Question Combattre le spam - Que puis-je faire en tant qu'administrateur de messagerie électronique, propriétaire de domaine ou utilisateur?


C'est un Question canonique à propos de Fighting Spam.
  Aussi lié:

Il y a tellement de techniques à maîtriser pour combattre le SPAM. Quelles techniques et technologies largement utilisées sont disponibles pour l'administrateur, les propriétaires de domaines et les utilisateurs finaux afin de garder les fichiers indésirables hors de notre boîte de réception?

Nous recherchons une réponse couvrant différentes technologies sous différents angles. La réponse acceptée doit inclure diverses technologies (par exemple, SPF / SenderID, DomainKeys / DKIM, Graylisting, RBL DNS, services de réputation, logiciel de filtrage [SpamAssassin, etc.]); les meilleures pratiques (par exemple, le courrier sur le port 25 ne devrait jamais être autorisé à être relayé, le port 587 doit être utilisé; etc.), la terminologie (par exemple, relais ouvert, rétrodiffusion, MSA / MTA / MUA, spam / jambon) et éventuellement d'autres techniques.


101
2017-08-20 20:30


origine


Que ce soit canonique ou non, ce n’est pas l’endroit idéal pour poser des questions au niveau utilisateur. - John Gardeniers


Réponses:


Pour vaincre votre ennemi, vous devez connaître votre ennemi.

Qu'est-ce que le spam?

Pour nos besoins, le spam est tout message électronique en vrac non sollicité. De nos jours, le spam a pour but d'inciter les utilisateurs non avertis à visiter un site Web (généralement à l'ombre) sur lequel ils seront invités à acheter des produits, à envoyer des programmes malveillants sur leur ordinateur, ou les deux. Certains spams transmettent directement des logiciels malveillants.

Vous serez peut-être surpris d'apprendre que le premier spam a été envoyé en 1864. Il s’agissait d’une publicité pour des services dentaires, envoyée par télégramme Western Union. Le mot lui-même est un référence à un scène dans Le cirque volant de Monthy Python.

Le spam, dans ce cas, ne ne pas fait référence au trafic des listes de diffusion auquel un utilisateur s'est abonné, même s'il a changé d'avis plus tard (ou l'a oublié), mais qu'il n'a pas encore été désabonné.

Pourquoi le spam est-il un problème?

Le spam est un problème parce que ça marche pour les spammeurs. Le spam génère généralement plus que suffisamment de ventes (ou de diffusion de logiciels malveillants, ou les deux) pour couvrir les frais - au spammeur - de l’envoyer. Le polluposteur ne considère pas les coûts pour le destinataire, vous et vos utilisateurs. Même si une infime minorité d'utilisateurs recevant du spam y répondent, c'est suffisant.

Vous devez donc payer les factures de bande passante, de serveurs et de temps d’administrateur pour traiter le spam entrant.

Nous bloquons le spam pour ces raisons: nous ne voulons pas le voir, pour réduire nos coûts de traitement du courrier électronique et pour rendre le spam plus coûteux pour les spammeurs.

Comment fonctionne le spam?

Le spam est généralement envoyé de différentes manières par rapport au courrier électronique normal et légitime.

Les spammeurs veulent presque toujours masquer l'origine du courrier électronique. Un spam classique contient donc de fausses informations d'en-tête. le From: l'adresse est généralement fausse. Certains spams incluent des faux Received: lignes pour tenter de dissimuler le sentier. Une grande partie du courrier indésirable provient de relais SMTP ouverts, de serveurs proxy ouverts et de réseaux de zombies. Toutes ces méthodes rendent plus difficile la détermination du créateur du spam.

Une fois dans la boîte de réception de l'utilisateur, le spam a pour but d'inciter l'utilisateur à consulter le site Web annoncé. Là, l'utilisateur sera incité à effectuer un achat ou le site tentera d'installer un logiciel malveillant sur son ordinateur, ou les deux. Sinon, le spam demandera à l'utilisateur d'ouvrir une pièce jointe contenant des logiciels malveillants.

Comment puis-je arrêter le spam?

En tant qu'administrateur système d'un serveur de messagerie, vous allez configurer votre serveur de messagerie et votre domaine afin qu'il soit plus difficile pour les spammeurs de transmettre leur courrier indésirable à vos utilisateurs.

Je traiterai de questions spécifiquement axées sur le spam et pourrai ignorer des éléments qui ne sont pas directement liés au spam (tels que le cryptage).

Ne pas courir un relais ouvert

Le grand serveur de messagerie est de lancer un relais ouvert, un serveur SMTP qui accepte le courrier pour n’importe quelle destination et le remet ensuite. Les spammeurs adorent les relais ouverts car ils garantissent pratiquement la livraison. Ils se chargent de remettre des messages (et de réessayer!) Pendant que le polluposteur fait autre chose. Ils font du spam pas cher.

Les relais ouverts contribuent également au problème de la rétrodiffusion. Ce sont des messages qui ont été acceptés par le relais mais qui ont ensuite été jugés non distribuables. Le relais ouvert enverra alors un message de rebond au From: adresse qui contient une copie du spam.

  • Configurez votre serveur de messagerie pour accepter le courrier entrant sur le port 25 uniquement pour vos propres domaines. Pour la plupart des serveurs de messagerie, il s'agit du comportement par défaut, mais vous devez au moins indiquer au serveur de messagerie quels sont vos domaines.
  • Testez votre système en envoyant à votre serveur SMTP un courrier extérieur au réseau où les deux From: et To: les adresses ne sont pas dans votre domaine. Le message devrait être rejeté. (Ou utilisez un service en ligne comme Boîte à outils MX effectuer le test, mais sachez que certains services en ligne soumettront votre adresse IP à des listes noires si votre serveur de messagerie échoue au test.)

Rejeter tout ce qui semble trop suspect

Diverses erreurs de configuration et erreurs peuvent indiquer qu'un message entrant risque d'être du spam ou d'être illégitime.

