relazione tra soluzioni anti-spam e database whois

3

Esistono proxy SMTP anti-spam (come ASSP , qpsmtpd ) o soluzioni di filtraggio dello spam e-mail in generale (come SpamAssassin ) là fuori che creano per esempio i filtri di blocco basati su oggetti nei database RIR? Se sì, quali oggetti ( inetnum ? route ?) Usano e come?

    
posta Martin 08.04.2016 - 10:02
fonte

2 risposte

1

Personalmente, penso che tu stia meglio affidando alcuni paesi e alcune lingue che sei sicuro di non volere e poi penalizzali in SpamAssassin usando RelayCountry , TextCat , ecc.

Ho sperimentato con i dati RIR nelle regole di SpamAssassin in passato. La mia conclusione è stata che non c'era niente di molto utile anche come funzionalità all'interno di un ambiente di apprendimento automatico.

I criteri sono un po 'obsoleti (non sto aggiornando i CIDR che i RIR scambiano e questo è solo IPv4), ma dovrebbe essere approssimativamente rappresentativo:

  S/O   Flow%  RIR
0.282  50.052  ARIN
0.785  26.186  RIPE
0.845  16.274  APNIC
0.129   9.983  Legacy Class A
0.915   1.348  LACNIC
0.763   0.744  AFRINIC

("S / O" è una precisione relativa utilizzando un campione bilanciato di spam e posta legittima. molto approssimativamente si correla con le probabilità di spam. "Flusso%" è la percentuale di tutto il flusso di traffico che visto in questo periodo di esempio (e include alcune sovrapposizioni). Più basso è il flusso%, meno ci si deve fidare del S / O, cioè non bloccare l'America Latina.

Questo riflette ovviamente il mio campionamento, che è un sottogruppo molto piccolo dei dati che ho a disposizione. Come puoi vedere, ho molto più dati dal Nord America e dall'Europa di quanto non lo sia io in America Latina o in Africa. Questo non riflette necessariamente la vita reale (o persino il mio set di dati personali, ho casualmente sottocampionato!).

Se conosci i tuoi canali di comunicazione in modo molto intimo, puoi prendere in considerazione qualcosa di simile, ma è troppo ampio per una distribuzione sicura .

Poiché i miei dati sono così obsoleti, non ho intenzione di scaricarli tutti qui, ma come esempio, ecco la mia definizione dello spazio Legacy A (il ^ dovrebbe rimuovere il problema di sovrapposizione sopra riportato):

header  __RCVD_VIA_LEGACY  X-Spam-Relays-External =~ /^\[ ip=(?:[689]|2(?:[025689]|1[45]?)|1[12356789]|3[023458]?|5[1234567]|4[0478]?)\b/

Se ricordo correttamente, sono andato al sito web di ciascuno dei cinque registri Internet regionali e ho trovato il loro annuncio blocchi. Ho generato ogni regex di ogni RIR usando Regexp :: Assemble (che non riesce a creare gamme di classi di caratteri). Utilizza una speciale pseudo-header SpamAssassin per una definizione più pulita.

Ci sono altri aspetti molto utili di whois per il rilevamento dello spam, ma c'è un grosso ostacolo da superare: è troppi dati fare qualsiasi cosa con una distribuzione locale. Avete bisogno di servizi cloud importanti che riempiano i database in tempo reale per catturare cose come la grandinata (nota a margine: il mio team ha fatto questo .).

Un altro servizio che si basa su whois data è la lista dei vecchi tempi del giorno , che elenca semplicemente qualsiasi dominio che sia 0- 5 giorni di età supponendo che valga la pena penalizzare l'invio di e-mail da (o il collegamento a) tali domini.

    
risposta data 03.06.2017 - 01:33
fonte
1

Non sono sicuro se aiuti, ma ho usato elenchi RBL a lungo nei miei server di posta e fanno un lavoro abbastanza decente (si occupano di circa il 90% - il 95% dello spam).

Funziona molto meglio di SpamAssassin (e senza problemi). Eppure, io uso SpamAssassin per il resto dello spam.

Ora, riguardo alla tua domanda specifica: se ho capito bene, quello che vuoi è bloccare automaticamente i segmenti completi, giusto?

Penso Whois inetnum e route sono gli stessi, solo rappresentazioni diverse. Non prendere la mia parola come l'agrifoglio della verità, poiché non ho tanta esperienza con questi valori, ma è quello che credo.

Penso che questa domanda e questo potrebbe darti qualche indizio su come ottenere ciò che vuoi.

Anche se vedo un vantaggio nel bloccare interi segmenti, penso che non ne trarrai molti benefici. Il motivo è che lo spam proviene da molti segmenti diversi e il blocco di un segmento bloccherà solo pochissimi IP .

Un problema che vedo è che potresti bloccare gli IP in eccesso:

Darò un esempio nella vita reale: qui in Giappone la società NTT possiede un servizio di posta con il dominio "ocn.ne.jp". Ha diversi server smtp che hanno origine nello stesso segmento (assegnati in modo casuale ai loro clienti). A volte uno di questi server viene visualizzato in nero (RBL) e i miei server bloccano le email che arrivano da lì. A volte sono bloccati per ore a causa di un uso improprio in alcuni account. Ma ciò non significa che dovrei bloccare tutto il segmento. Se lo faccio, sarebbe un grosso problema in quanto è comunemente usato qui in Giappone.

OCN non è l'unico caso, l'ho visto anche con i server di yahoo e altri.

    
risposta data 17.05.2016 - 10:59
fonte

Leggi altre domande sui tag