111 votes

frameworkninja avatar

Lutte contre le spam - Que puis-je faire en tant que : Administrateur de messagerie, propriétaire de domaine ou utilisateur ?

Demandé el 20 de Août, 2012
Quand la question a-t-elle été
63887 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Il s'agit d'un Question canonique sur la lutte contre le spam.
Voir aussi :

Il y a tant de techniques et tant de choses à savoir sur la lutte contre le SPAM. Quelles techniques et technologies largement utilisées sont à la disposition des administrateurs, des propriétaires de domaines et des utilisateurs finaux pour les aider à éviter les pourriels dans leurs boîtes de réception ?

Nous cherchons une réponse qui couvre différentes technologies sous différents angles. La réponse acceptée devrait inclure une variété de technologies (par exemple SPF/SenderID, DomainKeys/DKIM, Graylisting, DNS RBLs, Reputation Services, Filtering Software [SpamAssassin, etc]) ; les meilleures pratiques (par exemple le courrier sur le Port 25 ne devrait jamais être autorisé à relayer, le Port 587 devrait être utilisé ; etc), la terminologie (par exemple, Open Relay, Backscatter, MSA/MTA/MUA, Spam/Ham), et éventuellement d'autres techniques.

Demandé el 20 de Août, 2012 par frameworkninja

Réponses

Trop de publicités?

106voto

Michael Hampton avatar
Michael Hampton Points 232226

Pour vaincre votre ennemi, vous devez le connaître.

Qu'est-ce que le spam ?

Pour nos besoins, le spam est tout message électronique non sollicité en masse. De nos jours, le spam a pour but d'inciter des utilisateurs peu méfiants à visiter un site web (généralement louche) où il leur sera demandé d'acheter des produits, de recevoir des logiciels malveillants sur leur ordinateur, ou les deux. Certains spams diffusent directement des logiciels malveillants.

Vous serez peut-être surpris d'apprendre que le premier spam a été envoyé en 1864. C'était une publicité pour des services dentaires, envoyée par télégramme Western Union. Le mot lui-même est un référence à un scène dans Le cirque volant des Monty Python .

Le spam, dans ce cas, ne no font référence au trafic de listes de diffusion auquel un utilisateur s'est abonné, même s'il a changé d'avis par la suite (ou l'a oublié) mais ne s'est pas encore réellement désabonné.

Pourquoi le spam est-il un problème ?

Le spam est un problème parce que cela fonctionne pour les spammeurs . Le spam génère généralement plus qu'assez de ventes (ou de livraison de logiciels malveillants, ou les deux) pour couvrir les coûts -- au spammeur -- de l'envoyer. Le spammeur ne tient pas compte des coûts pour le destinataire, vous et vos utilisateurs. Même lorsqu'une infime minorité d'utilisateurs recevant du spam y répond, c'est suffisant.

C'est donc vous qui devez payer les factures de bande passante, de serveurs et de temps d'administrateur pour traiter le spam entrant.

Nous bloquons le spam pour les raisons suivantes : nous ne voulons pas le voir, nous voulons réduire nos coûts de traitement du courrier électronique et rendre le spam plus coûteux pour les spammeurs.

Comment fonctionne le spam ?

Le spam est généralement distribué de manière différente du courrier électronique normal et légitime.

Les spammeurs veulent presque toujours masquer l'origine du courrier électronique. C'est pourquoi un spam typique contient de fausses informations d'en-tête. Le site From: L'adresse est généralement fausse. Certains spams contiennent de fausses Received: dans le but de dissimuler la piste. Une grande partie du spam est diffusée via des relais SMTP ouverts, des serveurs proxy ouverts et des réseaux de zombies. Toutes ces méthodes font qu'il est plus difficile de déterminer qui est à l'origine du spam.

Une fois dans la boîte de réception de l'utilisateur, le but du spam est d'inciter l'utilisateur à visiter le site Web annoncé. Là, l'utilisateur sera incité à effectuer un achat, ou le site tentera d'installer un logiciel malveillant sur l'ordinateur de l'utilisateur, ou les deux. Ou encore, le spam demandera à l'utilisateur d'ouvrir une pièce jointe contenant un logiciel malveillant.

Comment arrêter le spam ?

En tant qu'administrateur système d'un serveur de messagerie, vous allez configurer votre serveur de messagerie et votre domaine pour qu'il soit plus difficile pour les spammeurs d'envoyer leurs pourriels à vos utilisateurs.

Je traiterai des questions spécifiquement axées sur le spam et il se peut que je passe sous silence des éléments qui ne sont pas directement liés au spam (comme le cryptage).

Ne pas faire fonctionner un relais ouvert

Le gros péché du serveur de messagerie est de lancer un relais ouvert un serveur SMTP qui accepte le courrier pour n'importe quelle destination et le transmet. Les spammeurs adorent les relais ouverts car ils garantissent pratiquement la livraison. Ils se chargent de distribuer les messages (et de réessayer !) pendant que le spammeur fait autre chose. Ils rendent le spamming bon marché .

Les relais ouverts contribuent également au problème de la rétrodiffusion. Il s'agit de messages qui ont été acceptés par le relais mais qui se révèlent ensuite non distribuables. Le relais ouvert envoie alors un message de rebond à l'adresse de l'utilisateur. From: qui contient une copie du spam.