  • Marquer comme spam ou rejeter les messages pour lesquels l'adresse IP n'a pas de DNS inversé (enregistrement PTR). Traitez le manque d'enregistrement PTR plus sévèrement pour les connexions IPv4 que pour les connexions IPv6, car de nombreuses adresses IPv6 n'ont pas encore de DNS inversé et pourraient ne pas l'être avant plusieurs années, jusqu'à ce que le logiciel du serveur DNS puisse mieux gérer ces zones potentiellement très étendues.
  • Rejeter les messages pour lesquels le nom de domaine dans les adresses d'expéditeur ou de destinataire n'existe pas.
  • Rejetez les messages qui n'utilisent pas de noms de domaine pleinement qualifiés pour les domaines de l'expéditeur ou du destinataire, à moins qu'ils ne proviennent de votre domaine et ne soient destinés à être remis dans votre domaine (par exemple, des services de surveillance).
  • Rejeter les connexions lorsque l'autre extrémité n'envoie pas de message. HELO/EHLO.
  • Rejeter les connexions où le HELO/EHLO est:
    • pas un nom de domaine complet ni une adresse IP
    • manifestement faux (par exemple, votre propre espace d'adressage IP)
  • Rejetez les connexions qui utilisent un pipeline sans y être autorisées.

Authentifiez vos utilisateurs

Le courrier arrivant sur vos serveurs doit être considéré en termes de courrier entrant et sortant. Le courrier entrant est tout courrier arrivant sur votre serveur SMTP qui est finalement destiné à votre domaine. courrier sortant est tout courrier arrivant sur votre serveur SMTP qui sera transféré ailleurs avant d'être remis (par exemple, il va dans un autre domaine). Le courrier entrant peut être traité par vos filtres antispam et peut provenir de n’importe où, mais doit toujours être destiné à vos utilisateurs. Ce courrier ne peut pas être authentifié, car il n'est pas possible de donner des informations d'identification à tous les sites susceptibles de vous envoyer du courrier.

Courrier sortant, c'est-à-dire le courrier qui sera relayé, doit être authentifié. C’est le cas, qu’il provienne d’Internet ou de votre réseau (vous devez toutefois limiter les plages d’adresses IP autorisées à utiliser votre serveur de courrier si cela est possible sur le plan opérationnel); c'est parce que les spambots peuvent être en cours d'exécution à l'intérieur de votre réseau. Donc, configurez votre serveur SMTP de sorte que le courrier lié à d’autres réseaux soit supprimé (l’accès au relais sera refusé) à moins que ce courrier ne soit authentifié. Mieux encore, utilisez des serveurs de messagerie distincts pour le courrier entrant et sortant, n'autorisez aucun relais pour les messages entrants et n'autorisez aucun accès non authentifié à ceux sortants.

Si votre logiciel le permet, vous devez également filtrer les messages en fonction de l'utilisateur authentifié. si l'adresse de l'expéditeur du courrier ne correspond pas à l'utilisateur qui s'est authentifié, il doit être rejeté. Ne mettez pas à jour silencieusement l'adresse de départ; l'utilisateur doit être conscient de l'erreur de configuration.

Vous devez également enregistrer le nom d'utilisateur utilisé pour envoyer le courrier ou lui ajouter un en-tête d'identification. De cette façon, si des abus se produisent, vous avez des preuves et vous savez quel compte a été utilisé pour le faire. Cela vous permet d'isoler les comptes compromis et les utilisateurs problématiques, ce qui est particulièrement utile pour les fournisseurs d'hébergement partagé.

Filtrer le trafic

Vous voulez être certain que le courrier quittant votre réseau est bien envoyé par vos utilisateurs (authentifiés), et non par des robots ou des personnes extérieures. Les détails de cette opération dépendent du type de système que vous administrez.

En règle générale, bloquer le trafic de sortie sur les ports 25, 465 et 587 (SMTP, SMTP / SSL et Soumission) pour tout, à l'exception de vos serveurs de messagerie sortants, est une bonne idée si vous êtes un réseau d'entreprise. Cela empêche les robots malveillants de votre réseau d'envoyer des spams depuis votre réseau pour ouvrir des relais sur Internet ou directement au MTA final pour obtenir une adresse.

Les hotspots constituent un cas particulier, car leur courrier légitime provient de nombreux domaines, mais (à cause de SPF, entre autres), un serveur de courrier "forcé" est inapproprié et les utilisateurs doivent utiliser le serveur SMTP de leur propre domaine pour envoyer du courrier. Ce cas est beaucoup plus difficile, mais l'utilisation d'une adresse IP publique ou publique spécifique pour le trafic Internet provenant de ces hôtes (afin de protéger la réputation de votre site), la limitation du trafic SMTP et l'inspection approfondie des paquets sont des solutions à envisager.

Historiquement, les spambots ont émis des spams principalement sur le port 25, mais rien ne les empêche d'utiliser le port 587 dans le même but. Par conséquent, la modification du port utilisé pour le courrier entrant a une valeur douteuse. Toutefois, l'utilisation du port 587 pour l'envoi de courrier est recommandée par RFC 2476, et permet de séparer l'envoi de courrier (vers le premier agent MTA) et le transfert de courrier (entre agents MTA) lorsque cela n'est pas évident depuis la topologie du réseau; Si vous avez besoin d'une telle séparation, vous devriez le faire.

Si vous êtes un fournisseur de services Internet, un hôte VPS, un fournisseur de colocation ou similaire, ou si vous fournissez un hotspot à l'usage des visiteurs, le blocage du trafic SMTP en sortie peut poser problème aux utilisateurs qui envoient des messages en utilisant leur propre domaine. Dans tous les cas, sauf un point d'accès public, vous devez obliger les utilisateurs ayant besoin d'un accès SMTP sortant, car ils exécutent un serveur de messagerie, à le demander spécifiquement. Dites-leur que les plaintes pour abus entraîneront en fin de compte la résiliation de l'accès afin de protéger votre réputation.

Les adresses IP dynamiques, et celles utilisées pour l'infrastructure de bureau virtuel, ne doivent jamais disposer d'un accès SMTP sortant, à l'exception du serveur de messagerie spécifique que ces noeuds sont censés utiliser. Ces types d'IP devrait également apparaître sur les listes noires et vous ne devriez pas essayer de construire une réputation pour eux. En effet, il est extrêmement improbable qu’ils exécutent un MTA légitime.

