[Postfix-br] Nova tecnologia anti-spam
Leandro
leandro em spfbl.net
Domingo Agosto 21 10:06:08 BRT 2016
Opa valeu Mario.
Os reversos genéricos são usados pelas operadoras ou datacenters para
marcar que um determinado IP está vago e pode ser usado pelos seus
clientes. Acho que essa página do Spamcannibal explica bem o que seria isso:
http://www.spamcannibal.org/statsgeneric.html
Essa aqui é a lista de bloqueios da nossa DNSBL, que disponibilizamos para
qualquer um poder clonar e criar sua própria DNSBL ou para somente usar no
seu próprio SPFBL. Note que tem vários reversos genéricos que mineramos:
https://raw.githubusercontent.com/leonamp/SPFBL/master/doc/block.txt
Estamos seguindo na mineração de novos reversos genéricos, então a lista só
tende a crescer.
O grande problema dos reversos genéricos é que o cliente mau intencionado
não pede para a operadora do IP mudar esse reverso, a fim que tentar
enganar sistemas anti-spam e se aproveitar da boa imagem deste provedor.
Supondo que determinado domínio de um provedor famoso esteja em várias
whitelists, se o spammer for esperto vai usar o reverso genérico para se
aproveitar desta condição. Ou então ele só usa o reverso genérico para não
ser identificado mesmo e para não sofrer punições fora do escopo daquele IP.
Muitas vezes o datacenter tem milhares de IPs e o spammer consegue seguir
trocando de VM, com mudança de IP, para seguir mandando rajadas em cada
troca. Se os reversos genéricos estiverem previamente bloqueados, o spammer
perde essa mobilidade. Engraçado que alguns de nossos colaboradores dizem:
nossa, alguns spammers já nascem mortos. Seria mais ou menos isso a ideia,
o spammer nascer morto.
Quando o sujeito manda a operadora mudar o reverso para dentro do seu
próprio domínio, significa que existe uma probabilidade enorme do sujeito
ter intenções de usar aquele mesmo IP por um longo período de tempo. A
diferença entre ter intenção de usar por um longo período já dá sinais que
este sujeito quer se responsabilizar pelo SPAM oriundo do seu IP alugado.
Seria algo equivalente que o sujeito mostrasse o RG ao entrar num
estabelecimento, ou algo do tipo.
Claro que pode aparecer alguns poucos clientes legítimos que usam o reverso
genérico, por falta de conhecimento. Porém, se um destes estiver listado na
nossa DNSBL, basta que ele peça a mudança de reverso junto com sua
operadora. Essa postura que estamos tomando vai começar a forçar estes
poucos casos legítimos a mudarem seus reversos e teremos no futuro uma
situação onde o spammer estará diretamente correlacionado ao uso de reverso
genérico. Essa é nossa meta e já está dando efeito. Já presenciamos
diversos casos onde o sujeito mandou mudar o reverso só para sair da nossa
lista. Muitos não sabiam que isso era necessário e outros não fizerem por
preguiça mesmo.
Para que consigamos ser objetivos, formalmente a regra é a seguinte: o
administrador do MTA deve se igual ao administrador do domínio ou
subdomínio do reverso. A ideia é que o sujeito não se esconda por de trás
de um domínio de terceiro, a fim de evitar a identificação dele. Se o
domínio não pertencer a terceiros, então a identificação do administrador
do MTA passa a ser possível através de sistemas de identificação como o
WHOIS. Se o administrador do MTA estiver lá no WHOIS, então se ele criar
novos domínios, todos estes estarão ligados pelo mesmo administrador. Desta
forma a punição passa a ser possível, mesmo com troca de domínio.
Vou dar um exemplo para ilustrar a ideia. Tem um sujeito chamado Jason
VandeBoom. Esse cara tem milhares de domínios registrados no exterior e
isso por si só já caracteriza uma certa intenção de fugir de punição pela
tangente. Então quando foi identificado como spammer, através de milhares
de denuncias no nosso sistema, mandamos bloquear todos os novos domínios
dele, como por exemplo esses dois mais recentes: acemserv.com e lexml1.com.
Se você olhar no WHOIS, comprovará que ambos são do mesmo dono.
Supondo que ele usasse reverso genéricos para enviar SPAM, seria impossível
aplicar punição nele, por conta da impossibilidade de identificá-lo com
precisão.
Acho que isso explica toda a fundamentação desta regra então se tiverem
criticas ou sugestões, estarei à disposição para melhorarmos ela.