  • Configurez votre serveur de messagerie pour qu'il accepte le courrier entrant sur le port 25 uniquement pour votre ou vos propres domaines. Pour la plupart des serveurs de messagerie, il s'agit du comportement par défaut, mais vous devez au moins indiquer au serveur de messagerie quels sont vos domaines.
  • Testez votre système en envoyant à votre serveur SMTP un courrier provenant de l'extérieur de votre réseau où les deux From: y To: Les adresses ne sont pas dans votre domaine. Le message devrait être rejeté. (Ou bien, utilisez un service en ligne comme Boîte à outils MX pour effectuer le test, mais sachez que certains services en ligne soumettront votre adresse IP à des listes noires si votre serveur de messagerie échoue au test).

Rejeter tout ce qui semble trop suspect

Diverses erreurs et mauvaises configurations peuvent indiquer qu'un message entrant est probablement un spam ou un autre message illégitime.

  • Marquer comme spam ou rejeter les messages pour lesquels l'adresse IP n'a pas de reverse DNS (enregistrement PTR). Traitez l'absence d'enregistrement PTR plus sévèrement pour les connexions IPv4 que pour les connexions IPv6, car de nombreuses adresses IPv6 n'ont pas encore de reverse DNS, et pourraient ne pas en avoir avant plusieurs années, jusqu'à ce que le logiciel du serveur DNS soit mieux à même de gérer ces zones potentiellement très étendues.
  • Rejeter les messages pour lesquels le nom de domaine dans les adresses de l'expéditeur ou du destinataire n'existe pas.
  • Rejeter les messages qui n'utilisent pas de noms de domaine pleinement qualifiés pour les domaines de l'expéditeur ou du destinataire, à moins qu'ils ne proviennent de votre domaine et ne soient destinés à être délivrés dans votre domaine (par exemple, les services de surveillance).
  • Rejeter les connexions où l'autre extrémité n'envoie pas un HELO / EHLO .
  • Rejeter les connexions où le HELO / EHLO est :
    • pas un nom de domaine pleinement qualifié et pas une adresse IP
    • manifestement faux (par exemple, votre propre espace d'adresse IP)
  • Rejeter les connexions qui utilisent le pipelining sans être autorisées à le faire.

Authentifiez vos utilisateurs

Le courrier qui arrive sur vos serveurs doit être considéré en termes de courrier entrant et de courrier sortant. Le courrier entrant est tout courrier arrivant sur votre serveur SMTP qui est finalement destiné à votre domaine ; le courrier sortant est tout courrier arrivant sur votre serveur SMTP qui sera transféré ailleurs avant d'être distribué (par exemple, il est destiné à un autre domaine). Le courrier entrant peut être traité par vos filtres anti-spam, et peut provenir de n'importe où mais doit toujours être destiné à vos utilisateurs. Ce courrier ne peut pas être authentifié, car il n'est pas possible de donner des informations d'identification à chaque site susceptible de vous envoyer du courrier.

Le courrier sortant, c'est-à-dire le courrier qui sera relayé, doit être authentifié. C'est le cas qu'il provienne d'Internet ou de l'intérieur de votre réseau (bien que vous deviez restreindre les plages d'adresses IP autorisées à utiliser votre serveur de messagerie si cela est possible d'un point de vue opérationnel) ; ceci parce que des spambots peuvent fonctionner à l'intérieur de votre réseau. Configurez donc votre serveur SMTP de manière à ce que le courrier destiné à d'autres réseaux soit rejeté (l'accès au relais sera refusé) à moins que ce courrier ne soit authentifié. Mieux encore, utilisez des serveurs de messagerie distincts pour le courrier entrant et le courrier sortant, n'autorisez aucun relais pour le courrier entrant et ne permettez aucun accès non authentifié au courrier sortant.

Si votre logiciel le permet, vous devez également filtrer les messages en fonction de l'utilisateur authentifié ; si l'adresse de départ du courrier ne correspond pas à l'utilisateur qui s'est authentifié, il doit être rejeté. Ne mettez pas silencieusement à jour l'adresse de départ ; l'utilisateur doit être conscient de l'erreur de configuration.

Vous devez également enregistrer le nom d'utilisateur utilisé pour envoyer le courrier, ou lui ajouter un en-tête d'identification. Ainsi, en cas d'abus, vous disposez de preuves et savez quel compte a été utilisé. Cela vous permet d'isoler les comptes compromis et les utilisateurs à problèmes, ce qui est particulièrement utile pour les fournisseurs d'hébergement partagé.

Filtrer le trafic

Vous voulez être certain que le courrier qui quitte votre réseau est réellement envoyé par vos utilisateurs (authentifiés), et non par des robots ou des personnes extérieures. La manière de procéder dépend du type de système que vous administrez.

En général, le blocage du trafic sortant sur les ports 25, 465 et 587 (SMTP, SMTP/SSL et soumission) pour tout sauf vos serveurs de messagerie sortants est une bonne idée si vous êtes un réseau d'entreprise. Ainsi, les robots malveillants sur votre réseau ne peuvent pas envoyer de spam depuis votre réseau vers des relais ouverts sur Internet ou directement vers le MTA final pour une adresse.

Les hotspots sont un cas particulier car le courrier légitime qu'ils envoient provient de nombreux domaines différents, mais (à cause de SPF, entre autres) un serveur de messagerie "forcé" est inapproprié et les utilisateurs devraient utiliser le serveur SMTP de leur propre domaine pour envoyer du courrier. Ce cas est beaucoup plus difficile, mais l'utilisation d'une IP ou d'une plage d'IP publique spécifique pour le trafic Internet provenant de ces hôtes (afin de protéger la réputation de votre site), la limitation du trafic SMTP et l'inspection approfondie des paquets sont des solutions à envisager.

