettre leur spam à vos users.

Je couvrirai des questions spécifiquement axées sur le spam et sauterais des choses qui ne sont pas directement liées aux spams (comme le encryption).

Ne lancez pas un relais ouvert

Le grand server de courrier électronique doit exécuter un relais ouvert , un server SMTP qui acceptera le courrier pour n'importe quelle destination et le livrera. Les spammeurs aiment les relais ouverts car ils garantissent pratiquement la livraison. Ils prennent en charge la livraison de messages (et réessayer!) Alors que le spammeur fait autre chose. Ils rendent le spam à bas prix .

Les relais ouverts consortingbuent également au problème de la rétrodiffusion. Ce sont des messages qui ont été acceptés par le relais, mais se sont révélés non livrables. Le relais ouvert enverra alors un message de rebond à l'adresse From: qui contient une copy du spam.

  • Configurez votre server de messagerie pour accepter le courrier entrant sur le port 25 uniquement pour vos propres domaines. Pour la plupart des servers de messagerie, c'est le comportement par défaut, mais vous devez au less indiquer au server de messagerie quels sont vos domaines.
  • Testez votre système en envoyant votre server SMTP un courrier à partir de votre réseau où les adresses From: and To: ne sont pas dans votre domaine. Le message doit être rejeté. (Ou, utilisez un service en ligne comme MX Toolbox pour effectuer le test, mais sachez que certains services en ligne soumettront votre adresse IP aux lists noires si votre server de messagerie échoue au test.)

Rejeter tout ce qui semble trop suspect

Différentes configurations erronées et erreurs peuvent être une suggestion selon laquelle un message entrant risque d'être un spam ou autrement illégitime.

  • Marquer comme spam ou rejeter des messages pour lesquels l'adresse IP n'a pas de DNS inversé (logging PTR). Traitez l'absence d'logging PTR plus sévèrement pour les connections IPv4 que pour les connections IPv6, car de nombreuses adresses IPv6 n'ont pas encore de DNS inversé et peuvent ne pas durer plusieurs années, jusqu'à ce que le logiciel server DNS soit plus capable de gérer ces zones potentiellement très importantes.
  • Rejeter les messages pour lesquels le nom de domaine dans l'adresse de l'expéditeur ou du destinataire n'existe pas.
  • Rejeter les messages qui n'utilisent pas de noms de domaine entièrement qualifiés pour les domaines expéditeur ou destinataire, à less qu'ils ne proviennent de votre domaine et qu'ils soient destinés à être livrés dans votre domaine (p. Ex. Services de surveillance).
  • Rejeter les connections où l'autre extrémité n'émet pas un HELO / EHLO .
  • Rejeter les connections où l' HELO / EHLO est:
    • pas un nom de domaine entièrement qualifié et non une adresse IP
    • manifestement erroné (p. ex. votre propre espace d'adresse IP)
  • Rejeter les connections qui utilisent le pipeline sans être autorisé à le faire.

Authentifiez vos users

Le courrier arrivant à vos servers doit être considéré en termes de courrier entrant et de courrier sortant. Le courrier entrant est un courrier arrivant à votre server SMTP qui est finalement destiné à votre domaine; le courrier sortant est un courrier arrivant à votre server SMTP qui sera transféré ailleurs avant d'être livré (par exemple, il se dirige vers un autre domaine). Le courrier entrant peut être traité par vos filters anti-spam, et peut provenir de n'importe où mais doit toujours être destiné à vos users. Ce courrier ne peut pas être authentifié, car il n'est pas possible de donner des informations d'identification à tous les sites qui pourraient vous envoyer un courrier.

Le courrier sortant, c'est-à-dire le courrier qui sera relayé, doit être authentifié. C'est le cas, qu'il s'agisse d'Internet ou de votre réseau (même si vous devez restreindre les plages d'adresses IP autorisées à utiliser votre server de messagerie si possible); Cela s'explique par le fait que les spambots pourraient être exécutés à l'intérieur de votre réseau. Donc, configurez votre server SMTP de sorte que le courrier lié à d'autres réseaux soit abandonné (l'access au relais sera refusé) à less que ce courrier ne soit authentifié. Mieux encore, utilisez des servers de courrier distincts pour le courrier entrant et sortant, n'autorisez aucun relais pour les entrants et n'autorisez aucun access non authentifié aux messages sortants.

Si votre logiciel le permet, vous devez également filterr les messages en fonction de l'user authentifié; si l'adresse du courrier ne correspond pas à l'user authentifié, il devrait être rejeté. Ne modifiez pas silencieusement l'adresse de l'adresse; l'user doit être conscient de l'erreur de configuration.

