web-dev-qa-db-fra.com

Lutte contre le spam - Que puis-je faire en tant qu'administrateur de messagerie, propriétaire de domaine ou utilisateur?

Il s'agit d'une Question canonique sur la lutte contre le spam.
Également lié:

Il y a tellement de techniques et tellement de choses à savoir sur la lutte contre le SPAM. Quelles techniques et technologies largement utilisées sont disponibles pour l'administrateur, les propriétaires de domaine et les utilisateurs finaux pour aider à garder les déchets indésirables dans nos boîtes de réception?

Nous recherchons une réponse qui couvre différentes technologies sous différents angles. La réponse acceptée devrait inclure une variété de technologies (par exemple SPF/SenderID, DomainKeys/DKIM, Graylisting, DNS RBLs, Reputation Services, Filtering Software [SpamAssassin, etc]); les meilleures pratiques (par exemple, le courrier sur le port 25 ne doit jamais être autorisé à relayer, le port 587 doit être utilisé; etc.), la terminologie (par exemple, Open Relay, rétrodiffusion, MSA/MTA/MUA, Spam/Ham), et éventuellement d'autres techniques.

109
Chris S

Pour vaincre votre ennemi, vous devez connaître votre ennemi.

Qu'est-ce que le spam?

À nos fins, le spam est tout message électronique en masse non sollicité. Le spam de nos jours est destiné à inciter les utilisateurs sans méfiance à visiter un site Web (généralement louche) où ils seront invités à acheter des produits, ou à faire livrer des logiciels malveillants sur leurs ordinateurs, ou les deux. Certains spams transmettent directement des logiciels malveillants.

Cela peut vous surprendre d'apprendre que le premier spam a été envoyé en 1864. C'était une publicité pour des services dentaires, envoyée via un télégramme Western Union. Le mot lui-même est un référence à a scène dans Monty Python's Flying Circus .

Le spam, dans ce cas, pas fait référence au trafic des listes de diffusion auquel un utilisateur s'est abonné, même s'il a changé d'avis plus tard (ou l'a oublié) mais ne s'est pas encore réellement désabonné.

Pourquoi le spam est-il un problème?

Le spam est un problème car il fonctionne pour les spammeurs. Le spam génère généralement plus qu'assez de ventes (ou de livraison de logiciels malveillants, ou les deux) pour couvrir les coûts - pour le spammeur - pour l'envoyer. Le spammeur ne prend pas en compte les coûts pour le destinataire, vous et vos utilisateurs. Même quand une infime minorité d'utilisateurs qui reçoivent du spam y répondent, c'est suffisant.

Vous devez donc payer les factures de bande passante, de serveurs et de temps administrateur pour faire face au spam entrant.

Nous bloquons le spam pour ces raisons: nous ne voulons pas le voir, réduire nos coûts de traitement des e-mails et rendre le spam plus cher pour les spammeurs.

Comment fonctionne le spam?

Le spam est généralement transmis de différentes manières par rapport aux e-mails normaux et légitimes.

Les spammeurs veulent presque toujours masquer l'origine de l'e-mail, donc un spam typique contiendra de fausses informations d'en-tête. Le From: l'adresse est généralement fausse. Certains spams incluent de faux Received: lignes pour tenter de déguiser la piste. De nombreux spams sont envoyés via des relais SMTP ouverts, des serveurs proxy ouverts et des botnets. Toutes ces méthodes rendent plus difficile la détermination de l'origine du spam.

Une fois dans la boîte de réception de l'utilisateur, le spam a pour but d'inciter l'utilisateur à visiter le site Web annoncé. Là, l'utilisateur sera incité à effectuer un achat, ou le site tentera d'installer des logiciels malveillants sur l'ordinateur de l'utilisateur, ou les deux. Ou, le spam demandera à l'utilisateur d'ouvrir une pièce jointe contenant des logiciels malveillants.

Comment arrêter le spam?

En tant qu'administrateur système d'un serveur de messagerie, vous configurerez votre serveur de messagerie et votre domaine pour qu'il soit plus difficile pour les spammeurs de transmettre leur spam à vos utilisateurs.

Je couvrirai des problèmes spécifiquement axés sur le spam et je peux ignorer des éléments qui ne sont pas directement liés au spam (comme le chiffrement).

Ne pas exécuter un relais ouvert

Le gros péché du serveur de messagerie consiste à exécuter un relais ouvert, un serveur SMTP qui acceptera le courrier pour n'importe quelle destination et le remettra. Les spammeurs aiment les relais ouverts car ils garantissent pratiquement la livraison. Ils se chargent de livrer des messages (et de réessayer!) Tandis que le spammeur fait autre chose. Ils font du spam pas cher.

Les relais ouverts contribuent également au problème de rétrodiffusion. Ce sont des messages qui ont été acceptés par le relais mais qui ont ensuite été jugés non distribuables. Le relais ouvert enverra alors un message de rebond au From: adresse contenant une copie du spam.

  • Configurez votre serveur de messagerie pour accepter le courrier entrant sur le port 25 uniquement pour vos propres domaines. Pour la plupart des serveurs de messagerie, il s'agit du comportement par défaut, mais vous devez au moins indiquer au serveur de messagerie quels sont vos domaines.
  • Testez votre système en envoyant à votre serveur SMTP un e-mail provenant de l'extérieur de votre réseau où les From: et To: les adresses ne font pas partie de votre domaine. Le message doit être rejeté. (Ou, utilisez un service en ligne comme MX Toolbox pour effectuer le test, mais sachez que certains services en ligne soumettront votre adresse IP à des listes noires si votre serveur de messagerie échoue au test.)

