%3F.png)
За последние несколько недель мы сильно пострадали от нового класса спама (или, по крайней мере, нового для меня/нас). Я называю его «таблоидным спамом», потому что они рассылают заголовки таблоидов супермаркетов с таблоидным текстом, что обходит Спам-убийцу.
Вот несколько примеров тем:
Mark Cuban Tells Anderson Cooper The Economy is in for a Meltdown
Looking for Walk In Bath Information? Compare These Choices.
One of the Biggest Government Lies: "The Food We Eat is Safe"
Donald Trump: I Consult Myself On Foreign Policy, "Because I Have A Very Good Brain"
Сообщения содержат 1-2 ссылки, но неясно, продают ли они что-либо или нет, если не нажать на ссылку. Все сообщения содержат много основного текста, некоторые из которых читаются как скрученный веб-контент. Spam Assassin не может отличить этот стиль текста от законной почты.
Частота этих сообщений увеличивается, если несколько недель назад мы получали около 20 сообщений в день, то сейчас мы получаем сотни сообщений в день. Все они приходят с разных адресов электронной почты, темы обширны и разнообразны, но большинство из них похожи на заголовки таблоидов в супермаркетах.
Что мы пробовали/идеи:
Единственный способ заставить Spam-assassin помечать такие письма — это снизить его до порогового значения, при
2котором большинство из них, а также половина нашей законной почты, будут помечены!Кто-то предложил сменить адреса электронной почты. Это кажется радикальной мерой, и в лучшем случае краткосрочной.
Мы уже используем черные списки rdb для отклонения почты на postfix. Они не собираются это останавливать.
Добавьте ключевые слова в Spam Assassin и присвойте им оценку, например, настройте его так, чтобы он добавлял оценку спама +10 к любой строке темы, содержащей «Дональд Трамп», «Доктор Оз», «Андерсон Купер» и т. д. Это кажется трудоемким, но я рассмотрю возможность добавления правил в следующий раз, по крайней мере для временного облегчения.
Помимо этого, есть ли еще идеи или предложения, как с этим бороться? Я уверен, что мы не единственные, кто имеет дело с этим новым(?) типом спама.
Наша среда — Linux (Ubuntu LTS) с Postfix+Spam Assassin.
решение1
Такого рода вещи (спам в виде снегоступов/града) лучше всего обнаруживаются с помощью машинного обучения. Убедитесь, что вы в полной мере используетеБайес в SpamAssassin(т.е. вам необходимо регулярно тренироваться на спаме и не спаме; автоматического обучения недостаточно).
Вы хотите убедиться, что у вас есть ваш IP и URIDNSBLнастроено правильно; см.DNS-блок-листы. Я бы сказал, что DNSBL и байесовская проверка контента — это два лучших оружия для борьбы со спамом в целом.
Лучшее сокращение объема спама, которое я получил, когда управлял почтой компании, было правильным возвратом отклонений SMTP-time NO SUCK USER и BLOCKED FOR SPAM для несуществующих пользователей и спама с высоким рейтингом. Это радикально сократит спам от отправителей, которые отслеживают показатели доставки (некоторые плохие парни плюсмногогрязных маркетологов). Конечно, это не поможет вам в отношении подтипа snowshoe, с которым вы столкнулись, но это может облегчить другие проблемы, с которыми вы сталкиваетесь, хотя вы не можете это учитывать, если используете учетную запись catch-all (wildcard) для сбора писем непользователям. Если вы можете настроить SpamAssassin для отклонения сообщений во время SMTP, это даст ту же выгоду для спама, отправленного с отправителями, отслеживающими возвраты.
Вы упомянули в комментариях, что пробовали много вещей, но не...Nolisting. У меня были отдельные успехи с nolisting, но было бы довольно обременительно реализовать какой-то способ измерения его влияния. Я реализовал nolisting предписанным способом (отдельная первичная запись MX, которая отвечает на ping и имеет закрытый порт 25, но не фильтруется: это должно быть быстрое отклонение) и нестандартным способом (который nolisting.org настаивает, чтобы он назывался как-то иначе): отдельная запись MX с самым низким приоритетом (самым высоким числовым значением), которая имеет фильтруемый порт 25 (чтобы он истекал по времени и, следовательно, потреблял ресурсы спамера).
Для измерения nolisting потребуется запустить сервер исключительно для подсчета соединений, а затем сравнить эти журналы с журналами на реальном почтовом ретрансляторе, чтобы увидеть, сколько сообщений не сохранилось.