Vous devez également save le nom d'user utilisé pour envoyer du courrier ou append un en-tête d'identification. De cette façon, si des abus surviennent, vous avez des preuves et savez quel count a été utilisé pour le faire. Cela vous permet d'isoler les counts compromis et les users résolus, et est particulièrement utile pour les fournisseurs d'hébergement partagés.

Trafic de filtrage

Vous voulez être certain que le courrier quittant votre réseau est actuellement envoyé par vos users (authentifiés), pas par des robots ou des personnes de l'extérieur. Les détails de la façon dont vous le faites dépendent exactement du type de système que vous administrez.

Généralement, le blocage du trafic de sortie des ports 25, 465 et 587 (SMTP, SMTP / SSL et Soumission) pour tout ce qui concerne vos servers de messagerie sortants est une bonne idée si vous êtes un réseau d'entreprise. Il est ainsi que les bots de logiciels malveillants sur votre réseau ne peuvent pas envoyer de spam de votre réseau soit pour ouvrir des relais sur Internet, soit directement sur le MTA final pour une adresse.

Les points chauds sont un cas particulier parce que le courrier légitime provient de plusieurs domaines différents, mais (en raison de SPF, entre autres) un server de messagerie "forcé" est inapproprié et les users devraient utiliser le server SMTP de leur propre domaine pour soumettre du courrier. Cette affaire est beaucoup plus difficile, mais l'utilisation d'une plage publique IP ou IP spécifique pour le trafic Internet de ces hôtes (pour protéger la réputation de votre site), l'étranglement du trafic SMTP et l'inspection approfondie des packages sont des solutions à considérer.

Historiquement, les spambots ont émis du spam principalement sur le port 25, mais rien ne les empêche d'utiliser le port 587 dans le même but, de sorte que changer le port utilisé pour le courrier entrant est de valeur douteuse. Toutefois, l'utilisation du port 587 pour la soumission par courrier électronique est recommandée par la RFC 2476 et permet une séparation entre la soumission du courrier (au premier MTA) et le transfert de courrier (entre les MTA), ce qui n'est pas évident à partir de la topologie du réseau; Si vous avez besoin d'une telle séparation, vous devriez le faire.

Si vous êtes un fournisseur d'access Internet, un hôte VPS, un fournisseur de colocation ou similaire, ou fournit un point d'access pour les visiteurs, le blocage du trafic SMTP peut être problématique pour les users qui envoient du courrier à l'aide de leurs propres domaines. Dans tous les cas, sauf un point d'access publique, vous devez exiger des users qui ont besoin d'un access SMTP sortant car ils utilisent un server de messagerie pour le requestr spécifiquement. Faites-leur savoir que les plaintes contre les abus entraîneront finalement que cet access soit résilié pour protéger votre réputation.

Les IP dynamics et ceux utilisés pour l'infrastructure de bureau virtuel ne devraient jamais avoir d'access SMTP sortant, sauf pour le server de mails spécifique que les nœuds devraient utiliser. Ces types d'IP devraient également apparaître sur les lists noires et vous ne devriez pas essayer de créer une réputation pour eux. C'est parce qu'ils sont extrêmement peu susceptibles d'exécuter un MTA légitime.

Pensez à utiliser SpamAssassin

SpamAssassin est un filter de messagerie qui peut être utilisé pour identifier les spams basés sur les en-têtes et le contenu des messages. Il utilise un système de notation basé sur les règles pour déterminer la probabilité qu'un message soit un spam. Plus le score est élevé, plus le message est susceptible de spam.

SpamAssassin dispose également d'un moteur bayésien qui peut parsingr les échantillons de courrier indésirable et de jambon (courrier recommandé).

La meilleure pratique pour SpamAssassin n'est pas de rejeter le courrier, mais de le mettre dans un dossier de courrier indésirable ou de Spam. Les MUA (agents de messagerie) tels que Outlook et Thunderbird peuvent être configurés pour reconnaître les en-têtes que SpamAssassin ajoute aux messages électroniques et les déposer correctement. Les faux positifs peuvent et se produisent, et, bien qu'ils soient rares, le CEO, vous en entendrez parler. Cette conversation ira beaucoup mieux si le message était simplement envoyé au dossier Junk plutôt que rejeté complètement.

SpamAssassin est presque unique, bien qu'il existe quelques alternatives .

  • Installez SpamAssassin et configurez la mise à jour automatique pour ses règles en utilisant sa-update .
  • Envisagez d'utiliser des règles personnalisées, le cas échéant.
  • Envisagez de configurer le filtrage bayésien .

