题 打击垃圾邮件 - 我可以做什么:电子邮件管理员,域名所有者或用户?


这是一个 典型问题 关于打击垃圾邮件。
  还有关系:

关于打击垃圾邮件有很多技巧和知识。管理员,域所有者和最终用户可以使用哪些广泛使用的技术和技术来帮助防止垃圾邮件进入我们的收件箱?

我们正在寻找从不同角度涵盖不同技术的答案。接受的答案应包括各种技术(例如SPF / SenderID,DomainKeys / DKIM,灰名单,DNS RBL,信誉服务,过滤软件[SpamAssassin等]);最佳实践(例如,永远不允许端口25上的邮件中继,应使用端口587;等),术语(例如,开放中继,后向散射,MSA / MTA / MUA,垃圾邮件/火腿),以及可能的其他技术。


101
2017-08-20 20:30




是否规范,这不是询问用户级别的东西的地方。 - John Gardeniers


答案:


要击败你的敌人,你必须了解你的敌人。

什么是垃圾邮件?

就我们而言,垃圾邮件是任何未经请求的批量电子邮件。这些天的垃圾邮件旨在吸引毫无戒心的用户访问(通常是阴暗的)网站,在那里他们将被要求购买产品,或者将恶意软件传送到他们的计算机,或两者兼而有之。有些垃圾邮件会直接传播恶意软件。

您可能会惊讶地发现,第一批垃圾邮件是在1864年发送的。 这是通过西联汇款电报发送的牙科服务广告。 这个词本身就是一个 参考 到了 现场 Monty Python的飞行马戏团

在这种情况下,垃圾邮件确实如此  指的是用户订阅的邮件列表流量,即使他们稍后改变了主意(或忘记了它)但实际上还没有取消订阅。

为什么垃圾邮件成问题?

垃圾邮件是一个问题,因为 它适用于垃圾邮件发送者。垃圾邮件通常会产生足够多的销售(或恶意软件交付,或两者兼而有之) 支付费用  - 给垃圾邮件发送者 - 发送它。垃圾邮件发送者不会考虑收件人,您和您的用户的费用。即使只有极少数接收垃圾邮件的用户对此做出响应,这也足够了。

因此,您需要支付带宽,服务器和管理员时间的账单来处理传入的垃圾邮件。

我们出于以下原因阻止垃圾邮件:我们不希望看到它,降低处理电子邮件的成本,并使垃圾邮件发送者的垃圾邮件更加昂贵。

垃圾邮件如何运作?

垃圾邮件通常以与普通合法电子邮件不同的方式提供。

垃圾邮件发送者几乎总是想要模糊电子邮件的来源,因此典型的垃圾邮件将包含虚假的标题信息。该 From: 地址通常是假的。一些垃圾邮件包括假冒 Received: 试图掩盖这条线索。许多垃圾邮件通过开放的SMTP中继,开放代理服务器和僵尸网络提供。所有这些方法都使得确定谁发起垃圾邮件变得更加困难。

一旦进入用户的收件箱,垃圾邮件的目的就是诱使用户访问所宣传的网站。在那里,用户将被诱惑进行购买,或者该网站将尝试在用户的计算机上安装恶意软件,或两者兼而有之。或者,垃圾邮件将要求用户打开包含恶意软件的附件。

如何阻止垃圾邮件?

作为邮件服务器的系统管理员,您将配置邮件服务器和域,使垃圾邮件制造者更难将垃圾邮件传递给您的用户。

我将介绍专门针对垃圾邮件的问题,并可能会跳过与垃圾邮件无直接关系的内容(例如加密)。

不要运行开放式继电器

大邮件服务器犯罪是运行 开放接力,一个SMTP服务器,它将接收任何目的地的邮件并向前传递。垃圾邮件发送者喜欢开放式中继,因为它们几乎可以保证交当垃圾邮件发送者执行其他操作时,他们承担了传递邮件(并重试!)的负担。他们发垃圾邮件 廉价

开放式继电器也会导致反向散射问题。这些是继电器接受但后来发现无法送达的消息。然后,开放中继将发送退回消息给 From: 包含垃圾邮件副本的地址。

  • 将邮件服务器配置为仅接受端口25上的传入邮件,以用于您自己的域。对于大多数邮件服务器,这是默认行为,但您至少需要告诉邮件服务器您的域是什么。
  • 通过从网络外部向SMTP服务器发送邮件来测试您的系统 From: 和 To: 地址不在您的域中。该邮件应该被拒绝。 (或者,使用类似的在线服务 MX工具箱 执行测试,但请注意,如果您的邮件服务器未通过测试,某些在线服务会将您的IP地址提交给黑名单。)

