这是一个与垃圾邮件作斗争的规范问题。
也相关:



如何阻止人们使用我的域进行发送垃圾邮件?
什么是SPF记录,我该如何配置它们?




关于打击SPAM的技术很多,要了解的也很多。管理员,域所有者和最终用户可以使用哪些广泛使用的技术来帮助将垃圾邮件排除在我们的收件箱之外?

我们正在寻找一个涵盖各种角度的不同技术的答案。可接受的答案应包括多种技术(例如SPF / SenderID,DomainKeys / DKIM,灰名单,DNS RBL,信誉服务,过滤软件[SpamAssassin等]);最佳做法(例如,永远不允许端口25上的邮件进行中继,应该使用端口587等),术语(例如,开放中继,反向散射,MSA / MTA / MUA,垃圾邮件/火腿)以及其他可能的技术。 br />

评论

是否规范,这不是询问用户级别内容的地方。

#1 楼

要击败敌人,您必须了解您的敌人。

什么是垃圾邮件?

就我们的目的而言,垃圾邮件是任何未经请求的批量电子消息。如今,垃圾邮件的目的是吸引毫无戒心的用户访问(通常是阴暗的)网站,在该网站上,他们将被要求购买产品或将恶意软件发送到他们的计算机,或同时访问这两者。有些垃圾邮件将直接传播恶意软件。

得知第一批垃圾邮件是1864年发送的,这可能会让您感到惊讶。这是通过Western Union电报发送的牙科服务广告。这个词本身是对Monty Python的Flying Circus中一个场景的引用。在这种情况下,垃圾邮件并不表示用户订阅的邮件列表流量,即使他们后来改变了主意(或

为什么垃圾邮件是一个问题?

垃圾邮件是一个问题,因为它适用于垃圾邮件制造者。垃圾邮件通常会产生足够多的销售额(或恶意软件交付,或两者兼而有之),以弥补垃圾邮件发送者的费用。垃圾邮件发送者不考虑收件人,您和您的用户的费用。即使只有极少数收到垃圾邮件的用户对此做出响应,也足够了。

因此,您需要为带宽,服务器和管理员的时间付费以处理传入的垃圾邮件。

出于以下原因,我们阻止垃圾邮件:我们不想看到它,以减少我们处理电子邮件的成本,并使垃圾邮件的发送者变得更加昂贵。

垃圾邮件是如何工作的?

垃圾邮件通常以与正常的合法电子邮件不同的方式发送。

垃圾邮件发送者几乎总是想掩盖电子邮件的来源,因此典型的垃圾邮件将包含虚假的标头信息。 From:地址通常是伪造的。某些垃圾邮件包含伪造的Received:行,以掩盖踪迹。通过开放的SMTP中继,开放的代理服务器和僵尸网络传递大量垃圾邮件。所有这些方法使确定垃圾邮件的来源更加困难。

一旦在用户的收件箱中,垃圾邮件的目的就是诱使用户访问所宣传的网站。在那里,用户将被诱使进行购买,或者该站点将尝试在用户的计算机上安装恶意软件,或两者都安装。或者,垃圾邮件将要求用户打开包含恶意软件的附件。

如何停止垃圾邮件?

作为邮件服务器的系统管理员,您将进行配置您的邮件服务器和域,使垃圾邮件发送者更加难以向用户发送垃圾邮件。

我将介绍专门针对垃圾邮件的问题,并且可能会跳过与垃圾邮件没有直接关系的内容(例如加密)。

不要运行开放中继

邮件服务器的大麻烦是运行开放中继,这是一个SMTP服务器,它将接受任何目的地的邮件并进行传递它向前。垃圾邮件发送者喜欢开放中继,因为它们实际上保证了传递。当垃圾邮件发送者执行其他操作时,它们将承担传递邮件(并重试!)的负担。它们使垃圾邮件的发送变得便宜。

开放式继电器也导致反向散射问题。这些是中继所接受但随后无法传递的消息。然后,打开的中继将向包含垃圾邮件副本的From:地址发送退回消息。


将邮件服务器配置为仅在您自己的域上接受端口25上的传入邮件。对于大多数邮件服务器,这是默认行为,但是您至少需要告诉邮件服务器您的域是什么。
通过从网络外部向SMTP服务器发送一封邮件来测试系统,其中From:To:地址均不在您的域内。该消息应被拒绝。 (或者,使用诸如MX Toolbox之类的在线服务来执行测试,但是请注意,如果您的邮件服务器未通过测试,某些在线服务会将您的IP地址提交到黑名单中。)