Historiquement, les spambots ont émis du spam principalement sur le port 25, mais rien ne les empêche d'utiliser le port 587 dans le même but, de sorte que la modification du port utilisé pour le courrier entrant est d'une valeur douteuse. Cependant, l'utilisation du port 587 pour l'envoi de courrier est recommandée par RFC 2476 et permet une séparation entre la soumission du courrier (au premier MTA) et le transfert du courrier (entre les MTA) lorsque cela n'est pas évident à partir de la topologie du réseau ; si vous avez besoin d'une telle séparation, vous devriez le faire.

Si vous êtes un ISP, un hébergeur VPS, un fournisseur de colocation ou similaire, ou si vous fournissez un hotspot à l'usage des visiteurs, le blocage du trafic SMTP sortant peut être problématique pour les utilisateurs qui envoient du courrier en utilisant leurs propres domaines. Dans tous les cas, à l'exception d'un hotspot public, vous devez demander aux utilisateurs qui ont besoin d'un accès SMTP sortant parce qu'ils utilisent un serveur de messagerie d'en faire la demande expresse. Faites-leur savoir que les plaintes pour abus auront pour conséquence de mettre fin à cet accès afin de protéger votre réputation.

Les IP dynamiques, et celles utilisées pour l'infrastructure des bureaux virtuels, ne devraient jamais avoir d'accès SMTP sortant, sauf pour le serveur de messagerie spécifique que ces nœuds sont censés utiliser. Ces types d'IP devrait figurent également sur les listes noires et vous ne devriez pas essayer de vous faire une réputation pour eux. En effet, il est très peu probable qu'ils exploitent un MTA légitime.

Pensez à utiliser SpamAssassin

SpamAssassin est un filtre de courrier électronique qui peut être utilisé pour identifier le spam sur la base des en-têtes et du contenu du message. Il utilise un système de notation basé sur des règles pour déterminer la probabilité qu'un message soit du spam. Plus le score est élevé, plus le message est susceptible d'être du spam.

SpamAssassin dispose également d'un moteur bayésien qui peut analyser des échantillons de spam et de ham (courrier électronique légitime) qui lui sont renvoyés.

La meilleure pratique pour SpamAssassin n'est pas de rejeter le courrier, mais de le placer dans un dossier de courrier indésirable ou de spam. Les MUA (agents utilisateurs de messagerie) tels qu'Outlook et Thunderbird peuvent être configurés pour reconnaître les en-têtes que SpamAssassin ajoute aux messages électroniques et les classer de manière appropriée. Les faux positifs peuvent se produire et se produisent, et bien qu'ils soient rares, lorsque cela arrive au PDG, vous en entendrez parler. Cette conversation se passera beaucoup mieux si le message a simplement été placé dans le dossier des messages indésirables plutôt que d'être purement et simplement rejeté.

SpamAssassin est presque unique en son genre, bien que quelques alternatives existent .

  • Installez SpamAssassin et configurez la mise à jour automatique de ses règles à l'aide des éléments suivants sa-update .
  • Envisagez d'utiliser règles personnalisées le cas échéant.
  • Envisagez de mettre en place Filtrage bayésien .

Envisagez d'utiliser des listes de trous noirs et des services de réputation basés sur le DNS.

Les DNSBL (anciennement appelées RBL, ou listes de trous noirs en temps réel) fournissent des listes d'adresses IP associées au spam ou à d'autres activités malveillantes. Ces listes sont gérées par des tiers indépendants sur la base de leurs propres critères. Il convient donc de vérifier soigneusement si les critères d'inscription et de radiation utilisés par une DNSBL sont compatibles avec les besoins de votre organisation en matière de réception d'e-mails. Par exemple, quelques DNSBL ont des politiques de radiation draconiennes qui rendent très difficile la suppression d'une personne inscrite accidentellement. D'autres se retirent automatiquement de la liste lorsque l'adresse IP n'a pas envoyé de spam pendant un certain temps, ce qui est plus sûr. L'utilisation de la plupart des DNSBL est gratuite.

Les services de réputation sont similaires, mais prétendent fournir de meilleurs résultats en analysant davantage de données relatives à une adresse IP donnée. La plupart des services de réputation nécessitent un abonnement ou l'achat de matériel, voire les deux.

Il existe des dizaines de DNSBL et de services de réputation, mais les plus connus et les plus utiles que j'utilise et recommande sont les suivants :

Listes conservatrices :

Listes agressives :

Comme indiqué précédemment, des dizaines d'autres sont disponibles et peuvent répondre à vos besoins. L'une de mes astuces préférées consiste à rechercher l'adresse IP qui a délivré un spam qui a passé à travers plusieurs DNSBL pour voir lequel d'entre eux l'aurait rejeté.

  • Pour chaque DNSBL et service de réputation, examinez ses politiques d'inscription et de radiation des adresses IP et déterminez si elles sont compatibles avec les besoins de votre organisation.
  • Ajoutez la DNSBL à votre serveur SMTP lorsque vous avez décidé qu'il est approprié d'utiliser ce service.
  • Envisager d'attribuer un score à chaque DNSBL et en le configurant dans SpamAssassin plutôt que votre serveur SMTP. Cela réduit l'impact d'un faux positif ; un tel message serait livré (éventuellement dans la catégorie Junk/Spam) au lieu d'être renvoyé. La contrepartie est que vous délivrez un lot de spam.
  • Ou bien, rejeter purement et simplement lorsque l'adresse IP figure sur l'une des listes les plus conservatrices, et configurer les listes les plus agressives dans SpamAssassin.

Utilisez le FPS

SPF (Sender Policy Framework) ; RFC 4408 y RFC 6652 ) est un moyen d'empêcher l'usurpation d'adresse électronique en déclarant quels hôtes Internet sont autorisés à délivrer du courrier pour un nom de domaine donné.

