web-dev-qa-db-ja.com

geoipフィルターを使用してスパムをブロックしますか?

Geoipを使用してフィルタリングすることにより、地理的な場所に基づいてスパムをブロックできる方法を探しています。

コンテキスト:米国外での電子メール通信はめったにないため、1つまたは2つの国を除いて、米国外で受信するすべての電子メールをブロックしたいと思います。

少しグーグルした後、うまくいく(またはうまくいかない)解決策をいくつか見つけましたが、他のシステム管理者が現在何をしているのか、または解決策として何を推奨するのかを知りたいです。

これが私がこれまでに見つけたものです:

PowerDNSとそのGeoIPバックエンドを使用すると、フィルタリングにgeoipを使用できます。通常、このバックエンドは一種の負荷分散として負荷を分散するために使用されますが、スパムを殺すためにも使用できない理由がわかりません。

おそらく、Maxmind lite国データベースといくつかのスクリプトを使用して、同様の作業を行います。

理想的には、私が探しているのは、まともな負荷を処理し、拡張もうまくいくソリューションです...私たち全員ではありません! ;)

よろしくお願いします! :-)

3
faultyserver

Linux用のnetfilter/iptablesには geoip patch もあります。 Linuxの場合、これを使用して電子メールサーバーの25をブロックできます。このiptablesパッチを使用すると、Linuxを電子メールサーバーのファイアウォールとして使用できます。最良の部分はそれが無料であるということです:-)

1
Kyle Brandt

これから SNAREに関する研究論文 、私はこのナゲットを提示します:

ハムの場合、メッセージの90%は約4,000km以下を移動します。一方、スパムの場合、メッセージの28%のみがこの範囲内にとどまります。

私の個人的な観察はあなたの観察を反映しており、2014年の今でも、地理的な場所がスパムの優れた予測因子であり続けていることに注意してください。他の人が指摘しているように、GeoIPの場所(国または距離)alonenot接続をブロックするための十分に信頼できる基盤です。ただし、GeoIP距離を、FCrDNS、HELOホスト名の有効性、送信者OS(p0f経由)、SPFなど、接続に関する他のいくつかのデータと組み合わせると、99.99%の信頼性が得られます(たとえば、0.01%の確率でFP)接続の80%を拒否する場合before DATAフェーズ。

FPレートが非常に低い一部のSMTPテスト(zen.spamhaus.orgのDNSBLリストなど)とは異なり、前述のテストはいずれも、接続を拒否するための十分な根拠にはなりません。別のパターンを次に示します。そのカテゴリに分類されます---エンベロープ送信者userはエンベロープ受信者userと一致します。の約30%がスパムは次のパターンに従います:from:[email protected] to:[email protected]。これは有効なメールフローよりもスパムで頻繁に発生しますfar別のスパマーパターンはドメインからの一致しないエンベロープとヘッダー。

これらの「スパム出現」特性をヒューリスティックにスコアリングすることにより、非常に信頼性の高いフィルタリングシステムの基盤を構築できます。 SpamAssassinは、私が説明したことのほとんどをすでに実行しています(または実行できます)。しかし、十分な負荷を処理し、適切に拡張できるソリューションも求めていました。 SpamAssassinは素晴らしいものですが、3.4リリースノートのどこにも「大幅に削減されたリソース消費」は見られませんでした。

最初の段落にリストしたすべてのテストは、SMTPDATAの前に実行されます。これらの初期のテストを組み合わせることで、SMTPDATAの前に誤検知なしでスパム接続を拒否するための十分な基盤が形成されます。 SMTPデータの前に接続を拒否すると、メッセージ転送の帯域幅コストと、コンテンツベースのフィルター(SpamAssassin、dspam、ヘッダー検証、DKIM、URIBL、ウイルス対策、DMARCなど)のCPUとネットワークの負荷が大幅に軽減されます。接続の。接続ごとに行う作業がはるかに少なくなると、スケーリングが大幅に向上します。

SMTP DATAで不確定なメッセージの小さなサブセットの場合、接続を続行することが許可され、コンテンツフィルターの結果でメッセージにスコアが付けられます。

私が説明したすべてを達成するために、私はHarakaと呼ばれるnode.jsベースのSMTPサーバーで少しハッキングを行いました。それは非常に、非常によくスケーリングします。ヒューリスティックスコアリングを行うKarmaというカスタムプラグインを作成し、すべての重み付けスコアを構成ファイルに入れました。カルマがどのように機能するかを理解するには、 karma.ini構成ファイル を参照してください。 「Gmailよりも優れた」フィルタリング結果が得られています。

FCrDNS、helo.checks、およびdata.headersによって実行されるテストも確認してください。彼らはあなたに追加のフィルタリングのアイデアを提供するかもしれません。安価な(データ前の)テストでスパムを確実に検出するためのアイデアがさらにあれば、ぜひ聞いてみてください。

3
Matt Simerson

あなたが尋ねる必要がある他の質問:あなたの許容できる偽陽性と偽陰性の率は何ですか(あなたはどれくらいの合法的なメールを失っても構わないと思っていますか、そしてあなたはどれくらいのがらくたを受け入れても構わないと思っていますか?)

