ここ数週間、私たちは新しい種類のスパム メール (少なくとも私にとっては新しいもの) に悩まされています。私はこれを「タブロイド スパム」と呼んでいます。なぜなら、タブロイド スパムは Spam-assassin を回避しながら、スーパーマーケットのタブロイド紙の見出しにタブロイド紙のコピーを添えて送信してくるからです。
件名のサンプルをいくつか示します。
Mark Cuban Tells Anderson Cooper The Economy is in for a Meltdown
Looking for Walk In Bath Information? Compare These Choices.
One of the Biggest Government Lies: "The Food We Eat is Safe"
Donald Trump: I Consult Myself On Foreign Policy, "Because I Have A Very Good Brain"
メッセージには 1 ~ 2 個のリンクが含まれていますが、リンクをクリックしなければ、何かを販売しているかどうかはわかりません。すべてのメッセージには大量の本文が含まれており、その一部は Web コンテンツのように読み取られます。Spam Assassin では、このスタイルの本文と正規のメールを区別できません。
数週間前は 1 日に 20 件程度だったこうしたメッセージの頻度は増加しており、今では 1 日に数百件にまで増加しています。すべて異なるメール アドレスから送信されており、件名は多岐にわたりますが、ほとんどがスーパーマーケットのタブロイド紙の見出しのような内容です。
試したこと/アイデア:
2Spam-assassin にこれらのメールのフラグを立てさせる唯一の方法は、正規のメールの半分とともに、ほとんどのメールも受信できるしきい値まで下げることです。誰かが電子メール アドレスを変更することを提案しました。これは極端な措置であり、せいぜい短期的な措置にしか思えません。
私たちはすでに、postfix でメールを拒否するために rdb ブラックリストを使用しています。彼らはこれを阻止していません。
Spam Assassin にキーワードを追加してスコアを付けます。たとえば、「Donald Trump」、「Dr. Oz」、「Anderson Cooper」などを含む件名に +10 のスパム スコアを追加するように設定します。これは手間がかかるように思えますが、少なくとも一時的な軽減のために、次にルールを追加することを検討します。
それ以外にも、この問題に対処するためのアイデアや提案はありますか? この新しい(?)タイプのスパムメールに対処しているのは私たちだけではないはずです。
私たちの環境は、Postfix+Spam Assassin を搭載した Linux (Ubuntu LTS) です。
答え1
このようなもの(スノーシュー/ひょう嵐スパム)は機械学習で検出するのが最も効果的です。SpamAssassin のベイズ(つまり、スパムとハムについて定期的にトレーニングする必要があります。自動学習だけでは不十分です)。
IPとURIが正しいことを確認したいDNSBL適切に設定してください。Dnsブロックリストスパム対策としては、DNSBL とベイジアン コンテンツ検査が 2 つの最善の武器だと私は思います。
私がかつて会社のメールを担当していたときにスパムの量を減らすのに最も効果的だったのは、存在しないユーザーと高スコアのスパムに対して、SMTPタイムのNO SUCH USERとBLOCKED FOR SPAMの拒否を適切に返すことでした。これにより、配信率の指標を追跡する送信者(一部の悪質な人や、多く不正なマーケティングを行う業者の対策として、この方法が有効です。確かに、これは、あなたが苦しんでいるスノーシューのサブタイプに関してはあまり役に立ちませんが、他の問題を軽減できる可能性があります。ただし、キャッチオール (ワイルドカード) アカウントを使用して非ユーザーへのメールを収集している場合は、この方法を検討することはできません。SMTP 時にメッセージを拒否するように SpamAssassin を設定できる場合は、バウンス追跡送信者から送信されたスパムに対しても同じ効果が得られます。
コメントで、いろいろ試してみたけど、非掲載. ノーリスト化で多少の成功はありましたが、その影響を測定する何らかの方法を実装するのはかなり余分な負担だったでしょう。私は、規定された方法 (ping に応答し、ポート 25 が閉じられているがフィルタリングされていない単一のプライマリ MX レコード: 高速拒否である必要がある) と非標準の方法 (nolisting.org は別の名前にすべきだと主張している): ポート 25 がフィルタリングされている単一の最低優先度 (最高数値) MX レコード (そのためタイムアウトになり、スパマー リソースが消費される) でノーリスト化を実装しました。
nolisting を測定するには、接続をカウントするためだけにサーバーを立ち上げ、それらのログを実際のメール リレーのログと比較して、保存されないメッセージの数を確認する必要があります。