拒绝任何看起来太可疑的东西

各种错误配置和错误可能是传入消息可能是垃圾邮件或其他非法的错误提示。

  • 标记为垃圾邮件或拒绝IP地址没有反向DNS(PTR记录)的邮件。对于IPv4连接而言,缺乏PTR记录比对IPv6连接更严格,因为许多IPv6地址还没有反向DNS,并且可能不会持续数年,直到DNS服务器软件能够更好地处理这些可能非常大的区域。
  • 拒绝发件人或收件人地址中的域名不存在的邮件。
  • 拒绝不使用发件人或收件人域的完全限定域名的邮件,除非它们来自您的域并且要在您的域中提供(例如监控服务)。
  • 拒绝另一端不发送的连接 HELO/EHLO
  • 拒绝连接的地方 HELO/EHLO 是:
    • 不是完全合格的域名而不是IP地址
    • 明显错误(例如你自己的IP地址空间)
  • 拒绝使用流水线操作但未经授权的连接。

验证您的用户

到达您的服务器的邮件应该考虑入站邮件和出站邮件。入站邮件是到达您的SMTP服务器的任何邮件,最终发往您的域;出站邮件是到达您的SMTP服务器的任何邮件,它将在交付之前转移到其他地方(例如,它将转到另一个域)。入站邮件可以由您的垃圾邮件过滤器处理,可能来自任何地方,但必须始终指向您的用户。此邮件无法进行身份验证,因为无法为可能向您发送邮件的每个站点提供凭据。

出站邮件,即将被转发的邮件, 必须 被认证。无论是来自Internet还是来自网络内部都是这种情况(尽管如果操作可能,您应该限制允许使用您的邮件服务器的IP地址范围);这是因为spambots可能正在您的网络中运行。因此,配置您的SMTP服务器,以便绑定其他网络的邮件将被删除(中继访问将被拒绝),除非该邮件已通过身份验证。更好的是,为入站和出站邮件使用单独的邮件服务器,对入站邮件不允许任何中继,并且不允许对出站邮件进行未经身份验证的访问。

如果您的软件允许,您还应该根据经过身份验证的用户过滤消息;如果邮件的发件人地址与验证的用户不匹配,则应拒绝该邮件。不要以静默方式更新发件人地址;用户应该知道配置错误。

您还应记录用于发送邮件的用户名,或向其添加标识标头。这样,如果确实发生了滥用行为,您就会有证据并知道使用了哪个帐户。这使您可以隔离受感染的帐户和问题用户,对共享主机提供商尤其有用。

过滤流量

您希望确定离开您的网络的邮件实际上是由您(经过身份验证的)用户发送的,而不是由机器人或外部人员发送的。您如何执行此操作的具体细节取决于您正在管理的系统类型。

通常,如果您是公司网络,阻止除了出站邮件服务器之外的所有端口上的端口25,465和587(SMTP,SMTP / SSL和提交)上的出口流量是个好主意。这样,网络上运行恶意软件的僵尸程序就无法从您的网络发送垃圾邮件,无论是在Internet上打开中继还是直接在最终的MTA中获取地址。

热点是一种特殊情况,因为来自它们的合法邮件来自许多不同的域,但(由于SPF,除其他外)“强制”邮件服务器是不合适的,用户应该使用自己的域的SMTP服务器来提交邮件。这种情况要困难得多,但是使用特定的公共IP或IP范围来处理来自这些主机的Internet流量(以保护您的站点的声誉),限制SMTP流量以及深度数据包检查是需要考虑的解决方案。

从历史上看,垃圾邮件主要在端口25上发出垃圾邮件,但没有什么能阻止它们使用端口587用于同一目的,因此更改用于入站邮件的端口具有可疑价值。但是,建议使用端口587进行邮件提交 RFC 2476,并允许在邮件提交(到第一个MTA)和邮件传输(在MTA之间)之间分离,这在网络拓扑中是不明显的;如果你需要这样的分离,你应该这样做。

如果您是ISP,VPS主机,托管提供商或类似设备,或者正在提供供访问者使用的热点,则阻止出口SMTP流量可能会对使用自己的域发送邮件的用户造成问题。在除公共热点之外的所有情况下,您都应该要求需要出站SMTP访问权限的用户,因为他们正在运行邮件服务器来专门请求它。让他们知道,滥用投诉最终会导致访问被终止以保护您的声誉。

