Quelles listes noires DNS anti-spam utiliser?

21

Je veux protéger mon serveur de messagerie avec des listes noires DNS pour lutter contre le spam.

il y a tellement de listes noires là-bas.

actuellement j'utilise:

ix.dnsbl.manitu.net
cbl.abuseat.org
bl.spamcop.net
safe.dnsbl.sorbs.net
dnsbl.njabl.org

dois-je ajouter / supprimer des entrées? quelles sont les meilleures listes noires? quelles listes noires ne devraient pas être utilisées (comme spamhaus)?

Bernd Ott
la source
3
safe.dnsbl.sorbs.net doit être définitivement supprimé jusqu'à ce que / à moins que GFI ne devienne responsable du nettoyage des sorbs. Actuellement, ils n'excluent pas les adresses sur demande en temps opportun, laissant de nombreuses entreprises innocentes sur la liste en raison d'un blocage trop large des plages d'adresses.
pplrppl

Réponses:

41

Voici ma liste et pourquoi je les utilise:

zen.spamhaus.org - RBL complet, capture une tonne de sources de spam, mis à jour régulièrement. Ils ont une longue histoire et une bonne réputation dans la communauté du filtrage du spam. J'ai entendu des choses négatives à leur sujet de temps en temps, mais celles-ci sont généralement sans véritable mérite. L'inconvénient est que si votre volume de trafic est suffisamment élevé, il bloquera l'accès à la liste gratuite et vous devrez configurer un compte payant. Les serveurs de messagerie personnels ou des petites entreprises ne rencontrent généralement pas ce problème.

b.barracudacentral.org - Une autre très bonne liste d'un autre acteur majeur de l'industrie. J'ai entendu beaucoup de choses négatives sur les appareils Barracuda eux-mêmes, mais leur RBL est de premier ordre. L'inconvénient est que vous devez vous inscrire auprès d'eux pour l'utiliser. Nous n'avons jamais signalé de faux positifs causés par cette liste, et cela bloque beaucoup de trafic pour nous. Voir http://www.barracudacentral.org/rbl pour plus de détails.

Nous avons constaté qu'en utilisant ces deux listes seules, nous constatons une réduction significative de la consommation de spam sur le serveur. Les autres listes que nous avons essayées n'étaient même pas aussi productives que l'une de ces listes et ne faisaient que gaspiller du temps et des ressources réseau lors du traitement des messages entrants.

En voici quelques-unes que je n'utilise pas et pourquoi (votre expérience peut varier):

bl.spamcop.net - Trop de faux positifs à notre goût. Ils s'appuient presque entièrement sur les soumissions des utilisateurs pour alimenter la liste, et les personnes qui soumettent sont généralement des déclencheurs satisfaits et soumettent même des messages légitimes comme spam à leur service, ce qui provoque le blocage des fournisseurs populaires alors qu'ils ne devraient probablement pas l'être. J'ai entendu dire que cela s'était amélioré récemment, mais nous nous sommes brûlés trop de fois pour revenir en arrière et réessayer tout de suite.

dnsbl.sorbs.net - Ils exécutent une liste complète, mais il y a trop d'options à mon goût. Ils ont beaucoup de couverture et bloquent beaucoup de trafic, mais trouver le bon mélange de listes qu'ils fournissent nécessite beaucoup d'essais et d'erreurs. Le processus de suppression de leur liste de spam nécessite un don minimum vérifiable à l'un de leurs organismes de bienfaisance approuvés. Si l'un de mes clients se retrouve sur leur liste (quelle qu'en soit la cause) et que nous bloquons leur trafic, je ne veux pas avoir à leur dire qu'ils doivent faire un don à un organisme de bienfaisance pour apaiser une liste noire que nous utilisons. Ils sont, bien sûr, libres d'exécuter leur liste comme bon leur semble, mais ce n'est pas le genre de nouvelles que je souhaite transmettre à mes clients s'ils se retrouvent sur la liste SORBS et ne sont pas en mesure de m'envoyer des e-mails.

Justin Scott
la source
Cela fait maintenant plus de 5 ans. A-t-il besoin d'une mise à jour?
Mike
8

'zen.spamhaus.org' est plutôt bon. Je le recommande.