Rejeter tout ce qui semble trop suspect

Diverses erreurs de configuration et erreurs peuvent être un indice qu'un message entrant est susceptible d'être du spam ou autrement illégitime.

  • Marquer comme spam ou rejeter les messages pour lesquels l'adresse IP n'a pas de DNS inversé (enregistrement PTR). Traitez le manque d'enregistrement PTR plus durement pour les connexions IPv4 que pour les connexions IPv6, car de nombreuses adresses IPv6 n'ont pas encore de DNS inversé, et peuvent ne pas l'être avant plusieurs années, jusqu'à ce que le logiciel serveur DNS soit mieux en mesure de gérer ces zones potentiellement très grandes.
  • Rejeter les messages pour lesquels le nom de domaine dans les adresses d'expéditeur ou de destinataire n'existe pas.
  • Rejeter les messages qui n'utilisent pas de noms de domaine complets pour les domaines expéditeur ou destinataire, sauf s'ils proviennent de votre domaine et sont destinés à être livrés dans votre domaine (par exemple, les services de surveillance).
  • Rejeter les connexions où l'autre extrémité n'envoie pas de HELO/EHLO.
  • Refuser les connexions où HELO/EHLO est:
    • pas un nom de domaine complet et pas une adresse IP
    • manifestement faux (par exemple, votre propre espace d'adressage IP)
  • Rejetez les connexions qui utilisent le pipeline sans y être autorisé.

Authentifiez vos utilisateurs

Le courrier arrivant sur vos serveurs doit être pensé en termes de courrier entrant et sortant. Le courrier entrant est tout courrier arrivant sur votre serveur SMTP qui est finalement destiné à votre domaine; le courrier sortant est tout courrier arrivant sur votre serveur SMTP qui sera transféré ailleurs avant d'être livré (par exemple, il va vers un autre domaine). Le courrier entrant peut être géré par vos filtres anti-spam et peut provenir de n'importe où, mais doit toujours être destiné à vos utilisateurs. Ce courrier ne peut pas être authentifié, car il n'est pas possible de donner des informations d'identification à chaque site qui pourrait vous envoyer du courrier.

Le courrier sortant, c'est-à-dire le courrier qui sera relayé, doit être authentifié. C'est le cas, qu'il provienne d'Internet ou de l'intérieur de votre réseau (mais vous devez restreindre les plages d'adresses IP autorisées à utiliser votre serveur de messagerie si cela est possible sur le plan opérationnel); cela est dû au fait que des spambots s'exécutent sur votre réseau. Par conséquent, configurez votre serveur SMTP de telle sorte que le courrier destiné à d'autres réseaux sera supprimé (l'accès relais sera refusé) à moins que ce courrier ne soit authentifié. Mieux encore, utilisez des serveurs de messagerie séparés pour le courrier entrant et sortant, n'autorisez aucun relais du tout pour les messages entrants et n'autorisez aucun accès non authentifié aux messages sortants.

Si votre logiciel le permet, vous devez également filtrer les messages en fonction de l'utilisateur authentifié; si l'adresse d'expéditeur du courrier ne correspond pas à l'utilisateur qui s'est authentifié, elle doit être rejetée. Ne mettez pas silencieusement à jour l'adresse de l'expéditeur; l'utilisateur doit être conscient de l'erreur de configuration.

Vous devez également enregistrer le nom d'utilisateur utilisé pour envoyer du courrier ou y ajouter un en-tête d'identification. De cette façon, si un abus se produit, vous avez des preuves et savez quel compte a été utilisé pour le faire. Cela vous permet d'isoler les comptes compromis et les utilisateurs problématiques, et est particulièrement utile pour les fournisseurs d'hébergement partagé.

Filtrer le trafic

Vous voulez être certain que le courrier sortant de votre réseau est réellement envoyé par vos utilisateurs (authentifiés), pas par des robots ou des personnes de l'extérieur. Les détails de la façon dont vous effectuez cette opération dépendent exactement du type de système que vous administrez.

Généralement, le blocage du trafic de sortie sur les ports 25, 465 et 587 (SMTP, SMTP/SSL et soumission) pour tout sauf vos serveurs de messagerie sortants est une bonne idée si vous êtes un réseau d'entreprise. C'est ainsi que les robots exécutant des programmes malveillants sur votre réseau ne peuvent pas envoyer de spam à partir de votre réseau, ni pour ouvrir des relais sur Internet, ni directement au MTA final pour obtenir une adresse.

Les hotspots sont un cas particulier car leur courrier légitime provient de nombreux domaines différents, mais (à cause de SPF, entre autres), un serveur de messagerie "forcé" est inapproprié et les utilisateurs doivent utiliser le serveur SMTP de leur propre domaine pour envoyer du courrier. Ce cas est beaucoup plus difficile, mais l'utilisation d'une adresse IP ou d'une plage IP publique spécifique pour le trafic Internet de ces hôtes (pour protéger la réputation de votre site), la limitation du trafic SMTP et l'inspection approfondie des paquets sont des solutions à envisager.

