প্রশ্ন Snowshoe স্প্যাম ধরা জন্য সেরা পদ্ধতি কি কি?


আমি আমার ছোট mailserver জন্য Smartermail ব্যবহার করছি। আমরা তরঙ্গ পেয়ে lately একটি সমস্যা হয়েছে snowshoe স্প্যাম যে একই প্যাটার্ন অনুসরণ। তারা এক সময়ে 3 বা 4 ব্যাচের মধ্যে আসে। সংস্থাগুলি প্রায় লিঙ্কযুক্ত ডোমেন নামের জন্য প্রায় একই রকম সংরক্ষণ করে। উৎস আইপি একই সময়ের জন্য একই / 24 ব্লক হতে থাকে, তারপর তারা অন্য / 24 এ স্যুইচ করে। ডোমেন ব্র্যান্ড নতুন হতে ঝোঁক। তারা বৈধ পিটিআর এবং এসপিএফ রেকর্ড আছে এবং বায়াসিয়ান ফিল্টারগুলিকে বিস্ফোরিত করার জন্য শরীরের নীচের অংশে র্যান্ডম গিঁট আছে।

আমি ব্যারাকুডা, স্পামহাউস, SURBL এবং URIBL সহ একটি ডজন বা বিভিন্ন RBL ব্যবহার করছি। তারা তাদের বেশিরভাগকে ধরতে একটি ভালো কাজ করে, কিন্তু আইপি এবং ডোমেনগুলি কালো তালিকাভুক্ত করা হয় না তবে আমরা এখনও অনেকগুলি স্লিপ পেয়ে যাচ্ছি।

নতুন কোনও ডোমেনগুলি ব্লক করে বিশেষভাবে snoeshow স্প্যাম দিয়ে কাজ করে এমন আরবিএলগুলি সহ আমি কীভাবে রুল করতে পারি? আমি একটি তৃতীয় পক্ষের ফিল্টারিং সেবা ব্যবহার করা এড়াতে আশা করছি।


20
2017-11-07 16:19


উত্স


"আমি কোন পণ্যটি ব্যবহার করবো" এর নির্দেশে এই কম দিকনির্দেশনা করার জন্য আমি আপনার শিরোনাম সম্পাদনা করার সুপারিশ করছি কেনাকাটা প্রশ্ন স্ট্যাক এক্সচেঞ্জ সাইটের জন্য অফ-বিষয় হয়। Snowshoe আক্রমণ শোষণ হয় যদিও ServerFault এর জন্য একটি ভাল বিষয়, এবং আমি মন্তব্য করতে আমার সহকর্মীকে জিজ্ঞাসা করব। - Andrew B
কি জানতে সাহায্যকারী Snoeshow স্প্যাম হয়। - ewwhite
আরবিএলগুলির বেশিরভাগই বিনামূল্যে পরিষেবা যা কোন মেল অ্যাডমিন ব্যবহার করতে পারে। কেন যে কেনাকাটা হিসাবে গণনা? - pooter03
হ্যাঁ, কারণ তারা মুক্ত কিনা বা না, উত্তর শুধুমাত্র নির্দিষ্ট সময়ের জন্য বৈধ। (যে লিঙ্কটি ছুঁয়েছে) কোম্পানিগুলি বিনামূল্যে পরিষেবা প্রদান করে এমন সমস্ত সময় ব্যবসা থেকে বেরিয়ে যায়। - Andrew B
আমি প্রশ্ন পরিবর্তন করেছিলাম। এই আরো উপযুক্ত যদি আমাকে জানাতে দয়া করে। - pooter03


উত্তর:


এই আপনার ব্যবহারকারীদের জন্য একটি বাস্তব সমস্যা হয়ে উঠছে?

আমি এই মুহুর্তে একটি পূর্ণ-অন মেল ফিল্টারিং পরিষেবা সুপারিশ করব। Bayesian সত্যিই যে গরম হয় না। সম্মাননা, আরবিএল, শিরোনাম / উদ্দেশ্য-বিশ্লেষণ এবং অন্যান্য কারণগুলি আরো সাহায্য করতে বলে মনে হচ্ছে। একাধিক পন্থা একত্রিত করার জন্য ক্লাউড ফিল্টারিং পরিষেবা বিবেচনা করুন (এবং যৌথ ভলিউম) ভাল সুরক্ষা প্রদান (আমি আমার গ্রাহকদের জন্য Barracuda এর ESS ক্লাউড সমাধান ব্যবহার করি)।

এবং অবশ্যই: স্প্যাম যুদ্ধ - আমি কি করতে পারি: ইমেল প্রশাসক, ডোমেন মালিক, বা ব্যবহারকারী?