Knox
la source
connaissez-vous cette histoire de spamhaus: tentative d'extorsion (en allemand - désolé) heise.de/netze/Kommentar-Spam-Ritter-auf-der-schiefen-Bahn--/… klausnahr.wordpress.com/2007/06/20 /…
Bernd Ott
Je ne connais pas l'histoire, mais il n'y a pas beaucoup de viande dans cette histoire.
Knox
Traduction via Google: translate.google.com/…
CoverosGene
2
Ne vous méprenez pas, mais il semble simplement que 99,9% des plaintes concernant les listes d'interdiction DNS proviennent, comment dois-je le dire politiquement correct, inexpérimenté (vraiment, il demande un mot plus fort ici) des administrateurs système, qui ne peuvent pas configurer correctement leurs serveurs de messagerie mal configurés. Si le serveur de messagerie / DNS est en ordre, vous ne vous retrouverez pas dans une liste d'interdiction DNS telle que spamhaus, c'est un fait.
shylent
5

Vous ne devriez pas utiliser directement DNSBL. Ils provoquent trop de faux positifs. Le but n'est pas nécessairement de bloquer le spam, mais de laisser passer tout le bon courrier. Si vous utilisez une liste noire comme autorité sur ce qui est du spam, vos patrons seront contrariés et personne ne le veut.

Utilisez plutôt une approche composite. Des outils comme Spam Assassin ou les divers dispositifs anti-spam utilisent plusieurs sources et techniques. Aucun test ne détermine si un e-mail est du spam.

Gary Richardson
la source
4

Le but de l'utilisation d'une liste noire DNS ne doit pas être d'arrêter tous les spams - il doit être de bloquer un bon pourcentage du spam, disons 1/2 à 2/3. Vous faites cela principalement pour réduire la charge sur vos serveurs.

La prochaine étape, l'étape de suppression du spam vraiment efficace, est un moteur de filtrage bayésien. Voir l'article original de Paul Grahams . Le filtrage bayésien a pour principal avantage de fournir un score individuel pour chaque e-mail, basé sur l'historique, les intérêts et la langue des e-mails des destinataires.

Si vous suivez l'approche ci-dessus, il devient important d'éviter les faux positifs dans la première ligne de défense. Vous ne vous souciez pas vraiment de maximiser l'efficacité du premier filtre, car vous attraperez probablement le spam restant avec le deuxième filtre. Mais vous ne voulez pas de faux positifs, car ils ne peuvent pas être annulés plus tard.

Pour cette raison, j'aime le trapliste de l'Université de l'Alberta comme premier filtre . Il ne contient que des entrées qui ont une très grande probabilité d'être des spammeurs et les entrées sont supprimées si elles n'ont pas été vues comme du spam au cours des dernières 24 heures.

La liste peut être téléchargée ici . Il est créé par la première liste grise (retardant les premiers expéditeurs de courrier), puis par le Greytrapping (si un serveur de messagerie est déjà sur la liste grise et qu'il tente de le livrer à une adresse e-mail non publiée, puis le griser).

Après 24 heures, un hôte est automatiquement supprimé de la liste et est libre d'envoyer à nouveau des e-mails. Ainsi, si le spamming a pris fin (par exemple, un cheval de Troie a été trouvé et supprimé), l'hôte est libre d'envoyer à nouveau des e-mails. Et s'il continue de spammer, il se retrouvera très probablement dans le greytrap sous peu.

Comme je l'ai dit, j'aime beaucoup le trapliste de l'Université de l'Alberta, mais pour être complet, je devrais également mentionner Spamhaus DROP . Il a une approche plus minimaliste que la plupart des autres RBL et ferait également un bon premier filtre dans la configuration ci-dessus.

Jesper M
la source
3

Peut-être la réponse impopulaire, mais je ne recommande aucune liste noire. En tant que technique, le taux de faux positifs est beaucoup trop élevé et vous faites confiance à des systèmes qui sont des boîtes noires. Cet article explique un certain nombre d'inconvénients. http://www.paulgraham.com/falsepositives.html

kashani
la source
les commentaires des critiques sont également les bienvenus.
Bernd Ott
3

Quel que soit celui que vous utilisez, vous ne devez pas lui faire confiance.

Faire confiance à un tiers pour vous donner plus qu'une petite quantité (peut-être 10%) de vos scores de spam demande des ennuis. En pratique, ces listes noires contiennent BEAUCOUP de faux positifs. Il est très facile d'accéder à une liste noire et très difficile d'en sortir une; la plupart des gens qui s'entendent accidentellement ne sont jamais retirés (ou restent longtemps).

Vous ne devez DEFINITIVEMENT PAS refuser les livraisons d'expéditeurs figurant sur une liste noire de tiers; vous ne devriez probablement même pas faire confiance à votre propre système de réputation en interne pour cela. Les adresses IP des spammeurs sont parfois reprises par des non-spammeurs, et vos utilisateurs seront ennuyés s'ils ne peuvent pas recevoir de courrier propre de leur part.

