%3F.png)
Nas últimas semanas, fomos duramente atingidos por uma nova classe de e-mail de spam (ou pelo menos uma novidade para mim/nós). Estou chamando isso de “spam de tablóide” porque eles enviam manchetes de tablóides de supermercado com cópia de tablóide, o que contorna o Spam-assassino.
Aqui estão alguns exemplos de linhas de assunto:
Mark Cuban Tells Anderson Cooper The Economy is in for a Meltdown
Looking for Walk In Bath Information? Compare These Choices.
One of the Biggest Government Lies: "The Food We Eat is Safe"
Donald Trump: I Consult Myself On Foreign Policy, "Because I Have A Very Good Brain"
As mensagens contêm de 1 a 2 links, mas não está claro se elas estão vendendo alguma coisa ou não sem clicar no link. Todas as mensagens contêm muitos textos, alguns dos quais parecem conteúdo da web fiado. O Spam Assassin não consegue diferenciar esse estilo de cópia de e-mail legítimo.
A frequência dessas mensagens está aumentando, onde recebíamos talvez 20 por dia há algumas semanas, e aumentou para onde agora recebemos centenas delas por dia. Todos vêm de endereços de e-mail diferentes e os assuntos são amplos e variados, mas a maioria lembra manchetes de tablóides de supermercado.
O que tentamos/ideias:
A única maneira de fazer com que o Spam-assassin os sinalize é reduzi-lo a um limite que
2receba a maioria deles, junto com metade de nossos e-mails legítimos!Alguém sugeriu alterar os endereços de e-mail. Parece uma medida drástica e, na melhor das hipóteses, de curto prazo.
Já usamos listas negras rdb para rejeitar mensagens no postfix. Eles não estão impedindo isso.
Adicione palavras-chave ao Spam Assassin e dê-lhes uma pontuação, por exemplo, defina-o para adicionar uma pontuação de spam de +10 a qualquer linha de assunto contendo "Donald Trump", "Dr. Oz", "Anderson Cooper", etc. , mas analisarei a seguir a possibilidade de adicionar regras, pelo menos para alívio temporário.
Além disso, alguma outra ideia ou sugestão sobre como lidar com isso? Tenho certeza de que não somos os únicos a lidar com esse novo (?) tipo de e-mail de spam.
Nosso ambiente é Linux (Ubuntu LTS) com Postfix+Spam Assassin.
Responder1
Esse tipo de coisa (spam com raquetes de neve/granizo) é melhor detectado com aprendizado de máquina. Certifique-se de estar aproveitando ao máximoBayes em SpamAssassin(ou seja, você deve treinar regularmente em spam e ham; o autoaprendizado não é suficiente).
Você deseja garantir que possui seu IP e URIDNSBLsconfigurado corretamente; verListas de bloqueio de DNS. Eu diria que as DNSBLs e a inspeção de conteúdo bayesiana são as duas melhores armas para combater o spam em geral.
A melhor redução no volume de spam que obtive quando executei o e-mail de uma empresa foi retornar corretamente o horário SMTP NO SUCH USER e BLOCKED FOR SPAM rejeições para usuários inexistentes e spam de alta pontuação. Isso reduzirá radicalmente o spam de remetentes que rastreiam métricas de capacidade de entrega (alguns bandidos mais ummuitode comerciantes sujos). É certo que isso não ajudará muito em relação ao subtipo de raquetes de neve que você está enfrentando, mas pode aliviar outros problemas que você está enfrentando - embora você não possa considerar isso se usar uma conta pega-tudo (curinga) para coletar e-mails para não usuários. Se você puder configurar o SpamAssassin para rejeitar mensagens no horário SMTP, isso proporcionaria o mesmo benefício para spam enviado com remetentes de rastreamento de rejeição.
Você mencionou nos comentários que tentou várias coisas, mas nãoSem listagem. Tive sucesso anedótico com o nolisting, mas teria sido um fardo extra implementar alguma forma de medir seu impacto. Implementei o nolisting da maneira prescrita (um registro MX primário solitário que responde ao ping e tem a porta 25 fechada - mas não filtrada: deve ser uma rejeição rápida) e de uma maneira fora do padrão (que nolisting.org insiste que deveria ser chamada de outra coisa). ): um registro MX solitário de prioridade mais baixa (numérico mais alto) que tem a porta 25 filtrada (portanto, atingirá o tempo limite e, portanto, consumirá recursos do spammer).
Medir a nolisting exigiria criar um servidor apenas para contar as conexões e, em seguida, comparar esses logs com os logs na retransmissão de correio real para ver quantas mensagens não sobrevivem.