服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 使用伪造的MXlogging来对付垃圾邮件
Intereting Posts
如果没有发送Accept-Encoding标头,强制Apache HTTP压缩事件? 数据库硬件build议 类似Rsync的文件传输在远端没有rsyncd或sshd 如何设置Windows应用程序事件日志上的读/写(但不是删除)权限? 我们如何过CNAME限制? 如何恢复服务器的连接,而做一些networking设置错误? 除raidz2之外是否还有一个zpoolconfiguration可以让我在4次失败中保持2次? Zookeeper节点不能再加载生产服务器上的数据库 Centos 6.2新鲜的'基本服务器'安装networking问题 Apache服务器中的.docx问题 更换HP P410 RAID卡 Supermicro BMC看门狗引起的重新启动 我如何知道Linux中的处理器家族? 如何在不重新启动的情况下重新加载默认的Mac OSX路由表 Node.js websocket错误“错误:听EADDRNOTAVAIL错误:听EADDRNOTAVAIL”

使用伪造的MXlogging来对付垃圾邮件

我有一个客户端正在大量垃圾邮件..这是本月15日和POP3带宽几乎100 GB。 这个域只有7个电子邮件帐户。 我安装SpamAssassin将其设置为5,并设置10-20filter拒绝大部分的垃圾。 我没有看到很多POP3带宽的变化。 纠正我,如果我错了,服务器仍然收到消息使用带宽,以分析确定垃圾邮件分数。

我偶然发现了假冒MXlogging,因为没有意识到 – 基本上你把一个假的服务器设置为最低和最高的MXlogging,中间有工作服务器的MXlogging。

例如: 

fake.example.com 1 realmx.example.com 2 fake2.example.com 3

理论上说,因为大部分垃圾邮件都是基于Windows的僵尸产生的,而且有不less人会查询到最高的垃圾邮件logging,因为通常他们通常是不过滤垃圾邮件的备份服务器。 最低的假MXlogging是垃圾邮件发送者的其余部分..通常垃圾邮件发送者不会在失败后重试。

有没有人试过这个? 它有帮助吗? 邮件传递是否延迟或导致问题? 其他人有更好的解决scheme吗?

帮你一个忙,并使用网关反垃圾邮件服务(如Postini)进行设置。 对于每个邮箱每月几美元,绝对没有理由不这样做,而且您不仅可以消除99%的垃圾邮件,还可以享受他们的假脱机服务(便于计划或计划外停机),而不必通过让其他人接收并处理所有垃圾邮件,然后将其投放到networking边缘,来节省带宽。

不是一个Postini员工,只是一个快乐的用户,他也设置了几十个客户端。

我已经试过了,我强烈build议你不要这样做 ! 当时这似乎是一个好主意,但在各个发件人的邮件开始消失之后,我意识到这是一个错误。 我没有意识到,那里有很多可怕的SMTP服务器,不符合规范,在处理错误方面相当糟糕,人们不知道也不关心,因为“这个其他人得到了我的电子邮件,所以一定是你“。

接下来我介绍一些处理垃圾邮件的其他build议。 Postini是一个很好的服务,甚至在免费的谷歌应用程序内置的反垃圾邮件的东西也不是那么糟糕。 如果你想要更多的控制,你可以购买一个IronPort或其他设备,或者自己推出。

我从来没有听说过这种方法,我可以想象它会推迟合法的电子邮件潜在的几个小时。 在一天结束时,smtp协议需要提供您的合法电子邮件。 有效的服务器将击中虚假的MXlogging,并尝试交付给该服务器…我不知道你可能会在那里运行(如果有的话),但他们会继续努力,直到它被接受。

正确的服务器将继续尝试MXlogging,直到邮件交付。 垃圾邮件发送者往往变得更聪明,如果现在对一些垃圾邮件软件起作用,我怀疑它会工作很长时间。 我不能推荐它。