Envisager d'utiliser des lists de trous noirs basées sur DNS et des services de réputation

Les DNSBL (anciennement connus sous le nom de RBL, ou les lists de foules en time réel) fournissent des lists d'adresses IP associées à un spam ou à d'autres activités malveillantes. Ceux-ci sont gérés par des tiers indépendants selon leurs propres critères, afin de searchr soigneusement si les critères de list et de radiation utilisés par un DNSBL sont compatibles avec le besoin de votre entreprise de recevoir un courrier électronique. Par exemple, quelques DNSBL ont des politiques draconiennes de radiation, ce qui rend très difficile pour quelqu'un qui a été classé accidentellement pour être supprimé. D'autres déléguer automatiquement après que l'adresse IP n'a pas envoyé de courrier indésirable pour une période de time plus sûre. La plupart des DNSBL sont libres d'utiliser.

Les services de réputation sont similaires, mais prétendent fournir de meilleurs résultats en analysant plus de données pertinentes pour une adresse IP donnée. La plupart des services de réputation nécessitent un paiement par abonnement ou un achat matériel ou les deux.

Il existe des dizaines de DNSBL et des services de réputation disponibles, bien que certains des plus connus et utiles que j'utilise et recommandnt soient:

Listes conservasortingces:

  • Spamhaus ZEN
  • Base de données sur la réputation Barracuda (aucun achat nécessaire)
  • SpamCop

Listes agressives:

  • UCEPROTECT
  • Rétrodiffuseur

Comme mentionné précédemment, plusieurs dizaines d'autres sont disponibles et répondent à vos besoins. L'une de mes astuces préférées est de searchr l'adresse IP qui a envoyé un spam qui a traversé plusieurs DNSBL pour voir lesquels d'entre eux l'auraient rejeté.

  • Pour chaque service DNSBL et réputation, examinez ses politiques pour la list et la suppression des adresses IP et déterminez si elles sont compatibles avec les besoins de votre organisation.
  • Ajoutez le DNSBL à votre server SMTP lorsque vous avez décidé qu'il est approprié d'utiliser ce service.
  • Envisagez d'assigner chaque partition DNSBL et de la configurer dans SpamAssassin plutôt que sur votre server SMTP. Cela réduit l'impact d'un faux positif; un tel message serait livré (éventuellement à Junk / Spam) au lieu de rebondir. Le compromis est que vous fournirez beaucoup de spam.
  • Ou, rejeter complètement lorsque l'adresse IP est sur l'une des lists les plus conservasortingces, et configurer les lists plus agressives dans SpamAssassin.

Utiliser SPF

SPF (Sender Policy Framework, RFC 4408 et RFC 6652 ) est un moyen d'empêcher l' effacement d' adresse de messagerie en déclarant quels hôtes Internet sont autorisés à envoyer le courrier pour un nom de domaine donné.

  • Configurez votre DNS pour déclarer un logging SPF avec vos servers de courrier sortants autorisés et -all tous rejettent tous les autres.
  • Configurez votre server de messagerie pour vérifier les loggings SPF du courrier entrant, s'il existe, et rejeter le courrier qui échoue à la validation SPF. Ignorez cette vérification si le domaine n'a pas d'loggings SPF.

Enquête sur le DKIM

DKIM (DomainKeys Identified Mail, RFC 6376 ) est une méthode d'intégration de signatures numériques dans les messages électroniques qui peuvent être vérifiés à l'aide de keys publiques publiées dans le DNS. Il est breveté aux États-Unis, ce qui a ralenti son adoption. Les signatures DKIM peuvent également se briser si un message est modifié en transit (par exemple, les servers SMTP peuvent parfois replace les messages MIME).

  • Envisagez de signer votre courrier sortant avec les signatures DKIM, mais soyez conscient que les signatures peuvent ne pas toujours vérifier correctement même sur un courrier légitime.

Envisager d'utiliser greylisting

Greylisting est une technique dans laquelle le server SMTP émet un rejet temporaire pour un message entrant plutôt qu'un rejet permanent. Lorsque la livraison est retentie dans quelques minutes ou quelques heures, le server SMTP acceptera le message.

Greylisting peut arrêter certains logiciels anti-spam qui ne sont pas assez robustes pour différencier les retards temporaires et permanents, mais ne consortingbue pas au spam qui a été envoyé à un relais ouvert ou à un logiciel de spam plus robuste. Il introduit également des timeouts de livraison que les users ne tolèrent pas toujours.

  • Envisager d'utiliser greylisting uniquement dans des cas extrêmes, car il est très perturbateur pour le trafic de courrier électronique légitime.