  • Configurez votre DNS pour déclarer un enregistrement SPF avec vos serveurs de courrier sortant autorisés et -all pour rejeter tous les autres.
  • Configurez votre serveur de messagerie pour qu'il vérifie les enregistrements SPF du courrier entrant, s'ils existent, et rejette le courrier dont la validation SPF échoue. Ignorez cette vérification si le domaine n'a pas d'enregistrements SPF.

Enquêter sur DKIM

DKIM (DomainKeys Identified Mail ; RFC 6376 ) est une méthode permettant d'intégrer des signatures numériques dans les messages électroniques, qui peuvent être vérifiées à l'aide de clés publiques publiées dans le DNS. Il s'agit grevé d'un brevet aux États-Unis, ce qui a ralenti son adoption. Les signatures DKIM peuvent également être rompues si un message est modifié en transit (par exemple, les serveurs SMTP peuvent occasionnellement reconditionner des messages MIME).

  • Envisagez de signer votre courrier sortant avec des signatures DKIM, mais sachez que les signatures peuvent ne pas toujours être vérifiées correctement, même sur du courrier légitime.

Pensez à utiliser le greylisting

Le Greylisting est une technique par laquelle le serveur SMTP rejette temporairement un message entrant, plutôt que de le rejeter définitivement. Lorsque la livraison est relancée dans quelques minutes ou quelques heures, le serveur SMTP accepte alors le message.

La liste grise peut arrêter certains logiciels anti-spam qui ne sont pas assez robustes pour différencier les rejets temporaires des rejets permanents, mais elle n'est d'aucune utilité pour les spams envoyés à un relais ouvert ou à des logiciels anti-spam plus robustes. Elle introduit également des retards de livraison que les utilisateurs ne tolèrent pas toujours.

  • N'envisagez l'utilisation de la liste grise que dans des cas extrêmes, car elle perturbe fortement le trafic de courrier électronique légitime.

Envisagez d'utiliser le nolisting

Non-liste est une méthode permettant de configurer vos enregistrements MX de manière à ce que l'enregistrement de priorité la plus élevée (numéro de préférence le plus bas) n'ait pas de serveur SMTP en service. Cette méthode repose sur le fait que de nombreux logiciels de spam n'essaient que le premier enregistrement MX, alors que les serveurs SMTP légitimes essaient tous les enregistrements MX par ordre croissant de préférence. Certains logiciels de spam tentent également d'envoyer directement à l'enregistrement MX le moins prioritaire (numéro de préférence le plus élevé), en violation des règles suivantes RFC 5321 Il est donc possible de définir une adresse IP sans serveur SMTP. Cette méthode est considérée comme sûre, mais comme pour toute chose, vous devez d'abord la tester soigneusement.

  • Envisagez de faire pointer votre enregistrement MX le plus prioritaire vers un hôte qui ne répond pas sur le port 25.
  • Envisagez de faire pointer votre enregistrement MX de priorité la plus basse vers un hôte qui ne répond pas sur le port 25.

Envisagez un dispositif de filtrage du spam

Placez un appareil de filtrage du spam tel que Cisco IronPort o Pare-feu anti-spam et anti-virus Barracuda (ou d'autres appareils similaires) devant votre serveur SMTP existant afin de réduire le nombre de spams que vous recevez. Ces appareils sont préconfigurés avec des DNSBL, des services de réputation, des filtres bayésiens et les autres fonctions que j'ai évoquées, et sont régulièrement mis à jour par leurs fabricants.

  • Recherchez les coûts de matériel et d'abonnement des appareils de filtrage du spam.

Envisager des services de messagerie hébergés

Si tout cela est trop lourd pour vous (ou pour votre personnel informatique débordé), vous pouvez toujours demander à un fournisseur de services tiers de gérer votre courrier électronique à votre place. Des services tels que celui de Google Postini , Symantec MessageLabs Email Security (ou d'autres) filtreront les messages pour vous. Certains de ces services peuvent également gérer les exigences réglementaires et légales.

  • Recherchez les coûts d'abonnement aux services de messagerie hébergés.

Quels conseils les administrateurs système doivent-ils donner aux utilisateurs finaux pour lutter contre le spam ?

La première chose que les utilisateurs finaux doivent faire pour lutter contre le spam est la suivante :

  • NE RÉPONDEZ PAS AU SPAM.

    Si cela vous semble bizarre, ne cliquez pas sur le lien du site web et n'ouvrez pas la pièce jointe. Peu importe à quel point l'offre semble attrayante. Le viagra n'est pas si bon marché, vous n'obtiendrez pas vraiment de photos nues de qui que ce soit et il n'y a aucun moyen d'obtenir des informations. 15 millions de dollars au Nigeria ou ailleurs, sauf pour l'argent pris aux personnes qui a fait répondre au spam.

  • Si vous voyez un message de spam, marquez-le en tant que Junk ou Spam en fonction de votre client de messagerie.

  • NE PAS marquer un message comme étant un pourriel ou un spam si vous vous êtes effectivement inscrit pour recevoir les messages et que vous souhaitez simplement ne plus les recevoir. Désinscrivez-vous plutôt de la liste de diffusion en utilisant la méthode de désinscription prévue à cet effet.

  • Vérifiez régulièrement votre dossier Junk/Spam pour voir si des messages légitimes ont été reçus. Marquez-les comme non indésirables/non spam et ajoutez l'expéditeur à vos contacts pour éviter que ses messages ne soient marqués comme spam à l'avenir.

