スノーシュースパムを検出する最良の方法は何ですか?


21

小さなメールサーバーにSmartermailを使用しています。私たちは最近、同じパターンに従うスノーシュースパムの波を取得する問題を抱えています。彼らは一度に3または4のバッチで来ます。ボディはリンク先のドメイン名を除いてほぼ同一です。ソースIPは、しばらくの間同じ/ 24ブロックからのものである傾向があり、その後別の/ 24ブロックに切り替わります。ドメインは真新しい傾向があります。有効なPTRおよびSPFレコードを持ち、ベイジアンフィルターをスプーフィングするために、ボディの下部にランダムなちらつきがあります。

私は、Barracuda、Spamhaus、SURBL、URIBLなど、数十種類の異なるRBLを使用しています。彼らはそれらのほとんどを捕まえるのにまともな仕事をしていますが、IPとドメインがブラックリストに載っていないので、私たちはまだ多くのスリップを取得しています。

新しく作成されたドメインをブロックしたり、snoeshowスパムに特に対処したりするRBLを含め、私が採用できる戦略はありますか?サードパーティのフィルタリングサービスを使用しなくて済むようにしたいと思っています。


2
Stack Exchangeサイトではショッピングに関する質問はトピックから外れているため、タイトルを編集して、「どの製品を使用すべきか」という方向をあまり指摘しないようにすることをお勧めします。ただし、Snowshoeの攻撃の緩和 ServerFaultにとって良いトピックであり、同僚にコメントを求めます。
アンドリューB 14年

Snoeshowスパムとは何かを知るのに役立ちます
ewwhite 14年

1
RBLの大部分は、メール管理者が使用できる無料のサービスです。それは買い物としてカウントされますか?
pooter03 14年

ええ、無料かどうかに関係なく、答えは特定の時間帯にのみ有効です。(そのリンクが触れている)企業は、無料のサービスを提供している企業も含め、常に廃業しています。
アンドリューB 14年

1
質問を変更しました。これがより適切かどうかを教えてください。
pooter03 14年

回答:


14

これはユーザーにとって本当の問題になっていますか?

この時点で、完全なメールフィルタリングサービスをお勧めします。ベイジアンはもうそれほど暑くありません。評判、RBL、ヘッダー/意図分析、およびその他の要因がさらに役立つようです。クラウドフィルタリングサービスを検討して、複数のアプローチ(および集合ボリューム)を組み合わせて、より良い保護を提供します(私は顧客にBarracudaのESSクラウドソリューションを使用しています)。

そしてもちろん:スパム対策-メール管理者、ドメイン所有者、またはユーザーとして何ができますか?

Snowshoe攻撃の増加による悪影響は受けていません。これらの攻撃により、メールの量が日々3倍になる期間がありました。しかし、悪いものはどれも通しませんでした。3日間で、Barracudaはボリュームを通常のレベルに下げました。

世界中のメールアクティビティを広く把握できるフィルタリングソリューションは、個々のメールフィルターよりも攻撃に適切に対応できると思います。

編集:

これは最近LOPSAメーリングリストでも議論されました。

私の貢献:https : //www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
別の意見:https : //www.mail-archive.com/tech@lists.lopsa.org/msg04181 .html


1
彼らは文句を言い始めています。数十人の顧客であり、低価格で、または購入する他のサービスとのバンドルとして無料でメールサービスを提供しているため、可能であれば有料サービスを避けたいと考えていました。ただし、その製品に投資します。
pooter03 14年

ユーザーあたり年間約8ドルです。
ewwhite 14年

ありがとう。私がそうするために代表を得るまで、これを仮想の賛成票と考えてください。:)
pooter03 14年

バルカダの+1。
突く

2
私はまだ Barracuda Cloudメールフィルタリングをお勧めします。これはおそらく、現在の問題に対する最もクリーンなソリューションです。
ewwhite

8

私は、これらの攻撃に頻繁にさらされるグループと密接に連携するDNS Opsの男です。Snowshoe攻撃への対処は、主にプロセスの問題であり、ewwhiteが指摘するように、社内で解決することは会社の範囲を超える可能性があります。大規模な操作といくつかの商用RBLフィードがない限り、おそらく商用フィルタリングサービスを使用してこれを自分で解決しようとするべきではない、と私は言います。

