স্নোশো স্প্যাম ধরার সেরা পদ্ধতিগুলি কী কী?

আমি আমার ছোট মেইল ​​সার্ভারের জন্য স্মার্টমেল ব্যবহার করছি। স্নোশো স্প্যামের তরঙ্গগুলি একই প্যাটার্নটি অনুসরণ করতে আমরা ইদানীং সমস্যা পেয়েছি । তারা একবারে 3 বা 4 এর ব্যাচে আসে। মৃতদেহগুলি তারা যে ডোমেন নামের সাথে লিঙ্ক করে তার জন্য প্রায় অভিন্ন সংরক্ষণ। উত্স আইপিগুলি কিছুক্ষণের জন্য একই / 24 ব্লক থেকে আসে, তারপরে তারা অন্য / 24 এ স্যুইচ করে। ডোমেনগুলি একেবারে নতুন হতে থাকে। তাদের বৈধ পিটিআর এবং এসপিএফ রেকর্ড রয়েছে এবং বায়সিয়ান ফিল্টারগুলি ছদ্ম করতে দেহের নীচে এলোমেলো গীব্রিশ রয়েছে।

আমি ব্যারাকুডা, স্প্যামহাউস, এসআরবিএল এবং ইউআরআইবিএল সহ এক ডজন বা আরও বিভিন্ন আরবিএল ব্যবহার করছি। তারা বেশিরভাগকে ধরে রাখার জন্য একটি শালীন কাজ করে তবে আইপি এবং ডোমেনগুলি কালো তালিকাভুক্ত করা হয়নি বলে আমরা এখনও অনেক কিছু স্লিপ পেয়েছি।

আরবিএলগুলি সহ নতুন তৈরি করা ডোমেনগুলি ব্লক করে বা স্নোশো স্প্যামের সাথে বিশেষভাবে ডিল করে এমন কোনও কৌশল কী আমি নিয়োগ করতে পারি? আমি তৃতীয় পক্ষের ফিল্টারিং পরিষেবাটি ব্যবহার করা এড়াতে আশা করছি।

আপনার ব্যবহারকারীদের জন্য এটি কি আসল সমস্যা হয়ে উঠছে?

আমি এই সময়ে একটি পূর্ণ অন মেল ফিল্টারিং পরিষেবা সুপারিশ করব। বায়েশিয়ান আসলেই আর গরম হয় না। খ্যাতি, আরবিএল, শিরোনাম / অভিপ্রায়-বিশ্লেষণ এবং অন্যান্য কারণগুলি আরও সহায়তা করে বলে মনে হচ্ছে। আরও ভাল সুরক্ষার জন্য একাধিক পদ্ধতির ( এবং সমষ্টিগত ভলিউম ) একত্রিত করার জন্য ক্লাউড ফিল্টারিং পরিষেবাটি বিবেচনা করুন ( আমি আমার গ্রাহকদের জন্য বারাকুডার ইএসএস ক্লাউড সমাধানটি ব্যবহার করি )।

এবং অবশ্যই: স্প্যামের সাথে লড়াই করা - আমি একজন ইমেল প্রশাসক, ডোমেন মালিক বা ব্যবহারকারী হিসাবে কী করতে পারি?

স্নোশো আক্রমণে আপটিক দ্বারা আমরা নেতিবাচকভাবে প্রভাবিত হইনি। আমি এমন একটি সময় দেখতে পেয়েছি যেখানে মেলগুলির পরিমাণ এই আক্রমণগুলির সাথে দিনে দিনে তিনগুণ বেড়ে যায়। তবে খারাপ জিনিসগুলির মধ্যে এটি কোনওরই হয় নি। 3 দিনের মধ্যে, বারাকুদা ভলিউমগুলি স্বাভাবিক স্তরে নিয়ে আসে।

আমি মনে করি যে বিশ্বব্যাপী মেল ক্রিয়াকলাপের বিস্তৃত দর্শন রয়েছে এমন ফিল্টারিং সমাধানগুলি পৃথক মেল ফিল্টারগুলির চেয়ে আক্রমণের পক্ষে প্রতিক্রিয়া জানাতে পারে।