Une liste noire tierce pourrait être utilisée pour donner une petite quantité de score de spam. Il pourrait également être utilisé pour prioriser le courrier provenant de sources "plus propres" - mais il ne devrait certainement pas être utilisé comme un moyen faisant entièrement autorité pour déterminer qu'un message particulier est du spam.

MarkR
la source
2

Combien de temps et d'efforts voulez-vous perdre sur les spammeurs? J'avais l'habitude de faire mon propre combat contre le spam, mais à la fin je l'ai externalisé vers un service hébergé, et une fois que j'ai fait, j'aurais aimé l'avoir fait des années plus tôt. Mon serveur de messagerie n'a même pas à gérer les connexions de spammeurs, et j'ai libéré mon temps pour une administration système et des tâches commerciales plus utiles.

MessageLabs, MessageOne, Postini, F-Prot AVES et bien d'autres offrent de tels services. Comme avec tout service hébergé YMMV, mais une fois que vous prenez en compte votre temps et le temps passé par les autres membres du personnel à supprimer le spam (et à vous poser des questions sur le spam), ces services ont un sens économique.

TigerInCanada
la source
1

Spamhaus et spamcop sont les deux seuls que je recommanderais. oui, il y a toujours la possibilité d'obtenir un faux positif avec un RBL. Mais le Spamhaus et le Spamcop sont des RBL assez réputés, donc vos chances sont assez faibles.

Je recommanderais personnellement d'utiliser un appareil ou une sorte de service hébergé. Postini est sympa, mais peut être assez cher. MailFoundry est la solution que je recommanderais à la plupart des gens. En plus d'avoir des appareils à faible coût, ils ont également un service hébergé. Selon la taille de votre domaine, je pense qu'il est gratuit pour les 5 ou 10 premiers comptes.

usrlocal
la source
1

opm.blitzed.org

Le projet OPM s'est terminé en mai 2006. Veuillez arrêter d'interroger la zone opm.blitzed.org. En mai 2007, afin de réduire la charge des requêtes sur nos serveurs, opm.blitzed.org pointe vers un serveur de noms à trous noirs - les requêtes prendront beaucoup de temps et aboutiront à un SERVFAIL.

Pourrait vouloir éviter celui-ci.

J'utilise la plupart des listes noires que vous avez utilisées et j'en suis assez satisfait. Vous voudrez peut-être également penser aux listes noires des pays IP de disons ipdeny.com - bloquer la Chine et la Corée a considérablement réduit le spam, et le Brésil est susceptible d'y aller ensuite.

Cela dépend bien sûr de votre entreprise - si vous ne pouvez absolument pas manquer l'e-mail d'un client, envisagez d'utiliser la liste noire DNS et les adresses IP des pays non pas comme des listes noires mais comme une grosse bosse pour marquer dans SpamAssassin ou un programme de filtrage de spam similaire.

Aaron K.
la source
1

Gary, vous ne pourriez pas vous tromper davantage si vous essayiez. J'utilise environ 5 RBL "majeurs" depuis 7 ans avec environ 5 faux positifs pendant toutes ces années. Donc 100 employés et 7 ans avec seulement 5 faux positifs qui, je pense, provenaient tous de comptes AOl!


la source
Cela devrait être un commentaire attaché à la réponse de Gary, pas une réponse distincte.
Barry Brown
@barry: vous avez besoin d'au moins 50 représentants pour laisser des commentaires. shawn n'a que 1.
cas
0

Tout d'abord, il n'y a pas de liste noire comme «spamhouse», il y en a une sur «spamhaus.org», c'est vrai. Je suis curieux de savoir pourquoi ne devrait-on pas utiliser un spamhaus, j'ai vu zen.spamhaus.org (c'est celui qui combine toutes les listes de bannissement de spamhaus en un) utilisé à très bon escient.

N'importe quel dnsbl va vous procurer de faux positifs, cela ne peut être évité. Ou plutôt cela peut, - pensez simplement à ne pas laisser tomber le courrier qui échoue à la vérification, mais à le faire passer par un système tel que spamassassin.

shylent
la source
0

Nous utilisons le serveur MDaemon d'Alt-N pour notre petit bureau, et il est préchargé avec:

opm.blitzed.org

dnsbl.ahbl.org

bl.spamcop.net

zen.spamhaus.org

Les caractères gras ne figurent pas dans votre liste. Je ne peux pas parler pour eux individuellement, mais au total, ils nous ont été plutôt utiles. Je pense qu'il y en avait un autre, mais cela bloquait trop de clients réels, nous avons donc dû le supprimer. Je souhaite me souvenir de la liste, Désolé ..

John Christman
la source
1
opm.blitzed.org est mort, veuillez ne pas utiliser celui-là wiki.blitzed.org/OPM_status Voir la réponse d'Aaron.
mxmissile