Lutte contre le spam - Que puis-je faire en tant qu'administrateur de messagerie, propriétaire de domaine ou utilisateur?

J'ai géré plus de 100 environnements de messagerie distincts au fil des ans et j'ai utilisé de nombreux processus pour réduire ou aider à éliminer le spam.

La technologie a évolué au fil du temps, donc cette réponse passera en revue certaines des choses que j'ai essayées dans le passé et détaillera la situation actuelle.

Quelques réflexions sur la protection ...

• Vous voulez protéger le port 25 de votre serveur de messagerie entrant contre un relais ouvert , où n'importe qui peut envoyer du courrier via votre infrastructure. Ceci est indépendant de la technologie de serveur de messagerie particulière que vous utilisez. Les utilisateurs distants doivent utiliser un autre port de soumission et une forme d'authentification requise pour relayer le courrier. Le port 587 ou le port 465 sont les alternatives courantes au 25.
• Le cryptage est également un plus. Une grande partie du trafic de messagerie est envoyée en texte clair. Nous en sommes maintenant au point où la plupart des systèmes de messagerie peuvent prendre en charge une certaine forme de chiffrement; certains événements s'y attendent.
• Ce sont des approches plus proactives pour empêcher le votre site de messagerie d'être classé comme source de spam ...

En ce qui concerne le spam entrant ...

• Greylisting était une approche intéressante pour une courte période de temps. Forcer un rejet/retard temporaire dans l'espoir qu'un spammeur se déconnecte et évite l'exposition ou le temps et les ressources nécessaires pour remettre les messages en file d'attente. Cela a eu pour effet des retards imprévisibles dans la livraison du courrier, n'a pas bien fonctionné avec le courrier provenant de grandes batteries de serveurs et les spammeurs ont finalement développé des solutions de contournement. Le pire impact a été de briser l'attente des utilisateurs pour une livraison rapide du courrier.
• Plusieurs relais MX nécessitent toujours une protection. Certains spammeurs tentent d'envoyer vers un sauvegarde ou MX de priorité inférieure dans l'espoir qu'il dispose d'un filtrage moins robuste.
• Listes noires en temps réel (trou) (RBL/DNSBL) - Ces références référencent les bases de données gérées de manière centralisée pour vérifier si un serveur d'envoi est répertorié. La forte dépendance à l'égard des RBL s'accompagne d'avertissements. Certains n'étaient pas aussi réputés que d'autres. Les offres de Spamhaus ont toujours été bonnes pour moi. D'autres, comme ABSORBENT , ont une mauvaise approche pour répertorier les adresses IP et bloquent souvent les e-mails légitimes. Dans certains cas, cela a été comparé à un complot d'extorsion, car la radiation implique souvent $$$.
• Sender Policy Framework (SPF) - Fondamentalement, un moyen de garantir qu'un hôte donné est autorisé à envoyer du courrier pour un domaine particulier, tel que défini par un enregistrement DNS TXT. C'est une bonne pratique de créer des enregistrements SPF pour votre courrier sortant, mais une mauvaise pratique de exiger à partir des serveurs qui vous sont envoyés.
• Clés de domaine - Pas encore largement utilisé ... pour le moment.
• Suppression des rebonds - Empêchez le retour de courrier invalide à sa source. Certains spammeurs tentaient de voir quelles adresses étaient en direct/valides en analysant rétrodiffusion pour créer une carte des adresses utilisables.
• Contrôles DNS/PTR inversés - Vérifiez qu'un serveur d'envoi dispose d'un enregistrement PTR inversé valide. Cela n'a pas besoin de correspondre au domaine d'origine, car il est possible d'avoir un mappage plusieurs-à-un des domaines vers un hôte. Mais il est bon de déterminer la propriété d'un espace IP et de déterminer si le serveur d'origine fait partie d'un bloc IP dynamique (par exemple, large bande domestique - lire: spambots compromis).
• Filtrage de contenu peu fiable) - Essayer de contrer les permutations de "(Viagra, v\| agra, viagra, vilgra.)" Prend du temps à l'administrateur et ne s'adapte pas dans un environnement plus large.
• --- (filtrage bayésien - Des solutions de spam plus avancées permettent une formation globale ou par utilisateur du courrier. Lisez l'article lié sur l'heuristique, mais le point principal est que le courrier peut être classé manuellement comme bon (Ham) ou mauvais (Spam), et les messages résultants remplissent une base de données bayésienne qui peut être référencée pour déterminer la catégorisation des futurs messages. En règle générale, cela est associé à un score ou à une pondération de spam et peut être l'une des quelques techniques utilisées pour déterminer si un message doit être remis.
• Contrôle/étranglement du débit - Approche simple. Limitez le nombre de messages qu'un serveur donné peut tenter de livrer dans un certain laps de temps. Reportez tous les messages au-delà de ce seuil. Ceci est généralement configuré côté serveur de messagerie.
• Filtrage hébergé et cloud. Postini vient à l'esprit, car c'était une solution cloud avant cloud était un mot à la mode. Désormais propriété de Google, la force d'une solution hébergée réside dans le fait qu'il existe des économies d'échelle inhérentes au traitement du volume de courrier qu'ils rencontrent. L'analyse des données et la portée géographique simple peuvent aider une solution de filtrage de spam hébergée à s'adapter aux tendances. L'exécution est cependant simple. 1). Pointez votre enregistrement MX vers la solution hébergée, 2). fournir une adresse de livraison du serveur de post-filtrage. 3). Profit.