সম্পাদনা:

এলওপিএসএ মেইলিং লিস্টে সম্প্রতি এটিও আলোচনা করা হয়েছিল :

আমার অবদান: https://www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
আর একটি মতামত: https://www.mail-archive.com/tech@lists.lopsa.org/msg04181 .html

আমি একজন ডিএনএস অপ্স লোক যারা এই গোষ্ঠীর সাথে ঘনিষ্ঠভাবে কাজ করে যারা প্রায়শই এই হামলার শিকার হয়। স্নোশো আক্রমণগুলি মোকাবেলা করা মূলত একটি প্রক্রিয়াজাতীয় সমস্যা এবং ইয়েওয়াইট হিসাবে ইঙ্গিত দেয় যে এটি আপনার সংস্থার অভ্যন্তরে সমাধানের সুযোগ ছাড়িয়ে। আমি যতদূর বলতে চাই যে আপনার যদি একটি বিশাল অপারেশন এবং বেশ কয়েকটি বাণিজ্যিক আরবিএল ফিড না থাকে তবে আপনি সম্ভবত বাণিজ্যিক ফিল্টারিং পরিষেবা ব্যবহার করে নিজেকে এটি সমাধান করার চেষ্টা করবেন না।

এটি বলেছিল, এর সাথে আমাদের কিছু অভিজ্ঞতা আছে এবং না ভাগ করে নেওয়া আরও আকর্ষণীয়। কিছু টাচ পয়েন্ট:

• যদি সম্ভব হয় তবে আপনার মেল প্ল্যাটফর্মটিকে স্নোশো আক্রমণের বৈশিষ্ট্যগুলি প্রগতিতে সনাক্ত করতে এবং প্রশিক্ষণপ্রাপ্ত নেটওয়ার্কগুলি থেকে সাময়িকভাবে প্রত্যাখাত প্রশিক্ষণের জন্য প্রশিক্ষণ দিন। ভাল আচরণযুক্ত ক্লায়েন্টরা একটি অস্থায়ী ব্যর্থতার উপর বার্তাগুলি পুনরায় পাঠানোর চেষ্টা করবে, অন্যেরা সেদিকে ঝুঁকছে না।
• আপনার ডিএনএস প্রশাসকরা UDP-MIB::udpInErrorsএসএনএমপি-এর মাধ্যমে নিরীক্ষণ করছে তা নিশ্চিত করা , কারণ কোনও স্নোশো আক্রমণ চলতে থাকলে মেল প্ল্যাটফর্মগুলি ইউডিপি শ্রোতাদের প্রাপ্ত সারিগুলি উপচে ফেলতে খুব সক্ষম। যদি তা না হয় তবে লিনাক্সের অধীনে বলার দ্রুত উপায় হ'ল netstat -s | grep 'packet receive errors'ডিএনএস সার্ভারগুলিতে প্রশ্নে চলছে ; একটি বৃহত গণনা নির্দেশ করে যে তাদের ডাফগুলি বন্ধ করে মনোযোগ দেওয়া শুরু করতে হবে। ঘন ঘন স্প্লিজ দেখা দিলে তাদের দক্ষতা যুক্ত করতে বা গ্রহণের বাফারগুলির আকার বাড়িয়ে তুলতে হবে। (যার অর্থ হারানো ডিএনএস ক্যোয়ারী এবং স্প্যাম প্রতিরোধের জন্য সুযোগগুলি হারাবে)
• আপনি যদি নতুনভাবে তৈরি হওয়া ডোমেনগুলি ব্যবহার করে এই আক্রমণগুলি ঘন ঘন দেখতে পান তবে এগুলিকে হাইলাইট করে এমন আরবিএল উপস্থিত রয়েছে। একটি উদাহরণ এক হয় FarSight নড়া (এই পড়া মানুষ তাদের নিজস্ব গবেষণা সম্পাদন করা উচিত), কিন্তু এটা বিনামূল্যে নয়।

সম্পূর্ণ প্রকাশ: ফোরসাইট সিকিউরিটি পল ভিক্সির দ্বারা প্রতিষ্ঠিত হয়েছিল, আমার যখন লোকেরা ডিএনএসের মান লঙ্ঘন করে তখন আমার পক্ষে অভ্যাস করার খারাপ অভ্যাস আছে।