我的build议是,除了现有的垃圾邮件filter外,还要使用smtp tarpit。 现在有一些可用的。 我想你会发现它比假mxlogging方法更有效。

这样的tarpits在BSD上带有smtpd。 在sendmail 8.13中也有一些tarpitting特性。

基本上,一个tarpit通过捆绑垃圾邮件服务器资源工作。 他们通过拖延他们得到的回应来做到这一点。 例如,垃圾邮件服务器每秒连接和接收大约1个字节。
一些tarpit服务器查找垃圾邮件模式并可识别垃圾邮件服务器。 合法的服务器将准备好等待缓慢的响应。 在一些tarpits服务器中,他们自动将合法识别的服务器移动到白名单中,以便将来不会有任何延迟。

谷歌SMTP Tarpit,看看。

你没有提到它,那么你有没有使用DNSBL的原因?

编辑:SpamAssassin 包括其中一些支持 – 没有他们,你会浪费大量的CPU周期分析垃圾邮件。

我使用这个假的MX(nolisting的一个变体 ),它工作得很好。

我用一个后缀MX与所有常用的filter,并在一些spambot设法重载服务器2或3次,我决定试试看…这里是结果: 假前-mx,前后

尝试猜测什么时候我已经实施了假mx! 8)

结果与postgrey相同,但不像postgrey,你不需要改变你的邮件服务器

垃圾邮件现在将尝试高MX或低MX,从尝试过滤的负载释放真正的MX然后(即使使用DNSBL,负载很高),真正的电子邮件以最小的延迟到达。

但是要警告,有风险:

  • 有些服务器可能会有很高的重试次数。 大多数服务器会在第一次超时后重试下一个MX,而其他服务器则会在接下来的几分钟内尝试,但是我已经看到服务器只能在一小时或一天后重试。 他们是非常罕见的,我可以捕捉它是一个糟糕的configuration。 与其他邮局主pipe交谈解决了这个问题

  • 所有电子邮件将有一个延迟。 其实我看不出任何延迟,几乎所有真正的邮件服务器都会在第一次超时后重试到下一个MX,所以我们说的是延迟30秒。 他们通常会尝试至less3个MX,然后排队更长的延迟。 但是你可能会接触到一个破坏的邮件服务器,而这个服务器可能不会这样做,并延迟每个消息几分钟。 所以这是部署这个解决scheme时要监控的事情。

  • 破碎的网站。 一些networking服务器发送密码,通知等电子邮件,而不是提供一个内部的真正的邮件服务器,他们试图成为一个“假的”邮件服务器和直接交付。 作为一个networking服务器,他们将永远不会重试,电子邮件将丢失。 网站pipe理员/networking开发人员也是一个糟糕的configuration,因为只有真正的电子邮件服务器才能发送电子邮件。 每当我发现这个问题时,我都会和网站pipe理员讨论这个问题,通常这个问题是固定的。

  • 没有日志。 由于假冒的MX连接到未连接的IP,您没有试图传送的日志。 你只知道有人抱怨时出了点问题。 但是这也不错。 你总是可以声称你没有试图发送任何电子邮件,所以它是一个远程问题。 对方必须检查他们的日志并解决问题。 我可以certificate,与真正的服务器没有任何联系,将解决问题的压力转移到另一端。 如果对方无法解决问题,它看起来不可信,不可靠。

  • 没有白名单。 这适用于所有服务器通过DNS,所以你不能白名单一台服务器…实际上只是一半真实,但更难。 白名单解决scheme是最低的MX指向一个smtp正在运行的IP,但为每个人都过滤防火墙。 你想要的服务器需要在防火墙中允许。 这样,所有的服务器都将被防火墙拒绝,白名单将能够传送到邮件服务器。 它的工作原理,但只适用于IP白名单,不适用于电子邮件白名单。

与postgrey不同的是,远程发件人有一个“被拒绝”的日志(这样可以指出我们的问题),假的MX将显示Web服务器甚至不能连接,并没有重试,没有任何借口对于远程方面的问题。 一个失败的MX比Postgrey更好地接受,因为我们总是可以声称一些“路由问题,但备份MX工作正常,我们得到所有其他的电子邮件”