Répondu el 21 de Août, 2012 par Michael Hampton (232226 Points )

32voto

ewwhite avatar
ewwhite Points 193555

J'ai géré plus de 100 environnements de messagerie distincts au fil des ans et j'ai utilisé de nombreux processus pour réduire ou aider à éliminer le spam.

La technologie a évolué au fil du temps, aussi cette réponse passera-t-elle en revue certaines des choses que j'ai essayées dans le passé et détaillera-t-elle l'état actuel des choses.

Quelques réflexions sur la protection...

  • Vous voulez protéger le port 25 de votre serveur de messagerie entrant pour qu'il ne soit pas un relais ouvert où tout le monde peut envoyer du courrier via votre infrastructure. Ceci est indépendant de la technologie particulière du serveur de messagerie que vous utilisez. Les utilisateurs distants doivent utiliser un autre port de soumission y une forme d'authentification requise pour relayer le courrier. Le port 587 ou le port 465 sont les alternatives courantes au 25.
  • Le cryptage est également un atout. Une grande partie du trafic de courrier est envoyée en clair. Nous en sommes au point où la plupart des systèmes de messagerie peuvent prendre en charge une certaine forme de cryptage ; certains l'exigent même.
  • Il s'agit d'approches plus proactives pour prévenir votre site de courrier électronique d'être classé comme source de spam...

En ce qui concerne les spams entrants...

  • Greylisting a été une approche intéressante pendant une courte période de temps. Forcer un rejet/retard temporaire dans l'espoir qu'un spammeur se déconnecte et évite de s'exposer ou de perdre le temps et les ressources nécessaires pour relancer les messages. Cela a eu pour effet d'entraîner des retards imprévisibles dans la distribution du courrier, n'a pas bien fonctionné avec le courrier provenant de grandes fermes de serveurs et les spammeurs ont fini par développer des solutions de contournement. Le pire impact était de briser l'attente des utilisateurs quant à la rapidité de la distribution du courrier.
  • Les relais MX multiples doivent encore être protégés. Certains spammeurs essaieraient d'envoyer à un sauvegarde ou MX de moindre priorité dans l'espoir qu'il ait un filtrage moins robuste.
  • Listes de trous noirs en temps réel (RBL/DNSBL) - Ces bases de données gérées de manière centralisée permettent de vérifier si un serveur d'envoi est répertorié. La forte dépendance à l'égard des RBL s'accompagne de mises en garde. Certains ne sont pas aussi réputés que d'autres. Les offres de Spamhaus ont toujours été bons pour moi. D'autres, comme SORBS Les fournisseurs de services Internet, qui ont une mauvaise approche de l'établissement des listes d'adresses IP, bloquent souvent les courriels légitimes. Dans certains cas, cela a été assimilé à un complot d'extorsion, car le retrait de la liste implique souvent une somme d'argent.
  • Cadre de la politique de l'expéditeur (SPF) - Il s'agit essentiellement d'un moyen de garantir qu'un hôte donné est autorisé à envoyer du courrier pour un domaine particulier, tel que défini par un enregistrement TXT du DNS. C'est une bonne pratique de créer des enregistrements SPF pour votre courrier sortant, mais une mauvaise pratique de exiger des serveurs qui vous l'envoient.
  • Clés de domaine - Ce n'est pas un usage répandu... pour l'instant.
  • Suppression des rebonds - Empêche le retour des courriers non valides à leur source. Certains spammeurs essaient de voir quelles adresses sont actives ou valides en analysant les éléments suivants rétrodiffusion pour créer une carte des adresses utilisables.
  • Contrôles DNS inversé/PTR - Vérifiez qu'un serveur d'envoi possède un enregistrement PTR inversé valide. Il n'est pas nécessaire que cet enregistrement corresponde au domaine d'origine, car il est possible d'avoir une correspondance de plusieurs domaines à un hôte. Mais il est bon de déterminer la propriété d'un espace IP et de savoir si le serveur d'origine fait partie d'un bloc d'IP dynamique (par exemple, le haut débit domestique - lire : les spambots compromis).
  • Filtrage du contenu - (peu fiable) - Essayer de contrer les permutations de "(Viagra, v\|agra, viagra, vilgra.)" prend beaucoup de temps à l'administrateur et ne s'adapte pas à un environnement plus vaste.
  • Filtrage bayésien - Les solutions anti-spam plus avancées permettent une formation globale ou par utilisateur du courrier. Lisez l'article lié sur les heuristiques, mais l'essentiel est que le courrier peut être classé manuellement comme bon (Ham) ou mauvais (Spam), et les messages résultants alimentent une base de données bayésienne qui peut être référencée pour déterminer la catégorisation des futurs messages. Généralement, cette classification est associée à un score ou à une pondération du spam, et peut être l'une des nombreuses techniques utilisées pour déterminer si un message doit être remis.
  • Contrôle des taux/Étouffement - Approche simple. Limite le nombre de messages qu'un serveur donné peut tenter de délivrer pendant une certaine période. Différez tous les messages dépassant ce seuil. Cette méthode est généralement configurée du côté du serveur de messagerie.
  • Filtrage hébergé et en nuage. Postini me vient à l'esprit, car c'était un nuage solution avant nuage était un mot à la mode. Aujourd'hui propriété de Google, la force d'une solution hébergée réside dans les économies d'échelle inhérentes au traitement du volume de courrier qu'elle rencontre. L'analyse des données et une simple portée géographique peuvent aider une solution hébergée de filtrage du spam à s'adapter aux tendances. L'exécution est cependant simple. 1). Faites pointer votre enregistrement MX vers la solution hébergée, 2). fournissez une adresse de livraison du serveur post-filtrage. 3). Profit .