Historiquement, les spambots ont émis du spam principalement sur le port 25, mais rien ne les empêche d'utiliser le port 587 dans le même but, donc changer le port utilisé pour le courrier entrant est d'une valeur douteuse. Cependant, l'utilisation du port 587 pour la soumission du courrier est recommandée par RFC 2476 , et permet une séparation entre la soumission du courrier (au premier MTA) et le transfert du courrier (entre les MTA) lorsque cela n'est pas évident de la topologie du réseau ; si vous avez besoin d'une telle séparation, vous devez le faire.

Si vous êtes un FAI, un hôte VPS, un fournisseur de colocation ou similaire, ou si vous fournissez un point d'accès à l'usage des visiteurs, le blocage du trafic SMTP de sortie peut être problématique pour les utilisateurs qui envoient du courrier en utilisant leur propre domaine. Dans tous les cas, à l'exception d'un point d'accès public, vous devez demander aux utilisateurs qui ont besoin d'un accès SMTP sortant car ils exécutent un serveur de messagerie de le demander spécifiquement. Faites-leur savoir que les plaintes d'abus aboutiront à la fin de cet accès pour protéger votre réputation.

Les adresses IP dynamiques et celles utilisées pour l'infrastructure de bureau virtuel ne devraient jamais avoir d'accès SMTP sortant, sauf au serveur de messagerie spécifique que ces nœuds sont censés utiliser. Ces types d'adresses IP devraient apparaissent également sur les listes noires et vous ne devez pas tenter de vous faire une réputation. En effet, il est extrêmement improbable qu'ils exécutent un MTA légitime.

Envisagez d'utiliser SpamAssassin

SpamAssassin est un filtre de messagerie qui peut être utilisé pour identifier le spam en fonction des en-têtes et du contenu des messages. Il utilise un système de notation basé sur des règles pour déterminer la probabilité qu'un message soit du spam. Plus le score est élevé, plus le message est susceptible d'être un spam.

SpamAssassin dispose également d'un moteur bayésien qui peut analyser les échantillons de spam et de jambon (e-mail légitime) qui y sont réinjectés.

La meilleure pratique pour SpamAssassin n'est pas de rejeter le courrier, mais de le placer dans un dossier indésirable ou spam. Des MUA (agents utilisateurs de messagerie) tels qu'Outlook et Thunderbird peuvent être configurés pour reconnaître les en-têtes que SpamAssassin ajoute aux e-mails et les classer de manière appropriée. Les faux positifs peuvent se produire et se produisent, et bien qu'ils soient rares, quand cela arrive au PDG, vous en entendrez parler. Cette conversation ira beaucoup mieux si le message a été simplement livré dans le dossier Courrier indésirable plutôt que rejeté catégoriquement.

SpamAssassin est presque unique en son genre, bien que quelques alternatives existent .

Envisagez d'utiliser des listes de trous noirs et des services de réputation basés sur DNS

Les DNSBL (anciennement connus sous le nom de RBL ou listes de trous noirs en temps réel) fournissent des listes d'adresses IP associées au spam ou à d'autres activités malveillantes. Ceux-ci sont gérés par des tiers indépendants sur la base de leurs propres critères. Par exemple, quelques DNSBL ont des politiques de radiation draconiennes qui rendent très difficile le retrait d'une personne accidentellement inscrite. D'autres se retirent automatiquement de la liste après que l'adresse IP n'a pas envoyé de spam pendant une certaine période, ce qui est plus sûr. La plupart des DNSBL sont gratuits à utiliser.

Les services de réputation sont similaires, mais prétendent fournir de meilleurs résultats en analysant plus de données pertinentes pour une adresse IP donnée. La plupart des services de réputation nécessitent un paiement d'abonnement ou un achat de matériel ou les deux.

Il existe des dizaines de DNSBL et de services de réputation, bien que certains des plus connus et utiles que j'utilise et recommande sont:

Listes conservatrices:

Listes agressives:

Comme mentionné précédemment, plusieurs dizaines d'autres sont disponibles et peuvent répondre à vos besoins. Une de mes astuces préférées est de rechercher l'adresse IP qui a livré un spam qui a traversé plusieurs DNSBL pour voir lequel d'entre eux l'aurait rejeté.

  • Pour chaque DNSBL et service de réputation, examinez ses politiques de listage et de retrait des adresses IP et déterminez si elles sont compatibles avec les besoins de votre organisation.
  • Ajoutez le DNSBL à votre serveur SMTP lorsque vous avez décidé qu'il est approprié d'utiliser ce service.
  • Pensez à attribuer un score à chaque DNSBL et en le configurant dans SpamAssassin plutôt que sur votre serveur SMTP. Cela réduit l'impact d'un faux positif; un tel message serait remis (éventuellement à Junk/Spam) au lieu de rebondir. Le compromis est que vous livrez un lot de spam.
  • Ou, rejetez carrément lorsque l'adresse IP figure sur l'une des listes les plus conservatrices et configurez les listes les plus agressives dans SpamAssassin.

Utilisez SPF

SPF (Sender Policy Framework; RFC 4408 et RFC 6652 ) est un moyen d'empêcher l'usurpation d'adresse e-mail en déclarant quels hôtes Internet sont autorisés à livrer du courrier pour un nom de domaine donné.

  • Configurez votre DNS pour déclarer un enregistrement SPF avec vos serveurs de messagerie sortants autorisés et -all pour rejeter tous les autres.
  • Configurez votre serveur de messagerie pour vérifier les enregistrements SPF du courrier entrant, s'ils existent, et rejeter le courrier qui échoue à la validation SPF. Ignorez cette vérification si le domaine n'a pas d'enregistrements SPF.