拒绝任何看起来像的东西太可疑了

各种错误的配置和错误可能是提示传入邮件很可能是垃圾邮件或非法的。


标记为垃圾邮件或拒绝IP地址没有反向DNS(PTR记录)的邮件。对于IPv4连接,比对IPv6连接,要更严格地处理缺少PTR记录的问题,因为许多IPv6地址还没有反向DNS,并且可能要持续数年,直到DNS服务器软件能够更好地处理这些潜在的非常大的区域。
拒绝发件人或收件人地址中的域名不存在的邮件。
拒绝发件人或收件人域中不使用完全限定域名的邮件,除非它们源自您的域并且属于
拒绝另一端不发送HELO / EHLO的连接。
拒绝HELO / EHLO为:

不是完全限定的域名也不是IP地址
很明显是错误的(例如您自己的IP地址空间)


拒绝使用流水线的连接授权这样做。

对用户进行身份验证

到达服务器的邮件应从入站邮件和出站邮件的角度来考虑。入站邮件是最终到达您的域的到达SMTP服务器的任何邮件;出站邮件是到达您的SMTP服务器的任何邮件,这些邮件将在发送之前先转移到其他地方(例如,它要发送到另一个域)。入站邮件可以由垃圾邮件过滤器处理,并且可能来自任何地方,但必须始终以用户为目的地。该邮件无法通过身份验证,因为无法向可能向您发送邮件的每个站点提供凭据。

外发邮件(即将被中继的邮件)必须经过身份验证。这是来自Internet还是来自网络内部的情况(尽管在可行的情况下,应限制允许使用邮件服务器的IP地址范围);这是因为垃圾邮件监听程序可能正在您的网络内部运行。因此,请配置SMTP服务器,以使绑定到其他网络的邮件将被丢弃(中继访问将被拒绝),除非对该邮件进行身份验证。更好的是,对入站和出站邮件使用单独的邮件服务器,对入站邮件完全不进行中继,并且不允许对出站邮件进行未经身份验证的访问。

如果您的软件允许这样做,则还应该根据认证用户过滤消息;如果邮件的发件人地址与通过身份验证的用户不匹配,则应将其拒绝。不要静默更新发件人地址;用户应该知道配置错误。

还应该记录用于发送邮件的用户名,或向其中添加一个标识头。这样,如果确实发生了滥用行为,则您有证据并知道使用哪个帐户进行欺诈。这使您可以隔离受感染的帐户和有问题的用户,对于共享托管服务提供商特别有用。

过滤流量

您需要确定离开网络的邮件实际上是由(经过身份验证的)用户发送的,而不是由漫游器或外部人员发送的。具体操作方式取决于您要管理的系统类型。

通常,在端口25、465和587(SMTP,SMTP / SSL和提交)上阻止出口流量如果您是公司网络,则除了出站邮件服务器之外的所有其他设备都是一个好主意。这样一来,网络上运行恶意软件的僵尸程序就无法从网络上发送垃圾邮件,以在Internet上打开中继或直接将其发送到最终MTA以获取地址。

热点是一种特殊情况,因为合法邮件它们来自多个不同的域,但是(由于SPF等原因),“强制”邮件服务器是不合适的,用户应该使用自己域的SMTP服务器提交邮件。这种情况要困难得多,但是要考虑使用特定的公共IP或IP范围来处理来自这些主机的Internet流量(以保护您的站点声誉),限制SMTP流量和深度数据包检查。

从历史上看,垃圾邮件发送者主要在端口25上发布垃圾邮件,但没有任何阻止它们将587端口用于相同目的的情况,因此更改用于入站邮件的端口具有可疑的价值。但是,RFC 2476建议使用端口587进行邮件提交,并允许在邮件提交(到第一个MTA)和邮件传输(在MTA之间)之间分开,这在网络拓扑中是不明显的。如果需要这种分离,则应执行此操作。

如果您是ISP,VPS主机,托管服务提供商或类似的提供商,或者正在提供供访问者使用的热点,则对于使用自己的域发送邮件的用户而言,阻止出口SMTP流量可能会出现问题。在公共热点以外的所有情况下,您都应要求需要出站SMTP访问的用户,因为他们正在运行邮件服务器来专门请求它。让他们知道滥用投诉最终将导致该访问被终止,以保护您的声誉。

动态IP以及用于虚拟桌面基础结构的IP绝对不应具有出站SMTP访问,除非访问特定的邮件服务器期望使用节点。这些类型的IP也应出现在黑名单中,并且您不应尝试为其建立声誉。这是因为它们极不可能运行合法的MTA。