动态IP以及用于虚拟桌面基础架构的动态IP永远不应具有出站SMTP访问权限,除了特定的邮件服务器应该使用这些节点。这些类型的IP 应该 也出现在黑名单上,你不应该试图为他们建立声誉。这是因为他们极不可能运行合法的MTA。

考虑使用SpamAssassin

SpamAssassin是一个邮件过滤器,可用于根据邮件标题和内容识别垃圾邮件。它使用基于规则的评分系统来确定邮件是垃圾邮件的可能性。分数越高,邮件就越有可能成为垃圾邮件。

SpamAssassin还有一个贝叶斯引擎,可以分析反馈到它的垃圾邮件和火腿(合法邮件)样本。

SpamAssassin的最佳做法不是拒绝邮件,而是将其放入垃圾邮件或垃圾邮件文件夹中。可以将Outlook和Thunderbird等MUA(邮件用户代理)设置为识别SpamAssassin为电子邮件添加的标头并对其进行适当的归档。误报可能而且确实会发生,虽然它们很少见,但当它发生在首席执行官身上时,你会听到它。如果将消息简单地传递到垃圾文件夹而不是完全拒绝,那么该对话会更好。

SpamAssassin几乎是独一无二的 存在一些替代方案

  • 使用安装SpamAssassin并为其规则配置自动更新 sa-update
  • 考虑使用 自定义规则 在适当情况下。
  • 考虑设置 贝叶斯过滤

考虑使用基于DNS的黑洞列表和信誉服务

DNSBLs(以前称为RBL或实时黑洞列表)提供与垃圾邮件或其他恶意活动相关联的IP地址列表。这些由独立的第三方根据自己的标准运​​行,因此请仔细研究DNSBL使用的列表和除名标准是否与您的组织接收电子邮件的需要兼容。例如,一些DNSBLs具有严格的除名政策,这使得被意外列出的人很难被删除。其他人在IP地址未发送垃圾邮件一段时间后自动退市,这更安全。大多数DNSBL都可以免费使用。

声誉服务类似,但声称通过分析与任何给定IP地址相关的更多数据来提供更好的结果。大多数声誉服务需要订阅付款或硬件购买或两者兼而有之。

有许多DNSBL和信誉服务可用,虽然我使用和推荐的一些更为人熟知和有用的是:

保守派名单:

积极的清单:

如前所述,许多其他可用的产品可能适合您的需求。我最喜欢的一个技巧是 查找IP地址 它发送了一个垃圾邮件,通过多个DNSBLs来查看它们中的哪一个会拒绝它。

  • 对于每个DNSBL和信誉服务,请检查其列出和删除IP地址的策略,并确定这些是否与您组织的需求兼容。
  • 当您确定使用该服务时,将DNSBL添加到SMTP服务器。
  • 考虑为每个DNSBL分配一个分数和 将其配置为SpamAssassin 而不是你的SMTP服务器。这减少了误报的影响;这样的消息将被传递(可能是垃圾/垃圾邮件)而不是被反弹。权衡是你将提供一个 批量 垃圾邮件
  • 或者,当IP地址位于其中一个较为保守的列表时,直接拒绝,并在SpamAssassin中配置更具侵略性的列表。

使用SPF

SPF(发件人政策框架; RFC 4408 和 RFC 6652)是一种通过声明哪些Internet主机被授权为给定域名传递邮件来防止电子邮件地址欺骗的方法。

  • 配置DNS以使用授权的外发邮件服务器声明SPF记录 -all 拒绝所有其他人。
  • 配置邮件服务器以检查传入邮件的SPF记录(如果存在),并拒绝未通过SPF验证的邮件。如果域没有SPF记录,请跳过此检查。

调查DKIM

DKIM(DomainKeys识别邮件; RFC 6376)是一种在邮件消息中嵌入数字签名的方法,可以使用在DNS中发布的公钥来验证。它是 专利限制 在美国,这已经减缓了它的采用。如果邮件在传输过程中被修改,DKIM签名也会中断(例如,SMTP服务器偶尔会重新打包MIME邮件)。

  • 考虑使用DKIM签名对外发邮件进行签名,但请注意,即使在合法邮件上,签名也可能无法始终正确验证。

考虑使用灰名单

灰名单是一种技术,SMTP服务器会对传入的邮件发出临时拒绝,而不是永久拒绝。在几分钟或几小时内重试传递时,SMTP服务器将接受该消息。

灰名单可以阻止某些垃圾邮件软件,这些软件不够强大,无法区分临时拒绝和永久拒绝,但无法帮助发送到开放中继或使用更强大的垃圾邮件软件的垃圾邮件。它还引入了用户可能无法容忍的交付延迟。