Mon approche actuelle:

Je suis un ardent défenseur des solutions de spam basées sur les appliances. Je veux rejeter au périmètre du réseau et enregistrer les cycles CPU au niveau du serveur de messagerie. L'utilisation d'une appliance offre également une certaine indépendance par rapport à la solution réelle de serveur de messagerie (agent de distribution de courrier).

Je recommande appareils Barracuda Spam Filter pour un certain nombre de raisons. J'ai déployé plusieurs dizaines d'unités, et l'interface Web, le partage de l'esprit de l'industrie et la nature des appareils de configuration et d'oublie en font un gagnant. La technologie dorsale intègre de nombreuses techniques répertoriées ci-dessus.

• Je bloque le port 25 sur l'adresse IP de mon serveur de messagerie et je place à la place l'enregistrement MX du domaine sur l'adresse publique de l'appliance Barracuda - par exemple spam.domain.com. Le port 25 sera ouvert pour la livraison du courrier.
• Le noyau est SpamAssassin - dérivé avec une interface simple vers un journal des messages (et une base de données bayésienne) qui peut être utilisé pour classer le bon courrier du mauvais pendant une période de formation initiale.
• Barracuda exploite plusieurs RBL par défaut, y compris ceux de Spamhaus.org , et leur propre base de données de réputation BRBL . Remarque - le BRBL est utilisable gratuitement en tant que RBL standard pour d'autres systèmes de messagerie.
• La base de données de réputation de Barracuda est compilée à partir de données en direct, de pots de miel, d'analyses à grande échelle et d'un certain nombre de techniques propriétaires. Il a une liste blanche et une liste de blocage enregistrées. Les expéditeurs de courrier à volume élevé et à haute visibilité s'inscrivent souvent auprès de Barracuda pour une liste blanche automatique. Les exemples incluent Blackberry, Contact constant , etc.
• Les vérifications SPF peuvent être activées (je ne les active pas cependant).
• Il existe une interface pour examiner les messages et les redistribuer à partir du cache de messagerie de l'appliance si nécessaire. Cela est utile dans les cas où un utilisateur attendait un message qui n'aurait pas réussi toutes les vérifications de spam.
• La vérification des utilisateurs LDAP/Active Directory accélère la détection des destinataires de courrier non valides. Cela économise de la bande passante et empêche rétrodiffusion .
• IP/adresse d'expéditeur/domaine/pays d'origine peuvent tous être configurés. Si je veux refuser tout le courrier provenant de suffixes de domaine italiens, c'est possible. Si je veux empêcher le courrier d'un domaine particulier, il est facilement configuré. Si je veux empêcher un utilisateur stalker d'envoyer un e-mail à l'utilisateur, c'est faisable (histoire vraie).
• Barracuda fournit un certain nombre de rapports prédéfinis et un bon affichage visuel de l'état de l'appliance et des mesures de spam.
• J'aime avoir une appliance sur place pour garder ce traitement en interne et possiblement une connexion de journalisation de courrier électronique post-filtre (dans les environnements où la conservation du courrier est nécessaire).
• Plus L'appliance peut résider dans une infrastructure virtualisée .