Desculpe pela mensagem grande, mas foi necessário visto a complexidade do
tema.
Abraços,
Leandro
SPFBL.net
Em 21 de agosto de 2016 08:43, Mario Jorge Lima <mariolima em multisites.com.br
> escreveu:
> Leandro,
>
> Voce fala em reversos genericos. O que é um reverso generico? Pode me dar
> um exemplo?
>
> Abracos, e parabens pelo seu projeto.
>
> Mario./
>
>
>
>
> At 14:08 19/08/2016, you wrote:
>
> Que ótima noticia Mario!
>
> Nossa lista tem vários critérios de bloqueios. Porém podemos dividir
> esses critérios em dois grupos: por bloqueio manual ou por má reputação.
>
> No grupo de bloqueios manuais, nós fazemos uma serie de testes para
> descobrir basicamente quais IPs estão alocados em maquinas que não
> deveriam estar enviando e-mail e também bloqueamos spammers notórios,
> através de identificação pelo WHOIS brasileiro, pegando CPF ou CNPJ.
> Nós também não aceitamos IPs com reversos genéricos pois descobrimos
> que diversos serviços de datacenter são contratados por spammers para
> alocar VMs e disparar rajadas de SPAM até a exaustão do IP nas listas
> negras. Depois o spammer desaloca a VM e aloca outra em seguida, com outro
> IP do mesmo datacenter, para repetir a operação. Digamos que os clientes
> sérios que alocam VM usando reverso genérico são uma minoria
> insignificante, então decidimos banir os reversos genéricos. Alias isso
> não é um problema para clientes sérios, pois uma simples mudança do
> reverso resolve seu problema. Já o spammer vai ter que expor seu domÃnio
> real então ele vai acabar desistindo da operação.
>
> No caso da reputação ruim, basicamente qualquer motivo para rejeitar uma
> mensagem gera um ponto negativo. O SPFBL registra todas as consultas
> realizadas e marca o dia e hora de cada uma. Então com a informação do
> volume total consultado e os pontos negativos, ele consegue calcular um
> percentual, que seria os pontos negativos pelo volume total de envio. Cada
> IP e domÃnio carrega estas informações. Ai no caso do DNSBL, qualquer IP
> que tenha mais de 50% de pontos negativos por volume total entram na lista.
> Os motivos para pontos negativos são basicamente isso que você disse: SPF
> com FAIL, envio de mensagem sem FCrDNS e ao mesmo tempo não deu PASS no
> SPF (sem possibilidade de identificação do responsável pelo envio),
> domÃnios inexistentes, remetentes inválidos ou que não tem MX,
> spamtraps, etc. Basicamente é isso.
>
> Se tiver mais dúvidas estarei à disposição.
>
> Abraços,
> Leandro
> SPFBL.net
>
> Em 19 de agosto de 2016 09:02, Mario Jorge Lima <
> mariolima em multisites.com.br> escreveu:
> Ola, Leandro,
>
> Ativei ontem a noite, e já pegou mais de 10.000 emails durante a noite.
> Eu costumo fazer assim: de noite, que é quando julgo que circula a maior
> massa de SPAM, eu ativo varias blacklists, mas de dia, para diminuir um
> pouco a quantidade de falsos positivos, eu estou tenho deixado apenas tres,
> que agora sao:
>
> reject_rbl_client b.barracudacentral.org
> reject_rbl_client cbl.abuseat.org
> reject_rbl_client dnsbl.spfbl.net
>
> Uma pergunta: essa sua lista baseia-se no criterio de inconsistencias ou
> nao uso de SPF, é isso?
>
> Att.
>
> Mario./
>
>
>
>
>
>
>
> At 07:55 18/08/2016, you wrote:
>
> Isso é tudo Mario. Me passe os casos de falso positivo beleza?
>
> Em 18 de agosto de 2016 06:32, Mario Jorge Lima <
> mariolima em multisites.com.br> escreveu: Ola, Leandro,
> Maravilha. Entao, apenas confirmando, estou incluindo no meu main.cf a
> linha:
> reject_rbl_client dnsbl.spfbl.net Isso é tudo?
> Grande abraço.
> Mario./
>
>
>
> At 19:54 17/08/2016, you wrote:
>
> É isso ai Mario. Pode adicionar nessa lista ai que funciona
> perfeitamente igual as demais DNSBLs.
> É importante reforçar aaqui que DNSBL e SPFBL sÃão dois
> serviços diferentes. O Kleber pode confirmar que o SPFBL é
> muito superior ao DNSBL.