Enquêter sur DKIM

DKIM (DomainKeys Identified Mail; RFC 6376 ) est une méthode d'intégration de signatures numériques dans les messages électroniques qui peut être vérifiée à l'aide de clés publiques publiées dans le DNS. C'est grevé de brevets aux États-Unis, ce qui a ralenti son adoption. Les signatures DKIM peuvent également se casser si un message est modifié en transit (par exemple, les serveurs SMTP peuvent parfois reconditionner des messages MIME).

  • Envisagez de signer votre courrier sortant avec des signatures DKIM, mais sachez que les signatures peuvent ne pas toujours être vérifiées correctement, même sur un courrier légitime.

Envisagez d'utiliser la liste grise

La liste grise est une technique où le serveur SMTP émet un rejet temporaire pour un message entrant, plutôt qu'un rejet permanent. Lorsque la remise est réessayée dans quelques minutes ou heures, le serveur SMTP accepte alors le message.

La liste grise peut arrêter certains logiciels de spam qui ne sont pas assez robustes pour faire la différence entre les rejets temporaires et permanents, mais n'aide pas avec le spam envoyé à un relais ouvert ou avec un logiciel de spam plus robuste. Il introduit également des retards de livraison que les utilisateurs ne tolèrent pas toujours.

  • N'utilisez la liste grise que dans les cas extrêmes, car cela perturbe fortement le trafic de messagerie légitime.

Envisagez d'utiliser la non-inscription

Nolisting est une méthode de configuration de vos enregistrements MX de sorte que l'enregistrement de priorité la plus élevée (numéro de préférence le plus bas) ne dispose pas d'un serveur SMTP en cours d'exécution. Cela repose sur le fait que de nombreux logiciels de spam n'essaient que le premier enregistrement MX, tandis que les serveurs SMTP légitimes essaient tous les enregistrements MX par ordre croissant de préférence. Certains logiciels anti-spam tentent également d'envoyer directement à l'enregistrement MX de priorité la plus basse (numéro de préférence le plus élevé) en violation de RFC 5321 , de sorte qu'il peut également être défini sur une adresse IP sans serveur SMTP. Cela est considéré comme sûr, mais comme pour tout, vous devez d'abord tester soigneusement.

  • Pensez à définir votre enregistrement MX de priorité la plus élevée pour pointer vers un hôte qui ne répond pas sur le port 25.
  • Pensez à définir votre enregistrement MX de priorité la plus faible pour pointer vers un hôte qui ne répond pas sur le port 25.

Envisagez une appliance de filtrage du spam

Placez une appliance de filtrage anti-spam telle que Cisco IronPort ou Barracuda Spam & Virus Firewall (ou d'autres appliances similaires) devant votre serveur SMTP existant pour prendre une grande partie du travail de réduire le spam que vous recevez. Ces appliances sont préconfigurées avec des DNSBL, des services de réputation, des filtres bayésiens et les autres fonctionnalités que j'ai couvertes, et sont mises à jour régulièrement par leurs fabricants.

  • Recherchez le matériel de l'appliance de filtrage du spam et les coûts d'abonnement.

Envisagez des services de messagerie hébergés

Si c'est trop pour vous (ou votre personnel informatique surmené), vous pouvez toujours demander à un fournisseur de services tiers de gérer votre courrier électronique pour vous. Des services tels que Google Postini , Symantec MessageLabs Email Security (ou autres) filtreront les messages pour vous. Certains de ces services peuvent également gérer des exigences réglementaires et juridiques.

  • Recherchez les coûts d'abonnement au service de messagerie hébergé.

Quels conseils les administrateurs système doivent-ils donner aux utilisateurs finaux concernant la lutte contre le spam?

La première chose que les utilisateurs finaux devraient faire pour lutter contre le spam est:

  • NE RÉPONDEZ PAS AU SPAM.

    Si cela vous semble drôle, ne cliquez pas sur le lien du site Web et n'ouvrez pas la pièce jointe. Peu importe à quel point l'offre semble attrayante. Ce viagra n'est pas si bon marché, vous n'allez pas vraiment obtenir de photos nues de personne, et il n'y a pas 15 millions de dollars au Nigeria ou ailleurs, sauf pour l'argent pris par des gens qui did répondre au spam.

  • Si vous voyez un message spam, marquez-le comme indésirable ou spam selon votre client de messagerie.

  • NE PAS marquer un message comme indésirable/spam si vous vous êtes réellement inscrit pour recevoir les messages et que vous souhaitez simplement arrêter de les recevoir. Au lieu de cela, désabonnez-vous de la liste de diffusion en utilisant la méthode de désabonnement fournie.

  • Vérifiez régulièrement votre dossier Courrier indésirable/Spam pour voir si des messages légitimes ont été transmis. Marquez-les comme non indésirables/non spam et ajoutez l'expéditeur à vos contacts pour éviter que leurs messages ne soient marqués comme spam à l'avenir.

98
Michael Hampton

J'ai géré plus de 100 environnements de messagerie distincts au fil des ans et j'ai utilisé de nombreux processus pour réduire ou aider à éliminer le spam.

La technologie a évolué au fil du temps, donc cette réponse passera en revue certaines des choses que j'ai essayées dans le passé et détaillera la situation actuelle.

Quelques réflexions sur la protection ...