Mon approche actuelle :

Je suis un fervent défenseur des solutions anti-spam basées sur des appareils. Je veux rejeter les pourriels à la périphérie du réseau et économiser les cycles du processeur au niveau du serveur de messagerie. L'utilisation d'une appliance offre également une certaine indépendance par rapport au serveur de messagerie (agent de distribution du courrier).

Je recommande Appareils Barracuda Spam Filter pour un certain nombre de raisons. J'ai déployé plusieurs douzaines d'unités et l'interface Web, l'image de marque de l'industrie et la nature de l'appareil "set-and-forget" en font un gagnant. La technologie dorsale incorpore plusieurs des techniques énumérées ci-dessus.

  • Je bloque le port 25 sur l'adresse IP de mon serveur de messagerie et je règle l'enregistrement MX du domaine sur l'adresse publique de l'appliance Barracuda, par exemple spam.domain.com. Le port 25 sera ouvert pour la distribution du courrier.
  • Le noyau est SpamAssassin -Dérivé d'une interface simple vers un journal des messages (et une base de données bayésienne) qui peut être utilisé pour classer le bon courrier du mauvais pendant une période d'entraînement initiale.
  • Barracuda utilise plusieurs RBL par défaut, notamment celles de Spamhaus.org et leur propre Base de données de réputation du BRBL . Remarque - le BRBL est utilisable gratuitement comme RBL standard pour d'autres systèmes de messagerie. .
  • La base de données de réputation de Barracuda est compilée à partir de données en direct, de pots de miel, d'analyses à grande échelle et d'un certain nombre de techniques exclusives. Elle comporte une liste blanche et une liste de blocage enregistrées. Les expéditeurs de courrier électronique à fort volume et à grande visibilité s'inscrivent souvent auprès de Barracuda pour obtenir une liste blanche automatique. Les exemples incluent Blackberry, Constant Contact , usw.
  • Les contrôles SPF peuvent être activés (je ne les active pas, cependant).
  • Une interface permet d'examiner le courrier et de le redistribuer à partir du cache de l'appareil si nécessaire. Ceci est utile dans les cas où un utilisateur attendait un message qui n'a peut-être pas passé tous les contrôles anti-spam.
  • La vérification des utilisateurs LDAP/Active Directory permet d'accélérer la détection des destinataires non valides du courrier. Cela permet d'économiser de la bande passante et d'éviter rétrodiffusion .
  • L'adresse IP/expéditeur/domaine/pays d'origine peuvent tous être configurés. Si je veux refuser tout courrier provenant de suffixes de domaines italiens, c'est possible. Si je veux empêcher le courrier provenant d'un domaine particulier, c'est facile à configurer. Si je veux bloquer le courrier d'un utilisateur harceleur d'envoyer un courriel à l'utilisateur, c'est faisable (histoire vraie).
  • Barracuda fournit un certain nombre de rapports automatiques et un bon affichage visuel de l'état de l'appareil et des mesures du spam.
  • J'aime avoir une appliance sur site pour conserver ce traitement en interne et éventuellement disposer d'une connexion de journalisation du courrier électronique post-filtre (dans les environnements où la conservation du courrier est nécessaire).
  • Plus L'appareil peut résider dans un infrastructure virtualisée .

Console d'état Barracuda Spam & Virus Firewall 300 enter image description here

Une approche plus récente :

J'ai fait des expériences avec Le service de sécurité du courrier électronique en nuage de Barracuda au cours du mois écoulé. Cette solution est similaire à d'autres solutions hébergées, mais elle est bien adaptée aux petits sites, pour lesquels un appareil coûteux est prohibitif. Pour un coût annuel minime, ce service fournit environ 85 % de ce que fait l'appliance matérielle. Le service peut également être exécuté en tandem avec une appliance sur site pour réduire la bande passante entrante et fournir une autre couche de sécurité. Il s'agit également d'un tampon agréable qui peut mettre le courrier en file d'attente en cas de panne du serveur. Les analyses sont toujours utiles, même si elles ne sont pas aussi détaillées que celles d'une unité physique.

Console Barracuda Cloud Email Security enter image description here

Dans l'ensemble, j'ai essayé de nombreuses solutions, mais étant donné l'ampleur de certains environnements et les exigences croissantes de la base d'utilisateurs, je veux la ou les solutions les plus élégantes disponibles. Il est certainement possible d'adopter l'approche multidimensionnelle et de "déployer sa propre solution", mais j'ai obtenu de bons résultats avec une sécurité de base et une bonne surveillance de l'utilisation du dispositif Barracuda. Les utilisateurs sont très satisfaits du résultat.

Nota: Cisco Ironport est aussi très bien... Juste plus cher.

Répondu el 21 de Août, 2012 par ewwhite (193555 Points )

27voto

MadHatter avatar
MadHatter Points 77602

En partie, j'approuve ce que d'autres ont dit ; en partie, je ne le fais pas.

Spamassassin

Cela fonctionne très bien pour moi, mais vous devez passer un certain temps à former le filtre bayésien. avec du jambon et du spam .

Greylisting

ewwhite peut penser que son jour est passé, mais je ne suis pas d'accord. Un de mes clients m'a demandé quelle était l'efficacité de mes différents filtres, voici donc les statistiques approximatives de juillet 2012 pour mon serveur de mails personnel :

  • 46000 messages de tentative de livraison
  • 1750 sont passés à travers le greylisting
  • 250 sont passés par le greylisting + formé spamassassin

Si je n'avais pas eu recours à la liste grise et si j'avais accepté tous ces messages, ils auraient tous eu besoin d'un filtre anti-spam, ce qui aurait utilisé le processeur, la mémoire et la bande passante.

