Combattre le spam - Que puis-je faire en tant qu'administrateur de messagerie électronique, propriétaire de domaine ou utilisateur?

107

C’est une question canonique sur la lutte contre le spam.
Aussi lié:

Il y a tellement de techniques à maîtriser pour combattre le SPAM. Quelles techniques et technologies largement utilisées sont disponibles pour l'administrateur, les propriétaires de domaines et les utilisateurs finaux afin de garder les pourriels hors de nos boîtes de réception?

Nous recherchons une réponse couvrant différentes technologies sous différents angles. La réponse acceptée devrait inclure diverses technologies (par exemple, SPF / SenderID, DomainKeys / DKIM, Graylisting, RBL DNS, services de réputation, logiciel de filtrage [SpamAssassin, etc.]); les meilleures pratiques (par exemple, le courrier sur le port 25 ne devrait jamais être autorisé à être relayé, le port 587 doit être utilisé; etc.), la terminologie (par exemple, relais ouvert, rétrodiffusion, MSA / MTA / MUA, spam / jambon) et éventuellement d'autres techniques.

Chris S
la source
13
Que ce soit canonique ou non, ce n’est pas l’endroit idéal pour poser des questions au niveau utilisateur.
John Gardeniers

Réponses:

97

Pour vaincre votre ennemi, vous devez connaître votre ennemi.

Qu'est-ce que le spam?

Pour nos besoins, le spam est tout message électronique en vrac non sollicité. De nos jours, le spam a pour but d'inciter les utilisateurs non avertis à visiter un site Web (généralement à l'ombre) sur lequel ils seront invités à acheter des produits, à envoyer des programmes malveillants sur leur ordinateur, ou les deux. Certains spams transmettent directement des logiciels malveillants.

Vous serez peut-être surpris d'apprendre que le premier spam a été envoyé en 1864. Il s'agissait d'une publicité pour des services dentaires, envoyée via un télégramme Western Union. Le mot lui-même fait référence à une scène du cirque volant de Monty Python .

Dans ce cas, le spam ne fait pas référence au trafic de la liste de diffusion auquel un utilisateur s'est abonné, même s'il a changé d'avis plus tard (ou l'a oublié) mais ne l'a pas encore désabonné.

Pourquoi le spam est-il un problème?

Le spam est un problème car il fonctionne pour les spammeurs . Les spams génèrent généralement plus de ventes que nécessaire (ou la diffusion de logiciels malveillants, ou les deux) pour couvrir les coûts - pour le polluposteur - de leur envoi. Le polluposteur ne prend pas en compte les coûts pour le destinataire, vous et vos utilisateurs. Même si une infime minorité d'utilisateurs recevant du spam y répondent, c'est suffisant.

Vous devez donc payer les factures de bande passante, de serveurs et de temps d’administrateur pour traiter le spam entrant.

Nous bloquons le spam pour ces raisons: nous ne voulons pas le voir, pour réduire nos coûts de traitement du courrier électronique et pour rendre le spam plus coûteux pour les spammeurs.

Comment fonctionne le spam?

Le spam est généralement envoyé de différentes manières par rapport au courrier électronique normal et légitime.

Les spammeurs veulent presque toujours masquer l'origine du courrier électronique. Un spam classique contient donc de fausses informations d'en-tête. L' From:adresse est généralement fausse. Certains spams incluent de fausses Received:lignes dans le but de dissimuler la piste. Une grande partie du courrier indésirable provient de relais SMTP ouverts, de serveurs proxy ouverts et de réseaux de zombies. Toutes ces méthodes rendent plus difficile la détermination du créateur du spam.

Une fois dans la boîte de réception de l'utilisateur, le spam a pour but d'inciter l'utilisateur à consulter le site Web annoncé. Là, l'utilisateur sera incité à effectuer un achat ou le site tentera d'installer un logiciel malveillant sur son ordinateur, ou les deux. Sinon, le spam demandera à l'utilisateur d'ouvrir une pièce jointe contenant des logiciels malveillants.

Comment puis-je arrêter le spam?

En tant qu'administrateur système d'un serveur de messagerie, vous allez configurer votre serveur de messagerie et votre domaine afin qu'il soit plus difficile pour les spammeurs de transmettre leur courrier indésirable à vos utilisateurs.

Je traiterai de questions spécifiquement axées sur le spam et pourrai ignorer des éléments non directement liés au spam (tels que le cryptage).

Ne pas courir un relais ouvert

Le gros serveur de messagerie doit exécuter un relais ouvert , un serveur SMTP qui acceptera le courrier pour n’importe quelle destination et le remettra. Les spammeurs adorent les relais ouverts car ils garantissent pratiquement la livraison. Ils se chargent de remettre des messages (et de réessayer!) Pendant que le polluposteur fait autre chose. Ils rendent le spam pas cher .

Les relais ouverts contribuent également au problème de la rétrodiffusion. Ce sont des messages qui ont été acceptés par le relais mais qui ont ensuite été jugés non distribuables. Le relais ouvert enverra alors un message de rebond à l' From:adresse qui contient une copie du spam.

  • Configurez votre serveur de messagerie pour accepter le courrier entrant sur le port 25 uniquement pour vos propres domaines. Pour la plupart des serveurs de messagerie, il s’agit du comportement par défaut, mais vous devez au moins indiquer au serveur de messagerie quels sont vos domaines.
  • Testez votre système en envoyant à votre serveur SMTP un courrier provenant de l'extérieur de votre réseau, où les adresses From:et To:ne figurent pas dans votre domaine. Le message devrait être rejeté. (Ou utilisez un service en ligne tel que MX Toolbox pour effectuer le test, mais sachez que certains services en ligne soumettront votre adresse IP à des listes noires si votre serveur de messagerie échoue au test.)

Rejeter tout ce qui semble trop suspect

Diverses erreurs de configuration et erreurs peuvent indiquer qu'un message entrant risque d'être du spam ou d'être illégitime.