Console d'état Barracuda Spam & Virus Firewall 300 

Nouvelle approche:

J'ai expérimenté avec Barracuda's Cloud-based Email Security Service au cours du mois dernier. Ceci est similaire à d'autres solutions hébergées, mais est bien adapté aux petits sites, où une appliance coûteuse est prohibitive. Pour un coût annuel nominal, ce service fournit environ 85% de ce que fait l'appliance matérielle. Le service peut également être exécuté en tandem avec une appliance sur site pour réduire la bande passante entrante et fournir une autre couche de sécurité. C'est aussi un joli tampon qui peut spouler le courrier en cas de panne de serveur. Les analyses sont toujours utiles, bien qu'elles ne soient pas aussi détaillées que celles d'une unité physique.

Console Barracuda Cloud Email Security 

Dans l'ensemble, j'ai essayé de nombreuses solutions, mais étant donné l'ampleur de certains environnements et les demandes croissantes de la base d'utilisateurs, je veux la ou les solutions les plus élégantes disponibles. Il est certainement possible d'adopter l'approche à plusieurs volets et de "faire rouler la vôtre", mais j'ai bien fait avec une sécurité de base et une bonne surveillance de l'utilisation de l'appareil Barracuda. Les utilisateurs sont très satisfaits du résultat.

Remarque: Cisco Ironport est également très bien ... Juste plus coûteux.

En partie, j'approuve ce que les autres ont dit; en partie, je ne le fais pas.

Spamassassin

Cela fonctionne très bien pour moi, mais vous devez passer du temps à former le filtre bayésien avec du jambon et du spam.

Greylisting

ewwhite peut sentir que son jour est passé, mais je ne suis pas d'accord. Un de mes clients m'a demandé l'efficacité de mes différents filtres, voici donc les statistiques approximatives de juillet 2012 pour mon serveur de messagerie personnel:

• 46000 messages ont tenté de remise
• 1750 obtenu par liste grise
• 250 ont obtenu une liste grise + un spamassassin formé

Donc, environ 44 000 n'ont jamais réussi à passer par la liste grise; si je n'avais pas eu de liste grise et si j'avais accepté tout cela, ils auraient tous eu besoin d'un filtrage anti-spam, utilisant tous le CPU et la mémoire, et en fait la bande passante.

Edit: puisque cette réponse semble avoir été utile à certaines personnes, j'ai pensé mettre les statistiques à jour. J'ai donc relancé l'analyse sur les journaux de messagerie à partir de janvier 2015, 2,5 ans plus tard.

• 115 500 messages tentés de remise
• 13 300 ont obtenu une liste grise (et quelques vérifications de base de l'intégrité, par exemple un domaine d'expéditeur valide)
• 8 500 personnes ont obtenu une liste grise + un spamassassin formé

Les chiffres ne sont pas directement comparables, car je ne sais plus comment je suis arrivé aux chiffres de 2012, donc je ne peux pas être sûr que les méthodologies étaient identiques. Mais je suis convaincu que je n'ai pas eu à exécuter un filtrage des spams coûteux en calcul sur un tas de contenu à l'époque, et je ne le fais toujours pas, en raison de la liste grise.

SPF

Ce n'est pas vraiment une technique anti-spam, mais elle peut réduire la quantité de rétrodiffusion à laquelle vous devez faire face, si vous êtes joe-jobbed. Vous devez l'utiliser à la fois à l'intérieur et à l'extérieur, c'est-à-dire: vous devez vérifier l'enregistrement SPF de l'expéditeur pour les e-mails entrants et accepter/rejeter en conséquence. Vous devez également publier vos propres enregistrements SPF, répertoriant entièrement toutes les machines autorisées à envoyer des messages comme vous, et verrouillez toutes les autres avec -all. Les enregistrements SPF qui ne se terminent pas par -all Sont complètement inutiles.

Listes Blackhole

Les RBL sont problématiques, car on peut y accéder sans faute de sa part, et il peut être difficile d'en descendre. Néanmoins, ils ont une utilisation légitime dans la lutte contre le spam, mais je suggérerais fortement qu'aucun RBL ne devrait jamais être utilisé comme un test clair pour l'acceptation du courrier. La façon dont spamassassin gère les RBL - en utilisant plusieurs, chacun contribuant à un score total, et c'est ce score qui prend la décision d'accepter/rejeter - est bien meilleure.

Dropbox

Je ne parle pas du service commercial, je veux dire que mon serveur de messagerie a une adresse qui coupe toutes mes listes grises et filtrage du spam, mais qui au lieu de livrer à la boîte de réception de n'importe qui, elle va dans un dossier accessible en écriture dans /var, Qui est automatiquement élagué tous les soirs des e-mails de plus de 14 jours.