考虑使用SpamAssassin

SpamAssassin是一种邮件过滤器,可用于根据邮件标题识别垃圾邮件和内容。它使用基于规则的评分系统来确定邮件为垃圾邮件的可能性。分数越高,则该邮件越有可能是垃圾邮件。

SpamAssassin还具有贝叶斯引擎,可以分析反馈到其中的垃圾邮件和垃圾邮件(合法电子邮件)。

SpamAssassin的最佳实践不是拒绝邮件,而是将其放入垃圾邮件或垃圾邮件文件夹。可以设置MUA(邮件用户代理),例如Outlook和Thunderbird,以识别SpamAssassin添加到电子邮件中的标头并适当地归档它们。误报肯定会发生,而且确实会发生,尽管这种情况很少见,但当CEO碰到时,您会听到的。如果将邮件简单地传递到“垃圾邮件”文件夹而不是直接拒绝,则对话将变得更好。

SpamAssassin几乎是一种,尽管有几种选择。


使用sa-update安装SpamAssassin并为其规则配置自动更新。
考虑在适当的地方使用自定义规则。
考虑设置贝叶斯过滤。

考虑使用基于DNS的黑洞列表和信誉服务

DNSBL(以前称为RBL,或实时黑洞列表)提供与垃圾邮件或其他恶意活动相关的IP地址列表。这些由独立的第三方根据自己的标准运​​行,因此请仔细研究DNSBL所使用的列出和删除列表标准是否与您的组织接收电子邮件的要求兼容。例如,一些DNSBL具有严厉的除名政策,这使得被意外列出的人很难被删除。 IP地址在一段时间内未发送垃圾邮件后,其他人会自动删除,这是比较安全的。大多数DNSBL都是免费使用。

信誉服务类似,但是声称通过分析与任何给定IP地址相关的更多数据来提供更好的结果。大多数信誉服务都需要订阅付款或购买硬件,或同时购买两者。

有数十种DNSBL和信誉服务可用,尽管我使用和推荐的一些更知名和有用的服务是:

保守列表:


Spamhaus ZEN
梭子鱼信誉数据库(无需购买)
SpamCop

激进列表:


UCEPROTECT
后向散射体

如前所述,还有很多其他的可以满足您的需求。我最喜欢的技巧之一是查找发送了针对多个DNSBL的垃圾邮件的IP地址,以查看其中哪个将被拒绝。


对于每个DNSBL和信誉服务,请检查其用于列出和删除IP地址的策略,并确定这些策略是否符合您组织的需求。
在确定适合使用该服务时,将DNSBL添加到SMTP服务器中。
考虑为每个DNSBL分配一个分数,并将其配置为SpamAssassin,而不是SMTP服务器。这减少了误报的影响;这样的邮件将被发送(可能发送到垃圾邮件/垃圾邮件)而不是被退回。折衷方案是您将发送大量垃圾邮件。
或者,当IP地址位于较为保守的列表之一时,完全拒绝,并在SpamAssassin中配置更具攻击性的列表。

使用SPF

SPF(发件人策略框架; RFC 4408和RFC 6652)是一种通过声明授权给特定域名的Internet主机传递邮件的方式来防止电子邮件地址欺骗的一种方法。


配置DNS以与授权的外发邮件服务器一起声明SPF记录,并配置-all拒绝所有其他邮件。
配置邮件服务器以检查传入邮件的SPF记录(如果存在),并拒绝未通过SPF验证的邮件。如果域没有SPF记录,请跳过此检查。

调查DKIM

DKIM(域密钥标识的邮件; RFC 6376)是一种在邮件中嵌入数字签名的方法。可以使用发布在DNS中的公钥进行验证。它在美国受专利保护,这减缓了它的采用。如果邮件在传输过程中被修改,DKIM签名也可能会中断(例如SMTP服务器有时可能会重新包装MIME邮件)。


考虑使用DKIM签名对您的外发邮件进行签名,但要注意这些签名甚至在合法邮件上也可能无法始终正确验证。

考虑使用灰名单

灰名单是一种技术,其中SMTP服务器对传入的邮件发出临时拒绝,而不是永久拒绝拒绝。在几分钟或几小时内重试传递后,SMTP服务器将接受该消息。

灰名单可以阻止某些垃圾邮件软件,该软件的功能不足以区分临时拒绝和永久拒绝,但对于发送到开放中继的垃圾邮件或功能更强大的垃圾邮件软件无济于事。它还引入了用户可能不能总是容忍的传递延迟。