Pensez à utiliser SpamAssassin

SpamAssassin est un filtre de messagerie qui peut être utilisé pour identifier le spam en fonction des en-têtes et du contenu du message. Il utilise un système de scoring basé sur des règles pour déterminer la probabilité qu'un message soit du spam. Plus le score est élevé, plus le message est susceptible d'être un spam.

SpamAssassin dispose également d’un moteur bayésien capable d’analyser les échantillons de spam et de courrier indésirable (courrier électronique légitime) renvoyés.

Il est recommandé à SpamAssassin de ne pas rejeter le courrier, mais de le placer dans un dossier de courrier indésirable ou spam. Des MUA (agents d'utilisateurs de messagerie) tels qu'Outlook et Thunderbird peuvent être configurés pour reconnaître les en-têtes ajoutés par SpamAssassin aux courriers électroniques et pour les archiver de manière appropriée. Des faux positifs peuvent se produire et se produisent, et même s’ils sont rares, quand cela arrivera au PDG, vous en entendrez parler. Cette conversation ira beaucoup mieux si le message était simplement envoyé dans le dossier des indésirables plutôt que d'être rejeté.

SpamAssassin est presque unique, bien que quelques alternatives existent.

  • Installez SpamAssassin et configurez la mise à jour automatique pour ses règles en utilisant sa-update.
  • Pensez à utiliser règles personnalisées le cas échéant.
  • Envisager la mise en place Filtrage bayésien.

Envisagez d'utiliser des listes de trous noirs et des services de réputation basés sur DNS

Les DNSBL (anciennement appelés RBL ou listes noires en temps réel) fournissent des listes d'adresses IP associées à du spam ou à une autre activité malveillante. Celles-ci sont gérées par des tiers indépendants en fonction de leurs propres critères. Par conséquent, recherchez avec soin si les critères de liste et de radiation utilisés par un DNSBL sont compatibles avec le besoin de votre organisation de recevoir des courriers électroniques. Par exemple, quelques DNSBL ont des politiques draconiennes de suppression de la liste, ce qui rend très difficile la suppression du nom d’une personne figurant accidentellement sur la liste. D'autres personnes se retirent automatiquement de la liste après que l'adresse IP n'ait pas envoyé de spam pendant une période donnée, ce qui est plus sûr. La plupart des DNSBL sont libres d'utilisation.

Les services de réputation sont similaires, mais prétendent fournir de meilleurs résultats en analysant plus de données pertinentes pour une adresse IP donnée. La plupart des services de réputation nécessitent un paiement par abonnement ou un achat de matériel, ou les deux.

Il existe des dizaines de services de réputation et de DNSBL disponibles, bien que certains des plus connus et des plus utiles que j'utilise et que je recommande soient:

Listes conservatrices:

Listes agressives:

Comme mentionné précédemment, plusieurs dizaines d’autres sont disponibles et peuvent répondre à vos besoins. Un de mes trucs préférés est de chercher l'adresse IP qui a envoyé un spam qui a traversé plusieurs DNSBL pour voir lequel d'entre eux l'aurait rejeté.

  • Pour chaque service DNSBL et de réputation, examinez ses stratégies en matière de liste et de suppression d'adresses IP et déterminez si elles sont compatibles avec les besoins de votre organisation.
  • Ajoutez le DNSBL à votre serveur SMTP lorsque vous avez décidé qu'il est approprié d'utiliser ce service.
  • Pensez à attribuer à chaque DNSBL un score et en le configurant dans SpamAssassin plutôt que votre serveur SMTP. Cela réduit l'impact d'un faux positif; un tel message serait transmis (éventuellement à Junk / Spam) au lieu d'être renvoyé. Le compromis est que vous allez livrer un lot de spam.
  • Vous pouvez également rejeter directement lorsque l'adresse IP figure sur l'une des listes les plus conservatrices et configurer les listes les plus agressives dans SpamAssassin.

Utilisez SPF

SPF (Sender Policy Framework); RFC 4408 et RFC 6652) est un moyen d'empêcher l'usurpation d'adresse électronique en indiquant quels hôtes Internet sont autorisés à remettre du courrier pour un nom de domaine donné.

  • Configurez votre DNS pour déclarer un enregistrement SPF avec vos serveurs de courrier sortant autorisés et -all rejeter tous les autres.
  • Configurez votre serveur de messagerie pour vérifier les enregistrements SPF du courrier entrant, s’ils existent, et rejetez les messages qui échouent à la validation SPF. Ignorez cette vérification si le domaine ne possède pas d'enregistrements SPF.

Enquêter sur DKIM

DKIM (DomainKeys Identified Mail); RFC 6376) est une méthode d’incorporation de signatures numériques dans des messages qui peut être vérifiée à l’aide de clés publiques publiées dans le DNS. Il est brevetée aux États-Unis, ce qui a ralenti son adoption. Les signatures DKIM peuvent également être rompues si un message est modifié en transit (les serveurs SMTP, par exemple, peuvent parfois remballer des messages MIME).

  • Pensez à signer votre courrier sortant avec des signatures DKIM, mais sachez que les signatures peuvent ne pas toujours se vérifier correctement, même sur un courrier légitime.

Pensez à utiliser des listes grises

La mise en liste grise est une technique dans laquelle le serveur SMTP émet un rejet temporaire pour un message entrant, plutôt qu'un rejet permanent. Lorsque la remise est réessayée dans quelques minutes ou quelques heures, le serveur SMTP acceptera alors le message.

Les listes grises peuvent arrêter certains logiciels de spam qui ne sont pas assez robustes pour faire la différence entre les rejets temporaires et permanents, mais n'aident pas le spam envoyé à un relais ouvert ou à un logiciel de spam plus robuste. Il introduit également des retards de livraison que les utilisateurs ne tolèrent pas toujours.

  • Envisagez d'utiliser la mise en liste verte uniquement dans des cas extrêmes, car cela perturberait considérablement le trafic de messagerie légitime.