J'encourage tous les utilisateurs à en profiter, par exemple en remplissant des formulaires d'e-mail qui nécessitent une adresse e-mail validable, où vous allez recevoir un e-mail que vous devez conserver, mais dont vous ne souhaitez plus jamais entendre ou lors de l'achat de fournisseurs en ligne qui vendront et/ou spammeront probablement leur adresse (en particulier ceux hors de portée des lois européennes sur la confidentialité). Au lieu de donner sa véritable adresse, un utilisateur peut donner l'adresse de la boîte de dépôt et regarder dans la boîte de dépôt uniquement lorsqu'il attend quelque chose d'un correspondant (généralement une machine). Quand il arrive, elle peut le retirer et le sauvegarder dans sa propre collection de courrier. Aucun utilisateur n'a besoin de regarder dans la boîte de dépôt à tout autre moment.

J'utilise un certain nombre de techniques qui réduisent le spam à des niveaux acceptables.

Retard d'acceptation des connexions de serveurs mal configurés. La majorité du spam que je reçois provient de spambots fonctionnant sur un système infecté par un malware. Presque tous ces éléments ne passent pas la validation rDNS. Un délai d'environ 30 secondes avant chaque réponse oblige la plupart des Spambots à abandonner avant d'avoir transmis leur message. Appliquer cela uniquement aux serveurs qui échouent rDNS évite de pénaliser les serveurs correctement configurés. Certains expéditeurs en masse ou automatisés légitimes mal configurés sont pénalisés, mais livrent avec un délai minimal.

La configuration de SPF pour tous vos domaines protège vos domaines. La plupart des sous-domaines ne doivent pas être utilisés pour envoyer des e-mails. La principale exception concerne les domaines MX qui doivent pouvoir envoyer des courriers par eux-mêmes. Un certain nombre d'expéditeurs légitimes délèguent le courrier en vrac et automatisé à des serveurs qui ne sont pas autorisés par leur politique. Le report plutôt que le rejet basé sur SPF leur permet de corriger leur configuration SPF, ou vous de les mettre sur liste blanche.

Exiger un nom de domaine complet (FQDN) dans la commande HELO/EHLO. Le spam utilise souvent un nom d'hôte non qualifié, des littéraux d'adresse, des adresses IP ou un TLD (domaine de premier niveau) non valide. Malheureusement, certains expéditeurs légitimes utilisent des TLD invalides, il peut donc être plus approprié de différer dans ce cas. Cela peut nécessiter une surveillance et une liste blanche pour activer le courrier.

DKIM aide à la non-répudiation, mais n'est pas autrement très utile. D'après mon expérience, il est peu probable que le spam soit signé. Le jambon est plus susceptible d'être signé, il a donc une certaine valeur dans la notation du spam. Un certain nombre d'expéditeurs légitimes ne publient pas leurs clés publiques ou ne configurent pas leur système de manière incorrecte.

La liste grise est utile pour les serveurs qui présentent des signes de mauvaise configuration. Les serveurs correctement configurés finiront par passer, donc j'ai tendance à les exclure de la liste grise. Il est utile pour les freemailers greylist car ils ont tendance à être utilisés occasionnellement pour le spam. Le délai donne à certaines entrées du filtre anti-spam le temps d'attraper le spammeur. Il a également tendance à dévier les spambots car ils ne réessayent généralement pas.

Les listes noires et les listes blanches peuvent également vous aider.

• J'ai trouvé que Spamhaus était une liste noire fiable.
• Auto WhiteListing dans le filtre anti-spam permet de lisser la note des expéditeurs fréquents qui sont parfois des Spamish, ou des Spammers qui sont parfois des Hamish.
• Je trouve également la liste blanche de dnsl.org utile.

Le logiciel de filtrage anti-spam est assez bon pour trouver du spam, bien que certains y parviendront. Il peut être difficile d'obtenir le faux négatif à un niveau raisonnable sans trop augmenter le faux positif. Je trouve que Spamassassin capture la plupart des Spam qui y parviennent. J'ai ajouté quelques règles personnalisées, qui correspondent à mes besoins.

Les maîtres de poste doivent configurer les adresses d'abus et de maître de poste requises. Reconnaissez les commentaires que vous obtenez à ces adresses et agissez en conséquence. Cela permet à d'autres de vous aider à vous assurer que votre serveur est correctement configuré et qu'il n'est pas à l'origine du spam.

