%3F.png)
En las últimas semanas, nos hemos visto muy afectados por una nueva clase de correo electrónico no deseado (o al menos nuevo para mí/nosotros). Lo llamo "spam sensacionalista" porque envían titulares de tabloides de supermercado con copia sensacionalista, lo que evita Spam-assassin.
Aquí hay algunos ejemplos de líneas de asunto:
Mark Cuban Tells Anderson Cooper The Economy is in for a Meltdown
Looking for Walk In Bath Information? Compare These Choices.
One of the Biggest Government Lies: "The Food We Eat is Safe"
Donald Trump: I Consult Myself On Foreign Policy, "Because I Have A Very Good Brain"
Los mensajes contienen 1 o 2 enlaces, pero no está claro si venden algo o no sin hacer clic en el enlace. Todos los mensajes contienen mucho texto del cuerpo, algunos de los cuales se leen como contenido web tejido. Spam Assassin no puede distinguir este estilo de copia del correo legítimo.
La frecuencia de estos mensajes está aumentando, donde recibíamos quizás 20 por día hace unas semanas, y ha aumentado hasta el punto en que ahora recibimos cientos de estos por día. Todos provienen de diferentes direcciones de correo electrónico y los temas son amplios y variados, pero la mayoría son como titulares de tabloides de supermercado.
Lo que hemos probado / ideas:
La única forma en que podemos hacer que Spam-assassin los marque es reducirlo a un umbral en
2el que reciba la mayoría de ellos, ¡junto con la mitad de nuestro correo legítimo!Alguien sugirió cambiar las direcciones de correo electrónico. Parece una medida drástica y, en el mejor de los casos, de corto plazo.
Ya utilizamos listas negras de rdb para rechazar correo en postfix. No van a detener esto.
Agregue palabras clave a Spam Assassin y asígneles una puntuación; por ejemplo, configúrelo para que agregue una puntuación de spam de +10 a cualquier línea de asunto que contenga "Donald Trump", "Dr. Oz", "Anderson Cooper", etc. Esto parece laborioso , pero buscaré agregar reglas a continuación, al menos para un alivio temporal.
Aparte de eso, ¿alguna otra idea o sugerencia sobre cómo abordar esto? Estoy seguro de que no somos los únicos que lidiamos con este nuevo (?) tipo de correo electrónico no deseado.
Nuestro entorno es Linux (Ubuntu LTS) con Postfix+Spam Assassin.
Respuesta1
Este tipo de cosas (spam con raquetas de nieve o granizo) se detecta mejor con el aprendizaje automático. Asegúrate de aprovechar al máximoBayes en SpamAssassin(es decir, debe capacitarse periódicamente en spam y ham; el aprendizaje automático no es suficiente).
Quiere asegurarse de tener su IP y URIDNSBLconfigurar correctamente; verListas de bloqueo DNS. Yo diría que las DNSBL y la inspección de contenido bayesiana son las dos mejores armas para combatir el spam en general.
La mejor reducción del volumen de spam que obtuve cuando ejecuté el correo de una empresa fue devolver correctamente los rechazos en tiempo SMTP NO TAL USUARIO y BLOQUEADO PARA SPAM para usuarios inexistentes y spam de alta puntuación. Esto reducirá radicalmente el spam de los remitentes que rastrean las métricas de capacidad de entrega (algunos tipos malos más unlotede vendedores sucios). Es cierto que eso no ayudará mucho con respecto al subtipo de raqueta de nieve que estás sufriendo, pero podría aliviar otros problemas que tengas, aunque no puedes considerar esto si usas una cuenta general (comodín) para recopilar correos. a los no usuarios. Si puede configurar SpamAssassin para rechazar mensajes en el momento SMTP, eso proporcionaría el mismo beneficio para el spam enviado con remitentes con seguimiento de rebotes.
Mencionaste en los comentarios que has probado varias cosas pero noNo listado. He tenido éxito anecdótico con la exclusión de listas, pero habría sido una carga adicional implementar alguna forma de medir su impacto. Implementé el nolisting en la forma prescrita (un registro MX primario solitario que responde al ping y tiene el puerto 25 cerrado, pero no filtrado: debe ser un rechazo rápido) y de una manera no estándar (que según nolisting.org debería llamarse de otra manera). ): un registro MX solitario de menor prioridad (número más alto) que tiene el puerto 25 filtrado (por lo que expirará el tiempo de espera y, por lo tanto, consumirá recursos de spam).
Medir el nolisting requeriría poner en marcha un servidor únicamente para contar las conexiones y luego comparar esos registros con los registros del relé de correo real para ver cuántos mensajes no sobreviven.