Pensez à utiliser nolisting

Nolisting est une méthode de configuration de vos enregistrements MX de telle sorte que l'enregistrement le plus prioritaire (numéro de préférence le plus bas) ne comporte pas de serveur SMTP en cours d'exécution. Cela repose sur le fait qu'un grand nombre de logiciels de courrier indésirable n'essayent que le premier enregistrement MX, tandis que les serveurs SMTP légitimes testent tous les enregistrements MX par ordre de préférence croissant. Certains logiciels de spam tentent également d’envoyer directement à l’enregistrement MX le plus prioritaire (numéro de préférence le plus élevé), en violation de RFC 5321, de sorte que cela puisse également être défini sur une adresse IP sans serveur SMTP. Cela est considéré comme sûr, bien que comme pour toute chose, vous devriez tester soigneusement d'abord.

  • Envisagez de définir votre enregistrement MX de priorité la plus élevée pour qu'il pointe vers un hôte qui ne répond pas sur le port 25.
  • Envisagez de définir votre enregistrement MX de priorité la plus basse pour qu'il pointe vers un hôte qui ne répond pas sur le port 25.

Envisager un appareil de filtrage anti-spam

Placez un dispositif de filtrage de courrier indésirable tel que Cisco IronPort ou Pare-feu Barracuda Spam & Virus (ou d’autres appareils similaires) devant votre serveur SMTP existant afin de réduire le travail nécessaire à la réduction du spam que vous recevez. Ces appliances sont préconfigurées avec les DNSBL, les services de réputation, les filtres Bayesiens et les autres fonctionnalités que j'ai décrites, et sont régulièrement mises à jour par leurs fabricants.

  • Recherchez le matériel et les coûts d'abonnement du dispositif de filtrage anti-spam.

Considérer les services de messagerie hébergés

Si c'est trop pour vous (ou votre personnel informatique surchargé de travail), vous pouvez toujours faire appel à un fournisseur de services tiers pour gérer votre courrier électronique. Des services tels que Google Postini, Symantec MessageLabs Email Security (ou autres) filtrera les messages pour vous. Certains de ces services peuvent également gérer des exigences réglementaires et légales.

  • Recherche des coûts d'abonnement au service de messagerie hébergé.

Quelles instructions les administrateurs système doivent-ils donner aux utilisateurs finaux en matière de lutte contre le spam?

La première chose à faire par les utilisateurs finaux pour lutter contre le spam est la suivante:

  • NE PAS RÉPONDRE AU SPAM.

    Si cela semble drôle, ne cliquez pas sur le lien du site Web et n'ouvrez pas la pièce jointe. Peu importe à quel point l'offre semble attrayante. Ce viagra n’est pas si bon marché, vous n’allez pas vraiment avoir de photos nues de qui que ce soit, et il n’ya pas 15 millions de dollars au Nigeria ou ailleurs, sauf pour l'argent pris auprès des personnes qui fait répondre au spam.

  • Si vous voyez un message spam, marquez-le comme indésirable ou spam en fonction de votre client de messagerie.

  • NE PAS marquer un message comme indésirable / spam si vous vous êtes réellement inscrit pour recevoir les messages et que vous souhaitez simplement ne plus les recevoir. Désabonnez-vous de la liste de diffusion en utilisant la méthode de désinscription fournie.

  • Vérifiez votre dossier de courrier indésirable / spam régulièrement pour voir si des messages légitimes sont passés. Marquez-les comme non indésirables et non spams et ajoutez l'expéditeur à vos contacts pour éviter que leurs messages ne soient marqués comme spam à l'avenir.


93
2017-08-20 23:02



@ MichaelHampton: UCEPROTECT est une organisation louche. - InternetSeriousBusiness
@ Stephane Si vous ne pouvez pas configurer / modifier l'enregistrement PTR, vous ne contrôlez pas l'adresse IP. Il n'y a rien de mal à rejeter le courrier en fonction de cela. - Michael Hampton♦
@ewwhite C'est assez draconien et 3 semaines, c'est assez ridicule. Mais rejeter le courrier lorsqu'il n'y a pas d'enregistrement PTR est assez courant, alors je suis sûr qu'ils ont toutes sortes de problèmes. - Michael Hampton♦
Le rejet est courant mais j’affirme que c’est à la fois inutile et inutile. En fait, j'ai rapidement vérifié mes propres statistiques de spam. Il s'avère que le nombre de spams provenant d'IP sans inversion est inférieur à 5%, ce qui semble être à peu près le même nombre que ce que je vois dans l'ensemble. Connexions SMTP. D'où ma conclusion: c'est une restriction inutile. - Stephane
Quelles preuves avez-vous pour justifier votre affirmation selon laquelle il est inefficace? Mes journaux montrent qu'il est extrêmement efficace pour la présélection du courrier électronique. Un certain nombre de personnes que je connais ont des expériences similaires. - Chris S


Au fil des ans, j'ai géré plus de 100 environnements de messagerie distincts et utilisé de nombreux processus pour réduire ou éliminer le spam.

La technologie a évolué au fil du temps. Cette réponse décrira certaines des choses que j'ai essayées dans le passé et détaillera la situation actuelle.

Quelques réflexions sur la protection ...

  • Vous souhaitez protéger le port 25 de votre serveur de messagerie entrant contre toute modification relais ouvert, où tout le monde peut envoyer du courrier via votre infrastructure. Ceci est indépendant de la technologie de serveur de messagerie que vous utilisez éventuellement. Les utilisateurs distants doivent utiliser un autre port de soumission et une forme d'authentification requise pour relayer le courrier. Le port 587 ou le port 465 sont les alternatives courantes à 25.
  • Le cryptage est également un atout. Une grande partie du trafic de courrier est envoyé en clair. Nous en sommes maintenant au point où la plupart des systèmes de messagerie peuvent prendre en charge une forme de cryptage; un événement l'attend.
  • Ce sont des approches plus proactives pour prévenir votre site de messagerie d'être classé comme une source de spam ...

En ce qui concerne les spams entrants ...