どのような追加のレイテンシーを受け入れますか?いくつかの非常に効果的な低偽造スパム対策技術(グレーリスト)はメールを遅らせる可能性があります。これは、(非現実的に)電子メールが即時のコミュニケーションであると期待する一部のユーザーを苛立たせる可能性があります。

スパム対策システムを計画するときは、コストをどれだけ外部化したいかを考えてください。たとえば、ipfilterベースのブラックリストは寛容ではありませんが、他のシステムに実質的な影響を与えることはありません。グレイリストは送信者と受信者の帯域幅を節約しますが、メールをリモートキューに長く保持します。メールバウンスメッセージとチャレンジ/レスポンスシステムは、無関係のサードパーティをメールボムするために(ab)使用できます。ターピッティングなどの手法では、SMTP接続を意図的に長期間開いたままにすることで、コストを積極的に外部化します。 DNSBLでは、ある程度の制御をサードパーティ(ブラックリストメンテナ)に譲渡する必要がありますが、最終的にはメール管理者として、ユーザーと管理者にブロックポリシーを説明する責任があります。結果として、各テクノロジーには倫理的な考慮事項があり、他のテクノロジーへの影響を認識することが重要です。

誤って構成された外部システムに対してどの程度寛容になりますか? ( FCrDNSがないもの、HELO/EHLO文字列の破損、不正なパイプライン処理、一時的な障害コード4xxの後で適切に再試行しないもの、など

どのくらいの時間、お金、帯域幅、ハードウェアを問題に費やしたいですか?

単一の手法は効果的ではありませんが、多層防御を協調させることで、インバウンドのゴミを大幅に減らすことができます。 DNSBL、URIBL、グレーリスト、コンテンツフィルタリング、および手動で調整されたホワイトリストとブラックリストは、私の小さなドメインではうまく機能しますが、拒否するものについてはもっと寛大になる余裕があります。

最近状況が変わっていない限り、原産国によるIPのブラックリストへの登録はそれほど効果的ではありません。私は、ASNとOSフィンガープリント(p0f経由)を使用してインバウンド接続の品質を判断することを考えていましたが、それを追求しませんでした。統計を見るのは興味深いでしょうが、すでに説明した標準的な手法よりも役立つとは思いません。 GeoIP、ASN、およびOSフィンガープリント情報を使用する利点は、これらは個別に接続品質の弱い予測子である可能性がありますが、SMTPレイヤーに到達するずっと前のTCP/IP接続時に利用できることです(fsvo "long")。組み合わせて、それらは有用であることが証明されるかもしれません、そしてそれはそれがエンドユーザーに近づくにつれてスパムがブロックするのに費用がかかるのでそれは役に立つでしょう。

私は否定論者になろうとはしていません。 「奇妙な」文字エンコーディングとGeoIP情報は、おそらくスパムとよく相関しますが、メールをブロックする単一の基準として使用するには十分な信頼性がない可能性があります。ただし、Spamassassinのようなシステムでは役立つ指標になる可能性があります。要点は、スパム防御は費用便益分析における複雑な問題であり、システムを実装または変更する前に、自分の価値観を知ることが重要であるということです。

2
arclight

メールサーバー/アプリレベルでDNSBLとサーバーレベルでGEOIPを組み合わせて使用​​すると、スパムスコアリングやファッスルポジティブなどを実装しなくても、スパムの大部分を削除できます。

これは、メールサーバー/会社が米国、カナダなどの既知の国からの電子メールのみを受信する場合に特に当てはまります。

Windows用のArgosoftメールサーバーはこれをうまく処理しますが、私は同様のLinuxベースのソリューションを知りません。そのため、Linuxで信頼できるMTAを使用して(できればDNSBLを使用して)、サーバーレベルでGEOIPソリューションを実行することをお勧めします。

お役に立てれば。

1
KPWINC

代わりに、Spamhaus ZENブロックリスト( http://www.spamhaus.org/zen/ )のようなものを使用したほうがよいのではないでしょうか。組織の電子メールトラフィックが1日あたり100,000のSMTP接続と300,000のDNSBLクエリ未満の場合は無料です。

確かに、それらの使用要件( http://www.spamhaus.org/organization/dnsblusage.html )は、毎日の電子メールトラフィックを大幅に増やす場合、データフィードへのサブスクリプションが必要になる場合がありますが、使用レベル(ページの下部にある細かい印刷物を読んでください)は、とにかく自分のブロックリストを管理するという管理上の負担を望まないでしょう。

1
Ophidian

これは、ルーターとファイアウォールを使用して機能するインラインアプライアンスであり、国別のIPトラフィックとIPブラックリストを回線速度でブロックします。そして、Arclightは正しいです。ただし、遅延の増加とTCP接続のドロップイン)を想定しない限り、次のような専用デバイスが必要です TechGuardのIPブロッカー 回線を維持するには-速度保護。TechGuardは、ルーターとファイアウォールに対するACLの影響に関するデータもリリースしました。

0
Doug Wulff

これを行う商用のスパム対策ベンダーがすでに存在することを聞きたいと思います。IMEは、過剰なブロックを防ぐために、自国以外の国のスパム「スコア」に追加されます。

たとえば、SpamAssassinとうまく統合できるでしょうか?

また、電子メールの文字セットを検討することもできます。

実装に関しては、安価で商業的に入手可能なgeo-IPデータベースがいくつかあります。私はこれらを「手動で」統合する傾向があります。そのため、少なくとも、ログを記録するために、送信者と受信者のペアがわかるポイントまでメッセージを到達させることができます。

HTH、

トム

0
Tom Newton

私は Sendmailmilter-greylist をこの目的のために数年間、いくつかの中規模メールサーバーで何の問題もなく使用してきました。 greylist.confで目的のGeoIP、SPF、ホワイトリスト、DNSBLなどのルールを構成して、グレーリストを選択的に適用するのは簡単です。

0
snap