とはいえ、これについてはある程度の経験があり、共有することはそうでないことよりも興味深いことです。いくつかのタッチポイントは次のとおりです。

  • 可能であれば、メールプラットフォームをトレーニングして、進行中のスノーシュー攻撃の特性を特定し、問題のネットワークからのメッセージを一時的に拒否します。振る舞いの良いクライアントは一時的な障害でメッセージを再送信しようとしますが、そうでないクライアントもいます。
  • UDP-MIB::udpInErrorsメールプラットフォームは、Snowshoe攻撃の進行中にUDPリスナーの受信キューを非常にオーバーフローさせることができるため、DNS管理者がSNMPで監視していることを確認してください。そうでない場合、Linuxで簡単に判断する方法はnetstat -s | grep 'packet receive errors'、問題のDNSサーバーで実行することです。大きな数は、彼らが彼らのダフを降ろして、注意を払い始める必要があることを示します。こぼれが頻繁に発生する場合は、容量を追加するか、受信バッファのサイズを増やす必要があります。(つまり、DNSクエリが失われ、スパム防止の機会が失われます)
  • 新たに作成されたドメインを利用するこれらの攻撃を頻繁に見ている場合、これらを強調するRBLが存在します。1つのFarSight NODです(これを読んでいる人は独自の調査を行う必要があります)が、無料ではありません。

完全な開示:Farsight SecurityはPaul Vixieによって設立されました。PaulVixieは、人々がDNS標準に違反した場合に発散するという悪い習慣を持っています。


2番目のポイントは特に興味深いものです。IPまたはURLをすでにブラックリストに登録したRBLへのDNSクエリが欠落していると思われましたが、それを証明することができませんでした。ただし、メールサーバーはWindows 2012上にあり、Windows DNSサーバーを使用します。これは非常に少量のサーバーですが、これについてさらに調査したいと思います。残念ながら、すべてを説明しているわけではありません。これは、主要なRBLがドメインやIPをキャッチする時間がなかったためです。
pooter03 14年

DNSサーバーの平均ボリュームはそれほど重要ではありません。受信キューのオーバーフローの主な特徴は、受信パケットをキューから取り出すのに十分な速度で処理できないことであり、ボリュームベースのスノーシュー攻撃は、実行するDNSルックアップの数に応じて、これを達成する能力以上のものですスパム。
アンドリューB 14年

2
最初の提案は一般的に知られています グレーリストます。
ネイト・エルドレッジ14年

2
@Nateこれはグレーリストの形式ですが、修飾されていないという用語を使用すると、IPが新たに観察されたことに応じてこのアクションを実行することがほとんどの人に示唆されます。攻撃しているネットワークは、同期されたペイロード配信の準備のために(ヘッダーを送信せずに)接続の確立に時間を費やす傾向があります。その特性は、あなたがまだ見たことのないIPが攻撃に関与していることを予測できるため、あなたが行動しているものです。
アンドリューB 14年

価値のあるものは何でも、サーバーで(より一般的な)グレーリストを有効にし、一定期間後にスパマーが適切に応答しています。すべての意図と目的のために、電子メールは、適切に構成されたPTRレコード、SPFレコードなどを含む正当なメールサーバーから送信されているよう
です。– pooter03

1

Declude(無料)とMessage Sniffer(無料)をインストールしましたが、過去4日間に1日に数十件あったスパムメッセージとは対照的に、テストメールアカウントに1つのスパムメッセージが届きました。私が知る限り、良い電子メールは除外されていません。Spamassassinもおそらく良い解決策でしょう。ただし、BoxでSpam Assassinを試したときは運がありませんでした。


0

ここでの回答の多くは、一般的なスパム対策に関するものです。スパマーは優先配信方法としてスノーシューに向かっているようであるため、ある程度、これは理にかなっています。

Snowshoeは元々、データセンターから常に(IPごとに)少量で送信され、常に購読解除リンクが含まれていました(動作するかどうかは言うまでもありません)。現在、snowshoeは登録解除情報をほとんど持たず、IPから大量に送信されますが、IPがブラックリストに登録されるまでにメールが送信されるようにバーストで送信されます。これはあら嵐スパムと呼ばれます

このため、スノーシュースパムをキャッチするのはDNSBLやパターンベースの厳密な署名でさえ恐ろしいです。Spamhaus CSSリスト(特にスノーシューネットワークを対象としており、SBLとZENの両方の一部です)など、いくつかの例外がありますが、一般的にはグレーリスト / ターピットが必要です。(DNSBLが追いつくまで配信を遅らせることができます) )、そして最も重要なことは、ベイジアンスパムフィルタリングのようなトークン駆動の機械学習システムです。Bayesはスノーシューの検出に特に優れています。

Andrew Bの回答は、Farsight Securityの新規所有ドメインとホスト名(NOD)に言及しています。これは、スピンアップする前に、スパムを開始する前にスノーシューネットワークを予測しようとします。Spamhaus CSSはおそらく同様のことを行います。CSSはブロッキング環境で使用する準備ができていますが、NODは実際にはスタンドアロン/ブロッキングシステムではなく、カスタムシステムへのフィードとして設計されています。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.