说,我得到很less的抱怨(每3个月大约1),所以我认为它足够安全(每个垃圾邮件filter都有风险)。

请注意,我使用有效的ipv4地址为所有的MX,但对于假的我使用我控制的IP没有被使用(所以它给超时/主机在任何连接无法访问)。 即使您不使用此规则,此规则也适用。 有DNS和SMTP服务器,需要一个完全有效的DNSconfiguration的电子邮件工作。 假的MX也必须是有效的,他们应该是不可及的。

不要使用您不能控制的假冒MX的专用IP或IP(如果您添加了ipv6地址,还需要添加一个ipv4地址)。 这样可以避免DNS和邮件服务器出现问题以及其他获取电子邮件的问题(通过在您不控制的IP上安装SMTP服务器)。 此外,CNAME被禁止MX,所以不要使用它,只是一个普通的Alogging

最后,应该为伪造的MX发送一个tcp-reset,以提高性能(主机或端口不可达)而不是简单的超时(通过丢弃数据包),因此build议将其添加到防火墙。

无论如何,不​​仅我仍然使用它,因为我build议大家使用它

至于邮件过滤,我已经与Spamassasin和policyd-weight的组合,它在SMTP连接期间检查发件人主机名和阻止列表不同。 这是一件好事,有两个原因:

  1. 您不必使用spamassasin处理被拒绝的电子邮件,这样可以节省系统资源(贝叶斯分析需要一些时间)和带宽
  2. 发件人主机会被拒绝,因此,如果发生封锁合法电子邮件的事件,发件人将收到传递失败通知

我正在使用Postfix上的设置,但据说有一种方法来安装Exim的policyd-weight 。

老实说,我并没有完全明白这个想法。

好吧,我说我的主要邮件服务器是假的。 那么呢? 它根本不存在或什么? (让我们假设它最终削减SPAMers的一部分)。“幸存者”将使用次要的 – 没有问题。 但为什么在这个设置中有第三台服务器?

由于这应该是我的答案,不是问题,我会得出这样的结论: 这是病态的,灰色的灰色阴影。 如果你想看到真正的效果尝试使用灰名单,男人

我通过延迟与主机的连接来删除大部分垃圾邮件,并列在Spamhaus zen列表中。 Spambots不喜欢延迟。 在HELO命令中检测到明显的服务器伪造也清除了大量的垃圾邮件。 我发现表明服务器伪造的条件包括。

  • 使用我的主机名或IP地址。
  • 使用不合格的主机名。
  • 使用域文字([192.0.2.15])而不是FQDN。 (是的RFC需要它,但现在它不被Internet邮件服务器使用。)
  • HELO名称的SPF失败不是邮件(我阻止失败,软失败和中立)。

如果您重视自动化或营销邮件,请检查不起作用的HELO命令。 我的经验是,所有其他邮件通过这些条件。

  • 对主机使用二级域名而不是FQDN。
  • 要求IP或HELO名称来validationrDNS。
  • 为FQDN要求有效的二级域名。 (本地不是有效的域名,也不是本地域名。)

签署您的返回path可以阻止一些垃圾邮件。 尽pipe最近我看到的假冒反弹less得多。

不幸的是,我发现很高比例的合法的自动或市场邮件伪造了他们的返回path。 这些主机通常没有有效的邮寄主pipe地址。 我发现在返回path中需要一个有效的域是可行的。 合法邮件的SPF失败响应比垃圾邮件多得多。

我最近发布了使用Exim阻止垃圾邮件的经验

除了网关破损的合法人员丢失的电子邮件以外,很久以前(比如15年前的+/-),垃圾邮件发送者已经很早就尝试过了。 我怀疑它会certificate你的电子邮件可靠性是一个净损失,而对垃圾邮件几乎没有影响。 但是,如果您尝试,请将结果发送给我们!

不幸的是,如果第一个MXlogging无法访问,那么某些运营商不会向您发送邮件。 我最近在博客上写下了我的经验,所以在这里我不再重复。 总结的是,我的第一个MXlogging实际上是一个IPv6的MXlogging,因为我认为垃圾邮件发送者不使用IPv6(还)。 不幸的是,这造成了问题,最后我不得不添加一个IPv4地址到我的区域的第一个MXlogging。