Envisager d'utiliser la nolisation

Nolisting est une méthode de configuration de vos loggings MX de sorte que l'logging de priorité maximale (numéro de preference le plus bas) ne comporte pas de server SMTP en cours d'exécution. Cela repose sur le fait qu'un grand nombre de logiciels de spam tentent uniquement le premier logging MX, alors que les servers SMTP légitimes essayent tous les loggings MX dans un ordre croissant de preference. Certains logiciels de courrier indésirable tentent également d'envoyer directement l'logging MX de la priorité la plus basse (numéro de preference le plus élevé) en violation de RFC 5321 , de sorte que cela pourrait également être défini sur une adresse IP sans server SMTP. Ceci est signalé comme étant sécurisé, mais comme avec n'importe quoi, vous devez d'abord tester attentivement.

  • Envisagez de définir votre logging MX de priorité maximale pour pointer vers un hôte qui ne répond pas sur le port 25.
  • Envisagez de définir votre logging MX de priorité minimale pour pointer vers un hôte qui ne répond pas sur le port 25.

Considérons un appareil de filtrage anti-spam

Placez un appliance de filtrage anti-spam tel que Cisco IronPort ou Barracuda Spam & Virus Firewall (ou d'autres appareils similaires) devant votre server SMTP existant afin de réduire considérablement le spam que vous recevez. Ces appareils sont préconfigurés avec les DNSBL, les services de réputation, les filters bayésiens et les autres fonctionnalités que j'ai couvertes et mis à jour régulièrement par leurs fabricants.

  • Recherchez le matériel de l'appliance pour filtrage du spam et les coûts d'abonnement.

Envisager les services de courrier électronique hébergés

Si c'est trop pour vous (ou votre personnel informatique surchargé), vous pouvez toujours avoir un fournisseur de services tiers gérer votre e-mail pour vous. Des services tels que Google Postini , Symantec MessageLabs Email Security (ou d'autres) vont filterr les messages pour vous. Certains de ces services peuvent également gérer les exigences réglementaires et légales.

  • La search a accueilli les coûts d'abonnement aux services de courrier électronique.

Quelles orientations les administrateurs système devraient-ils donner aux users finaux en ce qui concerne la lutte contre le spam?

L'absolu # 1 que les users finaux devraient faire pour lutter contre le spam est:

  • NE RÉPOND PAS AU SPAM.

    Si cela semble drôle, ne cliquez pas sur le lien du site Web et n'ouvrez pas la pièce jointe. Peu importe l'attrait de l'offre. Ce viagra n'est pas si bon marché, vous n'obtiendrez pas vraiment des photos nues de personne, et il n'y a pas de 15 millions de dollars au Nigeria ou ailleurs, à l'exception de l'argent tiré de personnes qui ont répondu au spam.

  • Si vous voyez un message anti-spam, marquez-le comme un courrier indésirable ou un spam en fonction de votre client de messagerie.

  • NE PAS marquer un message en tant que Junk / Spam si vous vous êtes inscrit pour recevoir les messages et que vous souhaitez simplement cesser de les recevoir. Au lieu de cela, désabonnez-vous de la list de diffusion en utilisant la méthode de désabonnement fournie.

  • Vérifiez régulièrement votre dossier Junk / Spam pour voir si des messages légitimes ont été transmis. Marquez ceci comme Non / Non-Spam et ajoutez l'expéditeur à vos contacts afin d'empêcher que leurs messages ne soient marqués comme spam dans le futur.

J'ai géré plus de 100 environnements de messagerie distincts au cours des années et j'ai utilisé de nombreux process pour réduire ou aider à éliminer le spam.

La technologie a évolué avec le time, donc cette réponse traversera certaines des choses que j'ai essayées dans le passé et détaille l'état actuel des choses.

Quelques reflections sur la protection …

  • Vous souhaitez protéger le port 25 de votre server de messagerie entrant d'un relais ouvert , où n'importe qui peut envoyer un courrier à travers votre infrastructure. Ceci est indépendant de la technologie de server de messagerie particulière que vous pouvez utiliser. Les users distants devraient utiliser un autre port de soumission et une forme d'authentification requirejse pour relayer le courrier. Le port 587 ou le port 465 sont les alternatives communes à 25.
  • Le encryption est également un atout. Beaucoup de trafic de messagerie est envoyé en clair. Nous sums au point où la plupart des systèmes de messagerie peuvent supporter une certaine forme de encryption; certains events s'y attendent.
  • Il s'agit d'approches plus proactives pour empêcher votre site de courrier d'être classé comme une source de spam …