  • Liste grise était une approche intéressante pour une courte période. Forcer un rejet / retard temporaire dans l'espoir qu'un spammeur se déconnecte et évite l'exposition ou le temps et les ressources nécessaires pour remettre en file d'attente les messages. Cela a eu pour effet des retards imprévisibles dans la livraison du courrier, ne fonctionnait pas bien avec le courrier provenant de grandes batteries de serveurs et les spammeurs ont finalement mis au point des solutions de contournement. Le pire impact a été de briser les attentes des utilisateurs en matière de livraison rapide du courrier.
  • Plusieurs relais MX ont encore besoin de protection. Certains spammeurs essaieraient d’envoyer à un MX de secours ou de priorité inférieure dans l’espoir de disposer d’un filtrage moins robuste.
  • Listes noires en temps réel (RBL / DNSBL) - Ces références référencent des bases de données gérées de manière centralisée pour vérifier si un serveur d'envoi est répertorié. Une forte dépendance à l'égard des RBL s'accompagne de réserves. Certains n'étaient pas aussi réputés que d'autres. Les offres de Spamhaus ont toujours été bons pour moi. D'autres, comme SORBS, ont une mauvaise approche de la liste des adresses IP et bloquent souvent les courriels légitimes. Cela a parfois été assimilé à un complot d'extorsion, car le retrait de la cote implique souvent des $$$.
  • Cadre de politique de l'expéditeur (SPF) - Fondamentalement, un moyen de s'assurer qu'un hôte donné est autorisé à envoyer un courrier pour un domaine particulier, tel que défini par un enregistrement DNS TXT. C’est une bonne pratique de créer des enregistrements SPF pour votre courrier sortant, mais une mauvaise exigercela depuis les serveurs qui vous envoient.
  • Clés de domaine - Pas d'utilisation répandue ... pour le moment.
  • Suppression de rebond - Empêchez le courrier non valide d'être renvoyé à sa source. Certains spammeurs essaient de voir quelles adresses sont réelles / valables en analysant rétrodiffusion créer une carte d'adresses utilisables.
  • Contrôles DNS / PTR inversés - Vérifiez qu'un serveur d'envoi dispose d'un enregistrement PTR inversé valide. Il n'est pas nécessaire que cela corresponde au domaine d'origine, car il est possible de mapper plusieurs domaines en un hôte. Mais il est bon de déterminer la propriété d'un espace IP et de déterminer si le serveur d'origine fait partie d'un bloc IP dynamique (par exemple, le réseau local large bande - lecture: spambots compromis).
  • Filtrage du contenu - (non fiable) - Essayer de contrer les permutations de "(Viagra, v \ | agra, viagra, vilgra.)" Prend beaucoup de temps à l'administrateur et ne s'adapte pas dans un environnement plus vaste.
  • Filtrage bayésien - Des solutions de spam plus avancées permettent une formation globale ou par utilisateur du courrier. Lisez l'article lié sur les heuristiques, mais le point principal est que le courrier peut être classé manuellement bon (Ham) ou mauvais (spam). Les messages résultants alimentent une base de données bayésienne pouvant être référencée afin de déterminer la catégorisation des messages futurs. Généralement, cela est associé à un score de spam ou à une pondération de spam et peut faire partie d'une poignée de techniques utilisées pour déterminer si un message doit être remis.
  • Contrôle du taux / limitation - Approche simple. Limitez le nombre de messages qu'un serveur peut tenter de transmettre dans un délai donné. Reporter tous les messages dépassant ce seuil. Ceci est généralement configuré du côté du serveur de messagerie.
  • Filtrage hébergé et en nuage. Postini vient à l'esprit, car c'était un nuage solution avant nuage était un mot à la mode. Maintenant détenue par Google, la force d’une solution hébergée réside dans les économies d’échelle inhérentes au traitement du volume de courrier rencontré. L'analyse des données et une portée géographique simple peuvent aider une solution de filtrage de courrier indésirable hébergée à s'adapter aux tendances. L'exécution est simple, cependant. 1). Pointez votre enregistrement MX vers la solution hébergée, 2). fournir une adresse de livraison de serveur de post-filtrage. 3) Profit.

Mon approche actuelle:

Je suis un ardent défenseur des solutions de spam basées sur les appareils. Je veux rejeter au périmètre du réseau et enregistrer les cycles de processeur au niveau du serveur de messagerie. L'utilisation d'une appliance offre également une certaine indépendance par rapport à la solution réelle du serveur de messagerie (agent de distribution du courrier).

je recommande Appareils Barracuda Spam Filter Pour plusieurs raisons. J'ai déployé plusieurs douzaines d'unités et l'interface Web, la mentalité industrielle et la nature des appareils configurés et oubliés en font un produit gagnant. La technologie de base intègre de nombreuses techniques énumérées ci-dessus.

  • Je bloque le port 25 sur l'adresse IP de mon serveur de messagerie et je mets à la place l'enregistrement MX du domaine sur l'adresse publique du dispositif Barracuda - par exemple. spam.domaine.com. Le port 25 sera ouvert pour la livraison du courrier.
  • Le noyau est SpamAssassin- doté d'une interface simple avec un journal de messages (et une base de données bayésienne) pouvant être utilisé pour classer les bons messages parmi les mauvais pendant une période de formation initiale.
  • Barracuda utilise plusieurs RBL par défaut, y compris ceux de Spamhaus.orget leur propre Base de données de réputation de BRBL. Noter la BRBL est utilisable gratuitement en tant que RBL standard pour d'autres systèmes de messagerie.
  • La base de données de réputation Barracuda est compilée à partir de données en temps réel, de pots de miel, d'analyses à grande échelle et de nombreuses techniques exclusives. Il a une liste blanche et une liste de blocage enregistrées. Les expéditeurs de courrier à fort volume et à haute visibilité s'enregistrent souvent auprès de Barracuda pour une mise en liste blanche automatique. Les exemples incluent Blackberry, Contact constant, etc.
  • Les vérifications SPF peuvent être activées (je ne les active pas, cependant).
  • Il existe une interface pour examiner le courrier et le remettre à nouveau à partir du cache de messagerie de l'appliance en fonction des besoins. Ceci est utile dans les cas où un utilisateur attendait un message qui n’aurait peut-être pas passé tous les tests anti-spam.
  • La vérification des utilisateurs LDAP / Active Directory permet d’accélérer la détection des destinataires de courrier non valides. Cela économise de la bande passante et empêche rétrodiffusion.
  • IP / adresse de l'expéditeur / domaine / pays d'origine peuvent tous être configurés. Si je veux refuser tout courrier provenant de suffixes de domaines italiens, c'est possible. Si je veux empêcher le courrier d'un domaine particulier, il est facile à configurer. Si je veux bloquer un utilisateur harceleur d'envoyer un courrier électronique à l'utilisateur, c'est faisable (histoire vraie).
  • Barracuda fournit un certain nombre de rapports prédéfinis et un bon affichage visuel du statut de l'appliance et des mesures de spam.
  • J'aime disposer d'une appliance sur site pour conserver ce traitement en interne et éventuellement disposer d'une connexion de journalisation du courrier électronique après filtrage (dans les environnements où la conservation du courrier est nécessaire).
  • Plus L’appareil peut résider dans un infrastructure virtualisée.