  • 考虑仅在极端情况下使用灰名单,因为它对合法的电子邮件流量具有很强的破坏性。

考虑使用nolisting

Nolisting 是一种配置MX记录的方法,使得最高优先级(最低优先级编号)记录没有正在运行的SMTP服务器。这依赖于以下事实:许多垃圾邮件软件只会尝试第一个MX记录,而合法的SMTP服务器会按优先级的升序尝试所有MX记录。某些垃圾邮件软件还会尝试直接发送到最低优先级(最高优先级号码)的MX记录,这违反了 RFC 5321,因此也可以设置为没有SMTP服务器的IP地址。据报道这是安全的,但与任何事情一样,你应该先仔细测试。

  • 考虑将最高优先级的MX记录设置为指向未在端口25上应答的主机。
  • 考虑将优先级最低的MX记录设置为指向未在端口25上应答的主机。

考虑垃圾邮件过滤设备

放置垃圾邮件过滤设备,例如 Cisco IronPort 要么 梭子鱼垃圾邮件和病毒防火墙 (或其他类似设备)在您现有的SMTP服务器前面,可以减少您收到的垃圾邮件。这些设备预先配置了DNSBL,信誉服务,贝叶斯过滤器以及我所涵盖的其他功能,并由其制造商定期更新。

  • 研究垃圾邮件过滤设备硬件和订阅成本。

考虑托管电子邮件服务

如果对您(或您过度工作的IT员工)来说太过分了,您可以随时让第三方服务提供商为您处理您的电子邮件。谷歌等服务 Postini的Symantec MessageLabs电子邮件安全 (或其他人)将为您过滤消息。其中一些服务还可以处理法规和法律要求。

  • 研究托管电子邮件服务订阅成本

系统管理员应该向最终用户提供哪些有关打击垃圾邮件的指导?

最终用户打击垃圾邮件应该做的第一件事是:

  • 不要回应垃圾邮件。

    如果它看起来很有趣,请不要单击网站链接,也不要打开附件。无论报价多么吸引人。那个伟哥并不便宜,你真的不会得到任何人的裸照,而且没有 尼日利亚1500万美元 或其他地方除了从人们那里拿走的钱 没有 回应垃圾邮件。

  • 如果您看到垃圾邮件,请根据您的邮件客户端将其标记为垃圾邮件或垃圾邮件。

  • 不要 如果您实际注册接收消息并且只想停止接收消息,请将消息标记为垃圾/垃圾邮件。而是使用提供的取消订阅方法取消订阅邮件列表。

  • 定期检查您的垃圾/垃圾邮件文件夹,看看是否有任何合法的邮件通过。将这些标记为非垃圾/非垃圾邮件,并将发件人添加到您的联系人,以防止他们的邮件将来被标记为垃圾邮件。


93
2017-08-20 23:02



@MichaelHampton:UCEPROTECT是一个阴暗的组织。 - InternetSeriousBusiness
@Stephane如果您无法设置/更改PTR记录,那么您无法控制IP地址。基于此拒绝邮件没有任何问题。 - Michael Hampton♦
@ewwhite这是相当严苛的,3周是非常荒谬的。但是当没有PTR记录时拒绝邮件是很常见的,所以我确信它们有各种各样的问题。 - Michael Hampton♦
拒绝是常见的,但我认为这既无用又无用。事实上,我已经对我自己的垃圾邮件统计数据进行了快速检查,结果发现,没有反向传输的IP垃圾邮件数量低于5%,这与我从整体上看到的数字几乎相同SMTP连接。因此我的结论是:这是一个毫无意义的限制。 - Stephane
您有什么证据支持您声称它无效?我的日志显示它在预筛选电子邮件方面非常有效。我认识的其他一些人也有类似的经历。 - Chris S


多年来,我已经管理了100多个独立的邮件环境,并使用了许多流程来减少或帮助消除垃圾邮件。

技术随着时间的推移而发展,所以这个答案将介绍我过去尝试过的一些事情,并详细介绍当前的事态。

关于保护的一些想法......

  • 您希望保护传入邮件服务器的端口25不被保护 开放接力,任何人都可以通过您的基础设施发送邮件。这与您可能使用的特定邮件服务器技术无关。远程用户应使用备用提交端口  用于中继邮件的某种形式的必需身份验证。端口587或端口465是25的常见替代方案。
  • 加密也是一个加分。很多邮件流量以明文形式发送。我们现在处于大多数邮件系统可以支持某种形式加密的地步;有些事件期待它。
  • 这些是更加积极主动的预防方法 您的 邮件网站被归类为垃圾邮件来源......