  • Marquer comme spam ou rejeter les messages pour lesquels l'adresse IP n'a pas de DNS inversé (enregistrement PTR). Traitez le manque d'enregistrement PTR plus sévèrement pour les connexions IPv4 que pour les connexions IPv6, car de nombreuses adresses IPv6 n'ont pas encore de DNS inversé et pourraient ne pas l'être avant plusieurs années, jusqu'à ce que le logiciel de serveur DNS soit mieux à même de gérer ces zones potentiellement très grandes.
  • Rejeter les messages pour lesquels le nom de domaine dans les adresses d'expéditeur ou de destinataire n'existe pas.
  • Rejetez les messages qui n'utilisent pas de noms de domaine pleinement qualifiés pour les domaines de l'expéditeur ou du destinataire, à moins qu'ils ne soient originaires de votre domaine et destinés à être remis dans votre domaine (par exemple, des services de surveillance).
  • Rejeter les connexions lorsque l'autre extrémité n'envoie pas de HELO/ EHLO.
  • Rejeter les connexions où le HELO/ EHLOest:
    • pas un nom de domaine complet ni une adresse IP
    • manifestement faux (par exemple, votre propre espace d'adresses IP)
  • Rejetez les connexions qui utilisent le traitement en pipeline sans y être autorisées.

Authentifiez vos utilisateurs

Le courrier arrivant sur vos serveurs doit être considéré en termes de courrier entrant et sortant. Le courrier entrant est tout courrier arrivant sur votre serveur SMTP qui est finalement destiné à votre domaine. courrier sortant est tout courrier arrivant sur votre serveur SMTP qui sera transféré ailleurs avant d'être remis (par exemple, il va dans un autre domaine). Le courrier entrant peut être traité par vos filtres antispam et peut provenir de n’importe où, mais doit toujours être destiné à vos utilisateurs. Ce courrier ne peut pas être authentifié, car il n'est pas possible de donner des informations d'identification à tous les sites susceptibles de vous envoyer du courrier.

Le courrier sortant, c'est-à-dire le courrier qui sera relayé, doit être authentifié. C’est le cas, qu’il provienne d’Internet ou de votre réseau (vous devez toutefois limiter les plages d’adresses IP autorisées à utiliser votre serveur de courrier si cela est possible sur le plan opérationnel); c'est parce que les spambots peuvent être en cours d'exécution dans votre réseau. Donc, configurez votre serveur SMTP de sorte que le courrier lié à d’autres réseaux soit supprimé (l’accès au relais sera refusé) à moins que ce courrier ne soit authentifié. Mieux encore, utilisez des serveurs de messagerie distincts pour le courrier entrant et sortant, n'autorisez aucun relais pour les messages entrants et n'autorisez aucun accès non authentifié à ceux sortants.

Si votre logiciel le permet, vous devez également filtrer les messages en fonction de l'utilisateur authentifié. si l'adresse de l'expéditeur du courrier ne correspond pas à l'utilisateur qui s'est authentifié, il doit être rejeté. Ne mettez pas à jour silencieusement l'adresse de départ; l'utilisateur doit être conscient de l'erreur de configuration.

Vous devez également enregistrer le nom d'utilisateur utilisé pour envoyer le courrier ou lui ajouter un en-tête d'identification. De cette façon, si des abus se produisent, vous avez des preuves et vous savez quel compte a été utilisé pour le faire. Cela vous permet d'isoler les comptes compromis et les utilisateurs problématiques, ce qui est particulièrement utile pour les fournisseurs d'hébergement partagé.

Filtrer le trafic

Vous voulez être certain que le courrier quittant votre réseau est bien envoyé par vos utilisateurs (authentifiés), et non par des robots ou des personnes extérieures. Les détails de cette opération dépendent du type de système que vous administrez.

En règle générale, bloquer le trafic de sortie sur les ports 25, 465 et 587 (SMTP, SMTP / SSL et Soumission) pour tout, à l'exception de vos serveurs de messagerie sortants, est une bonne idée si vous êtes un réseau d'entreprise. Cela empêche les robots malveillants de votre réseau d'envoyer des spams depuis votre réseau, que ce soit pour ouvrir des relais sur Internet ou directement au MTA final pour obtenir une adresse.

Les hotspots constituent un cas particulier, car leur courrier légitime provient de nombreux domaines, mais (à cause de SPF, entre autres), un serveur de courrier "forcé" est inapproprié et les utilisateurs doivent utiliser le serveur SMTP de leur propre domaine pour envoyer du courrier. Ce cas est beaucoup plus difficile, mais l'utilisation d'une adresse IP publique ou publique spécifique pour le trafic Internet de ces hôtes (afin de protéger la réputation de votre site), la limitation du trafic SMTP et l'inspection approfondie des paquets sont des solutions à envisager.

Historiquement, les spambots ont émis des spams principalement sur le port 25, mais rien ne les empêche d’utiliser le port 587 dans le même but. Par conséquent, la modification du port utilisé pour le courrier entrant a une valeur douteuse. Cependant, l'utilisation du port 587 pour l'envoi de courrier est recommandée par la RFC 2476 et permet de séparer l'envoi de courrier (vers le premier agent de transfert de messages) et le transfert de courrier (entre agents de transfert de messages), ce qui n'est pas évident dans la topologie du réseau; Si vous avez besoin d'une telle séparation, vous devriez le faire.

Si vous êtes un fournisseur de services Internet, un hôte VPS, un fournisseur de colocation ou similaire, ou si vous fournissez un hotspot à l'usage des visiteurs, le blocage du trafic SMTP de sortie peut poser problème aux utilisateurs qui envoient des messages en utilisant leur propre domaine. Dans tous les cas, sauf un point d'accès public, vous devez obliger les utilisateurs ayant besoin d'un accès SMTP sortant, car ils exécutent un serveur de messagerie, à le demander spécifiquement. Dites-leur que les plaintes pour abus entraîneront la résiliation de cet accès afin de protéger votre réputation.

Les adresses IP dynamiques, et celles utilisées pour l'infrastructure de bureau virtuel, ne doivent jamais disposer d'un accès SMTP sortant, à l'exception du serveur de messagerie spécifique que ces noeuds sont censés utiliser. Ces types d'adresses IP doivent également apparaître sur les listes noires et vous ne devez pas essayer de vous faire une réputation. En effet, il est extrêmement peu probable qu'ils exécutent un MTA légitime.

