スノーシュースパムを検出する最良の方法は何ですか？

小さなメールサーバーにSmartermailを使用しています。私たちは最近、同じパターンに従うスノーシュースパムの波を取得する問題を抱えています。彼らは一度に3または4のバッチで来ます。ボディはリンク先のドメイン名を除いてほぼ同一です。ソースIPは、しばらくの間同じ/ 24ブロックからのものである傾向があり、その後別の/ 24ブロックに切り替わります。ドメインは真新しい傾向があります。有効なPTRおよびSPFレコードを持ち、ベイジアンフィルターをスプーフィングするために、ボディの下部にランダムなちらつきがあります。

私は、Barracuda、Spamhaus、SURBL、URIBLなど、数十種類の異なるRBLを使用しています。彼らはそれらのほとんどを捕まえるのにまともな仕事をしていますが、IPとドメインがブラックリストに載っていないので、私たちはまだ多くのスリップを取得しています。

新しく作成されたドメインをブロックしたり、snoeshowスパムに特に対処したりするRBLを含め、私が採用できる戦略はありますか？サードパーティのフィルタリングサービスを使用しなくて済むようにしたいと思っています。

これはユーザーにとって本当の問題になっていますか？

この時点で、完全なメールフィルタリングサービスをお勧めします。ベイジアンはもうそれほど暑くありません。評判、RBL、ヘッダー/意図分析、およびその他の要因がさらに役立つようです。クラウドフィルタリングサービスを検討して、複数のアプローチ（および集合ボリューム）を組み合わせて、より良い保護を提供します（私は顧客にBarracudaのESSクラウドソリューションを使用しています）。

そしてもちろん：スパム対策-メール管理者、ドメイン所有者、またはユーザーとして何ができますか？

Snowshoe攻撃の増加による悪影響は受けていません。これらの攻撃により、メールの量が日々3倍になる期間がありました。しかし、悪いものはどれも通しませんでした。3日間で、Barracudaはボリュームを通常のレベルに下げました。

世界中のメールアクティビティを広く把握できるフィルタリングソリューションは、個々のメールフィルターよりも攻撃に適切に対応できると思います。

編集：

これは最近LOPSAメーリングリストでも議論されました。

私の貢献：https : //www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
別の意見：https : //www.mail-archive.com/tech@lists.lopsa.org/msg04181 .html

私は、これらの攻撃に頻繁にさらされるグループと密接に連携するDNS Opsの男です。Snowshoe攻撃への対処は、主にプロセスの問題であり、ewwhiteが指摘するように、社内で解決することは会社の範囲を超える可能性があります。大規模な操作といくつかの商用RBLフィードがない限り、おそらく商用フィルタリングサービスを使用してこれを自分で解決しようとするべきではない、と私は言います。

とはいえ、これについてはある程度の経験があり、共有することはそうでないことよりも興味深いことです。いくつかのタッチポイントは次のとおりです。

• 可能であれば、メールプラットフォームをトレーニングして、進行中のスノーシュー攻撃の特性を特定し、問題のネットワークからのメッセージを一時的に拒否します。振る舞いの良いクライアントは一時的な障害でメッセージを再送信しようとしますが、そうでないクライアントもいます。
• UDP-MIB::udpInErrorsメールプラットフォームは、Snowshoe攻撃の進行中にUDPリスナーの受信キューを非常にオーバーフローさせることができるため、DNS管理者がSNMPで監視していることを確認してください。そうでない場合、Linuxで簡単に判断する方法はnetstat -s | grep 'packet receive errors'、問題のDNSサーバーで実行することです。大きな数は、彼らが彼らのダフを降ろして、注意を払い始める必要があることを示します。こぼれが頻繁に発生する場合は、容量を追加するか、受信バッファのサイズを増やす必要があります。（つまり、DNSクエリが失われ、スパム防止の機会が失われます）
• 新たに作成されたドメインを利用するこれらの攻撃を頻繁に見ている場合、これらを強調するRBLが存在します。1つの例はFarSight NODです（これを読んでいる人は独自の調査を行う必要があります）が、無料ではありません。

完全な開示：Farsight SecurityはPaul Vixieによって設立されました。PaulVixieは、人々がDNS標準に違反した場合に発散するという悪い習慣を持っています。

Declude（無料）とMessage Sniffer（無料）をインストールしましたが、過去4日間に1日に数十件あったスパムメッセージとは対照的に、テストメールアカウントに1つのスパムメッセージが届きました。私が知る限り、良い電子メールは除外されていません。Spamassassinもおそらく良い解決策でしょう。ただし、BoxでSpam Assassinを試したときは運がありませんでした。

ここでの回答の多くは、一般的なスパム対策に関するものです。スパマーは優先配信方法としてスノーシューに向かっているようであるため、ある程度、これは理にかなっています。

Snowshoeは元々、データセンターから常に（IPごとに）少量で送信され、常に購読解除リンクが含まれていました（動作するかどうかは言うまでもありません）。現在、snowshoeは登録解除情報をほとんど持たず、IPから大量に送信されますが、IPがブラックリストに登録されるまでにメールが送信されるようにバーストで送信されます。これはあられ嵐スパムと呼ばれます。

このため、スノーシュースパムをキャッチするのはDNSBLやパターンベースの厳密な署名でさえ恐ろしいです。Spamhaus CSSリスト（特にスノーシューネットワークを対象としており、SBLとZENの両方の一部です）など、いくつかの例外がありますが、一般的にはグレーリスト / ターピットが必要です。（DNSBLが追いつくまで配信を遅らせることができます） ）、そして最も重要なことは、ベイジアンスパムフィルタリングのようなトークン駆動の機械学習システムです。Bayesはスノーシューの検出に特に優れています。

Andrew Bの回答は、Farsight Securityの新規所有ドメインとホスト名（NOD）に言及しています。これは、スピンアップする前に、スパムを開始する前にスノーシューネットワークを予測しようとします。Spamhaus CSSはおそらく同様のことを行います。CSSはブロッキング環境で使用する準備ができていますが、NODは実際にはスタンドアロン/ブロッキングシステムではなく、カスタムシステムへのフィードとして設計されています。