关于传入垃圾邮件......

  • 灰名单 在短时间内是一种有趣的方法。强制暂时拒绝/延迟,希望垃圾邮件发送者断开连接并避免暴露或重新排队邮件所需的时间和资源。这导致邮件传递的不可预测的延迟,对于来自大型服务器场的邮件和垃圾邮件发送者最终开发的变通方法不起作用。最糟糕的影响是打破了用户对快速邮件传递的期望。
  • 多个MX继电器仍需要保护。一些垃圾邮件发送者会尝试发送给 备份或优先级较低的MX 希望它具有不太强大的过滤功能。
  • 实时黑色(洞)列表 (RBL / DNSBL) - 这些引用集中维护的数据库以验证是否列出了发送服务器。对RBL的严重依赖伴随着警告。有些人不像其他人那样有信誉。来自的产品 Spamhaus的 对我来说一直都很好。其他人,比如 SORBS,列出IP的方法很差,并经常阻止合法的电子邮件。在某些情况下,它被比作勒索情节,因为退市通常涉及$$$。
  • 发件人政策框架 (SPF) - 基本上是一种确保给定主机被授权为特定域发送邮件的方法,如DNS TXT记录所定义。为您的外发邮件创建SPF记录是一种很好的做法,但不好的做法是 要求它来自发送给你的服务器。
  • 域密钥  - 尚未广泛使用......
  • 跳出抑制 - 防止无效邮件返回其源。一些垃圾邮件发送者会试图通过分析来查看哪些地址是有效/有效的 后向散射 创建可用地址的地图。
  • 反向DNS / PTR检查 - 检查发送服务器是否具有有效的反向PTR记录。这不需要匹配原始域,因为可以将域的多对一映射到主机。但确定IP空间的所有权并确定始发服务器是否是动态IP块的一部分(例如家庭宽带 - 读取:受损的垃圾邮件机箱)是很好的。
  • 内容过滤 - (不可靠) - 尝试对付“(伟哥,v \ | agra,viagra,vilgra。)”的排列对管理员而言非常耗时,并且无法在更大的环境中进行扩展。
  • 贝叶斯过滤  - 更多高级垃圾邮件解决方案允许全球或每用户的邮件培训。阅读关于启发式的链接文章,但重点是邮件可以手动分类为好(Ham)或坏(Spam),并且生成的消息填充贝叶斯数据库,可以引用该数据库以确定未来消息的分类。通常,这与垃圾邮件分数或加权相关联,并且可以是用于确定是否应该传递消息的少数技术中的一种。
  • 速率控制/限制 - 简单的方法。限制给定服务器在特定时间段内可以尝试传递的消息数量。推迟超过该阈值的所有消息。这通常在邮件服务器端配置。
  • 托管和云过滤。 Postini的 浮现在脑海中,因为那是一个  解决方案之前  是一个流行语。现在由谷歌拥有,托管解决方案的优势在于处理他们遇到的邮件量所固有的规模经济。数据分析和简单的地理范围可以帮助托管垃圾邮件过滤解决方案适应趋势。但执行很简单。 1)。将MX记录指向托管解决方案,2)。提供过滤后服务器传递地址。 3)。 利润

我目前的做法:

我是基于设备的垃圾邮件解决方案的坚定拥护者。我想在网络的边界拒绝并在邮件服务器级别保存CPU周期。使用设备还提供了与实际邮件服务器(邮件传递代理)解决方案的一些独立性。

我建议 梭子鱼垃圾邮件过滤器具 出于多种原因。我已经部署了几十个单元,网络驱动的界面,行业思想共享和一劳永逸的设备本质使它成为赢家。后端技术结合了上面列出的许多技术。

