反垃圾邮件的一个思路

刘五十三

现在那些反垃圾邮件的功能太麻烦，又要几千条贝页斯规则计算，又是大规模封掉你的网段，就像人得了癌症，化疗造成很多很大的副作用一样。可能病没治好，人先被毒死了。而且发垃圾邮件的也是人，不是电脑。

我觉得是否可以主动出击，大规模的建立一些假地址和假域名，然后把这些地址到处散布到internet上各个地方，让发垃圾邮件收集去吧，这些地址一旦收到邮件，立刻认为发信ip是垃圾邮件发送人，然后马上把这个ip封一段时间,比如24小时，当然收到的这封垃圾邮件不要拒绝，丢弃就可以了。只要这个网络规模够大，完全可以在垃圾邮件发送人在发送头1000封或100封邮件的时候立刻找出这些垃圾邮件发送来源，后面的垃圾邮件就可以直接丢弃了，不用再做什么分析。ip黑名单也不要搞成永久的或一个网段通杀。

具体做可以有些改变，比如有人不小心写错了地址，可以在第一封邮件返回reject信息，如果超过5个不同域名的假地址收到同样的邮件，几乎可以肯定发现了一个垃圾邮件发送ip。还要想办法区分病毒邮件发送和垃圾邮件发送ip,不过我认为现在的病毒一般发的地址都是真的，第二可以给ip一段时间后解封。也能缓解由于病毒导致ip被封的问题。

我试验过一段时间，效果一般，大概干掉了40%-50%的垃圾邮件，这种方法找到的垃圾邮件都被我直接丢弃，基本上没有投诉。应该是网络不够大的缘故。希望有人能提出一些可操作的建议，把这个东西做成免费的，最好尽量小的占用服务器的资源，还有一个汇总各个服务器的信息的方法.
我的环境是这样的，2台服务器，一天大概能干掉十万封垃圾邮件，账号大概3000个，我设置的规则很简单，这3000个账号外的都当成了假地址，垃圾邮件发送人发过来的只要是假地址，这封邮件直接丢弃，ip纪录72小时，72小时内这个地址发过来的邮件，收件人地址少于5个同时这几个收件人都是对的就收下来，大于5个还是丢弃。垃圾邮件ip我纪录8万个，多于8万个用lru方式新的ip替换旧的，72小时后找出发来邮件最多的2万个ip作为下一次垃圾邮件ip队列的头2万个纪录再继续纪录。使用了1年多了，几次投诉都是地址写错了收不到邮件，后来几个老写错地址的就加到白名单了。

大麻

这种 trap 技术，应该很多反垃圾邮件网关都具备的功能吧？综合使用应该有一定的效果的。

刘五十三

我查过网上有类似的蜜罐做法，但是没有那个公司或组织大规模的这么做。好像symantec号称在网上放了几万台服务器收集病毒，不过没有听过有用这种方法对付垃圾邮件的。只要网络够大，客户端采用类似rbl方式验证垃圾邮件ip应该效果不错，客户端和服务器端资源消耗也很小。

[ 本帖最后由 刘五十三 于 2006-7-13 11:06 编辑 ]

galaxy1975

原帖由 大麻 于 2006-7-13 10:49 发表
这种 trap 技术，应该很多反垃圾邮件网关都具备的功能吧？综合使用应该有一定的效果的。

同意

刘五十三

我觉得你们没明白我的意思，我的意思是，这种做法，一个公司做效果不会那么好，一定要有一个组织或建立一种服务器设定的机制，当然要做成免费的，让别人可以直接拿服务器部分拿来用或加入其中，对加入的公司有个信任机制就好了，就像dns一样，一台服务器做不了的，一定要有个规模，还有免费的bind软件，不过这东西做起来应该比bind简单多了。如果只是对你的公司做这个，效果一定有限，加入的人越多，效果越好。

galaxy1975

...费用呢?现在是一个商业的社会,CNNIC对每个域名都要收取管理费用.谁又能快速组建SpamTrip的CNNIC呢?

abel

现在那些反垃圾邮件的功能太麻烦，又要几千条贝页斯规则计算，又是大规模封掉你的网段，就像人得了癌症，
化疗造成很多很大的副作用一样。可能病没治好，人先被毒死了。而且发垃圾邮件的也是人，不是电脑。