En ce qui concerne le spam entrant …

  • Le greffage était une approche intéressante pour une courte période de time. Forcer un rejet / retard temporaire dans l'espoir qu'un spammeur se déconnecte et évite l'exposition ou le time et les ressources nécessaires pour récuperer les messages. Cela a eu pour effet de retards imprévisibles dans la livraison de courrier, n'a pas bien fonctionné avec le courrier des grandes exploitations de servers et les spammeurs ont éventuellement développé des solutions de rechange. Le pire impact a été de nuire à l'attente des users pour une livraison rapide du courrier.
  • Plusieurs relais MX ont encore besoin de protection. Certains spammeurs essayeraient d'envoyer une sauvegarde ou un MX de priorité inférieure dans l'espoir qu'il avait un filtrage less robuste.
  • Listes en noir (trous) en time réel (RBL / DNSBL) – Ces bases de données centralisées sont contrôlées pour vérifier si un server d'envoi est répertorié. Une forte dépendance envers les RBL vient avec des réserves. Certains n'étaient pas aussi réputés que les autres. Les offres de Spamhaus ont toujours été bonnes pour moi. D'autres, comme SORBS , ont une mauvaise approche pour répertorier les IP, et souvent bloquent un courrier électronique légitime. Il a été assimilé à un complot d'extorsion dans certains cas, car la radiation exclut souvent $$$.
  • Cadre de stratégie de l'expéditeur (SPF) – Fondamentalement, un moyen de s'assurer qu'un hôte donné est autorisé à envoyer du courrier pour un domaine particulier, tel que défini par un logging DNS TXT. C'est une bonne pratique de créer des loggings SPF pour votre courrier sortant, mais une mauvaise pratique pour l' exiger des servers qui vous envoient.
  • Clés de domaine – Pas encore largement utilisé …
  • Suppression de rebond – Empêche le courrier invalide d'être renvoyé à sa source. Certains spammeurs tenteraient de voir quelles adresses étaient live / valides en analysant la rétrodiffusion afin de créer une carte d'adresses utilisables.
  • Inverser les controls DNS / PTR – Vérifier qu'un server d'envoi possède un logging PTR inverse valide. Cela n'a pas besoin de faire correspondre le domaine d'origine, car il est possible d'avoir un mappage de domaines multiples à un hôte. Mais il est bon de déterminer la propriété d'un espace IP et de déterminer si le server d'origine fait partie d'un bloc IP dynamic (par exemple, le haut débit à domicile – lire: spambots compromis).
  • Le filtrage de contenu – (non fiable) – Essayer de contrer les permutations de "(Viagra, v \ | agra, viagra, vilgra.)" Prend beaucoup de time pour l'administrateur et ne se réduit pas dans un environnement plus large.
  • Filtrage bayésien – Plus de solutions de spam avancées permettent une formation globale ou par user du courrier. Lisez l'article lié sur les heuristiques, mais le point principal est que le courrier peut être classé manuellement comme bon (Ham) ou mauvais (Spam), et les messages résultants remplissent une database bayésienne qui peut être référencée pour déterminer la catégorisation des messages futurs. En règle générale, cela est associé à un score de spam ou à une pondération, et peut être l'une d'une poignée de techniques utilisées pour déterminer si un message doit être envoyé.
  • Contrôle / limitation de la vitesse – approche simple. Limite le nombre de messages qu'un server donné peut tenter de livrer dans un certain laps de time. Supprimez tous les messages sur ce seuil. Cela est généralement configuré sur le côté du server de messagerie.
  • Filtrage hébergé et en nuage. Postini vient à l'esprit, car il s'agissait d'une solution cloud avant que le nuage ne soit un mot à la mode. Maintenant appartenant à Google, la force d'une solution hébergée est qu'il existe des économies d'échelle inhérentes au traitement du volume de courrier qu'ils rencontrent. L'parsing des données et la scope géographique simple peuvent aider une solution hébergée de filtrage du spam à s'adapter aux tendances. L'exécution est cependant simple. 1). Indiquez votre logging MX à la solution hébergée, 2). fournir une adresse de livraison du server post-filtrage. 3). Profit .

Ma démarche actuelle:

Je suis un défenseur des solutions de spam basées sur les appareils. Je souhaite rejeter au périmètre du réseau et save les cycles de la CPU au niveau du server de messagerie. L'utilisation d'un appareil fournit également une certaine indépendance par rapport à la solution du server de courrier réel (agent de livraison de courrier).

Je recommand les appareils Barracuda Spam Filter pour plusieurs raisons. J'ai déployé plusieurs dizaines d'unités, et l'interface Web, l'esprit d'entreprise et la nature de l'appareil set-and-forget en font un gagnant. La technologie backend intègre plusieurs des techniques énumérées ci-dessus.