Modifier Puisque cette réponse semble avoir été utile à certaines personnes, j'ai pensé que je devais mettre à jour les statistiques. J'ai donc relancé l'analyse sur les journaux de courrier de janvier 2015, soit 2,5 ans plus tard.

  • 115 500 messages ont fait l'objet d'une tentative de livraison
  • 13 300 sont passés au travers du greylisting (et de quelques vérifications de base, par exemple un domaine d'expéditeur valide).
  • 8 500 sont passés par le greylisting + spamassassin entraîné

Les chiffres ne sont pas directement comparables, car je n'ai plus de note sur la façon dont je suis arrivé aux chiffres de 2012, et je ne peux donc pas être sûr que les méthodologies étaient identiques. Mais j'ai la certitude que je n'avais pas besoin d'utiliser un filtre anti-spam coûteux en calcul pour une grande partie du contenu à l'époque, et que je n'ai toujours pas besoin de le faire, grâce à la liste grise.

SPF

Il ne s'agit pas vraiment d'une technique anti-spam, mais elle peut réduire la quantité de rétrodiffusion à laquelle vous devez faire face, si vous êtes joe-jobbed. Vous devez l'utiliser à la fois en entrée et en sortie : Vous devez vérifier l'enregistrement SPF de l'expéditeur pour les e-mails entrants, et accepter/rejeter en conséquence. Vous devriez également publier vos propres enregistrements SPF, en listant de manière exhaustive toutes les machines autorisées à envoyer du courrier en votre nom, et bloquer tous les autres avec -all . Les enregistrements SPF qui ne se terminent pas par -all sont complètement inutiles.

Listes de trous noirs

Les RBL posent problème, car on peut y entrer sans que ce soit de sa faute, et il peut être difficile d'en sortir. Néanmoins, elles ont un usage légitime dans la lutte contre le spam, mais Je suggère fortement qu'aucune RBL ne devrait jamais être utilisée comme un test clair pour l'acceptation du courrier. . La façon dont spamassassin gère les RBL - en en utilisant plusieurs, chacune contribuant à un score total, et c'est ce score qui prend la décision d'accepter ou de rejeter - est bien meilleure.

Dropbox

Je ne parle pas du service commercial, mais du fait que mon serveur de courrier a une adresse qui passe au travers de toutes mes listes grises et de tous mes filtres anti-spam, mais qui, au lieu d'être distribuée dans la boîte aux lettres de quelqu'un, est envoyée dans un dossier accessible au monde entier dans le dossier /var qui est automatiquement débarrassé chaque nuit de tous les courriels datant de plus de 14 jours.

J'encourage tous les utilisateurs à en tirer parti lorsqu'ils remplissent des formulaires de courrier électronique nécessitant une adresse électronique validable, lorsqu'ils reçoivent un courrier électronique qu'ils doivent conserver, mais dont ils ne souhaitent plus jamais entendre parler, ou lorsqu'ils achètent auprès de vendeurs en ligne qui sont susceptibles de vendre et/ou de spammer leur adresse (en particulier ceux qui sont hors de portée des lois européennes sur la protection de la vie privée). Au lieu de donner son adresse réelle, un utilisateur peut donner l'adresse de la boîte de dépôt, et ne regarder dans la boîte de dépôt que lorsqu'il attend quelque chose d'un correspondant (généralement une machine). Lorsqu'il arrive, il peut le prendre et l'enregistrer dans sa propre collection de courrier. Aucun utilisateur ne doit consulter la boîte de dépôt à un autre moment.

Répondu el 23 de Août, 2012 par MadHatter (77602 Points )

14voto

BillThor avatar
BillThor Points 27096

J'utilise un certain nombre de techniques qui réduisent le spam à un niveau acceptable.

Retarder l'acceptation des connexions provenant de serveurs incorrectement configurés. La majorité des spams que je reçois proviennent de spambots fonctionnant sur des systèmes infectés par des logiciels malveillants. La plupart d'entre eux ne passent pas la validation rDNS. En retardant d'environ 30 secondes chaque réponse, la plupart des Spambots abandonnent avant d'avoir délivré leur message. Le fait de n'appliquer cette mesure qu'aux serveurs qui échouent à la validation rDNS évite de pénaliser les serveurs correctement configurés. Certains expéditeurs en masse légitimes ou automatisés mal configurés sont pénalisés, mais délivrent leur message avec un délai minimal.

La configuration de SPF pour tous vos domaines protège vos domaines. La plupart des sous-domaines ne doivent pas être utilisés pour envoyer du courrier électronique. La principale exception concerne les domaines MX qui doivent pouvoir envoyer du courrier par eux-mêmes. Un certain nombre d'expéditeurs légitimes délèguent le courrier en vrac et automatisé à des serveurs qui ne sont pas autorisés par leur politique. Le fait de différer plutôt que de rejeter sur la base du SPF leur permet de corriger leur configuration SPF, ou à vous de les mettre sur une liste blanche.

Exiger un FQDN (Fully Qualified Domain Name) dans la commande HELO/EHLO. Les spams utilisent souvent un nom d'hôte non qualifié, des adresses littérales, des adresses IP ou un TLD (Top Level Domain) invalide. Malheureusement, certains expéditeurs légitimes utilisent des TLD invalides, il peut donc être plus approprié de différer dans ce cas. Cela peut nécessiter une surveillance et une mise en liste blanche pour permettre au courrier de passer.

