%3F.png)
In den letzten Wochen wurden wir von einer neuen Klasse von Spam-E-Mails heimgesucht (zumindest für mich/uns). Ich nenne sie „Boulevard-Spam“, weil sie Schlagzeilen wie im Supermarkt mit Boulevard-Texten verschicken, wodurch Spam-Assassin umgangen wird.
Hier sind einige Beispiele für Betreffzeilen:
Mark Cuban Tells Anderson Cooper The Economy is in for a Meltdown
Looking for Walk In Bath Information? Compare These Choices.
One of the Biggest Government Lies: "The Food We Eat is Safe"
Donald Trump: I Consult Myself On Foreign Policy, "Because I Have A Very Good Brain"
Die Nachrichten enthalten 1-2 Links, aber ohne Anklicken des Links ist nicht klar, ob sie etwas verkaufen oder nicht. Die Nachrichten enthalten alle viel Text, von dem sich einige wie gesponnener Webinhalt lesen. Spam Assassin kann diesen Stil nicht von legitimer E-Mail unterscheiden.
Die Häufigkeit dieser Nachrichten nimmt zu. Vor ein paar Wochen erhielten wir vielleicht 20 pro Tag. Heute erhalten wir Hunderte davon pro Tag. Sie kommen alle von unterschiedlichen E-Mail-Adressen und die Betreffzeilen sind breit gefächert, aber die meisten ähneln den Schlagzeilen in Supermarkt-Boulevardzeitungen.
Was wir versucht haben/Ideen:
Die einzige Möglichkeit, Spam-Assassin dazu zu bringen, diese zu kennzeichnen, besteht darin, die Menge auf einen Grenzwert herunterzuregeln
2, bei dem die meisten dieser Mails sowie die Hälfte unserer legitimen E-Mails erfasst werden!Jemand hat vorgeschlagen, die E-Mail-Adressen auszutauschen. Das scheint eine drastische Maßnahme zu sein und bestenfalls eine kurzfristige.
Wir verwenden bereits RDB-Blacklists, um E-Mails auf Postfix abzulehnen. Sie stoppen das nicht.
Fügen Sie Spam Assassin Schlüsselwörter hinzu und geben Sie ihnen eine Punktzahl. Stellen Sie ihn beispielsweise so ein, dass jeder Betreffzeile mit „Donald Trump“, „Dr. Oz“, „Anderson Cooper“ usw. eine Spam-Punktzahl von +10 zugewiesen wird. Dies scheint arbeitsintensiv zu sein, aber ich werde mich als Nächstes mit dem Hinzufügen von Regeln befassen, zumindest zur vorübergehenden Entlastung.
Gibt es darüber hinaus noch weitere Ideen oder Vorschläge, wie man damit umgehen kann? Ich bin sicher, wir sind nicht die Einzigen, die mit dieser neuen(?) Art von Spam-E-Mail zu kämpfen haben.
Unsere Umgebung ist Linux (Ubuntu LTS) mit Postfix+Spam Assassin.
Antwort1
Solche Dinge (Schneeschuh-/Hagelsturm-Spam) lassen sich am besten mit maschinellem Lernen erkennen. Stellen Sie sicher, dass SieBayes in SpamAssassin(d. h. Sie müssen regelmäßig Spam und Ham trainieren; Autolearn reicht nicht aus).
Sie möchten sicherstellen, dass Sie Ihre IP und URI habenDNSBLsrichtig eingerichtet; sieheDNS-Blocklisten. Ich würde sagen, dass DNSBLs und die Bayesianische Inhaltsüberprüfung insgesamt die beiden besten Waffen im Kampf gegen Spam sind.
Die beste Reduzierung des Spam-Volumens, die ich damals, als ich die E-Mails eines Unternehmens verwaltete, erreichte, war die korrekte Rückgabe von SMTP-Ablehnungen mit den Meldungen NO SUCH USER und BLOCKED FOR SPAM für nicht vorhandene Benutzer und Spam mit hoher Bewertung. Dies wird den Spam von Absendern, die Zustellbarkeitsmetriken verfolgen, radikal reduzieren (einige Bösewichte plus einvielvon korrupten Vermarktern). Zugegeben, das wird bei dem Snowshoe-Subtyp, unter dem Sie leiden, nicht viel helfen, aber es könnte andere Probleme lindern, die Sie haben – obwohl Sie das nicht berücksichtigen können, wenn Sie ein Catch-All-Konto (Platzhalter) verwenden, um E-Mails an Nicht-Benutzer zu sammeln. Wenn Sie SpamAssassin so einrichten können, dass Nachrichten zum SMTP-Zeitpunkt abgelehnt werden, bietet das den gleichen Vorteil für Spam, der von Absendern mit Bounce-Tracking gesendet wird.
Sie haben in den Kommentaren erwähnt, dass Sie eine Reihe von Dingen ausprobiert haben, aber nichtKeine Listung. Ich hatte vereinzelt Erfolg mit Nolisting, aber es wäre eine ziemliche zusätzliche Belastung gewesen, eine Methode zu implementieren, mit der sich die Auswirkungen messen lassen. Ich habe Nolisting in der vorgeschriebenen Weise implementiert (ein einzelner primärer MX-Eintrag, der auf Ping antwortet und Port 25 geschlossen – aber nicht gefiltert hat: Es muss eine schnelle Ablehnung sein) und in einer nicht standardmäßigen Weise (die laut nolisting.org anders genannt werden sollte): ein einzelner MX-Eintrag mit der niedrigsten Priorität (höchster numerischer Wert), bei dem Port 25 gefiltert ist (damit er abläuft und somit Spammer-Ressourcen verbraucht).
Zum Messen von Nolisting müsste ein Server eingerichtet werden, der nur zum Zählen der Verbindungen dient. Anschließend müssten diese Protokolle mit den Protokollen des echten Mail-Relays verglichen werden, um zu sehen, wie viele Nachrichten nicht überleben.