  • 我在我的邮件服务器的IP地址上阻止端口25,而是将域的MX记录设置为Barracuda设备的面向公众的地址 - 例如spam.domain.com。 25号邮件将开放供邮件发送。
  • 核心是 SpamAssassin的 - 具有消息日志(和贝叶斯数据库)的简单接口,可用于在初始培训期间对来自坏的好邮件进行分类。
  • Barracuda默认使用几个RBL,包括那些 Spamhaus.org,和他们自己 BRBL声誉数据库注意 - BRBL 可作为其他邮件系统的标准RBL免费使用
  • 梭子鱼声誉数据库是根据实时数据,蜜罐,大规模分析和任何数量的专有技术编制的。它有一个注册的白名单和阻止列表。大批量和高可见度的邮件发件人经常向Barracuda注册自动白名单。例子包括黑莓, 不断接触
  • 可以启用SPF检查(但我不启用它们)。
  • 根据需要,可以从设备的邮件缓存中查看邮件和重新传递的界面。这在用户期望可能未通过所有垃圾邮件检查的邮件的情况下很有用。
  • LDAP / Active Directory用户验证有助于加速检测无效邮件收件人。这节省了带宽并防止了 后向散射
  • 可以配置IP /发件人地址/域/原产国。如果我想拒绝来自意大利域名后缀的所有邮件,那么这是可能的。如果我想阻止来自特定域的邮件,则可以轻松配置。如果我想阻止用户的 死缠烂打 从发送电子邮件到用户,这是可行的(真实的故事)。
  • Barracuda提供了许多预制报告以及设备状态和垃圾邮件指标的良好可视化显示。
  • 我喜欢在现场使用设备来保持内部处理,并且可能具有过滤后电子邮件日记连接(在需要邮件保留的环境中)。
  •  设备可以驻留在 虚拟化基础设施

Barracuda垃圾邮件和病毒防火墙300状态控制台 enter image description here


较新的方法:

我一直在试验 Barracuda基于云的电子邮件安全服务 过去一个月。这类似于其他托管解决方案,但非常适合较小的站点,其中昂贵的设备成本过高。对于名义年费,此服务提供硬件设备的约85%。该服务还可以与现场设备串联运行,以减少传入带宽并提供另一层安全性。它也是一个很好的缓冲区,可以在服务器中断时切换邮件。分析仍然有用,但不像物理单位那么详细。

Barracuda Cloud电子邮件安全控制台 enter image description here

总而言之,我尝试了很多解决方案,但鉴于某些环境的规模以及用户群不断增长的需求,我希望获得最优雅的解决方案。采取多管齐下的方法并“滚动自己”当然是可能的,但我已经完成了对Barracuda设备的一些基本安全性和良好使用监控。用户对结果非常满意。

注意: 思科Ironport 也很棒......比较贵。


27
2017-08-23 14:08





部分地,我支持别人所说的话;部分地,我没有。

过虑

这对我很有用,但你需要花一些时间训练贝叶斯过滤器 火腿和垃圾邮件

灰名单

ewwhite可能觉得它的日子已经过去了,但我不能同意。我的一位客户询问我的各种过滤器的效果如何,所以这里是我个人邮件服务器2012年7月的近似统计数据:

  • 46000条消息尝试传递
  • 1750年通过了灰名单
  • 250通过灰名单+训练有素的spamassassin

所以大约44000从未通过灰名单;如果我没有灰名单,并接受了所有这些,那么他们都需要垃圾邮件过滤,所有都使用CPU和内存,甚至带宽。

编辑:既然这个答案似乎对某些人有用,我想我会把统计数据更新一些。因此,我在2。5年后的2015年1月重新对邮件日志进行了分析。

  • 115,500条消息尝试传递
  • 13,300通过灰名单(以及一些基本的健全性检查,例如有效的发件人域名)
  • 8,500人通过灰名单+训练有素的spamassassin

这些数字不能直接比较,因为我不再记录我是如何得出2012年的数字,所以我不能确定方法是否相同。但是我有信心我不必在当时的大量内容上运行计算上昂贵的垃圾邮件过滤,而我仍然没有,因为灰名单。

SPF

这不是一种真正的反垃圾邮件技术,但它可以减少你必须处理的反向散射量,如果你是乔布斯。您应该同时使用它,即:您应检查发件人的SPF记录以接收传入的电子邮件,并相应地接受/拒绝。您还应该发布自己的SPF记录,完整列出所有批准发送邮件的计算机,以及 锁定所有其他人 -all。不结束的SPF记录 -all 完全没用。

黑洞名单

RBL是有问题的,因为人们可以通过自己的过错来接触它们,并且它们很难下车。然而,他们在打击垃圾邮件方面有合法用途但是 我强烈建议不要将RBL用作邮件验收的亮线测试。 spamassassin处理RBL的方式 - 通过使用很多,每个都有助于总得分,并且这个得分使接受/拒绝决定 - 要好得多。

Dropbox的

我不是指商业服务,我的意思是我的邮件服务器有一个地址,它切断了我的所有灰名单和垃圾邮件过滤,但它不是传递给任何人的INBOX,而是转到一个世界可写的文件夹中 /var,每天都会自动删除14天以上的任何电子邮件。