Si vous êtes développeur, utilisez les services de messagerie existants plutôt que de configurer votre propre serveur. D'après mon expérience, la configuration des serveurs pour les expéditeurs de courrier automatisés est susceptible d'être mal configurée. Consultez les RFC et envoyez des e-mails correctement formatés à partir d'une adresse légitime dans votre domaine.

Les utilisateurs finaux peuvent faire un certain nombre de choses pour réduire le spam:

• Ne l'ouvrez pas. Marquez-le comme spam ou supprimez-le.
• Assurez-vous que votre système est sécurisé et exempt de logiciels malveillants.
• Surveillez votre utilisation du réseau, en particulier lorsque vous n'utilisez pas votre système. S'il génère beaucoup de trafic réseau lorsque vous ne l'utilisez pas, il peut envoyer du spam.
• Éteignez votre ordinateur lorsque vous ne l'utilisez pas. (Il ne pourra pas générer de spam s'il est désactivé.)

Les propriétaires de domaine/FAI peuvent vous aider en limitant l'accès Internet sur le port 25 (SMTP) aux serveurs de messagerie officiels. Cela limitera la capacité des Spambots à envoyer sur Internet. Cela aide également lorsque les adresses dynamiques renvoient des noms qui ne passent pas la validation rDNS. Encore mieux est de vérifier que l'enregistrement PTR des serveurs de messagerie réussit la valorisation rDNS. (Vérifiez les erreurs typographiques lors de la configuration des enregistrements PTR pour vos clients.)

J'ai commencé à classer les e-mails en trois catégories:

• Ham (presque toujours à partir de serveurs correctement configurés, correctement formatés et généralement des e-mails personnels.)
• Spam (principalement des spambots, mais un certain pourcentage provient de freemailers ou d'autres expéditeurs avec des serveurs mal configurés.)
• Bacn; pourrait être Ham ou Spam (Comprend beaucoup de courrier provenant de listes de diffusion et de systèmes automatisés. Ham finit généralement ici à cause d'une mauvaise configuration du DNS et/ou du serveur.)

La seule solution la plus efficace que j'ai vue consiste à utiliser l'un des services de filtrage de courrier externe.

J'ai de l'expérience avec les services suivants chez des clients actuels. Je suis sûr qu'il y en a d'autres. Chacun d'eux a fait un excellent travail dans mon expérience. Le coût est raisonnable pour les trois.

• Postini de Google
• MXLogic de McAfee
• SecureTide depuis AppRiver

Les services présentent plusieurs avantages considérables par rapport aux solutions locales.

1. Ils arrêtent la plupart (> 99%) du spam AVANT qu'il ne frappe votre connexion Internet et votre serveur de messagerie. Compte tenu du volume de spam, il s'agit de beaucoup de données qui ne se trouvent pas sur votre bande passante et pas sur votre serveur. J'ai implémenté un de ces services une douzaine de fois et chacun a entraîné une amélioration notable des performances du serveur de messagerie.

2. Ils effectuent également un filtrage antivirus, généralement dans les deux sens. Cela atténue le besoin d'avoir une solution "mail anti-virus" sur votre serveur, et garde également le virii complètement

Ils font également un excellent travail pour bloquer le spam. En 2 ans de travail dans une entreprise utilisant MXLogic, je n'ai jamais eu de faux positif, et je peux compter les spams légitimes qui sont passés d'une part.

Il n'y a pas deux environnements de messagerie identiques. La création d'une solution efficace nécessitera donc beaucoup d'essais et d'erreurs autour des nombreuses techniques disponibles, car le contenu des e-mails, du trafic, des logiciels, des réseaux, des expéditeurs, des destinataires et bien d'autres encore variera énormément d'un environnement à l'autre.

Cependant, je trouve que les listes de blocage (RBL) suivantes sont bien adaptées au filtrage général:

• dbl.spamhaus.org
• xbl.spamhaus.org
• b.barracudacentral.org

Comme déjà indiqué, SpamAssassin est une excellente solution lorsqu'il est configuré correctement, assurez-vous simplement d'installer autant de modules complémentaires Perl dans CPAN que possible, ainsi que Razor, Pyzor et DCC. Postfix fonctionne très bien avec SpamAssassin et il est beaucoup plus facile à gérer et à configurer qu'EXIM par exemple.

Enfin, bloquer les clients au niveau IP à l'aide de fail2ban et iptables ou similaire pendant de courtes périodes (disons un jour à une semaine) après certains événements tels que le déclenchement d'un hit sur un RBL pour comportement abusif peut également être très efficace. Pourquoi gaspiller des ressources à parler à un hôte infecté par un virus connu?