仅在极端情况下考虑使用灰名单,因为这会严重干扰合法的电子邮件流量。

考虑使用nolisting

Nolisting是一种配置MX记录的方法,以使最高优先级(最低优先级编号)记录没有正在运行的SMTP服务器。这依赖于以下事实:许多垃圾邮件软件只会尝试第一个MX记录,而合法的SMTP服务器会按优先级升序尝试所有MX记录。一些垃圾邮件软件还会尝试直接发送到优先级最低(最高优先级编号)的MX记录,这违反了RFC 5321,因此也可以将其设置为没有SMTP服务器的IP地址。据报道这是安全的,尽管与其他任何方法一样,您都应该先进行仔细测试。


请考虑将最高优先级MX记录设置为指向在端口25上未应答的主机。
请考虑将优先级最低的MX记录设置为指向无法在端口25上应答的主机。

请考虑使用垃圾邮件过滤设备

放置垃圾邮件在现有SMTP服务器之前过滤诸如Cisco IronPort或梭子鱼垃圾邮件和病毒防火墙之类的设备(或其他类似设备),以减少垃圾邮件的大部分工作。这些设备预先配置了DNSBL,信誉服务,贝叶斯过滤器和我介绍的其他功能,并由其制造商定期更新。


研究垃圾邮件过滤设备的硬件和订阅费用。

考虑托管的电子邮件服务

如果对您(或您的IT员工过度工作)来说太麻烦了,您始终可以让第三方服务提供商为您处理电子邮件。诸如Google的Postini,Symantec MessageLabs电子邮件安全(或其他)之类的服务将为您过滤邮件。其中一些服务还可以满足法规和法律要求。


研究托管电子邮件服务的订阅费用。

系统管理员应就打击垃圾邮件向最终用户提供哪些指导

最终用户应与垃圾邮件作斗争的绝对第一件事是:



不要对垃圾邮件做出回应。 >
如果看起来很有趣,请不要单击网站链接,也不要打开附件。报价似乎有多诱人。那伟哥并不便宜,你真的不会裸露任何人的照片,在尼日利亚或其他地方没有1500万美元,除了从对垃圾邮件做出反应的人那里得到的钱之外。

如果您看到垃圾邮件,请根据您的邮件客户端将其标记为垃圾邮件。
如果您实际注册接收邮件而只是想停止,则不要将邮件标记为垃圾邮件接收他们。而是使用提供的取消订阅方法取消订阅邮件列表。
定期检查您的垃圾邮件/垃圾邮件文件夹,查看是否有合法邮件通过。将其标记为“不是垃圾邮件/不是垃圾邮件”,并将发件人添加到您的联系人中,以防止将来将其邮件标记为垃圾邮件。


评论

@MichaelHampton:UCEPROTECT是一个阴暗的组织。

–InternetSeriousBusiness
2012年8月23日20:30在
@Stephane如果无法设置/更改PTR记录,那么您将不受IP地址的控制。基于此拒绝邮件没有错。

–迈克尔·汉普顿
2012年8月24日18:21
@ewwhite这太过残酷了,三个星期真是太荒谬了。但是在没有PTR记录时拒绝邮件是很常见的,因此我确定他们遇到了各种各样的问题。

–迈克尔·汉普顿
2012年8月25日19:02
拒绝是很常见的,但我坚持认为这既没有用,也没有必要。实际上,我已经对自己的垃圾邮件统计数据进行了快速检查,结果发现,来自IP的无反向垃圾邮件数量不到5%,这似乎与我从总体上看到的数量几乎相同SMTP连接。因此,我的结论是:这是毫无意义的限制。

– Stephane
2012年8月27日12:10
您有什么证据支持这种说法无效?我的日志显示,它在预筛选电子邮件中非常有效。我认识的其他许多人也有类似的经历。

–克里斯S
2013年9月20日16:00

#2 楼

多年来,我已经管理了100多个单独的邮件环境,并使用许多流程来减少或帮助消除垃圾邮件。

技术随着时间的推移而发展,因此该答案将逐步介绍我过去尝试过的一些事情,并详细说明当前的状况。

关于保护的一些想法...


您想保护传入邮件服务器的端口25免受开放中继的影响,任何人都可以在其中发送邮件通过您的基础架构。这与您可能使用的特定邮件服务器技术无关。远程用户应使用备用提交端口和某种形式的必需身份验证来中继邮件。端口587或端口465是25的常见替代选择。
加密也是一个加号。许多邮件流量以明文形式发送。现在,大多数邮件系统都可以支持某种形式的加密。某些事件期望它。
这些是更积极的方法,可防止您的邮件站点被归类为垃圾邮件源...