Pensez à utiliser SpamAssassin

SpamAssassin est un filtre de messagerie qui peut être utilisé pour identifier le spam en fonction des en-têtes et du contenu du message. Il utilise un système de scoring basé sur des règles pour déterminer la probabilité qu'un message soit du spam. Plus le score est élevé, plus le message est susceptible d'être du spam.

SpamAssassin dispose également d’un moteur bayésien capable d’analyser les échantillons de spam et de courrier indésirable (courrier électronique légitime) renvoyés.

Il est recommandé à SpamAssassin de ne pas rejeter le courrier, mais de le placer dans un dossier de courrier indésirable ou spam. Des MUA (agents d'utilisateurs de messagerie) tels qu'Outlook et Thunderbird peuvent être configurés pour reconnaître les en-têtes ajoutés par SpamAssassin aux courriers électroniques et pour les archiver de manière appropriée. Des faux positifs peuvent arriver et se produisent, et même s'ils sont rares, quand cela arrivera au PDG, vous en entendrez parler. Cette conversation ira beaucoup mieux si le message a simplement été remis dans le dossier Courrier indésirable plutôt que rejeté.

SpamAssassin est presque unique en son genre, même si quelques alternatives existent .

Envisagez d'utiliser des listes de trous noirs et des services de réputation basés sur DNS

Les DNSBL (anciennement appelés RBL ou listes noires en temps réel) fournissent des listes d'adresses IP associées à du spam ou à une autre activité malveillante. Celles-ci sont gérées par des tiers indépendants en fonction de leurs propres critères. Par conséquent, recherchez avec soin si les critères de liste et de radiation utilisés par un DNSBL sont compatibles avec le besoin de votre organisation de recevoir des courriers électroniques. Par exemple, quelques DNSBL ont des politiques draconiennes de suppression de la liste, ce qui rend très difficile le retrait d'une personne listée par accident. D'autres personnes se retirent automatiquement lorsque l'adresse IP n'a pas envoyé de courrier indésirable pendant une période donnée, ce qui est plus sûr. La plupart des DNSBL sont libres d'utilisation.

Les services de réputation sont similaires, mais prétendent fournir de meilleurs résultats en analysant plus de données pertinentes pour une adresse IP donnée. La plupart des services de réputation nécessitent un paiement par abonnement ou un achat de matériel, ou les deux.

Il existe des dizaines de services de réputation et de DNSBL disponibles, bien que certains des plus connus et des plus utiles que j'utilise et que je recommande soient:

Listes conservatrices:

Listes agressives:

Comme mentionné précédemment, plusieurs dizaines d’autres sont disponibles et peuvent répondre à vos besoins. Une de mes astuces préférées est de rechercher l'adresse IP qui a généré un spam qui a traversé plusieurs DNSBL afin de voir lequel d'entre eux l'aurait rejeté.

  • Pour chaque service DNSBL et de réputation, examinez ses stratégies en matière de liste et de suppression d'adresses IP et déterminez si celles-ci sont compatibles avec les besoins de votre organisation.
  • Ajoutez le DNSBL à votre serveur SMTP lorsque vous avez décidé qu'il est approprié d'utiliser ce service.
  • Pensez à attribuer un score à chaque DNSBL et à le configurer dans SpamAssassin plutôt que sur votre serveur SMTP. Cela réduit l'impact d'un faux positif. un tel message serait transmis (éventuellement à Junk / Spam) au lieu d'être renvoyé. Le compromis est que vous allez livrer beaucoup de spam.
  • Vous pouvez également rejeter directement lorsque l'adresse IP figure sur l'une des listes les plus conservatrices et configurer les listes les plus agressives dans SpamAssassin.

Utilisez SPF

SPF (Sender Policy Framework; RFC 4408 et RFC 6652 ) permet d'empêcher l'usurpation d'adresse électronique en indiquant quels hôtes Internet sont autorisés à distribuer du courrier pour un nom de domaine donné.

  • Configurez votre DNS pour déclarer un enregistrement SPF avec vos serveurs de courrier sortant autorisés et -allpour rejeter tous les autres.
  • Configurez votre serveur de messagerie pour vérifier les enregistrements SPF du courrier entrant, s’ils existent, et rejetez les messages qui échouent à la validation SPF. Ignorez cette vérification si le domaine n'a pas d'enregistrements SPF.

Enquêter sur DKIM

DKIM (DomainKeys Identified Mail; RFC 6376 ) est une méthode d’incorporation de signatures numériques dans des messages électroniques qui peut être vérifiée à l’aide de clés publiques publiées dans le DNS. Aux États-Unis, il est grevé par des brevets , ce qui a ralenti son adoption. Les signatures DKIM peuvent également se briser si un message est modifié en transit (par exemple, les serveurs SMTP peuvent parfois remballer les messages MIME).

  • Pensez à signer votre courrier sortant avec des signatures DKIM, mais sachez que les signatures peuvent ne pas toujours se vérifier correctement, même sur un courrier légitime.

Pensez à utiliser des listes grises

La liste grise est une technique dans laquelle le serveur SMTP émet un rejet temporaire pour un message entrant, plutôt qu'un rejet permanent. Lorsque la livraison est réessayée dans quelques minutes ou quelques heures, le serveur SMTP acceptera alors le message.

Les listes grises peuvent arrêter certains logiciels de spam qui ne sont pas assez robustes pour faire la différence entre les rejets temporaires et permanents, mais n'aident pas le spam envoyé à un relais ouvert ou à un logiciel de spam plus robuste. Il introduit également des retards de livraison que les utilisateurs ne peuvent pas toujours tolérer.

  • Envisagez d'utiliser la mise en liste verte uniquement dans des cas extrêmes, car cela perturberait considérablement le trafic de messagerie légitime.