Console d'état Barracuda Spam & Virus Firewall 300 enter image description here


Nouvelle approche:

J'ai expérimenté Service de sécurité de messagerie basé sur le cloud de Barracuda au cours du dernier mois. Cette solution est similaire aux autres solutions hébergées, mais convient parfaitement aux sites plus petits, où une appliance coûteuse est trop coûteuse. Pour un coût annuel minime, ce service fournit environ 85% de ce que fait l'appliance matérielle. Le service peut également être exécuté en parallèle avec une appliance sur site afin de réduire la bande passante entrante et de fournir une couche de sécurité supplémentaire. C'est aussi un bon tampon qui peut spooler le courrier en cas de panne du serveur. Les analyses sont toujours utiles, bien qu’elles ne soient pas aussi détaillées que celles d’une unité physique.

Console Barracuda Cloud Email Security enter image description here

Dans l’ensemble, j’ai essayé de nombreuses solutions, mais compte tenu de l’ampleur de certains environnements et des exigences croissantes de la base d’utilisateurs, je souhaite la ou les solutions les plus élégantes disponibles. Il est certes possible d’adopter l’approche à plusieurs volets et de «rouler vous-même», mais j’ai bien réussi avec une sécurité de base et une surveillance efficace du dispositif Barracuda. Les utilisateurs sont très satisfaits du résultat.

Remarque: Cisco Ironport C'est super aussi ... Juste plus coûteux.


27
2017-08-23 14:08





En partie, j'approuve ce que d'autres ont dit; en partie, je ne.

Spassassin

Cela fonctionne très bien pour moi, mais vous devez passer un peu de temps à former le filtre bayésien. avec du jambon et du spam.

Liste grise

ewwhite peut penser que sa journée est passée et passée, mais je ne peux pas accepter. Un de mes clients a demandé quelle était l'efficacité de mes différents filtres. Voici donc les statistiques approximatives de juillet 2012 pour mon serveur de courrier personnel:

  • 46 000 messages de livraison tentée
  • 1750 obtenu par le biais de listes grises
  • 250 par le biais de listes grises + spamassassin formés

Donc, environ 44 000 n’a jamais réussi à passer au crible; Si je n'avais pas eu de liste grise et si j'avais accepté tous ceux-là, ils auraient tous eu besoin d'un filtrage anti-spam, tous utilisant le processeur et la mémoire, ainsi que de la bande passante.

modifier: comme cette réponse semble avoir été utile à certaines personnes, j'ai pensé mettre les statistiques à jour. J'ai donc relancé l'analyse sur les journaux de messagerie de janvier 2015, 2,5 ans plus tard.

  • 115 500 messages de tentatives de remise
  • 13 300 obtenus via la liste grise (et quelques contrôles de base élémentaires, par exemple un domaine d'expéditeur valide)
  • 8 500 obtenus par le biais de listes grises + spamassassin formés

Les chiffres ne sont pas directement comparables car je ne sais plus comment je suis arrivé aux chiffres de 2012 et je ne peux donc pas être sûr que les méthodologies étaient identiques. Mais je suis persuadé que je n'avais pas besoin de recourir à un filtrage antispam onéreux sur une quantité énorme de contenu à l'époque, et je ne le fais toujours pas, en raison de la mise en liste grise.

SPF

Ce n'est pas vraiment une technique anti-spam, mais cela peut réduire la quantité de rétrodiffusion que vous devez traiter, si vous êtes joe-jobbed. Vous devez l’utiliser à la fois en entrée et en sortie, c’est-à-dire: vérifiez l’enregistrement SPF de l’expéditeur pour les e-mails entrants et acceptez / rejetez en conséquence. Vous devez également publier vos propres enregistrements SPF, en répertoriant complètement toutes les machines autorisées à envoyer du courrier en tant que vous, et verrouiller tous les autres avec -all. Enregistrements SPF qui ne finissent pas par -all sont complètement inutiles.

Listes Blackhole

Les RBL sont problématiques, car on peut y accéder sans aucune faute de leur part et il peut être difficile de s'en sortir. Néanmoins, ils ont un usage légitime dans la lutte contre le spam mais Je suggérerais fortement qu'aucune RBL ne devrait jamais être utilisée comme un test positif pour l'acceptation du courrier. Spamassassin gère les RBL de manière beaucoup plus efficace, en en utilisant plusieurs, chacun contribuant à un score total. C’est ce score qui rend la décision d’accepter / de rejeter une erreur importante.

Dropbox

Je ne parle pas du service commercial, je veux dire que mon serveur de messagerie a une adresse qui coupe toutes mes listes grises et mes filtres anti-spam, mais qui, au lieu d'être livrée à la boîte de réception de quelqu'un, est dirigée vers un dossier enregistrable dans le monde entier. /var, qui est automatiquement élagué tous les soirs de tous les courriels de plus de 14 jours.

