スノーシュースパムをキャッチするための最良の方法は何ですか？

Question

小さなメールサーバーにSmartermailを使用しています。最近、同じパターンに従う snowshoe spam の波を取得する問題が発生しています。彼らは一度に3つか4つのバッチで来ます。リンク先のドメイン名を除いて、本文はほとんど同じです。送信元IPはしばらくの間同じ/ 24ブロックからのものである傾向があり、その後別の/ 24に切り替えます。ドメインは真新しい傾向があります。それらには有効なPTRおよびSPFレコードがあり、ベイジアンフィルターを偽装するために体の底にランダムな意味不明な文字があります。

私はバラクーダ、スパムハウス、SURBL、URIBLを含む数十の異なるRBLを使用しています。彼らはそれらのほとんどをキャッチするまともな仕事をしますが、IPとドメインがブラックリストに載っていないので、私たちはまだ多くのスリップを取得します。

新しく作成されたドメインをブロックしたり、snoeshowスパムを特別に処理したりするRBLなど、私が採用できる戦略はありますか？サードパーティのフィルタリングサービスを使用する必要がないようにしたいと思っています。

ewwhite · Answer

これはユーザーにとって大きな問題になっていますか？

この時点で、フル機能のメールフィルタリングサービスをお勧めします。ベイジアンはもはやそれほど暑くない。評判、RBL、ヘッダー/インテント分析およびその他の要因がさらに役立つようです。より良い保護を提供するために複数のアプローチ（および集合的なボリューム）を組み合わせるクラウドフィルタリングサービスを検討してください（私は顧客にバラクーダのESSクラウドソリューションを使用しています）。

そしてもちろん： Fighting Spam-私は何をすることができますか：電子メール管理者、ドメイン所有者、またはユーザー？

スノーシュー攻撃の増加による悪影響は受けていません。これらの攻撃により、メールの量が日々3倍に増えた時期がありました。しかし、悪いものはどれもそれを通り抜けました。 3日で、バラクーダはボリュームを通常のレベルに下げました。

世界中のメールアクティビティの広い視野を持つフィルタリングソリューションは、個々のメールフィルターよりも攻撃によく反応できると思います。

編集：

これは最近 [〜＃〜] lopsa [〜＃〜] メーリングリストでも議論されました：

私の貢献： https://www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
別の意見： https://www.mail-archive.com/tech@lists.lopsa.org/msg04181.html

Andrew B · Answer

私は、これらの攻撃に頻繁にさらされるグループと緊密に連携するDNS Opsの男です。 Snowshoe攻撃への対処は主にプロセスの問題であり、ewwhiteが指摘しているように、社内で解決することは会社の範囲を超える可能性があります。かなり大きな操作といくつかの商用RBLフィードがない限り、あなたおそらくはこれを解決しようとすべきではないと言っています商用フィルタリングサービスを使用して自分自身。

そうは言っても、これにはある程度の経験があり、共有するよりも興味深いです。いくつかのタッチポイントは次のとおりです。

可能であれば、メールプラットフォームをトレーニングして、進行中のスノーシュー攻撃の特徴を特定し、問題のネットワークからのメッセージを一時的に拒否します。適切に動作するクライアントは、一時的な障害時にメッセージを再送信しようとしますが、他のクライアントはそうではありません。
Snowshoe攻撃の進行中にメールプラットフォームはUDPリスナーの受信キューをオーバーフローさせる可能性があるため、DNS管理者がSNMP経由でUDP-MIB::udpInErrorsを監視していることを確認してください。そうでない場合、Linuxですばやく確認するには、問題のDNSサーバーでnetstat -s | grep 'packet receive errors'を実行します。カウントが多い場合は、ダフから降りて注意を向ける必要があることを示しています。頻繁な流出が発生している場合は、容量を追加するか、受信バッファーのサイズを大きくする必要があります。（つまり、DNSクエリが失われ、スパム防止の機会が失われます）
新しく作成されたドメインを利用してこれらの攻撃が頻繁に見られる場合は、これらを強調するRBLが存在します。 1つの例は FarSight NOD （これを読んでいる人は独自の調査を行う必要があります）ですが、無料ではありません。

完全な開示：Farsight SecurityはPaul Vixieによって設立されました。PaulVixieは、人々がDNS標準に違反している場合に気を抜く習慣があります。

pooter03 · Answer

Declude（無料）とMessage Sniffer（無料ではありません）をインストールしました。過去4日間で、1日あたり数十通のスパムメッセージがテストメールアカウントに届いたのとは対照的に、私の知る限り、適切なメールが除外されていません。 Spamassassinもおそらく良い解決策になるでしょうが、Spam Assassin in a Boxを試したとき、私はそれでうまくいきませんでした。

Adam Katz · Answer

ここでの回答の多くは、一般的なスパム対策に関するものです。スパマーが好ましい配信方法としてスノーシューに向かっているように見えるので、これはある程度理にかなっています。

Snowshoeは、もともと常に（IPごとに）少量のデータセンターから送信され、（それが機能するかどうかについては言うまでもなく）購読解除リンクを常に含んでいました。現在、snowshoeは購読解除情報をほとんど持っておらず、そのIPから大量に送信されていますが、バーストで送信されるため、IPがブラックリストに登録されるまでに、すでにメールの送信が完了しています。これはヘイルストームスパムと呼ばれます。

このため、 DNSBL や、パターンベースの厳密な署名でさえ、スノーシュースパムを捕まえるのは恐ろしいことです。 Spamhaus CSSリスト（特にスノーシューネットワークを対象とし、SBLとZENの両方の一部です）などのいくつかの例外がありますが、一般的には greylisting / tarpitting （DNSBLが追いつくまで配信を遅らせることができます）、そして最も重要なのは、トークン駆動の機械学習システムベイジアンスパムフィルタリング。ベイズはスノーシューの検出に特に優れています。

Andrew Bの回答はFarsight Securityの Newly Owned Domains and Hostnames （NOD）について言及しており、スピンしたスノーシューネットワークを予測しようとします彼らはスパムを開始する前に。 Spamhaus CSSはおそらく同様のことを行います。 CSSはブロッキング環境で使用できるようになっていますが、NODはスタンドアロン/ブロッキングシステムではなく、カスタムシステムへのフィードとして設計されています。