关于传入垃圾邮件...



在很短的时间内,将灰名单作为一种有趣的方法。强制进行临时拒绝/延迟,以希望垃圾邮件发送者可以断开连接并避免暴露消息或重新排队消息所需的时间和资源。这造成了邮件传递中不可预料的延迟,无法与大型服务器场中的邮件配合使用,垃圾邮件发送者最终开发出了变通方法。最严重的影响是打破了用户对邮件快速传递的期望。
多个MX中继仍然需要保护。一些垃圾邮件发送者会尝试发送到备用MX或优先级较低的MX,以希望其过滤功能不那么强大。

实时黑洞列表(RBL / DNSBL)-这些引用集中维护的数据库以验证是否列出了发送服务器。注意事项严重依赖RBL。有些不如其他人享有声誉。 Spamhaus的产品一直对我有益。其他诸如SORBS的方法列出IP的方法较差,并经常阻止合法电子邮件。在某些情况下,它被比作敲诈勒索,因为除名通常涉及$$$。发件人策略框架(SPF)-基本上是一种确保给定主机被授权发送特定域(如DNS TXT记录所定义)的邮件的方法。为您的外发邮件创建SPF记录是一个好习惯,但从发送给您的服务器上要求它是一个坏习惯。

域键-尚未广泛使用...
退回抑制-防止将无效邮件返回到其来源。一些垃圾邮件发送者将通过分析反向散射来创建可用地址映射,从而尝试查看哪些地址有效/有效。
反向DNS / PTR检查-检查发送服务器是否具有有效的反向PTR记录。这不需要匹配原始域,因为可以将域与主机进行多对一映射。但是,最好确定IP空间的所有权,并确定原始服务器是否是动态IP块的一部分(例如,家庭宽带-阅读:受侵扰的垃圾邮件)。
内容过滤-(不可靠)-尝试抵消排列((Viagra,v \ | agra,viagra,vilgra。)”的使用对于管理员来说很耗时,并且无法在较大的环境中扩展。

贝叶斯过滤-更高级的垃圾邮件解决方案允许对邮件进行全局或按用户培训。阅读有关启发式方法的链接文章,但要点是可以将邮件手动分类为好(Ham)或坏(Spam),结果邮件将填充一个贝叶斯数据库,该数据库可被参考以确定未来邮件的分类。通常,这与垃圾邮件评分或权重相关联,并且可以是用于确定是否应传递邮件的少数几种技术之一。
费率控制/调节-简单的方法。限制给定服务器可以在一定时间内尝试传递多少消息。将所有邮件推迟到该阈值以上。通常在邮件服务器端进行配置。
托管和云过滤。我想到了Postini,因为那是云才是流行语之前的云解决方案。现在由Google拥有,托管解决方案的优势在于,处理它们遇到的邮件量具有内在的规模经济性。数据分析和简单的地理覆盖范围可以帮助托管的垃圾邮件过滤解决方案适应趋势。但是,执行很简单。 1)。将您的MX记录指向托管解决方案,2)。提供过滤后的服务器传递地址。 3)。利润。


我目前的做法:

我坚决主张基于设备的垃圾邮件解决方案。我想拒绝网络的外围并在邮件服务器级别上保存CPU周期。使用设备还提供了与实际邮件服务器(邮件传递代理)解决方案的某种独立性。

出于多种原因,我推荐梭子鱼垃圾邮件过滤器。我已经部署了几十个部门,并且网络驱动的界面,业界的关注度以及“一劳永逸”的设备特性使其成为了赢家。后端技术结合了上面列出的许多技术。


我在邮件服务器的IP地址上阻止了端口25,而是将域的MX记录设置为梭子鱼设备的面向公众的地址-例如spam.domain.com。端口25将开放用于邮件传递。
其核心是SpamAssassin派生的,它具有到消息日志(和贝叶斯数据库)的简单接口,可用于在最初的培训期间对好邮件进行分类。
梭子鱼默认情况下会利用多个RBL,包括Spamhaus.org的RBL及其自己的BRBL信誉数据库。注意-BRBL可作为其他邮件系统的标准RBL免费使用。
梭子鱼信誉数据库是根据实时数据,蜜罐,大规模分析和许多专有技术编译而成的。它具有已注册的白名单和阻止名单。大批量,高可见度的邮件发件人经常在梭子鱼注册以进行自动白名单。示例包括Blackberry,Constant Contact等。
可以启用SPF检查(不过,我没有启用它们)。
有一个界面可以查看邮件,并根据需要从设备的邮件缓存中重新发送。这在某些情况下很有用,当用户希望收到未通过所有垃圾邮件检查的邮件时。
LDAP / Active Directory用户验证有助于加快检测无效邮件收件人的速度。这样可以节省带宽并防止向后散射。
IP /发件人地址/域/原籍国都可以配置。如果我要拒绝来自意大利域后缀的所有邮件,则有可能。如果我想阻止来自特定域的邮件,则可以轻松进行配置。如果我想阻止用户的跟踪者向用户发送电子邮件,这是可行的(真实的故事)。
梭子鱼提供了大量的罐头报告,并且可以直观地显示设备状态和垃圾邮件指标。
我喜欢在现场安装设备以保持内部处理状态,并可能具有过滤后的电子邮件日记连接(在需要保留邮件的环境中)。