J'encourage tous les utilisateurs à en profiter, par exemple en remplissant des formulaires de courrier électronique qui nécessitent une adresse électronique valide, sur lesquels vous allez recevoir un courrier électronique que vous devez conserver, mais que vous ne souhaitez plus jamais entendre, ou lors de l'achat. provenant de fournisseurs en ligne susceptibles de vendre et / ou de spammer leur adresse (en particulier ceux qui ne sont pas soumis aux lois européennes sur la protection des données). Au lieu de donner sa véritable adresse, un utilisateur peut donner l'adresse de la boîte de dépôt et regarder dans celle-ci uniquement lorsqu'il attend quelque chose d'un correspondant (généralement une machine). Quand il arrive, elle peut le récupérer et le sauvegarder dans sa propre collection de courrier. Aucun utilisateur n'a besoin de regarder dans la liste déroulante à tout autre moment.


23
2017-08-21 03:10



J'aime beaucoup l'idée d'une adresse de dépôt. - blalor
Greylisting est une solution "égoïste"; cela retarde beaucoup de courrier légitime, et à mesure que de plus en plus de serveurs de messagerie le déploient, de plus en plus de spammeurs veilleront à ce que leur courrier indésirable leur soit résistant. En fin de compte, nous perdons. Je recommanderais la liste grise pour les petits déploiements et fortement recommander contre elle pour les déploiements plus importants. Considérer le bâillement au lieu. Milter-Greylist peut faire soit. - Adam Katz
@AdamKatz c'est certainement un point de vue. Je ne sais pas comment les spammeurs sont supposés rendre leur spam robuste au greylisting sans abandonner le spam "feu-et-oublier", auquel cas, tâche accomplie - par opposition à la suppression de la fraude, qui ne nécessite qu'une légère amélioration du code des zombies. Mais je ne suis pas d'accord avec vous à propos de l'égoïsme. Lorsque le compromis est expliqué (si vous souhaitez que le courrier électronique en temps réel des correspondants irréguliers augmente, le budget du courrier et des communications est multiplié par vingt), la plupart préfèrent le délai. - MadHatter
@AdamKatz note également que ma "boîte de dépôt", ci-dessus, n'est pas touchée par la liste de blocage. Ainsi, tout utilisateur ayant désespérément besoin de recevoir en temps voulu un courrier électronique pré-organisé dispose d'une solution de contournement automatique: il sait donner l'adresse "immédiate" et surveille la liste déroulante jusqu'à la réception de l'élément en question. - MadHatter
@AdamKatz puisque ma liste grise insiste sur un écart de 10 minutes entre la première tentative et les tentatives de livraison réussies, la pause de plus de 15 minutes ne constitue pas une contrainte majeure. En ce qui concerne les attentes des utilisateurs, celles-ci peuvent (et doivent bien sûr) être gérées, tout comme les autres. Le reste de votre argument est beaucoup plus convaincant - vous pourriez peut-être ajouter votre propre réponse en présentant des chiffres concrets sur l'efficacité de la prévention du risque de fraude dans vos déploiements? Nous pouvons théoriser sur l'efficacité relative attendue pour toujours, mais les données sont beaucoup plus éclairantes - nullius in verba! - MadHatter


J'utilise plusieurs techniques qui réduisent le spam à des niveaux acceptables.

Retarder l'acceptation des connexions de serveurs mal configurés. La majorité du spam que je reçois provient de Spambots s'exécutant sur un système infecté par des logiciels malveillants. Presque tous ne passent pas la validation rDNS. Si vous attendez environ 30 secondes avant chaque réponse, la plupart des Spambots abandonnent avant d'avoir remis leur message. L'application de cette option uniquement aux serveurs sur lesquels rDNS échoue évite de pénaliser des serveurs correctement configurés. Certains expéditeurs légitimes ou automatisés légitimes mal configurés sont pénalisés, mais livrent dans un délai minimal.

La configuration de SPF pour tous vos domaines protège vos domaines. La plupart des sous-domaines ne doivent pas être utilisés pour envoyer des courriels. La principale exception concerne les domaines MX qui doivent pouvoir envoyer eux-mêmes des messages. Un certain nombre d'expéditeurs légitimes délèguent des courriers en nombre et automatisés à des serveurs non autorisés par leur stratégie. Le report plutôt que le rejet basé sur SPF leur permet de corriger leur configuration SPF ou vous permet de les ajouter à la liste blanche.

Exiger un nom de domaine complet (nom de domaine pleinement qualifié) dans la commande HELO / EHLO. Le spam utilise souvent un nom d’hôte non qualifié, des littéraux d’adresse, des adresses IP ou des TLD non valides (domaine de premier niveau). Malheureusement, certains expéditeurs légitimes utilisent des TLD non valides. Il peut donc être préférable de différer dans ce cas. Cela peut nécessiter une surveillance et une liste blanche pour activer le courrier.

DKIM aide à la non-répudiation, mais n'est par ailleurs pas très utile. D'après mon expérience, il est peu probable que le spam soit signé. Ham a plus de chances d'être signé, ce qui lui confère une certaine valeur en matière de score de spam. Un certain nombre d'expéditeurs légitimes ne publient pas leurs clés publiques ou ne configurent pas leur système d'une autre manière.

Les listes grises sont utiles pour les serveurs présentant des signes de mauvaise configuration. Les serveurs correctement configurés finiront par arriver, alors j'ai tendance à les exclure de la liste grise. Ceci est utile pour les freemailers greylistes car ils ont tendance à être utilisés occasionnellement pour le spam. Le délai donne à certaines des entrées du filtre anti-spam le temps d'attraper le Spammer. Il a également tendance à détourner les Spambots car ils ne réessayent généralement pas.

Les listes noires et les listes blanches peuvent aussi aider.

  • J'ai trouvé Spamhaus comme une liste noire fiable.
  • La liste blanche automatique dans le filtre Spam permet d’aplanir le classement des expéditeurs fréquents qui sont à l’occasion Spamish, ou des spammeurs qui sont parfois Hamish.
  • La liste blanche de dnsl.org est également utile.