Pensez à utiliser nolisting

Nolisting est une méthode de configuration de vos enregistrements MX de sorte que l'enregistrement le plus prioritaire (numéro de préférence le plus bas) ne comporte pas de serveur SMTP en cours d'exécution. Cela repose sur le fait qu'un grand nombre de logiciels de courrier indésirable n'essayent que le premier enregistrement MX, tandis que les serveurs SMTP légitimes testent tous les enregistrements MX par ordre de préférence croissant. Certains logiciels de courrier indésirable tentent également d’envoyer directement à l’enregistrement MX le plus prioritaire (numéro de préférence le plus élevé), en violation de la RFC 5321 , de sorte qu’il puisse également être défini sur une adresse IP sans serveur SMTP. Cela est considéré comme sûr, mais comme pour toute chose, vous devez tester soigneusement d'abord.

  • Envisagez de définir votre enregistrement MX de priorité la plus élevée pour qu'il pointe vers un hôte qui ne répond pas sur le port 25.
  • Envisagez de définir votre enregistrement MX de priorité la plus basse pour qu'il pointe vers un hôte qui ne répond pas sur le port 25.

Envisager un appareil de filtrage anti-spam

Placez un dispositif de filtrage de courrier indésirable, tel que Cisco IronPort ou Barracuda Spam & Virus Firewall (ou tout autre dispositif similaire) devant votre serveur SMTP existant, afin de réduire considérablement le travail de réduction du courrier indésirable reçu. Ces appliances sont préconfigurées avec les DNSBL, les services de réputation, les filtres Bayesiens et les autres fonctionnalités que j'ai décrites, et sont régulièrement mises à jour par leurs fabricants.

  • Recherchez le matériel et les coûts d'abonnement du dispositif de filtrage anti-spam.

Considérer les services de messagerie hébergés

Si c'est trop pour vous (ou votre personnel informatique surchargé de travail), vous pouvez toujours faire appel à un fournisseur de services tiers pour gérer votre courrier électronique. Des services tels que Postini de Google , Symantec MessageLabs Email Security (ou d’autres) filtreront les messages pour vous. Certains de ces services peuvent également gérer des exigences réglementaires et légales.

  • Recherche des coûts d'abonnement au service de messagerie hébergé

Quelles instructions les administrateurs système doivent-ils donner aux utilisateurs finaux en matière de lutte contre le spam?

La première chose à faire par les utilisateurs finaux pour lutter contre le spam est la suivante:

  • NE PAS RÉPONDRE AU SPAM.

    Si cela semble drôle, ne cliquez pas sur le lien du site Web et n'ouvrez pas la pièce jointe. Peu importe à quel point l'offre semble attrayante. Ce viagra n’est pas si bon marché que ça, vous n’allez vraiment pas avoir de photos nues de qui que ce soit, et il n’ya pas 15 millions de dollars au Nigeria ou ailleurs, sauf pour l’argent pris par des gens qui ont répondu au spam.

  • Si vous voyez un message spam, marquez-le comme indésirable ou spam en fonction de votre client de messagerie.

  • NE MARQUEZ PAS un message comme indésirable / spam si vous vous êtes inscrit pour recevoir les messages et que vous souhaitez simplement ne plus les recevoir. Désabonnez-vous de la liste de diffusion en utilisant la méthode de désinscription fournie.

  • Vérifiez votre dossier de courrier indésirable / spam régulièrement pour voir si des messages légitimes sont passés. Marquez-les comme non indésirables et non spams et ajoutez l'expéditeur à vos contacts pour éviter que leurs messages ne soient marqués comme spam à l'avenir.

Michael Hampton
la source
5
@ MichaelHampton: UCEPROTECT est une organisation louche.
InternetSeriousBusiness
10
@ Stephane Si vous ne pouvez pas configurer / modifier l'enregistrement PTR, vous ne contrôlez pas l'adresse IP. Il n'y a rien de mal à rejeter le courrier en fonction de cela.
Michael Hampton
1
@ewwhite C'est assez draconien et 3 semaines, c'est assez ridicule. Mais rejeter le courrier lorsqu'il n'y a pas d'enregistrement PTR est assez courant, alors je suis sûr qu'ils ont toutes sortes de problèmes.
Michael Hampton
2
Le rejet est courant mais j’affirme que c’est à la fois inutile et inutile. En fait, je vérifie rapidement mes propres statistiques de spam et il s’avère que le nombre de spams provenant d’IP sans inversion est inférieur à 5%, ce qui semble être à peu près le même nombre que ce que je vois dans l’ensemble. Connexions SMTP. D'où ma conclusion: c'est une restriction inutile.
Stéphane
2
Quelles preuves avez-vous pour confirmer votre affirmation selon laquelle il est inefficace? Mes journaux montrent qu'il est extrêmement efficace pour la présélection du courrier électronique. Un certain nombre de personnes que je connais ont des expériences similaires.
Chris S
30

Au fil des ans, j'ai géré plus de 100 environnements de messagerie distincts et utilisé de nombreux processus pour réduire ou éliminer le spam.

La technologie a évolué au fil du temps. Cette réponse décrira certaines des choses que j'ai essayées dans le passé et détaillera la situation actuelle.

Quelques réflexions sur la protection ...

  • Vous souhaitez protéger le port 25 de votre serveur de messagerie entrant contre le relais ouvert , où tout le monde peut envoyer du courrier via votre infrastructure. Ceci est indépendant de la technologie de serveur de messagerie que vous utilisez éventuellement. Les utilisateurs distants doivent utiliser un autre port de soumission et une forme d'authentification requise pour relayer le courrier. Le port 587 ou le port 465 sont les alternatives courantes à 25.
  • Le cryptage est également un atout. Une grande partie du trafic de courrier est envoyé en clair. Nous en sommes au point où la plupart des systèmes de messagerie peuvent prendre en charge une forme de cryptage; certains événements s'y attendent.
  • Ce sont des approches plus proactives pour empêcher votre site de messagerie d'être classé comme source de spam ...

En ce qui concerne les spams entrants ...