  • Vous voulez protéger le port 25 de votre serveur de messagerie entrant contre un relais ouvert , où n'importe qui peut envoyer du courrier via votre infrastructure. Ceci est indépendant de la technologie de serveur de messagerie particulière que vous utilisez. Les utilisateurs distants doivent utiliser un autre port de soumission et une forme d'authentification requise pour relayer le courrier. Le port 587 ou le port 465 sont les alternatives courantes au 25.
  • Le cryptage est également un plus. Une grande partie du trafic de messagerie est envoyée en texte clair. Nous en sommes maintenant au point où la plupart des systèmes de messagerie peuvent prendre en charge une certaine forme de chiffrement; certains événements s'y attendent.
  • Ce sont des approches plus proactives pour empêcher le votre site de messagerie d'être classé comme source de spam ...

En ce qui concerne le spam entrant ...

  • Greylisting était une approche intéressante pour une courte période de temps. Forcer un rejet/retard temporaire dans l'espoir qu'un spammeur se déconnecte et évite l'exposition ou le temps et les ressources nécessaires pour remettre les messages en file d'attente. Cela a eu pour effet des retards imprévisibles dans la livraison du courrier, n'a pas bien fonctionné avec le courrier provenant de grandes batteries de serveurs et les spammeurs ont finalement développé des solutions de contournement. Le pire impact a été de briser l'attente des utilisateurs pour une livraison rapide du courrier.
  • Plusieurs relais MX nécessitent toujours une protection. Certains spammeurs tentent d'envoyer vers un sauvegarde ou MX de priorité inférieure dans l'espoir qu'il dispose d'un filtrage moins robuste.
  • Listes noires en temps réel (trou) (RBL/DNSBL) - Ces références référencent les bases de données gérées de manière centralisée pour vérifier si un serveur d'envoi est répertorié. La forte dépendance à l'égard des RBL s'accompagne d'avertissements. Certains n'étaient pas aussi réputés que d'autres. Les offres de Spamhaus ont toujours été bonnes pour moi. D'autres, comme ABSORBENT , ont une mauvaise approche pour répertorier les adresses IP et bloquent souvent les e-mails légitimes. Dans certains cas, cela a été comparé à un complot d'extorsion, car la radiation implique souvent $$$.
  • Sender Policy Framework (SPF) - Fondamentalement, un moyen de garantir qu'un hôte donné est autorisé à envoyer du courrier pour un domaine particulier, tel que défini par un enregistrement DNS TXT. C'est une bonne pratique de créer des enregistrements SPF pour votre courrier sortant, mais une mauvaise pratique de exiger à partir des serveurs qui vous sont envoyés.
  • Clés de domaine - Pas encore largement utilisé ... pour le moment.
  • Suppression des rebonds - Empêchez le retour de courrier invalide à sa source. Certains spammeurs tentaient de voir quelles adresses étaient en direct/valides en analysant rétrodiffusion pour créer une carte des adresses utilisables.
  • Contrôles DNS/PTR inversés - Vérifiez qu'un serveur d'envoi dispose d'un enregistrement PTR inversé valide. Cela n'a pas besoin de correspondre au domaine d'origine, car il est possible d'avoir un mappage plusieurs-à-un des domaines vers un hôte. Mais il est bon de déterminer la propriété d'un espace IP et de déterminer si le serveur d'origine fait partie d'un bloc IP dynamique (par exemple, large bande domestique - lire: spambots compromis).
  • Filtrage de contenu peu fiable) - Essayer de contrer les permutations de "(Viagra, v\| agra, viagra, vilgra.)" Prend du temps à l'administrateur et ne s'adapte pas dans un environnement plus large.
  • --- (filtrage bayésien - Des solutions de spam plus avancées permettent une formation globale ou par utilisateur du courrier. Lisez l'article lié sur l'heuristique, mais le point principal est que le courrier peut être classé manuellement comme bon (Ham) ou mauvais (Spam), et les messages résultants remplissent une base de données bayésienne qui peut être référencée pour déterminer la catégorisation des futurs messages. En règle générale, cela est associé à un score ou à une pondération de spam et peut être l'une des quelques techniques utilisées pour déterminer si un message doit être remis.
  • Contrôle/étranglement du débit - Approche simple. Limitez le nombre de messages qu'un serveur donné peut tenter de livrer dans un certain laps de temps. Reportez tous les messages au-delà de ce seuil. Ceci est généralement configuré côté serveur de messagerie.
  • Filtrage hébergé et cloud. Postini vient à l'esprit, car c'était une solution cloud avant cloud était un mot à la mode. Désormais propriété de Google, la force d'une solution hébergée réside dans le fait qu'il existe des économies d'échelle inhérentes au traitement du volume de courrier qu'ils rencontrent. L'analyse des données et la portée géographique simple peuvent aider une solution de filtrage de spam hébergée à s'adapter aux tendances. L'exécution est cependant simple. 1). Pointez votre enregistrement MX vers la solution hébergée, 2). fournir une adresse de livraison du serveur de post-filtrage. 3). Profit.

Mon approche actuelle:

Je suis un ardent défenseur des solutions de spam basées sur les appliances. Je veux rejeter au périmètre du réseau et enregistrer les cycles CPU au niveau du serveur de messagerie. L'utilisation d'une appliance offre également une certaine indépendance par rapport à la solution réelle de serveur de messagerie (agent de distribution de courrier).

Je recommande appareils Barracuda Spam Filter pour un certain nombre de raisons. J'ai déployé plusieurs dizaines d'unités, et l'interface Web, le partage de l'esprit de l'industrie et la nature des appareils de configuration et d'oublie en font un gagnant. La technologie dorsale intègre de nombreuses techniques répertoriées ci-dessus.