我鼓励所有用户在填写需要可验证电子邮件地址的电子邮件表单时利用它,在那里您将收到一封您需要保留的电子邮件,但您不希望再次收到该电子邮件或购买时来自在线供应商的人可能会出售和/或发送他们的地址(特别是那些欧洲隐私法范围之外的地址)。用户可以给出保管箱地址,而不是给她真实的地址,只有当她期望来自通讯员(通常是机器)的东西时,才能查看保管箱。当它到达时,她可以把它拿出来并保存在她正确的邮件收集中。任何其他时间都没有用户需要查看保管箱。


23
2017-08-21 03:10



我真的很喜欢Dropbox地址的想法。 - blalor
灰名单是一种“自私”的解决方案;它会延迟大量合法邮件,随着越来越多的邮件服务器部署它,越来越多的垃圾邮件发送者将确保其垃圾邮件具有强大的可靠性。最后,我们失败了。我建议小型部署灰名单,并且会 非常 建议不要进行更大规模的部署。考虑 缓送 代替。 雄鱼,灰名单 也可以。 - Adam Katz
@AdamKatz这肯定是一个观点。我不确定垃圾邮件制造者应该如何使他们的垃圾邮件能够在不放弃发送垃圾邮件的情况下对灰名单进行强大的垃圾邮件,在这种情况下,完成工作 - 而不是打败tarpitting,这只需要在僵尸中进行小的代码改进。但我不同意你的自私。当解释权衡时(如果你想要非正式通讯员的实时电子邮件,邮件和通信预算增加了20倍),大多数人更喜欢延迟。 - MadHatter
@AdamKatz还注意到我上面的“dropbox”不会被灰名单击中。因此,任何急需及时收到预先安排的电子邮件的用户都有自动解决方法 - 他们知道提供“即时”地址,并在收到特定项目之前密切注意保管箱。 - MadHatter
@AdamKatz,因为我的灰名单坚持在第一次和成功的交付尝试之间有10分钟的差距,15分钟以上的停顿不是重大困难。至于用户期望,那些可以(当然应该)管理,就像任何其他人一样。你的其他论点更有说服力 - 也许你可以添加自己的答案,介绍一些关于在你的部署中防范效率的具体数字?我们可以永远理论预期的相对有效性,但数据更具启发性 - verba中的nullius! - MadHatter


我正在使用一些技术将垃圾邮件降低到可接受的水平。

延迟接受来自错误配置的服务器的连接。我收到的大部分垃圾邮件都来自在恶意软件感染系统上运行的Spambots。几乎所有这些都没有通过rDNS验证。在每次响应之前延迟30秒左右会导致大多数Spambots在发送消息之前放弃。仅将此应用于rDNS失败的服务器可避免对正确配置的服务器进行处罚。一些错误配置的合法批量或自动发件人会受到惩罚,但确实会以最小的延迟交付。

为您的所有域配置SPF可保护您的域。大多数子域名不应用于发送电子邮件。主要的例外是MX域必须能够自己发送邮件。许多合法发件人将批量和自动邮件委托给其策略不允许的服务器。推迟而不是拒绝基于SPF允许他们修复他们的SPF配置,或者您将它们列入白名单。

在HELO / EHLO命令中需要FQDN(完全限定域名)。垃圾邮件通常使用不合格的主机名,地址文字,IP地址或无效的TLD(顶级域名)。不幸的是,一些合法的发件人使用无效的TLD,因此在这种情况下推迟可能更合适。这可能需要监控和白名单才能启用邮件。

DKIM有助于不可否认性,但在其他方面并不是非常有用。我的经验是垃圾邮件不太可能签名。汉姆更有可能签名,因此它在垃圾邮件评分中具有一定的价值。许多合法发件人不发布他们的公钥,或者不正确地配置他们的系统。

灰名单对于显示错误配置迹象的服务器很有帮助。正确配置的服务器最终会通过,因此我倾向于将它们排除在灰名单之外。它对灰名单自由职业者很有用,因为它们往往偶尔用于垃圾邮件。延迟使一些垃圾邮件过滤器输入时间能够捕获垃圾邮件发送者。它也倾向于偏离Spambots,因为它们通常不会重试。

黑名单和白名单也可以提供帮助。

  • 我发现Spamhaus是一个可靠的黑名单。
  • 垃圾邮件过滤器中的自动白名单有助于平滑偶尔发送垃圾邮件的频繁发件人或偶尔使用Hamish的垃圾邮件发送者的评级。
  • 我发现dnsl.org的白名单也很有用。