是人用電腦發,你有方法, spamer 也會有對策的,這本來就是鬥法

我觉得是否可以主动出击，大规模的建立一些假地址和假域名，然后把这些地址到处散布到internet上各个地
方，让发垃圾邮件收集去吧，这些地址一旦收到邮件，立刻认为发信ip是垃圾邮件发送人，然后马上把这个ip
封一段时间,比如24小时，当然收到的这封垃圾邮件不要拒绝，丢弃就可以了。只要这个网络规模够大，完全
可以在垃圾邮件发送人在发送头1000封或100封邮件的时候立刻找出这些垃圾邮件发送来源，后面的垃圾邮件
就可以直接丢弃了，不用再做什么分析。ip黑名单也不要搞成永久的或一个网段通杀。

這個部份光域名可能就要不少成本,我看有些 spammer 就申請了數十個域名來發信,我可以收集這些域名檔掉,
當然 spammer 也可以收集你的域名 drop 掉,做法上可能稍有不同,但其實用意是差不多的,至於您提到的一些
IP 封阻的狀況就如同 RBL, 尤其像計時鎖住就像 spamcop, 初犯1天,再犯2天,三犯一調..(具體時間請自查
spamcop 網站),至於用 IP 封若不用 public RBL, 也可以像我們一樣自己建一個 private RBL, 再加上反向解析
驗證,也相當足夠了 (反解確認在中國不適用),
http://211.72.210.251/mail.html
看最下面的圖 (year) , 有兩個大幅下降的地方,第一個是用 RBL (private RBL), 第二個是用 PTR check, 如此
下來,過去我一天五百封的 spam 大概就只餘30封了,最後一關再用 content filter (也是自己寫的),實際收到的
Spammer 大概每天不超過五封,而 content filter 會動態更新 RBL (DNS),也提供退信連結讓 Sender 知道為什麼
被退,讓他有提出申訴的機會 (http://rbl.twnic.tw/?ip=168.95.4.15) , RBL List 是從自己的程式中產生

具体做可以有些改变，比如有人不小心写错了地址，可以在第一封邮件返回reject信息，如果超过5个不同域名的假
地址收到同样的邮件，几乎可以肯定发现了一个垃圾邮件发送ip。还要想办法区分病毒邮件发送和垃圾邮件发送ip,
不过我认为现在的病毒一般发的地址都是真的，第二可以给ip一段时间后解封。也能缓解由于病毒导致ip被封的问题。

這樣的處理個人認為太複雜,得記錄什麼來源發到什麼地址多久時間內幾次....,光這個動作 Server 一直 check 就可能
過度消耗資源,至於這些 User unknown 的狀況更不需要檢查什麼病毒,因為根本不需要以 MUA 去收這些信

我试验过一段时间，效果一般，大概干掉了40%-50%的垃圾邮件，这种方法找到的垃圾邮件都被我直接丢弃，基本上没
有投诉。应该是网络不够大的缘故。希望有人能提出一些可操作的建议，把这个东西做成免费的，最好尽量小的占用服
务器的资源，还有一个汇总各个服务器的信息的方法.

這些事總之是很複雜的,做是可以做,但資源 (System,MTA,DB,Money...) 問題和整合是必需考慮的,但用意其實和 RBL 是
差不多的, 巳經有一個 spamcop 做得很好了,你只要將 spam 訊息 submit 到 spamcop 其他的事就不需要你來考慮了,
spamcop 會幫你處理信中的 IP , 還有 link, 並查 whois 找到對應的 Sender,IP,Link 可能的負責人,並發信提醒對方
此事

我的环境是这样的，2台服务器，一天大概能干掉十万封垃圾邮件，账号大概3000个，我设置的规则很简单，这3000个账号
外的都当成了假地址，垃圾邮件发送人发过来的只要是假地址，这封邮件直接丢弃，ip纪录72小时，72小时内这个地址发
过来的邮件，收件人地址少于5个同时这几个收件人都是对的就收下来，大于5个还是丢弃。垃圾邮件ip我纪录8万个，多于
8万个用lru方式新的ip替换旧的，72小时后找出发来邮件最多的2万个ip作为下一次垃圾邮件 ip队列的头2万个纪录再继续
纪录。使用了1年多了，几次投诉都是地址写错了收不到邮件，后来几个老写错地址的就加到白名单了。

我個人的做法就用 RBL, 用 powerdns 做成 DB 化的 DNS RBL, 進信 spam 就進 RBL, 寫錯地址的也進 RBL, 下次再寫錯
他就會收到 RBL 退信的 link, 它直接看 link 就知道為什麼會被列,怎處理.綜合自己上述的方法,現在信件幾乎看不到
spam, 更沒有什麼額外產生的費用及機器問題