  • Je bloque le port 25 sur l'adresse IP de mon serveur de messagerie et je place à la place l'enregistrement MX du domaine sur l'adresse publique de l'appliance Barracuda - par exemple spam.domain.com. Le port 25 sera ouvert pour la livraison du courrier.
  • Le noyau est SpamAssassin - dérivé avec une interface simple vers un journal des messages (et une base de données bayésienne) qui peut être utilisé pour classer le bon courrier du mauvais pendant une période de formation initiale.
  • Barracuda exploite plusieurs RBL par défaut, y compris ceux de Spamhaus.org , et leur propre base de données de réputation BRBL . Remarque - le BRBL est utilisable gratuitement en tant que RBL standard pour d'autres systèmes de messagerie.
  • La base de données de réputation de Barracuda est compilée à partir de données en direct, de pots de miel, d'analyses à grande échelle et d'un certain nombre de techniques propriétaires. Il a une liste blanche et une liste de blocage enregistrées. Les expéditeurs de courrier à volume élevé et à haute visibilité s'inscrivent souvent auprès de Barracuda pour une liste blanche automatique. Les exemples incluent Blackberry, Contact constant , etc.
  • Les vérifications SPF peuvent être activées (je ne les active pas cependant).
  • Il existe une interface pour examiner les messages et les redistribuer à partir du cache de messagerie de l'appliance si nécessaire. Cela est utile dans les cas où un utilisateur attendait un message qui n'aurait pas réussi toutes les vérifications de spam.
  • La vérification des utilisateurs LDAP/Active Directory accélère la détection des destinataires de courrier non valides. Cela économise de la bande passante et empêche rétrodiffusion .
  • IP/adresse d'expéditeur/domaine/pays d'origine peuvent tous être configurés. Si je veux refuser tout le courrier provenant de suffixes de domaine italiens, c'est possible. Si je veux empêcher le courrier d'un domaine particulier, il est facilement configuré. Si je veux empêcher un utilisateur stalker d'envoyer un e-mail à l'utilisateur, c'est faisable (histoire vraie).
  • Barracuda fournit un certain nombre de rapports prédéfinis et un bon affichage visuel de l'état de l'appliance et des mesures de spam.
  • J'aime avoir une appliance sur place pour garder ce traitement en interne et possiblement une connexion de journalisation de courrier électronique post-filtre (dans les environnements où la conservation du courrier est nécessaire).
  • Plus L'appliance peut résider dans une infrastructure virtualisée .

Console d'état Barracuda Spam & Virus Firewall 300 enter image description here


Nouvelle approche:

J'ai expérimenté avec Barracuda's Cloud-based Email Security Service au cours du mois dernier. Ceci est similaire à d'autres solutions hébergées, mais est bien adapté aux petits sites, où une appliance coûteuse est prohibitive. Pour un coût annuel nominal, ce service fournit environ 85% de ce que fait l'appliance matérielle. Le service peut également être exécuté en tandem avec une appliance sur site pour réduire la bande passante entrante et fournir une autre couche de sécurité. C'est aussi un joli tampon qui peut spouler le courrier en cas de panne de serveur. Les analyses sont toujours utiles, bien qu'elles ne soient pas aussi détaillées que celles d'une unité physique.

Console Barracuda Cloud Email Security enter image description here

Dans l'ensemble, j'ai essayé de nombreuses solutions, mais étant donné l'ampleur de certains environnements et les demandes croissantes de la base d'utilisateurs, je veux la ou les solutions les plus élégantes disponibles. Il est certainement possible d'adopter l'approche à plusieurs volets et de "faire rouler la vôtre", mais j'ai bien fait avec une sécurité de base et une bonne surveillance de l'utilisation de l'appareil Barracuda. Les utilisateurs sont très satisfaits du résultat.

Remarque: Cisco Ironport est également très bien ... Juste plus coûteux.

31
ewwhite

En partie, j'approuve ce que les autres ont dit; en partie, je ne le fais pas.

Spamassassin

Cela fonctionne très bien pour moi, mais vous devez passer du temps à former le filtre bayésien avec du jambon et du spam.

Greylisting

ewwhite peut sentir que son jour est passé, mais je ne suis pas d'accord. Un de mes clients m'a demandé l'efficacité de mes différents filtres, voici donc les statistiques approximatives de juillet 2012 pour mon serveur de messagerie personnel:

  • 46000 messages ont tenté de remise
  • 1750 obtenu par liste grise
  • 250 ont obtenu une liste grise + un spamassassin formé

Donc, environ 44 000 n'ont jamais réussi à passer par la liste grise; si je n'avais pas eu de liste grise et si j'avais accepté tout cela, ils auraient tous eu besoin d'un filtrage anti-spam, utilisant tous le CPU et la mémoire, et en fait la bande passante.

Edit: puisque cette réponse semble avoir été utile à certaines personnes, j'ai pensé mettre les statistiques à jour. J'ai donc relancé l'analyse sur les journaux de messagerie à partir de janvier 2015, 2,5 ans plus tard.

  • 115 500 messages tentés de remise
  • 13 300 ont obtenu une liste grise (et quelques vérifications de base de l'intégrité, par exemple un domaine d'expéditeur valide)
  • 8 500 personnes ont obtenu une liste grise + un spamassassin formé

Les chiffres ne sont pas directement comparables, car je ne sais plus comment je suis arrivé aux chiffres de 2012, donc je ne peux pas être sûr que les méthodologies étaient identiques. Mais je suis convaincu que je n'ai pas eu à exécuter un filtrage des spams coûteux en calcul sur un tas de contenu à l'époque, et je ne le fais toujours pas, en raison de la liste grise.