Plus该设备可以驻留在虚拟化的基础架构中。

梭子鱼垃圾邮件和病毒防火墙300状态控制台



较新的方法:

过去一个月,我一直在尝试梭子鱼基于云的电子邮件安全服务。这与其他托管解决方案相似,但非常适合于小型站点,在这些站点中昂贵的设备成本很高。只需象征性的年费,这项服务就可以提供硬件设备功能的约85%。该服务还可以与现场设备一起运行,以减少传入带宽并提供另一层安全性。这也是一个很好的缓冲区,可以在服务器发生故障时假脱机处理邮件。尽管仍然不如物理单位详细,分析仍然有用。

梭子鱼云电子邮件安全控制台


总而言之,我已经尝试过许多解决方案,但是考虑到某些环境的规模以及用户群的不断增长的需求,我想要最简洁的解决方案。当然,采取多管齐下的方法并“自行开发”是可行的,但是我对梭子鱼设备的一些基本安全性和良好使用情况的监视做得很好。用户对结果感到非常满意。

注意:Cisco Ironport也很棒,只是价格更高。

#3 楼

在某种程度上,我赞同别人所说的。

Spamassassin

这对我来说很好,但是您需要花一些时间训练火腿和垃圾邮件的贝叶斯过滤器。

将其列入白名单

ewwhite可能感觉它的日子已经过去了,但我不同意。我的一位客户询问我的各种过滤器的效果如何,所以这是我的个人邮件服务器2012年7月的大概统计数据:


46000条邮件尝试发送
1750通过灰名单得到了
250名通过灰名单+受过训练的spamassassin

,因此大约44000名从未通过灰名单;如果我没有列入白名单,并且接受了所有这些,他们将需要所有垃圾邮件过滤,全部使用CPU和内存以及带宽。

编辑:因为这个答案似乎已经对某些人有用,我想我应该使统计数据保持最新。因此,我对2.5年后的2015年1月的邮件日志进行了重新分析。


115,500条尝试传递的邮件
13,300条通过灰名单获得(以及一些基本的健全性检查,例如有效的发件人域)
8,500通过灰名单+受过训练的spamassassin

数字不能直接比较,因为我不再知道我是如何得出2012年数字的,因此我可以不确定方法是否相同。但是我有信心,那时我不必对大量内容运行计算昂贵的垃圾邮件过滤,而且由于采用灰名单,我仍然没有这样做。

SPF

这并不是一种真正的反垃圾邮件技术,但是如果您被聘请,它可以减少必须处理的反向散射量。您应该同时使用它,即:您应该检查发件人的SPF记录中是否有传入电子邮件,并相应地接受/拒绝。您还应该发布自己的SPF记录,完整列出所有被批准随您发送邮件的机器,并使用-all锁定所有其他机器。没有以-all结尾的SPF记录是完全没有用的。

黑洞列表

RBL是有问题的,因为一个人可以毫无错误地进入它们,并且它们可能很难下车。尽管如此,它们在反垃圾邮件方面有合法用途,但我强烈建议不要将RBL用作接受邮件的明线测试。 spamassassin处理RBL的方式-通过使用很多,每个都有助于总分,而正是这个分值决定了接受/拒绝的决定-更好。

Dropbox

我不是说商业服务,而是我的邮件服务器有一个地址,该地址可以过滤所有我的灰名单和垃圾邮件过滤程序,但它不会传递给任何人的INBOX,而是转到/var中的世界可写文件夹,该文件会在每天14天之内自动每晚删除所有电子邮件。