স্নোশোহোর হামলার আপত্তিকর কারণে আমরা নেতিবাচকভাবে প্রভাবিত হইনি। আমি এমন একটি সময় দেখেছি যেখানে এই আক্রমণের সাথে মেল ভলিউম প্রতিদিন দ্বিগুণ হয়। কিন্তু খারাপ জিনিস কোন মাধ্যমে এটি তৈরি। 3 দিনের মধ্যে বারাকুকু স্বাভাবিক মাত্রায় ভলিউম নিয়ে আসে।

আমি মনে করি বিশ্বব্যাপী মেল কার্যকলাপের বিস্তৃত দৃশ্য ফিল্টারিং সমাধানগুলি পৃথক মেল ফিল্টারগুলির চেয়ে ভাল আক্রমণগুলিতে প্রতিক্রিয়া জানাতে পারে।

সম্পাদনা:

এই সম্প্রতি আলোচনা করা হয়েছে LOPSA মেইলিং তালিকা:

আমার অবদান: https://www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
আরেকটি মতামত: https://www.mail-archive.com/tech@lists.lopsa.org/msg04181.html


14
2017-11-07 16:31



তারা অভিযোগ শুরু হয়। এটি মাত্র কয়েক ডজন গ্রাহক এবং আমরা আমাদের মেইল ​​পরিষেবাদি কম খরচে বা এমনকি আমাদের কেনা অন্যান্য পরিষেবাগুলির সাথে একটি বান্ডিল হিসাবে অফার করছি, তাই আমরা যদি সম্ভব হয় তাহলে প্রদত্ত পরিষেবাদি এড়ানোর আশা করি। আমি তবে যে পণ্য বিনিয়োগ করব। - pooter03
এটি প্রায় $ 8 / ব্যবহারকারী / বছর। - ewwhite
ধন্যবাদ। যতক্ষণ না আমি এই কাজ করতে পারি ততক্ষণ পর্যন্ত এটি একটি ভার্চুয়াল আপভোট বিবেচনা করুন। :) - pooter03
Barrucada জন্য +1। - poke
আমি এখনো Barracuda মেঘ মেইল ​​ফিল্টারিং সুপারিশ। এটি সম্ভবত আপনার বর্তমান সমস্যার সবচেয়ে পরিষ্কার সমাধান। - ewwhite


আমি একটি DNS ওপস লোক, যারা ঘনিষ্ঠভাবে এই আক্রমণগুলির বিষয় নিয়ে ঘনিষ্ঠভাবে কাজ করে। স্নোশোর আক্রমণের সাথে মোকাবিলা করা প্রাথমিকভাবে একটি প্রক্রিয়া সমস্যা, এবং এটি উল্লিখিত পয়েন্ট হিসাবে আপনার বাড়ির অভ্যন্তরে সমাধান করার সুযোগের বাইরেও হতে পারে। আমি যতদূর বলতে চাই যে আপনি যদি একটি বড় অপারেশন এবং বিভিন্ন বাণিজ্যিক আরবিএল ফিড না করেন তবে সম্ভবত একটি বাণিজ্যিক ফিল্টারিং পরিষেবা ব্যবহার করে এই নিজেকে সমাধান করার চেষ্টা করা উচিত নয়।

যে বলেন, আমরা এই সঙ্গে কিছু অভিজ্ঞতা আছে এবং এটা ভাগ করা ছাড়া আরো আকর্ষণীয়। কিছু স্পর্শ পয়েন্ট হয়:

  • সম্ভব হলে, আপনার মেল প্ল্যাটফর্মকে অগ্রগতিতে একটি স্নোশো আক্রমণের বৈশিষ্ট্যগুলি সনাক্ত করতে এবং সাময়িকভাবে নেটওয়ার্কগুলির বার্তাগুলি প্রত্যাখ্যান করতে প্রশিক্ষণ দিন। ভাল আচরণ ক্লায়েন্ট একটি অস্থায়ী ব্যর্থতা বার্তা পাঠাতে চেষ্টা করবে, অন্যদের ঝোঁক না।
  • আপনার DNS প্রশাসক পর্যবেক্ষণ করা হয় তা নিশ্চিত করা UDP-MIB::udpInErrors এসএনএমপি এর মাধ্যমে, যখন একটি স্নোশো আক্রমন চলছে তখন মেইল ​​প্ল্যাটফর্ম UDP শৃঙ্খলা রক্ষাকারী বাহকগুলি বহন করতে সক্ষম। যদি না হয়, লিনাক্সের অধীনে বলার একটি দ্রুত উপায় চালানো হয় netstat -s | grep 'packet receive errors' প্রশ্নে DNS সার্ভারে; একটি বড় গণনা তারা তাদের duffs বন্ধ পেতে এবং মনোযোগ পরিশোধ শুরু করতে নির্দেশ করে। ঘন ঘন spillage ঘটছে যদি তারা ক্ষমতা যোগ বা বাফার আকার বৃদ্ধি করতে হবে। (যার অর্থ হ'ল হারিয়ে যাওয়া DNS ক্যোয়ারী, এবং স্প্যাম প্রতিরোধের জন্য হারিয়ে যাওয়া সুযোগ)
  • যদি আপনি ঘন ঘন তৈরি করা ডোমেনগুলি ব্যবহার করে এই আক্রমণগুলি ঘন ঘন দেখেন, তবে RBLs যেগুলি হাইলাইট করে তা হাইলাইট করে। একটি উদাহরণ এক FarSight NOD (এই পড়া লোকেরা তাদের নিজস্ব গবেষণা সঞ্চালন করা উচিত), কিন্তু এটা বিনামূল্যে নয়।

সম্পূর্ণ প্রকাশ: ফার্স্ট সিকিউরিটি পল উইক্সির দ্বারা প্রতিষ্ঠিত হয়েছিল, যারা আমার কাছে DNS এর মানগুলি লঙ্ঘন করার সময় ভঙ্গ করার খারাপ অভ্যাস রয়েছে।


8
2017-11-07 16:41



আপনার দ্বিতীয় বিন্দু বিশেষ আকর্ষণীয়। আমি সন্দেহ করেছি যে আমরা আরবিএলগুলিতে DNS টি প্রশ্নগুলি হারিয়েছি যা ইতিমধ্যে আইপি বা ইউআরএলকে কালো তালিকাভুক্ত করেছে, কিন্তু আমি এটি প্রমাণ করতে সক্ষম নই। যাইহোক, মেলসার্ভার উইন্ডোজ 2012 এ এবং উইন্ডোজ DNS সার্ভার ব্যবহার করে। এটি একটি বেশ কম ভলিউম সার্ভার কিন্তু আমি এই আরও তদন্ত করতে চান। দুর্ভাগ্যবশত এটি সব কিছু ব্যাখ্যা করে না কারণ যেগুলি স্লিপ করে সেগুলির মধ্যে কিছু ছিল না তাদের ডোমেনগুলি বা আইপিগুলি এখনও বড় RBL দ্বারা ধরা যেতে পারে। - pooter03
DNS সার্ভারের গড় পরিমাণ এতই গুরুত্বপূর্ণ হবে না। একটি পেতে সারি ওভারফ্লোের প্রধান চরিত্রটি আপনার ইনকামিং প্যাকেটগুলিকে দ্রুত সারি থেকে বের করতে যথেষ্ট দ্রুত প্রক্রিয়া করতে পারে না এবং ভলিউম ভিত্তিক স্নোশো আক্রমণটি অর্জন করতে সক্ষম হওয়ার চেয়ে অনেক বেশি এটি প্রতি নির্ভর করে আপনি কত DNS সন্ধান করছেন স্প্যাম। - Andrew B
আপনার প্রথম পরামর্শ সাধারণত হিসাবে পরিচিত হয় greylisting। - Nate Eldredge
@ ন্যেট ইটস এ ফর্ম গ্রাইলেস্টিংয়ের, কিন্তু যে শব্দটিকে অযোগ্য বলে ব্যবহার করা হচ্ছে তা বেশিরভাগকে জানাচ্ছে যে এই আইপিটি নতুন আইপিটির প্রতিক্রিয়ায় গৃহীত হয়েছে। আক্রমণকারী নেটওয়ার্কগুলি সিঙ্ক্রোনাইজড পেলোড ডেলিভারির প্রস্তুতিতে সংযোগ স্থাপন করার সময় (শিরোনাম প্রেরণ না করে) সময় ব্যয় করতে থাকে। সেই বৈশিষ্ট্যটি আপনি যা করছেন তার উপর ভিত্তি করে, কারণ এটি আপনাকে ভবিষ্যতে যে IP গুলো আপনি এখনও দেখেননি তা হ'ল আক্রমণে জড়িত। - Andrew B
যাই হোক না কেন এটির মূল্যের জন্য, সার্ভারে আমার (আরো সাধারণ) গ্রাইলেস্টিং সক্ষম রয়েছে এবং স্প্যামার নির্দিষ্ট সময়ের পরে সঠিকভাবে সাড়া দিচ্ছে। সমস্ত উদ্দেশ্য এবং উদ্দেশ্যগুলির জন্য, সঠিক বৈধ কনফিগার করা পিটিআর রেকর্ড, এসপিএফ রেকর্ড ইত্যাদি সহ বৈধ ইমেল সার্ভার থেকে ইমেল আসছে বলে মনে হচ্ছে। - pooter03