SPF

Ce n'est pas vraiment une technique anti-spam, mais elle peut réduire la quantité de rétrodiffusion à laquelle vous devez faire face, si vous êtes joe-jobbed. Vous devez l'utiliser à la fois à l'intérieur et à l'extérieur, c'est-à-dire: vous devez vérifier l'enregistrement SPF de l'expéditeur pour les e-mails entrants et accepter/rejeter en conséquence. Vous devez également publier vos propres enregistrements SPF, répertoriant entièrement toutes les machines autorisées à envoyer des messages comme vous, et verrouillez toutes les autres avec -all. Les enregistrements SPF qui ne se terminent pas par -all Sont complètement inutiles.

Listes Blackhole

Les RBL sont problématiques, car on peut y accéder sans faute de sa part, et il peut être difficile d'en descendre. Néanmoins, ils ont une utilisation légitime dans la lutte contre le spam, mais je suggérerais fortement qu'aucun RBL ne devrait jamais être utilisé comme un test clair pour l'acceptation du courrier. La façon dont spamassassin gère les RBL - en utilisant plusieurs, chacun contribuant à un score total, et c'est ce score qui prend la décision d'accepter/rejeter - est bien meilleure.

Dropbox

Je ne parle pas du service commercial, je veux dire que mon serveur de messagerie a une adresse qui coupe toutes mes listes grises et filtrage du spam, mais qui au lieu de livrer à la boîte de réception de n'importe qui, elle va dans un dossier accessible en écriture dans /var, Qui est automatiquement élagué tous les soirs des e-mails de plus de 14 jours.

J'encourage tous les utilisateurs à en profiter, par exemple en remplissant des formulaires d'e-mail qui nécessitent une adresse e-mail validable, où vous allez recevoir un e-mail que vous devez conserver, mais dont vous ne souhaitez plus jamais entendre ou lors de l'achat de fournisseurs en ligne qui vendront et/ou spammeront probablement leur adresse (en particulier ceux hors de portée des lois européennes sur la confidentialité). Au lieu de donner sa véritable adresse, un utilisateur peut donner l'adresse de la boîte de dépôt et regarder dans la boîte de dépôt uniquement lorsqu'il attend quelque chose d'un correspondant (généralement une machine). Quand il arrive, elle peut le retirer et le sauvegarder dans sa propre collection de courrier. Aucun utilisateur n'a besoin de regarder dans la boîte de dépôt à tout autre moment.

26
MadHatter

J'utilise un certain nombre de techniques qui réduisent le spam à des niveaux acceptables.

Retard d'acceptation des connexions de serveurs mal configurés. La majorité du spam que je reçois provient de spambots fonctionnant sur un système infecté par un malware. Presque tous ces éléments ne passent pas la validation rDNS. Un délai d'environ 30 secondes avant chaque réponse oblige la plupart des Spambots à abandonner avant d'avoir transmis leur message. Appliquer cela uniquement aux serveurs qui échouent rDNS évite de pénaliser les serveurs correctement configurés. Certains expéditeurs en masse ou automatisés légitimes mal configurés sont pénalisés, mais livrent avec un délai minimal.

La configuration de SPF pour tous vos domaines protège vos domaines. La plupart des sous-domaines ne doivent pas être utilisés pour envoyer des e-mails. La principale exception concerne les domaines MX qui doivent pouvoir envoyer des courriers par eux-mêmes. Un certain nombre d'expéditeurs légitimes délèguent le courrier en vrac et automatisé à des serveurs qui ne sont pas autorisés par leur politique. Le report plutôt que le rejet basé sur SPF leur permet de corriger leur configuration SPF, ou vous de les mettre sur liste blanche.

Exiger un nom de domaine complet (FQDN) dans la commande HELO/EHLO. Le spam utilise souvent un nom d'hôte non qualifié, des littéraux d'adresse, des adresses IP ou un TLD (domaine de premier niveau) non valide. Malheureusement, certains expéditeurs légitimes utilisent des TLD invalides, il peut donc être plus approprié de différer dans ce cas. Cela peut nécessiter une surveillance et une liste blanche pour activer le courrier.

DKIM aide à la non-répudiation, mais n'est pas autrement très utile. D'après mon expérience, il est peu probable que le spam soit signé. Le jambon est plus susceptible d'être signé, il a donc une certaine valeur dans la notation du spam. Un certain nombre d'expéditeurs légitimes ne publient pas leurs clés publiques ou ne configurent pas leur système de manière incorrecte.

La liste grise est utile pour les serveurs qui présentent des signes de mauvaise configuration. Les serveurs correctement configurés finiront par passer, donc j'ai tendance à les exclure de la liste grise. Il est utile pour les freemailers greylist car ils ont tendance à être utilisés occasionnellement pour le spam. Le délai donne à certaines entrées du filtre anti-spam le temps d'attraper le spammeur. Il a également tendance à dévier les spambots car ils ne réessayent généralement pas.

Les listes noires et les listes blanches peuvent également vous aider.

  • J'ai trouvé que Spamhaus était une liste noire fiable.
  • Auto WhiteListing dans le filtre anti-spam permet de lisser la note des expéditeurs fréquents qui sont parfois des Spamish, ou des Spammers qui sont parfois des Hamish.
  • Je trouve également la liste blanche de dnsl.org utile.