  • Je bloque le port 25 sur l'adresse IP de mon server de messagerie et je place plutôt l'logging MX pour le domaine vers l'adresse publique de l'appliance Barracuda – par exemple, spam.domain.com. Le port 25 sera ouvert pour la livraison par courrier.
  • Le kernel est SpamAssassin – dérivé avec une interface simple pour un journal des messages (et une database Bayesian) qui peut être utilisée pour classr le bon courrier de manière incorrecte pendant une période de formation initiale.
  • Barracuda exploite plusieurs RBL par défaut, y compris ceux de Spamhaus.org , et leur propre database de réputation BRBL . Remarque: le BRBL est utilisable gratuitement comme RBL standard pour les autres systèmes de messagerie .
  • La database de réputation de Barracuda est compilée à partir de données en direct, de filters à grande échelle, d'parsings à grande échelle et de nombreuses techniques exclusives. Il a une list blanche enregistrée et une list de blocs. Les expéditeurs de messagerie à grand volume et à haute visibilité s'inscrivent souvent avec Barracuda pour la list blanche automatique. Les exemples incluent Blackberry, Constant Contact , etc.
  • Les controls SPF peuvent être activés (je ne les ai pas encore activés).
  • Il y a une interface pour examiner le courrier et redéliger le cache de messagerie de l'appliance si nécessaire. Ceci est utile dans les cas où un user s'attendait à un message qui n'a peut-être pas dépassé tous les controls anti-spam.
  • La vérification des users LDAP / Active Directory aide à accélérer la détection des destinataires de messagerie non valides. Cela permet d'économiser de la bande passante et d'éviter une rétrodiffusion .
  • L'adresse IP / émetteur / domaine / pays d'origine peut être configuré. Si je veux refuser tout courrier de suffixes de domaine italien, c'est possible. Si je veux empêcher le courrier d'un domaine particulier, il est facilement configuré. Si je veux bloquer le harceleur d'un user d'envoyer un courrier électronique à l'user, il est possible (histoire vraie).
  • Barracuda fournit un certain nombre de rapports en conserve et un bon affichage visuel de l'état de l'appareil et des mesures de spam.
  • J'aime avoir un appareil sur place pour conserver ce traitement en interne et peut-être avoir une connection journalière de messagerie post-filter (dans des environnements où la rétention de courrier est nécessaire).
  • Plus L'appliance peut résider dans une infrastructure virtualisée .

Barracuda Spam & Virus Firewall 300 console d'état entrez la description de l'image ici


Approche plus récente:

J'ai expérimenté le service de security par courrier électronique basé sur Cloud de Barracuda au cours du mois écoulé. Ceci est similaire à d'autres solutions hébergées, mais est bien adapté aux sites plus petits, où un appareil coûteux coûte cher. Pour un tarif annuel nominal, ce service fournit environ 85% de ce que fait l'appliance matérielle. Le service peut également être exécuté en tandem avec un appareil sur site pour réduire la bande passante entrante et fournir une autre couche de security. C'est aussi un bon buffer qui peut transmettre du courrier en cas de panne du server. Les parsings sont toujours utiles, même si elles ne sont pas aussi détaillées que celles d'une unité physique.

Console Barracuda Cloud Email Security entrez la description de l'image ici

Dans l'set, j'ai essayé de nombreuses solutions, mais count tenu de l'ampleur de certains environnements et de la request croissante de la base d'users, je souhaite la solution la plus élégante disponible. Prendre l'approche multidimensionnelle et «rouler votre propre» est certainement possible, mais j'ai bien réussi avec une surveillance de base et de bonne utilisation du périphérique Barracuda. Les users sont très satisfaits du résultat.

Remarque: Cisco Ironport est également génial … Juste plus cher.

En partie, j'appuie ce que d'autres ont dit; en partie, je ne le fais pas.

Spamassassin

Cela fonctionne très bien pour moi, mais vous devez passer du time à former le filter bayésien avec du jambon et du spam .

Greylisting

Ewwhite peut sentir son jour est venu et disparu, mais je ne peux pas être d'accord. Un de mes clients a demandé à quel point mes différents filters étaient efficaces, alors voici des statistics approximatives pour juillet 2012 pour mon server de messagerie personnel:

  • 46000 messages tentés de livraison
  • 1750 a traversé le greylisting
  • 250 traversé le grelissement + massage de spam qualifié

Donc, environ 44000 ne l'ont jamais fait à travers le greylisting; si je n'avais pas eu de greylisting, et j'avais accepté tous ceux-ci, ils auraient tous besoin de filtrage de spams, tous utilisant CPU et memory, et même la bande passante.

Edit : puisque cette réponse semble avoir été utile à certaines personnes, j'ai pensé que je mettrais les statistics à jour. J'ai donc récurré l'parsing sur les journaux du courrier depuis janvier 2015, 2,5 ans plus tard.