我鼓励所有用户利用它,例如填写需要有效电子邮件地址的电子邮件表格,在那里您将收到一封您需要保留的电子邮件,但您不想再收到他们的邮件,或者在购买时来自可能会出售和/或向其发送垃圾邮件的在线供应商(特别是那些超出欧洲隐私法范围的地址)。用户可以提供投递箱地址,而不是提供真实地址,并且仅在她希望从通讯员(通常是机器)收到某些东西时才在投递箱中查找。当它到达时,她可以将其挑选出来并保存在适当的邮件集中。无需用户在其他任何时间查看保管箱。

评论

我真的很喜欢保管箱地址的想法。

– blalo
2015年7月11日在2:55
灰名单是一种“自私”的解决方案;它会延迟大量合法邮件,并且随着越来越多的邮件服务器部署该邮件,越来越多的垃圾邮件发送者将确保其垃圾邮件对其具有鲁棒性。最后,我们输了。对于小型部署,我建议将其列入灰名单;对于大型部署,我强烈建议对其进行灰名单。考虑改用柏油法。 Milter-greylist可以做到。

–亚当·卡兹(Adam Katz)
15年7月30日在22:33
@AdamKatz当然是一个观点。我不确定垃圾邮件发送者应该如何使垃圾邮件增强到灰名单,而又不会放弃即发即弃的垃圾邮件,在这种情况下,工作已经完成了-而不是击败垃圾邮件发送,后者仅需要对僵尸程序中的代码进行少量改进即可。但是我不同意你的自私。当权衡得到解释时(如果您想为不定期的通讯员提供实时电子邮件,则邮件和通讯的预算会增加20倍),最喜欢延迟。

– MadHatter
15年7月31日在7:06
@AdamKatz还请注意,我上面的“投递箱”没有被灰名单打中。因此,任何急切需要及时接收预先安排的电子邮件的用户都可以采用自动解决方法-他们知道提供“立即”地址,并密切关注投递箱,直到收到特定邮件为止。

– MadHatter
15年7月31日在7:08
@AdamKatz,因为我的灰名单坚持将首次尝试与成功交付之间的间隔设为10分钟,因此15分钟以上的暂停并不是什么大难题。至于用户的期望,可以(当然也应该)像对待其他期望一样进行管理。您剩下的论点更具说服力-也许您可以添加自己的答案,介绍一些有关在部署中使用tarpitting的有效性的具体数字?我们可以永远对预期的相对有效性进行理论化,但数据更具启发性-言归正传!

– MadHatter
2015年8月1日在5:36


#4 楼

我正在使用多种技术将垃圾邮件降低到可接受的水平。

延迟接受来自配置错误的服务器的连接。我收到的大部分垃圾邮件来自在受恶意软件感染的系统上运行的Spambots。几乎所有这些都没有通过rDNS验证。在每个响应之前延迟30秒左右,会导致大多数Spambot在传递邮件之前就放弃了。仅将其应用于失败的rDNS服务器,可以避免对正确配置的服务器造成不利影响。一些配置错误的合法批量发送者或自动发送者会受到处罚,但确实会以最小的延迟交付。

为所有域配置SPF可以保护您的域。大多数子域都不应用于发送电子邮件。主要的例外是MX域,该域必须能够自行发送邮件。许多合法的发件人将批量和自动邮件委托给其策略不允许的服务器。推迟而不是拒绝基于SPF允许他们修复其SPF配置,或者将其列入白名单。

在HELO / EHLO命令中要求FQDN(完全合格的域名)。垃圾邮件通常使用不合格的主机名,地址文字,IP地址或无效的TLD(顶级域)。不幸的是,某些合法的发件人使用无效的TLD,因此在这种情况下推迟比较合适。这可能需要监视和列入白名单才能使邮件通过。

DKIM有助于实现不可否认性,但在其他方面却没有太大用处。我的经验是,垃圾邮件不太可能被签名。火腿更有可能被签署,因此在垃圾邮件评分中具有一定的价值。许多合法的发件人不会发布其公共密钥,否则会不正确地配置其系统。

灰名单对于显示某些配置错误迹象的服务器很有帮助。正确配置的服务器最终将通过,因此我倾向于将它们从灰名单中排除。将freemailer灰名单是有用的,因为它们确实偶尔会被垃圾邮件使用。该延迟使某些垃圾邮件过滤器输入有时间来捕获垃圾邮件发送者。它通常还会使Spambots偏斜,因为它们通常不重试。

黑名单和白名单也可以提供帮助。


我发现Spamhaus是可靠的黑名单。
“垃圾邮件”过滤器中的“自动白名单”有助于消除偶尔发为垃圾邮件的频繁发件人或偶尔发给Hamish的垃圾邮件发件人的排名。
我发现dnsl.org的白名单也很有用。