Le logiciel de filtrage anti-spam est assez bon pour trouver du spam, bien que certains y parviendront. Il peut être difficile d'obtenir le faux négatif à un niveau raisonnable sans trop augmenter le faux positif. Je trouve que Spamassassin capture la plupart des Spam qui y parviennent. J'ai ajouté quelques règles personnalisées, qui correspondent à mes besoins.

Les maîtres de poste doivent configurer les adresses d'abus et de maître de poste requises. Reconnaissez les commentaires que vous obtenez à ces adresses et agissez en conséquence. Cela permet à d'autres de vous aider à vous assurer que votre serveur est correctement configuré et qu'il n'est pas à l'origine du spam.

Si vous êtes développeur, utilisez les services de messagerie existants plutôt que de configurer votre propre serveur. D'après mon expérience, la configuration des serveurs pour les expéditeurs de courrier automatisés est susceptible d'être mal configurée. Consultez les RFC et envoyez des e-mails correctement formatés à partir d'une adresse légitime dans votre domaine.

Les utilisateurs finaux peuvent faire un certain nombre de choses pour réduire le spam:

  • Ne l'ouvrez pas. Marquez-le comme spam ou supprimez-le.
  • Assurez-vous que votre système est sécurisé et exempt de logiciels malveillants.
  • Surveillez votre utilisation du réseau, en particulier lorsque vous n'utilisez pas votre système. S'il génère beaucoup de trafic réseau lorsque vous ne l'utilisez pas, il peut envoyer du spam.
  • Éteignez votre ordinateur lorsque vous ne l'utilisez pas. (Il ne pourra pas générer de spam s'il est désactivé.)

Les propriétaires de domaine/FAI peuvent vous aider en limitant l'accès Internet sur le port 25 (SMTP) aux serveurs de messagerie officiels. Cela limitera la capacité des Spambots à envoyer sur Internet. Cela aide également lorsque les adresses dynamiques renvoient des noms qui ne passent pas la validation rDNS. Encore mieux est de vérifier que l'enregistrement PTR des serveurs de messagerie réussit la valorisation rDNS. (Vérifiez les erreurs typographiques lors de la configuration des enregistrements PTR pour vos clients.)

J'ai commencé à classer les e-mails en trois catégories:

  • Ham (presque toujours à partir de serveurs correctement configurés, correctement formatés et généralement des e-mails personnels.)
  • Spam (principalement des spambots, mais un certain pourcentage provient de freemailers ou d'autres expéditeurs avec des serveurs mal configurés.)
  • Bacn; pourrait être Ham ou Spam (Comprend beaucoup de courrier provenant de listes de diffusion et de systèmes automatisés. Ham finit généralement ici à cause d'une mauvaise configuration du DNS et/ou du serveur.)
14
BillThor

La seule solution la plus efficace que j'ai vue consiste à utiliser l'un des services de filtrage de courrier externe.

J'ai de l'expérience avec les services suivants chez des clients actuels. Je suis sûr qu'il y en a d'autres. Chacun d'eux a fait un excellent travail dans mon expérience. Le coût est raisonnable pour les trois.

  • Postini de Google
  • MXLogic de McAfee
  • SecureTide depuis AppRiver

Les services présentent plusieurs avantages considérables par rapport aux solutions locales.

  1. Ils arrêtent la plupart (> 99%) du spam AVANT qu'il ne frappe votre connexion Internet et votre serveur de messagerie. Compte tenu du volume de spam, il s'agit de beaucoup de données qui ne se trouvent pas sur votre bande passante et pas sur votre serveur. J'ai implémenté un de ces services une douzaine de fois et chacun a entraîné une amélioration notable des performances du serveur de messagerie.

  2. Ils effectuent également un filtrage antivirus, généralement dans les deux sens. Cela atténue le besoin d'avoir une solution "mail anti-virus" sur votre serveur, et garde également le virii complètement

Ils font également un excellent travail pour bloquer le spam. En 2 ans de travail dans une entreprise utilisant MXLogic, je n'ai jamais eu de faux positif, et je peux compter les spams légitimes qui sont passés d'une part.

6
tomjedrz

Il n'y a pas deux environnements de messagerie identiques. La création d'une solution efficace nécessitera donc beaucoup d'essais et d'erreurs autour des nombreuses techniques disponibles, car le contenu des e-mails, du trafic, des logiciels, des réseaux, des expéditeurs, des destinataires et bien d'autres encore variera énormément d'un environnement à l'autre.

Cependant, je trouve que les listes de blocage (RBL) suivantes sont bien adaptées au filtrage général:

Comme déjà indiqué, SpamAssassin est une excellente solution lorsqu'il est configuré correctement, assurez-vous simplement d'installer autant de modules complémentaires Perl dans CPAN que possible, ainsi que Razor, Pyzor et DCC. Postfix fonctionne très bien avec SpamAssassin et il est beaucoup plus facile à gérer et à configurer qu'EXIM par exemple.

Enfin, bloquer les clients au niveau IP à l'aide de fail2ban et iptables ou similaire pendant de courtes périodes (disons un jour à une semaine) après certains événements tels que le déclenchement d'un hit sur un RBL pour comportement abusif peut également être très efficace. Pourquoi gaspiller des ressources à parler à un hôte infecté par un virus connu?

5
Fat Finger