আমি Declude (যা বিনামূল্যে) এবং বার্তা স্নিফার (যা নেই) ইনস্টল করেছি এবং গত 4 দিনের মধ্যে আমি আমার এক পরীক্ষার ইমেল একাউন্টে স্প্যাম বার্তা দেখতে পেয়েছি, এটি প্রতি দিন পেয়ে যাওয়া ডজনজনের বিপরীতে। যতদূর আমি বলতে পারি, আমরা ভাল ইমেইল ফিল্টার আউট ছিল না। Spamassassin সম্ভবত একটি ভাল সমাধান হলেও আমি বক্সে স্প্যাম অ্যাসাসিনের চেষ্টা করার সময় তার সাথে কোন ভাগ্য ছিল না ..


1
2018-02-25 18:18





এখানে প্রচুর উত্তর সাধারণ স্প্যাম-এর জন্য রয়েছে। একটি ডিগ্রী, স্প্যামারদের পছন্দসই ডেলিভারি পদ্ধতি হিসাবে Snowshoe দিকে শিরোনাম হচ্ছে বলে মনে হয় এই জ্ঞান করে তোলে।

স্নোশো হ'ল সর্বদা কম ভলিউম (একটি প্রতি-আইপি ভিত্তিতে) ডেটাসেন্টার থেকে পাঠানো হয়েছিল এবং সর্বদা একটি সদস্যতা লিঙ্ক (এটি কী কাজ করে সে সম্পর্কে কিছু বলা না) অন্তর্ভুক্ত করে। আজকাল, স্নোশো প্রায় কখনও সদস্যতা ত্যাগ করেনি এবং এটি আইপি থেকে উচ্চ ভলিউমে পাঠানো হয়েছে, কিন্তু একটি বিস্ফোরণে পাঠানো হয় যাতে IP কালো কালো তালিকাভুক্ত হয়ে যায়, এটি ইতিমধ্যেই মেইল ​​পাঠানো হয়েছে। এই বলা হয় শিলাবৃষ্টি স্প্যাম

এর জন্য, DNSBLs এবং এমনকি আঁট প্যাটার্ন-ভিত্তিক স্বাক্ষর Snowshoe স্প্যাম ধরা এ ভয়ঙ্কর। যেমন কিছু ব্যতিক্রম আছে স্প্যামহাউস সিএসএস তালিকা (যা বিশেষভাবে স্নোশো নেটওয়ার্কে লক্ষ্য করা এবং এসবিএল এবং জেইন উভয়ের একটি অংশ) তবে সাধারণভাবে আপনাকে দরকার হবে greylisting/tarpitting (যা DNSLL গুলো পর্যন্ত ডেলিভারির বিলম্ব করতে পারে) এবং, সবচেয়ে গুরুত্বপূর্ণভাবে, একটি টোকেন চালিত মেশিন লার্নিং সিস্টেম Bayesian স্প্যাম ফিল্টারিং। Bayes বিশেষ করে snowshoe সনাক্ত এ ভাল।

অ্যান্ড্রু বি এর উত্তর ফার্স্ট সিকিউরিটির উল্লেখ নতুন মালিকানাধীন ডোমেন এবং হোস্টনাম (এনওডি), যা স্নোশো নেটওয়ার্কে আতঙ্কিত হওয়ার চেষ্টা করে কিন্তু তারা স্প্যামিং শুরু করার আগেই চেষ্টা করে। Spamhaus সিএসএস সম্ভবত অনুরূপ কিছু। সিএসএস একটি ব্লকিং এনভায়রনমেন্টে ব্যবহারের জন্য প্রস্তুত, আর এনওডটি একটি স্বতন্ত্র / ব্লকিং সিস্টেমের পরিবর্তে একটি কাস্টম সিস্টেমের জন্য ফিড হিসাবে ডিজাইন করা হয়েছে।


0
2017-07-30 18:45