  • 115 500 messages tentés de livraison
  • 13.300 ont obtenu une vérification greylisting (et quelques vérifications de base de security, par exemple un domaine d'expéditeur valide)
  • 8 500 ont réussi à percevoir un agent de sauvetage qualifié

Les numbers ne sont pas directement comparables, car je n'ai plus une note sur la façon dont je suis arrivé aux numbers de 2012, donc je ne peux pas être sûr que les méthodologies étaient identiques. Mais j'ai confiance que je n'avais pas eu à faire un filtrage indésirable coûteux sur un énorme contenu à ce moment-là, et je ne l'ai toujours pas, à cause de la greylisting.

SPF

Ce n'est pas vraiment une technique anti-spam, mais cela peut réduire la quantité de rétrodiffusion dont vous avez besoin, si vous êtes joe-jobbed. Vous devriez l'utiliser à la fois dans et hors, c'est-à-dire: vous devez vérifier l'logging SPF de l'expéditeur pour le courrier électronique entrant, et accepter / rejeter en conséquence. Vous devriez également publier vos propres loggings SPF, énumérant intégralement toutes les machines qui sont approuvées pour envoyer le courrier en tant que vous et verrouiller toutes les autres avec -all . Les loggings SPF qui ne se terminent pas sont complètement inutiles.

Listes Blackhole

Les RBL sont problématiques, car on peut les pénétrer sans faute de leur part, et ils peuvent être difficiles à quitter. Néanless, ils ont une utilisation légitime dans le domaine du spam, mais je suggère fortement qu'aucun RBL ne devrait jamais être utilisé comme un test lumineux pour l'acceptation du courrier . La façon dont le spamassassin gère les RBL – en utilisant beaucoup, dont chacun consortingbue à un score total, et c'est ce score qui rend la décision d'accepter / rejeter – est beaucoup mieux.

Dropbox

Je ne parle pas du service commercial, je veux dire que mon server de messagerie possède une adresse qui coupe tout mon filtrage grelier et spam, mais qui, au lieu de livrer à INBOX de n'importe qui, va à un dossier mondialement écrit dans /var , qui est automatiquement taillée tous les soirs de tous les emails de plus de 14 jours.

J'encourage tous les users à en tirer parti, par exemple en remplissant des formulaires de courrier électronique qui nécessitent une adresse électronique valable, où vous recevrez un courriel que vous devez conserver, mais de qui vous ne souhaitez plus jamais entendre ou lorsque vous achetez des vendeurs en ligne qui vendront probablement et / ou spamront leur adresse (en particulier ceux qui ne sont pas au courant des lois européennes sur la protection de la vie privée). Au lieu de donner son adresse réelle, un user peut donner l'adresse de la boîte aux lettres, et regarder dans la boîte à lettres seulement quand elle attend quelque chose d'un correspondant (généralement une machine). Quand cela arrive, elle peut l'extraire et l'save dans sa propre collection de courrier. Aucun user n'a besoin de regarder dans la list déroulante à tout autre moment.

J'utilise un certain nombre de techniques qui réduisent le spam à des niveaux acceptables.

Délai d'acceptation des connections à partir de servers mal configurés. La majorité du spam que je reçois provient de Spambots fonctionnant sur un système infecté par un virus malveillant. Presque tous ces éléments ne passent pas la validation rDNS. En retard de 30 secondes avant chaque réponse, la plupart des Spambots abandonnent avant d'avoir transmis leur message. L'application uniquement aux servers échouant rDNS évite de pénaliser les servers correctement configurés. Certains émetteurs légitimes en vrac ou automatiques mal configurés sont pénalisés, mais offrent des timeouts minimes.

La configuration de SPF pour tous vos domaines protège vos domaines. La plupart des sous-domaines ne doivent pas être utilisés pour envoyer un courrier électronique. L'exception principale est les domaines MX qui doivent être en mesure d'envoyer leur propre message. A number of legitimate senders delegate bulk and automated mail to servers that are not permitted by their policy. Deferring rather than rejecting based on SPF allow them to fix their SPF configuration, or you to whitelist them.

Requiring a FQDN (Fully Qualified Domain Name) in the HELO/EHLO command. Spam often uses an unqualified hostname, address literals, ip addresses, or invalid TLD (Top Level Domain). Unfortunately some legitimate senders use invalid TLDs so it may be more appropriate to defer in this case. This can require monitoring and whitelisting to enable the mail through.

DKIM helps with non-repudiation, but is otherwise not highly useful. My experience is that Spam is not likely to be signed. Ham is more likely to be signed so it has some value in Spam scoring. A number of legitimate senders don't publish their public keys, or otherwise improperly configure their system.

Greylisting is helpful for servers which show some signs of misconfiguration. Servers that are properly configured will get through eventually, so I tend to exclude them from greylisting. It is useful to greylist freemailers as they do tend to be used occasionally for Spam. The delay gives some of the Spam filter inputs time to catch the Spammer. It also tends to deflect Spambots as they usually don't retry.