  • Les listes grises étaient une approche intéressante pour une courte période. Forcer un rejet / retard temporaire dans l'espoir qu'un polluposteur se déconnecte et évite l'exposition ou le temps et les ressources nécessaires pour remettre en file d'attente les messages. Cela a eu pour effet des retards imprévisibles dans la livraison du courrier, ne fonctionnait pas bien avec le courrier provenant de grandes batteries de serveurs et les spammeurs ont finalement mis au point des solutions de contournement. Le pire impact a été de briser les attentes des utilisateurs en matière de livraison rapide du courrier.
  • Plusieurs relais MX ont encore besoin de protection. Certains spammeurs essaient d’envoyer une sauvegarde ou une MX moins prioritaire dans l’espoir de disposer d’un filtrage moins robuste.
  • Listes noires (trou) en temps réel (RBL / DNSBL) - Ces références référencent des bases de données gérées de manière centralisée pour vérifier si un serveur d'envoi est répertorié. Une forte dépendance à l'égard des RBL s'accompagne de réserves. Certains n'étaient pas aussi réputés que d'autres. Les offres de Spamhaus ont toujours été bonnes pour moi. D'autres, comme SORBS , ont une mauvaise approche pour lister les adresses IP et bloquent souvent les courriels légitimes. Cela a parfois été assimilé à un complot d'extorsion, car le retrait de la cote implique souvent des $$$.
  • SPF ( Sender Policy Framework ) - Fondamentalement, c'est un moyen de s'assurer qu'un hôte donné est autorisé à envoyer du courrier pour un domaine particulier, tel que défini par un enregistrement DNS TXT. Il est recommandé de créer des enregistrements SPF pour votre courrier sortant, mais il est déconseillé de le demander aux serveurs qui vous l’envoient.
  • Clés de domaine - Utilisation peu répandue ... pour le moment.
  • Suppression des rebonds - Empêchez les courriers non valides d'être renvoyés à leur source. Certains spammeurs essaient de voir quelles adresses sont réelles / valides en analysant la rétrodiffusion pour créer une carte des adresses utilisables.
  • Contrôles DNS / PTR inversés - Vérifiez qu'un serveur d'envoi dispose d'un enregistrement PTR inversé valide. Il n'est pas nécessaire que cela corresponde au domaine d'origine, car il est possible de mapper plusieurs domaines en un hôte. Mais il est bon de déterminer la propriété d'un espace IP et de déterminer si le serveur d'origine fait partie d'un bloc IP dynamique (par exemple, le réseau domestique large bande - lecture: spambots compromis).
  • Filtrage du contenu - (non fiable) - Essayer de contrer les permutations de "(Viagra, v \ | agra, viagra, vilgra.)" Prend beaucoup de temps à l'administrateur et ne s'adapte pas à un environnement plus vaste.
  • Filtrage bayésien - Des solutions de spam plus avancées permettent une formation globale ou par utilisateur du courrier. Lisez l'article lié sur les heuristiques, mais le point principal est que le courrier peut être classé manuellement bon (Ham) ou mauvais (spam), et les messages résultants alimentent une base de données bayésienne pouvant être référencée afin de déterminer la catégorisation des messages futurs. Généralement, cela est associé à un score de spam ou à une pondération de spam et peut faire partie d'une poignée de techniques utilisées pour déterminer si un message doit être remis.
  • Contrôle du débit / limitation - Approche simple. Limitez le nombre de messages qu'un serveur peut tenter de transmettre dans un délai donné. Reporter tous les messages dépassant ce seuil. Ceci est généralement configuré du côté du serveur de messagerie.
  • Filtrage hébergé et en nuage. Postini vient à l' esprit, comme c'était un nuage solution avant nuage était un mot à la mode. Détenue maintenant par Google, la force d’une solution hébergée réside dans les économies d’échelle inhérentes au traitement du volume de courrier rencontré. L'analyse des données et une portée géographique simple peuvent aider une solution de filtrage de courrier indésirable hébergée à s'adapter aux tendances. L'exécution est simple, cependant. 1). Pointez votre enregistrement MX vers la solution hébergée, 2). fournir une adresse de livraison du serveur de post-filtrage. 3) Profit .

Mon approche actuelle:

Je suis un ardent défenseur des solutions de spam basées sur les appareils. Je veux rejeter au périmètre du réseau et enregistrer les cycles de processeur au niveau du serveur de messagerie. L'utilisation d'une appliance offre également une certaine indépendance par rapport à la solution du serveur de messagerie (agent de distribution du courrier).

Je recommande les appareils Barracuda Spam Filter pour un certain nombre de raisons. J'ai déployé plusieurs douzaines d'unités et l'interface Web, la mentalité industrielle et la nature des appareils configurés et oubliés en font un produit gagnant. La technologie de base intègre de nombreuses techniques énumérées ci-dessus.

  • Je bloque le port 25 sur l'adresse IP de mon serveur de messagerie et je mets à la place l'enregistrement MX du domaine sur l'adresse publique de l'appliance Barracuda - par exemple, spam.domain.com. Le port 25 sera ouvert pour la livraison du courrier.
  • Le noyau est SpamAssassin - doté d’une interface simple avec un journal de messages (et une base de données bayésienne) qui peut être utilisé pour classer les bons courriers de mauvais pendant une période de formation initiale.
  • Barracuda exploite par défaut plusieurs RBL, y compris celles de Spamhaus.org , et leur propre base de données de réputation BRBL . Remarque - BRBL est utilisable gratuitement en tant que RBL standard pour d’autres systèmes de messagerie .
  • La base de données de réputation Barracuda est compilée à partir de données en temps réel, de pots de miel, d'analyses à grande échelle et de nombreuses techniques exclusives. Il a une liste blanche et une liste de blocage enregistrées. Les expéditeurs de courrier à fort volume et haute visibilité s'enregistrent souvent auprès de Barracuda pour une mise en liste blanche automatique. Les exemples incluent Blackberry, Constant Contact , etc.
  • Les vérifications SPF peuvent être activées (je ne les active pas, cependant).
  • Il existe une interface pour examiner le courrier et le remettre à nouveau à partir du cache courrier de l'appliance, si nécessaire. Cela est utile dans les cas où un utilisateur attendait un message qui n’aurait peut-être pas passé tous les tests antispam.
  • La vérification des utilisateurs LDAP / Active Directory permet d’accélérer la détection des destinataires de courrier non valides. Cela économise de la bande passante et empêche la rétrodiffusion .
  • IP / adresse de l'expéditeur / domaine / pays d'origine peuvent tous être configurés. Si je veux refuser tout courrier provenant de suffixes de domaines italiens, c'est possible. Si je veux empêcher le courrier d'un domaine particulier, il est facile à configurer. Si je veux empêcher le harceleur d' un utilisateur d'envoyer des courriers électroniques à l'utilisateur, c'est faisable (histoire vraie).
  • Barracuda fournit un certain nombre de rapports prédéfinis et un bon affichage visuel du statut de l'appliance et des mesures de spam.
  • J'aime disposer d'une appliance sur site pour conserver ce traitement en interne et éventuellement disposer d'une connexion de journalisation du courrier électronique après filtrage (dans les environnements où la conservation du courrier est nécessaire).
  • Plus L'appliance peut résider dans une infrastructure virtualisée .