尽管有些垃圾邮件过滤软件可以通过,但垃圾邮件过滤软件相当擅长查找垃圾邮件。在不增加假阳性过多的情况下将假阴性提高到合理水平可能很棘手。我发现Spamassassin捕获了到达它的大部分垃圾邮件。我添加了一些符合我的需求的自定义规则。

邮局局长应配置所需的滥用和邮局局长地址。确认您对这些地址的反馈并采取相应的措施。这使其他人可以帮助您确保服务器已正确配置并且不是垃圾邮件。

如果您是开发人员,请使用现有的电子邮件服务,而不是设置自己的服务器。根据我的经验,为自动邮件发件人设置的服务器可能配置不正确。查看RFC并从您域中的合法地址发送格式正确的电子邮件。

最终用户可以采取多种措施来减少垃圾邮件:


Don打开它。将其标记为垃圾邮件或将其删除。
确保系统安全且无恶意软件。
监视网络使用情况,尤其是在不使用系统时。如果不使用时会产生大量网络流量,则可能是垃圾邮件。
不使用时请关闭计算机。 (如果关闭垃圾邮件,它将无法生成垃圾邮件。)

域所有者/ ISP可以通过限制对正式电子邮件服务器的端口25(SMTP)的Internet访问来提供帮助。这将限制Spambots发送到Internet的能力。当动态地址返回未通过rDNS验证的名称时,它也有帮助。更好的方法是验证邮件服务器的PTR记录是否通过了rDNS验证。 (在为客户配置PTR记录时验证印刷错误。)

我已经开始将电子邮件分为三类:


火腿(几乎总是来自正确配置的)服务器,格式正确,通常是个人电子邮件。)
垃圾邮件(主要来自Spambots,但一定比例来自免费邮件或其他服务器配置不正确的发件人。)
Bacn;可能是火腿或垃圾邮件(包括大量来自邮件列表和自动化系统的邮件。通常由于DNS和/或服务器配置错误,火腿通常会出现在这里。)


评论

Bacn(请注意缺少o)是一个标准术语,指“您想要的邮件,但不是现在”。邮件的另一种类别是Graymail,它是从技术上讲不是垃圾邮件的批量邮件,某些收件人可能不希望使用,而其他收件人则希望。

–亚当·卡兹(Adam Katz)
15年7月30日在22:29

#5 楼

我所见过的最有效的解决方案是使用一种外部邮件筛选服务。

我在当前客户中拥有以下服务的经验。我敢肯定还有其他人。根据我的经验,每个人都做得很好。这三者的费用都合理。



来自Google的Postini

McAfee的MXLogic

AppRiver的SecureTide

与本地解决方案相比,服务具有许多巨大优势。


它们可以阻止大部分(> 99%)垃圾邮件,然后再打击您的Internet连接和电子邮件服务器。考虑到垃圾邮件的数量,很多数据不在您的带宽上,也不在服务器上。我已多次实施其中一项服务,每项服务均使电子邮件服务器的性能显着提高。
它们还进行防病毒过滤,通常是双向的。这样可以减少在服务器上安装“邮件防病毒”解决方案的需要,并使病毒完全保留。

它们在阻止垃圾邮件方面也做得很好。在使用MXLogic的公司工作的2年中,我从来没有出现过误报,并且可以计算一方面通过的合法垃圾邮件。

评论

+1用于识别托管解决方案的好处以及正常运行时间/规模和减少流量带来的好处。我发现的唯一问题是,在某些情况下(从必须发送到受那些服务保护的域的人的角度来看)缺乏自定义和响应。同样,一些公司出于安全/合规的原因不能使用外部过滤。

–ewwhite
2012年8月25日在22:42

#6 楼

没有两个邮件环境是相同的。因此,构建有效的解决方案将需要围绕许多可用技术进行大量的反复试验,因为电子邮件,流量,软件,网络,发件人,收件人等的内容在不同的环境中差异很大。

但是我发现以下阻止列表(RBL)非常适合常规过滤:


xbl.spamhaus .org
b.barracudacentral.org

如上所述,SpamAssassin是正确配置的绝佳解决方案,只需确保在CPAN中安装尽可能多的插件Perl模块,以及Razor,Pyzor和DCC。 Postfix与SpamAssassin配合使用非常好,例如,它比EXIM易于管理和配置。

在短时间内使用fail2ban和iptables或类似功能最终阻止IP级别的客户端(例如,一周后),例如触发RBL的辱骂性行为也很有效。为什么浪费资源与已知的受病毒感染主机对话?