Blacklists and Whitelists can help as well.

  • I have found Spamhaus to be a reliable blacklist.
  • Auto WhiteListing in the Spam filter helps smooth out the rating of frequent senders that are occasionally Spamish, or Spammers who are occasionally Hamish.
  • I find dnsl.org's whitelist useful as well.

Spam filtering software is reasonably good at finding Spam although some will get through. It can be sortingcky getting the false negative to a reasonable level without increasing the false positive too much. I find Spamassassin catches most of the Spam that reaches it. I've added a few custom rules, that fit my needs.

Postmasters should configure the required abuse and postmaster addresses. Acknowledge the feedback you get to these addresses and act on it. This allows other to help you ensure your server is properly configured and not originating Spam.

If you are a developer, use the existing email services rather than setting up your own server. It is my experience that servers setup for automated mail senders are likely to be incorrectly configured. Review the RFCs and send properly formatted email from a legitimate address in your domain.

End users can do a number of things to help reduce Spam:

  • Don't open it. Flag it as Spam or Delete it.
  • Ensure your system is secure and malware free.
  • Monitor your network usage, especially when you aren't using your system. If it generates a lot of network traffic when you aren't using it, it may be sending spam.
  • Turn off your computer when you aren't using it. (It won't be able to generate Spam if its turned off.)

Domain owners / ISPs can help by limiting Internet access on port 25 (SMTP) to official e-mail servers. This will limit the ability of Spambots to send to the Internet. It also helps when dynamic addresses return names which do not pass rDNS validation. Even better is to verify the PTR record for mail servers do pass rDNS valiation. (Verify for typographical errors when configuring PTR records for your clients.)

I have started classifying email in three categories:

  • Ham (almost always from properly configured servers, properly formatted, and commonly personal e-mail.)
  • Spam (Mostly from Spambots, but a certain percentage is from freemailers or other senders with properly configured servers.)
  • Bacn; could be Ham or Spam (Includes a lot of mail from mailing lists and automated systems. Ham usually end up here because of DNS and/or server misconfiguration.)

The SINGLE most effective solution I have seen is to use one of the external mail filtering services.

I have experience with the following services at current clients. I am sure there are others. Each of these has done an excellent job in my experience. The cost is reasonable for all three.

  • Postini from Google
  • MXLogic from McAfee
  • SecureTide from AppRiver

The services have several huge advantages over local solutions.

  1. They stop most (>99%) of the spam BEFORE it hits your internet connection and your email server. Given the volume of spam, this is a lot of data not on your bandwidth and not on your server. I have implemented one of these services a dozen times and every one resulted in a noticeable performance improvement to the email server.

  2. They also do anti-virus filtering, typically both directions. This mitigates the need to have a "mail anti-virus" solution on your server, and also keeps the virii completely

They also do a great job at blocking spam. In 2 years working at a company using MXLogic, I have never has a false positive, and can count the legit spam messages that got through on one hand.

No two mail environments are the same. So building an effective solution will require a lot of sortingal and error around the many different techniques available because the content of email, traffic, software, networks, senders, recipients and a lot more will all vary hugely across different environments.

However I find the following block lists (RBLs) to be well suited for general filtering:

  • dbl.spamhaus.org
  • xbl.spamhaus.org
  • b.barracudacentral.org

As already stated SpamAssassin is a great solution when configured correctly, just make sure to install as many of the addon Perl modules in CPAN as possible as well as Razor, Pyzor and DCC. Postfix works very well with SpamAssassin and it's a lot easier to manage and configure than EXIM for example.

Finally blocking clients at IP level using fail2ban and iptables or similar for short periods of time (say one day to a week) after some events such as sortingggering a hit on an RBL for abusive behavior can also be very effective. Why waste resources talking to a known virus infected host right?

  • Emails va à Junk pour les destinataires de Hotmail
  • Route 53 - Devrais-je dupliquer mes loggings SPF comme loggings TXT?
  • Enregistrement SPF pour Gmail?
  • Hotmail veut que je modifie mon logging SPF
  • Quels sont les loggings SPF corrects pour permettre la livraison locale et Google Apps
  • Plusieurs domaines SPF dans le registre DNS SPF. Pour MX ou pas MX?
  • Comment éviter le rejet des messages en raison de DMARC lorsqu'ils sont envoyés via un alias de Gmail?
  • Le courrier sortant via le server smtp d'isp n'est pas livré
  • Les lists de renvoi et de dissortingbution de hMailServer avec vérification SPF
  • SPF cassé en transférant du côté du destinataire: qu'est ce que?
  • Quel est exactement un en-tête X-YMailISG?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.