Console d'état Barracuda Spam & Virus Firewall 300 entrez la description de l'image ici


Approche plus récente:

J'ai expérimenté le service de sécurité de messagerie basé sur le cloud de Barracuda au cours du mois dernier. Cette solution est similaire aux autres solutions hébergées, mais convient parfaitement aux sites plus petits, où une appliance coûteuse est trop coûteuse. Pour un coût annuel minime, ce service fournit environ 85% de ce que fait l'appliance matérielle. Le service peut également être exécuté en parallèle avec une appliance sur site afin de réduire la bande passante entrante et de fournir une couche de sécurité supplémentaire. C'est aussi un bon tampon qui peut spooler le courrier en cas de panne du serveur. Les analyses sont toujours utiles, bien qu’elles ne soient pas aussi détaillées que celles d’une unité physique.

Console Barracuda Cloud Email Security entrez la description de l'image ici

Dans l’ensemble, j’ai essayé de nombreuses solutions, mais compte tenu de l’ampleur de certains environnements et des exigences croissantes de la base d’utilisateurs, je souhaite la ou les solutions les plus élégantes disponibles. Il est certes possible d’adopter l’approche à plusieurs volets et de «rouler vous-même», mais j’ai bien réussi avec une sécurité de base et une surveillance efficace du dispositif Barracuda. Les utilisateurs sont très satisfaits du résultat.

Remarque: Cisco Ironport est également une excellente solution .

ewwhite
la source
25

En partie, j'approuve ce que d'autres ont dit; en partie, je ne le fais pas.

Spassassin

Cela fonctionne très bien pour moi, mais vous devez passer un peu de temps à former le filtre bayésien avec du spam et du jambon .

Liste grise

ewwhite peut penser que sa journée est passée et passée, mais je ne peux pas accepter. Un de mes clients a demandé quelle était l'efficacité de mes différents filtres. Voici donc les statistiques approximatives de juillet 2012 pour mon serveur de courrier personnel:

  • 46 000 messages de livraison tentée
  • 1750 obtenu par le biais de listes grises
  • 250 par le biais de listes grises + spamassassin formés

Donc, environ 44000 n’a jamais réussi à passer à la liste grise; Si je n'avais pas eu de liste grise et si j'avais accepté toutes ces réponses, ils auraient tous eu besoin d'un filtrage anti-spam, tous utilisant le processeur et la mémoire, ainsi que de la bande passante.

Edit : comme cette réponse semble avoir été utile à certaines personnes, je pensais que je mettrais les statistiques à jour. J'ai donc relancé l'analyse sur les journaux de messagerie de janvier 2015, deux ans et demi plus tard.

  • 115 500 messages de tentatives de remise
  • 13 300 ont obtenu une liste grise (et quelques contrôles de base élémentaires, par exemple un domaine d'expéditeur valide)
  • 8 500 obtenus par le biais de listes grises + spamassassin formés

Les chiffres ne sont pas directement comparables car je ne sais plus comment je suis arrivé aux chiffres de 2012 et je ne peux donc pas être sûr que les méthodologies étaient identiques. Mais je suis convaincu que je n'avais pas besoin de recourir à un filtrage antispam onéreux sur une quantité énorme de contenu à l'époque, et je ne le fais toujours pas, en raison de la mise en liste grise.

SPF

Ce n'est pas vraiment une technique anti-spam, mais cela peut réduire la quantité de rétrodiffusion que vous devez traiter, si vous êtes joe-jobbed. Vous devez l’utiliser à la fois en entrée et en sortie, c’est-à-dire: Vous devez vérifier l’enregistrement SPF de l’expéditeur pour les courriels entrants et accepter / rejeter en conséquence. Vous devez également publier vos propres enregistrements SPF, en répertoriant complètement toutes les machines autorisées à envoyer du courrier en tant que vous et en verrouiller toutes les autres-all . Les enregistrements SPF qui ne finissent pas -allsont complètement inutiles.

Listes Blackhole

Les RBL sont problématiques, car on peut y accéder sans aucune faute de leur part et il peut être difficile de s'en sortir. Néanmoins, ils ont un usage légitime dans la lutte contre le spam, mais je suggérerais fortement qu'aucune RBL ne devrait jamais être utilisée comme un test optimisé pour l'acceptation du courrier . Spamassassin gère les RBL de manière plus efficace - en en utilisant plusieurs, chacun contribuant à un score total, et c’est ce score qui rend la décision accepter / rejeter - bien meilleur.

Dropbox

Je ne parle pas du service commercial, je veux dire que mon serveur de messagerie a une adresse qui coupe toutes mes listes grises et mes filtres anti-spam, mais qui, au lieu d'être transmise à la boîte de réception de quelqu'un, est dirigée vers un dossier inscriptible dans le monde entier /var, à savoir automatiquement élagué tous les soirs de tous les courriels de plus de 14 jours.