আমি ডিক্লুড (যা নিখরচায়) এবং মেসেজ স্নিফার ইনস্টল করেছি (যা নেই) এবং গত ৪ দিন ধরে আমি আমার পরীক্ষার ইমেল অ্যাকাউন্টে একটি স্প্যাম বার্তা আসতে দেখেছি, প্রতি দিন যে ডজন এটি পাচ্ছিল তার বিপরীতে। আমি যতদূর বলতে পারি, আমাদের ভাল ইমেল ফিল্টার আউট হয়নি। স্প্যামস্যাসিন সম্ভবত একটি ভাল সমাধান হতে পারে যদিও আমি একটি বাক্সে স্প্যাম অ্যাসাসিনের চেষ্টা করার সময় এটির সাথে আমার ভাগ্য ছিল না ..

এখানে প্রচুর উত্তরগুলি সাধারণ অ্যান্টি-স্প্যামের জন্য। একটি ডিগ্রি পর্যন্ত, এটি স্পষ্ট করে তোলে যেহেতু স্প্যামাররা পছন্দসই বিতরণ পদ্ধতি হিসাবে স্নোশোয়ের দিকে যাচ্ছে।

স্নোশোটি সর্বদা কম ভলিউমে ডেটাসেন্টারগুলি থেকে প্রেরণ করা হত (প্রতি-আইপি ভিত্তিতে) এবং সর্বদা একটি সাবস্ক্রাইব লিঙ্ক অন্তর্ভুক্ত করে (এটি কাজ করে কিনা সে সম্পর্কে কিছুই বলতে না)। আজকাল, স্নোশো প্রায় কখনও আনসস্ক্রাইব তথ্য রাখে না এবং এটির আইপিগুলি থেকে উচ্চ পরিমাণে প্রেরণ করা হয় তবে এটি একটি ফেটে পাঠানো হয় যাতে আইপি কালো তালিকাভুক্ত হওয়ার সাথে সাথে এটি ইতিমধ্যে মেল প্রেরণ সম্পন্ন করে। একে শিলাবৃষ্টি স্প্যাম বলে ।

এ কারণে, ডিএনএসবিএল এমনকি টাইট প্যাটার্ন-ভিত্তিক স্বাক্ষরগুলি স্নোশো স্প্যাম ধরতে ভয়াবহ। সেখানে যেমন কিছু ব্যতিক্রম হয় Spamhaus সিএসএস তালিকা (যা বিশেষভাবে Snowshoe নেটওয়ার্ক লক্ষ্যে এবং উভয় SBL এবং জেন এর একটি অংশ), কিন্তু সাধারণভাবে আপনার প্রয়োজন হবে greylisting / tarpitting (যা বিতরণ পিছে যেতে না হওয়া পর্যন্ত DNSBLs ধরতে ) এবং, সবচেয়ে গুরুত্বপূর্ণ, টোকেন চালিত মেশিন লার্নিং সিস্টেম যেমন বয়েসিয়ান স্প্যাম ফিল্টারিং । বয়েস স্নোশোয় সনাক্ত করতে বিশেষত ভাল।

অ্যান্ড্রু বি এর উত্তরে ফার্সাইট সিকিউরিটির নতুন মালিকানাধীন ডোমেনস এবং হোস্টনেমস (এনওডি) উল্লেখ রয়েছে, যা স্নোশো নেটওয়ার্কগুলি সজ্জিত হওয়ার পরেও তারা স্প্যামিং শুরু করার আগেই প্রত্যাশা করার চেষ্টা করে। স্প্যামহাউস সিএসএস সম্ভবত কিছু একই কাজ করে। সিএসএস একটি ব্লকিং পরিবেশে ব্যবহারের জন্য প্রস্তুত, যখন এনওড সত্যই ডিজাইন করা হয়েছে স্বতন্ত্র / ব্লকিং সিস্টেমের পরিবর্তে কাস্টম সিস্টেমের ফিড হিসাবে।