%EC%9D%84%20%EC%B0%A8%EB%8B%A8%2C%20%ED%95%84%ED%84%B0%EB%A7%81%20%EB%98%90%EB%8A%94%20%EC%A4%84%EC%9D%B4%EC%8B%9C%EB%82%98%EC%9A%94%3F.png)
지난 몇 주 동안 우리는 새로운 유형의 스팸 이메일로 인해 큰 타격을 입었습니다. 나는 그것을 "타블로이드 스팸"이라고 부르는 이유는 그들이 스팸 암살자를 우회하는 타블로이드 사본과 함께 슈퍼마켓 타블로이드 헤드라인을 보내기 때문입니다.
다음은 몇 가지 샘플 제목입니다.
Mark Cuban Tells Anderson Cooper The Economy is in for a Meltdown
Looking for Walk In Bath Information? Compare These Choices.
One of the Biggest Government Lies: "The Food We Eat is Safe"
Donald Trump: I Consult Myself On Foreign Policy, "Because I Have A Very Good Brain"
메시지에는 1~2개의 링크가 포함되어 있지만 링크를 클릭하지 않으면 물건을 판매하는지 여부가 확실하지 않습니다. 메시지에는 모두 많은 본문 문구가 포함되어 있으며 그 중 일부는 마치 웹 콘텐츠처럼 읽혀집니다. Spam Assassin은 이 스타일의 사본이 합법적인 메일인지 구분할 수 없습니다.
몇 주 전에는 하루에 20개 정도 받았던 메시지의 빈도가 점점 늘어나고 있으며, 이제는 하루에 수백 개까지 받는 수준으로 확대되었습니다. 그것들은 모두 서로 다른 이메일 주소에서 왔으며 주제는 광범위하고 다양하지만 대부분은 슈퍼마켓 타블로이드 헤드라인과 같습니다.
우리가 시도한 것/아이디어:
스팸 암살자가 이러한 항목을 표시하도록 할 수 있는 유일한 방법은
2합법적인 메일의 절반과 함께 대부분의 항목을 가져오는 임계값까지 다이얼을 낮추는 것입니다!누군가 이메일 주소 변경을 제안했습니다. 그것은 과감한 조치이자 기껏해야 단기적인 조치처럼 보입니다.
우리는 이미 postfix의 메일을 거부하기 위해 rdb 블랙리스트를 사용하고 있습니다. 그들은 이것을 멈추지 않습니다.
Spam Assassin에 키워드를 추가하고 점수를 부여합니다. 예를 들어 "Donald Trump", "Dr. Oz", "Anderson Cooper" 등이 포함된 제목 줄에 +10 스팸 점수를 추가하도록 설정합니다. 이는 노동 집약적인 것처럼 보입니다. , 하지만 적어도 일시적인 구제를 위해 다음에 규칙을 추가하는 방법을 살펴보겠습니다.
그 외에도 이 문제를 해결하는 방법에 대한 다른 아이디어나 제안이 있습니까? 이 새로운(?) 유형의 스팸 메일을 처리하는 사람이 우리뿐만이 아닐 것이라고 확신합니다.
우리 환경은 Postfix+Spam Assassin이 포함된 Linux(Ubuntu LTS)입니다.
답변1
이런 종류의 것(눈신/우박 스팸)은 기계 학습을 통해 가장 잘 감지됩니다. 최대한 활용하고 있는지 확인하세요.SpamAssassin의 베이즈(즉, 스팸과 햄에 대해 정기적으로 훈련해야 합니다. 자동 학습으로는 충분하지 않습니다.)
IP와 URI가 있는지 확인하고 싶습니다.DNSBL올바르게 설정하십시오. 보다Dns차단 목록. 나는 DNSBL과 베이지안 콘텐츠 검사가 스팸을 전반적으로 퇴치하는 두 가지 최고의 무기라고 말하고 싶습니다.
회사 메일을 실행할 때 받은 스팸 양을 줄이는 가장 좋은 방법은 존재하지 않는 사용자와 높은 점수의 스팸에 대해 SMTP 시간 NO SUCH USER 및 BLOCKED FOR SPAM 거부를 올바르게 반환하는 것이었습니다. 이렇게 하면 배달 가능성 지표를 추적하는 발신자(일부 악당과많은더러운 마케팅 담당자). 물론, 이는 현재 겪고 있는 스노우슈의 하위 유형과 관련하여 큰 도움이 되지는 않지만 현재 겪고 있는 다른 문제를 완화할 수는 있습니다. 하지만 포괄(와일드카드) 계정을 사용하여 메일을 수집하는 경우에는 이를 고려할 수 없습니다. 비사용자에게. SMTP 시간에 메시지를 거부하도록 SpamAssassin을 설정할 수 있다면 반송 추적 발신자를 통해 보낸 스팸에 대해 동일한 이점을 제공할 수 있습니다.
여러 가지를 시도했지만 시도하지 않았다고 댓글에서 언급하셨습니다.등록 취소. 등록 거부를 통해 일화적인 성공을 거두었지만 그 영향을 측정하는 방법을 구현하는 것은 상당한 부담이 되었을 것입니다. 나는 규정된 방식(ping에 응답하고 포트 25를 닫는 단일 기본 MX 레코드이지만 필터링되지는 않습니다. 빠른 거부여야 함)과 비표준 방식(nolisting.org에서 다른 이름으로 불러야 한다고 주장함)으로 등록 거부를 구현했습니다. ): 포트 25가 필터링된 단일 우선 순위가 가장 낮은(가장 높은 숫자) MX 레코드입니다(따라서 시간 초과가 발생하여 스팸 발송자 리소스를 소비함).
nolisting을 측정하려면 연결 수를 계산하기 위해서만 서버를 가동한 다음 해당 로그를 실제 메일 릴레이의 로그와 비교하여 얼마나 많은 메시지가 남아 있지 않은지 확인해야 합니다.