Le logiciel de filtrage de courrier indésirable est assez efficace pour trouver du courrier indésirable, même si certains l’auront. Il peut être délicat d’obtenir le faux négatif à un niveau raisonnable sans trop augmenter le faux positif. Je trouve que Spamassassin capture la majeure partie du spam qui l’atteint. J'ai ajouté quelques règles personnalisées, qui répondent à mes besoins.

Les maîtres de poste doivent configurer les adresses d'abus et de maître requises. Reconnaissez les commentaires que vous recevez à ces adresses et agissez en conséquence. Cela permet à autre de vous aider à vous assurer que votre serveur est correctement configuré et ne génère pas de spam.

Si vous êtes un développeur, utilisez les services de messagerie existants plutôt que de configurer votre propre serveur. D'après mon expérience, la configuration des serveurs pour les expéditeurs de courrier automatisés est susceptible d'être mal configurée. Passez en revue les RFC et envoyez un courrier électronique correctement formaté à partir d'une adresse légitime dans votre domaine.

Les utilisateurs finaux peuvent faire plusieurs choses pour réduire le spam:

  • Ne l'ouvre pas. Signalez-le comme spam ou supprimez-le.
  • Assurez-vous que votre système est sécurisé et exempt de logiciels malveillants.
  • Surveillez votre utilisation du réseau, en particulier lorsque vous n'utilisez pas votre système. S'il génère beaucoup de trafic réseau lorsque vous ne l'utilisez pas, il peut s'agir de spam.
  • Éteignez votre ordinateur lorsque vous ne l'utilisez pas. (Il ne pourra pas générer de spam s'il est désactivé.)

Les propriétaires de domaine / FAI peuvent aider en limitant l'accès Internet sur le port 25 (SMTP) aux serveurs de messagerie officiels. Cela limitera la capacité des Spambots à envoyer des messages à Internet. Cela est également utile lorsque les adresses dynamiques renvoient des noms qui ne passent pas la validation rDNS. Encore mieux consiste à vérifier que l'enregistrement PTR pour les serveurs de messagerie passe avec succès la validation rDNS. (Vérifiez les erreurs typographiques lors de la configuration des enregistrements PTR pour vos clients.)

J'ai commencé à classer les courriels en trois catégories:

  • Ham (presque toujours à partir de serveurs correctement configurés, correctement formatés et généralement de courrier électronique personnel.)
  • Spam (principalement de Spambots, mais un certain pourcentage provient de free-mailers ou d’autres expéditeurs avec des serveurs mal configurés.)
  • Bacn; peut être Ham ou Spam (inclut beaucoup de courrier provenant de listes de diffusion et de systèmes automatisés. Ham finit généralement ici en raison d'une mauvaise configuration du serveur DNS ou du serveur.)

14
2017-08-25 22:16



Bacn (notez le manquant o) est un terme normalisé désignant "le courrier que vous voulez, mais pas maintenant." Une autre catégorie pour le courrier est Graymail, qui est un courrier en nombre qui, techniquement, n'est pas du courrier indésirable et qui pourrait être indésirable pour certains de ses destinataires, mais recherché par d’autres. - Adam Katz


La solution SINGLE la plus efficace que j'ai vue consiste à utiliser l'un des services de filtrage du courrier externe.

J'ai de l'expérience avec les services suivants chez les clients actuels. Je suis sûr qu'il y en a d'autres. Chacun de ceux-ci a fait un excellent travail dans mon expérience. Le coût est raisonnable pour les trois.

  • Postini de Google
  • MXLogic de McAfee
  • SecureTide de AppRiver

Les services présentent plusieurs avantages considérables par rapport aux solutions locales.

  1. Ils arrêtent la plupart (> 99%) des spams AVANT que votre connexion Internet et votre serveur de messagerie ne soient touchés. Compte tenu du volume de spam, il s’agit de nombreuses données qui ne se trouvent pas sur votre bande passante ni sur votre serveur. J'ai implémenté l'un de ces services une dizaine de fois et chacun d'entre eux s'est traduit par une amélioration notable des performances du serveur de messagerie.

  2. Ils font également un filtrage anti-virus, généralement dans les deux sens. Cela atténue le besoin d’avoir une solution "anti-virus de messagerie" sur votre serveur, et maintient également le virus complètement.

Ils font également un excellent travail en bloquant le spam. En 2 ans de travail dans une entreprise utilisant MXLogic, je n’ai jamais eu de faux positif, et je peux compter les messages de spam légitimes qui sont passés d’une main.


5
2018-06-11 01:37



+1 pour reconnaître les avantages des solutions hébergées, ainsi que la disponibilité et l’échelle et réduire les avantages en termes de trafic. Le seul problème que je trouve est un manque de personnalisation et de réponse dans certains cas (du point de vue de quelqu'un qui doit envoyer aux domaines protégés par ces services). En outre, certaines entreprises ont des raisons de sécurité / conformité pour ne pas être en mesure d'utiliser le filtrage externe. - ewwhite


Il n'y a pas deux environnements de messagerie identiques. Construire une solution efficace nécessitera donc beaucoup d'essais et d'erreurs autour des nombreuses techniques disponibles, car le contenu des e-mails, du trafic, des logiciels, des réseaux, des expéditeurs, des destinataires et bien plus encore variera énormément selon les environnements.

Cependant, je trouve que les listes de blocs suivantes conviennent bien au filtrage général:

Comme indiqué précédemment, SpamAssassin est une excellente solution lorsqu'il est configuré correctement. Assurez-vous simplement d'installer autant de modules Perl que possible dans CPAN, ainsi que Razor, Pyzor et DCC. Postfix fonctionne très bien avec SpamAssassin et il est beaucoup plus facile à gérer et à configurer que EXIM par exemple.

Enfin, bloquer les clients au niveau IP en utilisant fail2ban et iptables ou similaire pendant de courtes périodes (par exemple, un jour à une semaine) après certains événements, tels que le déclenchement d’un contact violent avec un comportement abusif, peut également s'avérer très efficace. Pourquoi gaspiller des ressources en parlant à un hôte connu infecté par un virus?


4