J'encourage tous les utilisateurs à en profiter, par exemple en remplissant des formulaires de courrier électronique qui nécessitent une adresse électronique valide, sur lesquels vous allez recevoir un courrier électronique que vous devez conserver, mais que vous ne souhaitez plus jamais entendre, ou lors de l'achat. provenant de fournisseurs en ligne susceptibles de vendre et / ou de spammer leur adresse (en particulier ceux qui ne sont pas soumis aux lois européennes sur la protection de la vie privée). Au lieu de donner sa véritable adresse, un utilisateur peut donner l'adresse de la boîte de dépôt et regarder dans celle-ci uniquement lorsqu'il s'attend à quelque chose d'un correspondant (généralement une machine). Quand il arrive, elle peut le récupérer et le sauvegarder dans sa propre collection de courrier. Aucun utilisateur n'a besoin de regarder dans la liste déroulante à tout autre moment.

Chapelier Fou
la source
J'aime beaucoup l'idée d'une adresse de dépôt.
Blalor
Greylisting est une solution "égoïste"; cela retarde beaucoup de courrier légitime et, à mesure que de plus en plus de serveurs de messagerie le déploient, de plus en plus de spammeurs veilleront à ce que leur courrier indésirable leur soit résistant. En fin de compte, nous perdons. Je recommanderais la liste grise pour les petits déploiements et la déconseillerais fortement pour les déploiements plus importants. Pensez plutôt à taper à la place. Milter-Greylist peut faire l'une ou l'autre.
Adam Katz
1
@AdamKatz, c’est certainement un point de vue. Je ne sais pas comment les spammeurs sont supposés rendre leur spam robuste au greylisting sans abandonner le spam "feu-et-oublier", auquel cas, tâche accomplie - par opposition à la suppression du blocage, qui ne nécessite qu'une légère amélioration du code des zombies. Mais je ne suis pas d'accord avec vous sur l'égoïsme. Lorsque le compromis est expliqué (si vous souhaitez que le courrier électronique en temps réel des correspondants irréguliers augmente, le budget du courrier et des communications est multiplié par vingt), la plupart préfèrent le délai.
MadHatter
@AdamKatz note également que ma "boîte de dépôt", ci-dessus, n'est pas touchée par les listes grises. Ainsi, tout utilisateur ayant désespérément besoin de recevoir en temps voulu des courriers électroniques pré-arrangés dispose d'une solution de contournement automatique: il sait donner l'adresse "immédiate" et surveille la liste déroulante jusqu'à la réception de l'élément en question.
MadHatter
1
@AdamKatz étant donné que ma liste grise insiste sur un écart de 10 minutes entre la première tentative et les tentatives de livraison réussies, la pause de plus de 15 minutes n'est pas une contrainte majeure. En ce qui concerne les attentes des utilisateurs, celles-ci peuvent (et doivent bien sûr) être gérées, comme les autres. Le reste de votre argument est beaucoup plus convaincant - vous pourriez peut-être ajouter votre propre réponse en présentant des chiffres concrets sur l'efficacité de la prévention du risque de fraude dans vos déploiements? Nous pouvons théoriser sur l'efficacité relative attendue pour toujours, mais les données sont beaucoup plus éclairantes - nullius in verba !
MadHatter
14

J'utilise plusieurs techniques qui réduisent le spam à des niveaux acceptables.

Retardez l'acceptation des connexions de serveurs mal configurés. La majorité du spam que je reçois provient de Spambots s'exécutant sur un système infecté par des logiciels malveillants. Presque tous ne passent pas la validation rDNS. Si vous attendez environ 30 secondes avant chaque réponse, la plupart des Spambots abandonnent avant d'avoir remis leur message. L'application de cette option uniquement aux serveurs sur lesquels rDNS échoue évite de pénaliser des serveurs correctement configurés. Certains expéditeurs légaux ou automatisés légitimes configurés de manière incorrecte sont pénalisés, mais livrent dans un délai minimal.

La configuration de SPF pour tous vos domaines protège vos domaines. La plupart des sous-domaines ne doivent pas être utilisés pour envoyer des courriels. La principale exception concerne les domaines MX qui doivent pouvoir envoyer du courrier eux-mêmes. Un certain nombre d'expéditeurs légitimes délèguent des courriers en nombre et automatisés à des serveurs non autorisés par leur stratégie. Le report plutôt que le rejet basé sur SPF leur permet de corriger leur configuration SPF, ou vous pouvez les ajouter à la liste blanche.

Exiger un nom de domaine complet (nom de domaine pleinement qualifié) dans la commande HELO / EHLO. Le spam utilise souvent un nom d’hôte non qualifié, des littéraux d’adresse, des adresses IP ou des TLD non valides (domaine de premier niveau). Malheureusement, certains expéditeurs légitimes utilisent des TLD non valides. Il peut donc être préférable de différer dans ce cas. Cela peut nécessiter une surveillance et une liste blanche pour activer le courrier.

DKIM aide à la non-répudiation, mais n'est par ailleurs pas très utile. Mon expérience est qu'il est peu probable que le spam soit signé. Ham est plus susceptible d'être signé, ce qui lui confère une certaine valeur en matière de score de spam. Un certain nombre d'expéditeurs légitimes ne publient pas leurs clés publiques ou ne configurent pas leur système d'une autre manière.

Les listes grises sont utiles pour les serveurs présentant des signes de mauvaise configuration. Les serveurs correctement configurés finiront par arriver, alors j'ai tendance à les exclure de la liste grise. Ceci est utile pour les free-mailistes greylist car ils ont tendance à être utilisés occasionnellement pour le spam. Le délai donne à certaines des entrées du filtre anti-spam le temps d'attraper le Spammer. Il a également tendance à détourner les Spambots car ils ne réessayent généralement pas.

Les listes noires et blanches peuvent aussi aider.

  • J'ai trouvé Spamhaus comme une liste noire fiable.
  • White White (Liste blanche automatique) dans le filtre Spam permet de lisser le classement des expéditeurs fréquents qui sont occasionnellement des spams ou des spammeurs qui sont parfois des Hamish.
  • La liste blanche de dnsl.org est également utile.