垃圾邮件过滤软件在寻找垃圾邮件方面相当不错,尽管有些人会通过。将假阴性推向合理水平可能会非常棘手,而不会过多地增加假阳性。我发现Spamassassin可以捕获到达它的大部分垃圾邮件。我添加了一些符合我需求的自定义规则。

邮局主管应配置所需的滥用和邮寄地址。确认您收到这些地址的反馈并采取相应措施。这允许其他人帮助您确保正确配置服务器而不是源自垃圾邮件。

如果您是开发人员,请使用现有的电子邮件服务,而不是设置自己的服务器。根据我的经验,自动邮件发件人的服务器设置可能配置不正确。查看RFC并从您域中的合法地址发送格式正确的电子邮件。

最终用户可以做很多事情来帮助减少垃圾邮件:

  • 不要打开它。将其标记为垃圾邮件或删除它。
  • 确保您的系统安全且无恶意软件。
  • 监控您的网络使用情况,尤其是在您不使用系统时。如果在您不使用它时会产生大量网络流量,则可能是在发送垃圾邮件。
  • 不使用时请关闭计算机。 (如果关闭,它将无法生成垃圾邮件。)

域所有者/ ISP可以通过将端口25(SMTP)上的Internet访问限制为官方电子邮件服务器来提供帮助。这将限制Spambots发送到Internet的能力。当动态地址返回未通过rDNS验证的名称时,它也会有所帮助。更好的是验证邮件服务器的PTR记录是否通过了rDNS valiation。 (在为客户端配置PTR记录时验证是否存在印刷错误。)

我已经开始将电子邮件分为三类:

  • Ham(几乎总是来自正确配置的服务器,格式正确,通常是个人电子邮件。)
  • 垃圾邮件(主要来自Spambots,但有一定百分比来自freemailers或其他服务器配置不正确的发件人。)
  • BACN;可能是Ham或Spam(包括来自邮件列表和自动系统的大量邮件。由于DNS和/或服务器配置错误,Ham通常会在这里结束。)

14
2017-08-25 22:16



BACN (注意缺失 o)是一个标准术语,指的是“你想要的邮件,但现在不是。”另一类邮件是 灰色邮件,这是一种在技术上不是垃圾邮件的批量邮件,可能是其他人想要的一些收件人不想要的。 - Adam Katz


我见过的最有效的解决方案是使用其中一种外部邮件过滤服务。

我有现在客户的以下服务经验。我相信还有其他人。这些都在我的经历中做得非常出色。三者的成本合理。

  • Postini的 来自谷歌
  • MXLogic 来自McAfee
  • SecureTide 来自AppRiver

与本地解决方案相比,这些服务具有几大优势

  1. 在它们到达您的互联网连接和您的电子邮件服务器之前,它们会阻止大多数(> 99%)的垃圾邮件。鉴于垃圾邮件的数量,这是很多数据不在您的带宽上而不在您的服务器上。我已经实施了十几次这样的服务之一,每一次都为电子邮件服务器带来了显着的性能提升。

  2. 他们还进行反病毒过滤,通常是两个方向。这减轻了在服务器上安装“邮件反病毒”解决方案的需要,并且还完全保留了病毒

他们在阻止垃圾邮件方面也做得很好。在使用MXLogic的公司工作2年后,我从未有过误报,并且可以统计一方面通过的合法垃圾邮件。


5
2018-06-11 01:37



+1用于识别托管解决方案的优势以及正常运行时间/规模和降低的流量优势。我发现的唯一问题是在某些情况下缺乏自定义和响应(从必须发送到受这些服务保护的域的人的角度来看)。此外,一些公司出于安全/合规原因无法使用外部过滤。 - ewwhite


没有两个邮件环境是相同的。因此,构建有效的解决方案需要围绕许多不同的技术进行大量的试验和错误,因为电子邮件,流量,软件,网络,发件人,收件人等等的内容在不同环境中都会有很大差异。

但是我发现以下块列表(RBL)非常适合一般过滤:

如前所述,SpamAssassin是一个很好的解决方案,如果配置正确,只需确保在CPAN中安装尽可能多的插件Perl模块以及Razor,Pyzor和DCC。 Postfix与SpamAssassin非常兼容,例如,它比EXIM更容易管理和配置。

最后,在一些事件(例如触发RBL对滥用行为的命中)之后,使用fail2ban和iptables或类似程序在短时间内(例如一天到一周)阻止客户端也非常有效。为什么浪费资源与已知病毒感染的主机交谈呢?


4