DKIM aide à la non-répudiation, mais n'est pas très utile pour le reste. D'après mon expérience, il est peu probable que le spam soit signé. Le spam est plus susceptible d'être signé, ce qui lui confère une certaine valeur dans l'évaluation du spam. Un certain nombre d'expéditeurs légitimes ne publient pas leurs clés publiques ou configurent mal leur système.

La liste grise est utile pour les serveurs qui présentent des signes de mauvaise configuration. Les serveurs qui sont correctement configurés finiront par passer, c'est pourquoi j'ai tendance à les exclure de la liste grise. Il est utile de mettre les freemails sur la liste grise car ils ont tendance à être utilisés occasionnellement pour le spam. Le délai donne à certaines entrées du filtre anti-spam le temps d'attraper le spammeur. Il tend également à détourner les spambots, car ils ne réessayent généralement pas.

Les listes noires et les listes blanches peuvent également être utiles.

  • J'ai constaté que Spamhaus est une liste noire fiable.
  • La liste blanche automatique dans le filtre anti-spam permet d'atténuer le classement des expéditeurs fréquents qui sont occasionnellement des spammeurs, ou des spammeurs qui sont occasionnellement des Hamish.
  • Je trouve la liste blanche de dnsl.org utile également.

Les logiciels de filtrage du spam sont assez efficaces pour détecter les spams, même si certains passent au travers. Il peut être difficile de ramener les faux négatifs à un niveau raisonnable sans trop augmenter les faux positifs. Je trouve que Spamassassin attrape la plupart des spams qui lui parviennent. J'ai ajouté quelques règles personnalisées, qui répondent à mes besoins.

Les postmasters doivent configurer les adresses d'abus et de postmaster requises. Accusez réception des réactions que vous recevez à ces adresses et agissez en conséquence. Cela permet à d'autres de vous aider à vous assurer que votre serveur est correctement configuré et qu'il n'est pas à l'origine de spams.

Si vous êtes un développeur, utilisez les services de messagerie existants plutôt que de mettre en place votre propre serveur. D'après mon expérience, les serveurs configurés pour les expéditeurs de courrier automatique sont susceptibles d'être mal configurés. Consultez les RFC et envoyez des e-mails correctement formatés à partir d'une adresse légitime de votre domaine.

Les utilisateurs finaux peuvent faire un certain nombre de choses pour aider à réduire le spam :

  • Ne l'ouvrez pas. Marquez-le comme spam ou supprimez-le.
  • Assurez-vous que votre système est sécurisé et exempt de logiciels malveillants.
  • Surveillez l'utilisation de votre réseau, surtout lorsque vous n'utilisez pas votre système. S'il génère beaucoup de trafic réseau lorsque vous ne l'utilisez pas, il se peut qu'il envoie du spam.
  • Éteignez votre ordinateur lorsque vous ne l'utilisez pas. (Il ne sera pas en mesure de générer du spam s'il est éteint).

Les propriétaires de domaines et les fournisseurs d'accès à Internet peuvent aider en limitant l'accès Internet sur le port 25 (SMTP) aux serveurs de messagerie officiels. Cela limitera la capacité des spambots à envoyer des messages sur Internet. Cette mesure est également utile lorsque les adresses dynamiques renvoient des noms qui ne passent pas la validation rDNS. Il est encore mieux de vérifier que l'enregistrement PTR des serveurs de messagerie passe la validation rDNS. (Vérifiez l'absence d'erreurs typographiques lorsque vous configurez les enregistrements PTR pour vos clients).

J'ai commencé à classer les e-mails en trois catégories :

  • Ham (presque toujours à partir de serveurs correctement configurés, correctement formatés, et généralement des courriels personnels).
  • Spam (principalement des Spambots, mais un certain pourcentage provient de freemailers ou d'autres expéditeurs dont les serveurs sont mal configurés).
  • Bacn ; pourrait être Ham ou Spam (comprend beaucoup de courrier provenant de listes de diffusion et de systèmes automatisés. Ham se retrouve généralement ici à cause d'un DNS et/ou d'une mauvaise configuration du serveur).
Répondu el 21 de Août, 2012 par BillThor (27096 Points )

6voto

tomjedrz avatar
tomjedrz Points 5944

La SEULE solution la plus efficace que j'ai vue consiste à utiliser l'un des services externes de filtrage du courrier.

J'ai de l'expérience avec les services suivants chez mes clients actuels. Je suis sûr qu'il y en a d'autres. Chacun d'entre eux a fait un excellent travail selon mon expérience. Le coût est raisonnable pour les trois.

  • Postini de Google
  • MXLogic de McAfee
  • SecureTide de AppRiver

Ces services présentent plusieurs avantages considérables par rapport aux solutions locales.

  1. Ils arrêtent la plupart (>99%) des spams AVANT qu'ils n'atteignent votre connexion Internet et votre serveur de messagerie. Compte tenu du volume de spam, cela représente beaucoup de données qui ne se trouvent ni sur votre bande passante ni sur votre serveur. J'ai mis en œuvre l'un de ces services une douzaine de fois et, à chaque fois, cela s'est traduit par une amélioration sensible des performances du serveur de messagerie.

  2. Ils assurent également le filtrage anti-virus, généralement dans les deux sens. Cela réduit la nécessité d'avoir une solution "anti-virus de messagerie" sur votre serveur, et permet également de garder les virus complètement à l'abri.

Ils font également un excellent travail en bloquant les spams. En deux ans de travail dans une entreprise utilisant MXLogic, je n'ai jamais eu de faux positif, et je peux compter sur les doigts d'une main les messages de spam légitimes qui sont passés.

Répondu el 26 de Août, 2012 par tomjedrz (5944 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X