> A proposta do nosso projeto é abandonarmos todos o DNSBL um dia e
> passarmos a usar somente o SPFBL.
> Porém eu sei perfeitamente que as mudanças são
> complicadas então vamos manter o serviço DNSBL para promover
> o SPFBL e trazer mais colaboradores para engrossar estatÃÂÂsticas na
> nossa rede P2P. Será uma transição lenta para dar
> tempo de testarem e criarem confiança na nova tecnologia.
> Espero que um dia cheguemos num ponto onde o sujeito começa a
> disparar SPAM e, em questão de minutos, todo mundo já fica
> sabendo. Se conseguirmos isso, então o problema do SPAM pode ter uma
> solução final pois tornaremos o SPAM inviável
> economicamente.
> Se o sujeito envia algumas centenas de SPAM, e for bloqueado por todos
> simultaneamente, os milhões de SPAM restante não
> chegarão na caixa de entrada dos destinatários. O spammer
> conta com um certo percentual de leads para ter lucro. Tirando isso dele,
> ele quebra.
> Abraços, Leandro SPFBL.net
>
> Em 17 de agosto de 2016 16:46, Mario Jorge Lima <
> mariolima em multisites.com.br> escreveu: Ola, Leandro, Sou noviço
> nessa utilizacao de blacklists. Tenho um Servidor de Emails Linux Centos,
> que hospeda as mailboxes dos meus clientes. Meu Postfix main.cf file
> menciona algumas blacklists nos parametros: reject_rbl_client
> b.barracudacentral.org, reject_rbl_client zen.spamhaus.org, etc. É
> aqui que devo mencionar o seu servico tambemm? Ele seria mais um a ser
> utilizado ou substituiria os que ja tenho? Obrigado pela ajuda. Mario./
>
>
>
> Sou noviço nessa questao de At 10:23 17/08/2016, you wrote:
>
> Em 2016-08-16 22:33, Leandro escreveu:
>
> Olá pessoal, Eu sou responsável pelo desenvolvimento de uma
> nova tecnologia anti-spam: https://github.com/leonamp/SPFBL [1] A
> tecnologia dispõe de integração nativa com o Postfix. Estamos
> utilizando a rede SPFBL, com a participação de diversos provedores,
> como base de dados do nosso serviço DNSBL, para que possa ser
> usado por aqueles que não querem utilizar o serviço SPFBL diretamente:
> dnsbl.spfbl.net [2] Se alguém tiver interesse em utilizar
> diretamente a tecnologia SPFBL, estarei àdisposição
> para maiores esclarecimentos. Abraços, Leandro SPFBL.net
>
>
> Encorajo todos àtestarem o projeto. Por aqui ele reduziu
> drasticamente a quantidade de spams.
>
> ---
> att.
> Victório Felipe
>
> _______________________________________________
> Postfix-br mailing list
> Postfix-br em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
> ___________________________
> Mario Jorge Lima
> mariolima em multisites.com.br
> OBS: Eventualmente nao acentuo algumas palavras do Portugues, para evitar
> bugs na recepcao dos emails.
>
> _______________________________________________
> Postfix-br mailing list
> Postfix-br em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>
>
> _______________________________________________
> Postfix-br mailing list
> Postfix-br em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>
> ___________________________
> Mario Jorge Lima
> mariolima em multisites.com.br
> OBS: Eventualmente nao acentuo algumas palavras do Portugues, para evitar
> bugs na recepcao dos emails.
>
> _______________________________________________
> Postfix-br mailing list
> Postfix-br em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>
>
> _______________________________________________
> Postfix-br mailing list
> Postfix-br em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>
> ___________________________
> Mario Jorge Lima
> mariolima em multisites.com.br
> OBS: Eventualmente nao acentuo algumas palavras do Portugues, para evitar
> bugs na recepcao dos emails.
>
> _______________________________________________
> Postfix-br mailing list
> Postfix-br em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>
>
> _______________________________________________
> Postfix-br mailing list
> Postfix-br em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>
> ___________________________
> Mario Jorge Lima
> mariolima em multisites.com.br
> OBS: Eventualmente nao acentuo algumas palavras do Portugues, para evitar
> bugs na recepcao dos emails.
>
> _______________________________________________
> Postfix-br mailing list
> Postfix-br em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.softwarelivre.org/pipermail/postfix-br/attachments/20160821/16216897/attachment-0001.html>
More information about the Postfix-br
mailing list