Le logiciel de filtrage de courrier indésirable est assez efficace pour trouver du courrier indésirable, bien que certains le soient. Il peut être délicat d’atteindre le faux négatif à un niveau raisonnable sans trop augmenter le faux positif. Je trouve que Spamassassin capture la majeure partie du spam qui l’atteint. J'ai ajouté quelques règles personnalisées, qui répondent à mes besoins.

Les maîtres de poste doivent configurer les adresses d'abus et de maître requises. Reconnaissez les commentaires que vous recevez à ces adresses et agissez en conséquence. Cela permet à autre de vous aider à vous assurer que votre serveur est correctement configuré et qu'il ne génère pas de spam.

Si vous êtes développeur, utilisez les services de messagerie existants plutôt que de configurer votre propre serveur. D'après mon expérience, la configuration des serveurs pour les expéditeurs de courrier automatisés est susceptible d'être mal configurée. Passez en revue les RFC et envoyez un courrier électronique correctement formaté à partir d'une adresse légitime dans votre domaine.

Les utilisateurs finaux peuvent faire plusieurs choses pour réduire le spam:

  • Ne l'ouvre pas. Signalez-le comme spam ou supprimez-le.
  • Assurez-vous que votre système est sécurisé et exempt de logiciels malveillants.
  • Surveillez votre utilisation du réseau, en particulier lorsque vous n'utilisez pas votre système. S'il génère beaucoup de trafic réseau lorsque vous ne l'utilisez pas, il peut s'agir de spam.
  • Éteignez votre ordinateur lorsque vous ne l'utilisez pas. (Il ne pourra pas générer de spam s'il est désactivé.)

Les propriétaires de domaine / FAI peuvent aider en limitant l'accès Internet sur le port 25 (SMTP) aux serveurs de messagerie officiels. Cela limitera la capacité des spambots d'envoyer sur Internet. Cela aide également lorsque les adresses dynamiques renvoient des noms qui ne passent pas la validation rDNS. Encore mieux, vérifiez que l'enregistrement PTR pour les serveurs de messagerie passe avec succès la validation rDNS. (Vérifiez les erreurs typographiques lors de la configuration des enregistrements PTR pour vos clients.)

J'ai commencé à classer les courriels en trois catégories:

  • Ham (presque toujours à partir de serveurs correctement configurés, correctement formatés et généralement d'e-mails personnels.)
  • Spam (principalement de Spambots, mais un certain pourcentage provient de free-mailers ou d'autres expéditeurs avec des serveurs mal configurés.)
  • Bacn; peut être Ham ou Spam (inclut beaucoup de courrier provenant de listes de diffusion et de systèmes automatisés. Ham finit généralement ici en raison d'une mauvaise configuration de DNS et / ou de serveur.)
BillThor
la source
Bacn (notez le manquanto) est un terme normalisé désignant "le courrier que vous voulez, mais pas maintenant." Graymail est une autre catégorie de courrier, qui est un courrier en nombre qui, techniquement, n'est pas du courrier indésirable et qui pourrait être indésirable pour certains de ses destinataires, mais recherché par d'autres.
Adam Katz
6

La solution SINGLE la plus efficace que j'ai vue consiste à utiliser l'un des services de filtrage du courrier externe.

J'ai de l'expérience avec les services suivants chez les clients actuels. Je suis sûr qu'il y en a d'autres. Chacun de ceux-ci a fait un excellent travail dans mon expérience. Le coût est raisonnable pour les trois.

  • Postini de Google
  • MXLogic de McAfee
  • SecureTide d'AppRiver

Les services présentent plusieurs avantages considérables par rapport aux solutions locales.

  1. Ils arrêtent la plupart (> 99%) des spams AVANT que votre connexion Internet et votre serveur de messagerie ne soient touchés. Compte tenu du volume de spam, il s’agit d’un volume important de données qui ne se trouvent pas sur votre bande passante ni sur votre serveur. J'ai implémenté l'un de ces services une dizaine de fois et chacun d'entre eux s'est traduit par une amélioration notable des performances du serveur de messagerie.

  2. Ils font également un filtrage anti-virus, généralement dans les deux sens. Cela atténue le besoin d’avoir une solution "anti-virus de messagerie" sur votre serveur, et maintient également le virus complètement.

Ils font également un excellent travail en bloquant le spam. En 2 ans de travail dans une entreprise utilisant MXLogic, je n’ai jamais eu de faux positif, et je peux compter les messages de spam légitimes qui sont passés d’une main.

tomjedrz
la source
2
+1 pour reconnaître les avantages des solutions hébergées ainsi que les temps de disponibilité / mise à l'échelle et les avantages réduits du trafic Le seul problème que je trouve est un manque de personnalisation et de réponse dans certains cas (du point de vue de quelqu'un qui doit envoyer aux domaines protégés par ces services). En outre, certaines entreprises ont des raisons de sécurité / conformité pour ne pas être en mesure d'utiliser le filtrage externe.
ewwhite
5

Il n'y a pas deux environnements de messagerie identiques. Construire une solution efficace nécessitera donc beaucoup d'essais et d'erreurs autour des nombreuses techniques disponibles, car le contenu de l'email, du trafic, des logiciels, des réseaux, des expéditeurs, des destinataires et bien plus encore, variera énormément d'un environnement à l'autre.

Cependant, je trouve que les listes de blocs suivantes conviennent bien au filtrage général:

Comme indiqué précédemment, SpamAssassin est une excellente solution lorsqu'il est configuré correctement. Assurez-vous simplement d'installer autant de modules Perl que possible dans CPAN, ainsi que Razor, Pyzor et DCC. Postfix fonctionne très bien avec SpamAssassin et il est beaucoup plus facile à gérer et à configurer que EXIM par exemple.

Enfin, bloquer les clients au niveau IP en utilisant fail2ban et iptables ou similaire pendant de courtes périodes (par exemple, un jour à une semaine) après certains événements tels que le déclenchement d’un contact violent avec un comportement abusif peut également être très efficace. Pourquoi gaspiller des ressources en parlant à un hôte connu infecté par un virus?

Gros doigt
la source