Configurando um endereço de email falso para interceptar spammers

10

Ouvi dizer que sugerimos que configurássemos um endereço de e-mail especial , com o único objetivo de ser colhido . Em seguida, coloque na lista negra todos os remetentes que segmentam esse endereço.

Eu estou pensando:

  • se alguém já tentou isso
  • como você faz isso (por exemplo - coloque o endereço em um campo oculto no seu site - ou de maneiras melhores?)
  • funciona?
  • Há algo a observar ao tentar isso (por exemplo, remetentes legítimos usando endereços coletados?)
email  spam  honeypot 
Brent
fonte

Respostas:

13

Alguém mais tentou isso:

  • Certamente sim. Quase todos os serviços anti-spam existentes no mercado os utilizam, o termo da indústria é "armadilhas de spam"

Como você faz isso?

  • Normalmente, encontre um endereço em um dos domínios que recebe muito spam e confirme com o proprietário que ele não está sendo usado e que eles não têm planos de ressuscitá-lo. Esse processo pode ser (parcialmente) automatizado.

Funciona?

  • Sim. O mais útil é que, como você pode garantir que as mensagens enviadas para as traps sejam spam, você pode usá-lo para calibrar a eficácia de um mecanismo a qualquer momento, para medir o desempenho do bloqueio de spam (falsos negativos). - desde que você tenha uma amostra suficientemente grande de armadilhas de spam; a maioria das empresas anti-spam teria centenas ou milhares
  • Eles também podem ser usados ​​por sistemas de aprendizado automático para "aprender" coisas sobre spam. Mas isso também pode aprender sobre spam enviado para endereços que não são spamtrap (é claro, você nunca tem 100% de certeza de que é um spam se for enviado para um endereço que não é spamtrap)
  • Os endereços de remetente da "lista negra" não são normalmente utilizados. Isso ocorre porque os spammers aparentes geralmente inventam endereços de remetentes de lixo de qualquer maneira e porque os spammers aparentes ocasionalmente reformam seus caminhos e começam a enviar emails limpos
  • A lista negra de endereços IP também não é usada (de forma simplista), pelo mesmo motivo; endereços IP "ruins" podem começar a ser "bons"; portanto, se você tivesse uma proibição geral, e-mails legítimos acabariam sendo bloqueados.

Normalmente você não usaria apenas um único endereço; isso não seria suficiente. Tente algumas centenas espalhadas por todos os seus domínios (para começar).

Você pode divulgá-los se quiser, mas se seus domínios forem suficientemente conhecidos pelos remetentes de spam, os endereços de armadilha de spam candidatos provavelmente já existem neles (provavelmente são caixas de correio que não existem nos seus sistemas de usuário final).

Domínios inteiros de spamtrap podem ser configurados - tenho certeza de que muitas empresas os utilizam - compram domínios de segunda mão ou registram domínios com som realista em um site plausível (embora falso). Subdomínios também podem funcionar. Os domínios Spamtrap são úteis, pois você pode configurá-los com palavras-chave ou em domínios de nível superior específicos que os spammers podem ter como alvo.

MarkR
fonte
1
Esqueci de mencionar, eu trabalho para uma grande empresa de antispam :)
MarkR
Observe que, se você estiver configurando traps em um domínio que também recebe emails legítimos, escolha endereços que, embora pareçam plausíveis, sejam suficientemente distintos dos endereços legítimos existentes para impedir a possibilidade de um erro de digitação levando a uma lista negra. Da mesma forma, entenda o compromisso entre usar um endereço "inativo" e um novo endereço como uma armadilha de spam: o primeiro oferece mais cobertura, mas corre o risco de falsos positivos de, por exemplo, e-mails encaminhados por remetentes não comerciais legítimos para um grande número de endereços.
user70549
5

Eu não tentei esse método, mas acho que [a menos que você lide com dezenas de milhares de caixas de correio], será muito melhor usar o sistema anti-spam que toma uma decisão com base em vários rbls e verificações de conteúdo como dcc / razor / pyzor .

muitos rbls usam armadilhas de spam em uma escala muito maior do que eu acho que você poderia implantar.

pQd
fonte
Já temos um bom filtro de spam em vigor. Estou considerando isso como uma medida adicional, pois a lista negra reduziria a carga nos filtros de correio.
Brent
5

O projeto Honey Pot pode lhe dar algumas idéias sobre métodos e eficácia. Se desejar, você pode se inscrever na lista negra deles e deixá-los lidar com tudo isso.

Estou confuso quanto ao que você quer dizer com "remetentes legítimos usando endereços coletados" - eu consideraria, em quase todos os casos, um remetente ilegítimo por definição.

ceejayoz
fonte
1
Parece um bom lugar para usar apenas o trabalho árduo de outra pessoa criando / gerenciando a lista negra.
23909 GreenKiwi
3

Minha preocupação em colocar na lista negra todos os remetentes é que é bastante fácil falsificar quem enviou um email.

Andy
fonte
5
se alguém estiver na lista negra de qualquer coisa, eu definitivamente o faria com base no endereço de email do remetente do ip.
pQd
Bom ponto. Mas os spammers têm mais dificuldade em falsificar um IP? genuinamente curioso
Andy
1
Sim, é mais difícil. Além disso, eles têm menos motivos para fazê-lo.
233 Draemon
O que acontece quando você recebe spam de alguém atrás de um grande endereço NAT? Hotéis, escolas etc. inteiros serão bloqueados ao usar esta técnica se o computador infrator / infectado entrar nessas redes.
Ben Ashton
3

Hmm ... Apenas adicionando minha opinião à discussão.

Eu não acho que esse método tenha uma boa taxa de sucesso. Só vi um monte de spam. Geralmente, os remetentes de spam usam endereços de e-mail falsos durante o envio e nunca usam o mesmo endereço repetidamente. Portanto, colocar na lista negra os endereços de email ou domínios não seria uma boa solução.

Mas o seu endereço oculto parece ser uma boa ideia. Como os usuários reais não o veem e apenas um rastreador pode filtrar o endereço de email, você pode assumir que apenas os spammers obterão esse endereço.

Depois, você pode integrar essa ideia aos endereços IP. Se os e-mails enviados para o endereço oculto vierem de algum intervalo de IP, você pode simplesmente assumir que o intervalo de IP é um intervalo de spam.

Mas, na minha opinião, o resultado que você está obtendo com isso não vale a pena em relação ao esforço. Eu acho que os mecanismos de filtragem baseados em conteúdo são frutíferos que esse machanismo "Pote de mel"

Chathuranga Chandrasekara
fonte
"Eu acho que os mecanismos de filtragem baseados em conteúdo são frutíferos que esse machanismo" Honey pot ". Potes de mel podem ser maravilhosos para filtrar o conteúdo. Você configura um e usa-o para propagar seus filtros de conteúdo.
ceejayoz
2

Eu fiz isso. Percebi nos meus logs certos endereços inválidos serem atingidos repetidamente. Esses são endereços que nunca foram ativos ou publicados em qualquer lugar. Então, configurei uma caixa de correio que envia esses e-mails para o sa-learn para ajudar a treinar o banco de dados bayesiano do spamassassin. Nunca testei a eficácia disso de nenhuma maneira, mas não estou muito preocupado com isso, pois custa pouco tempo para configurar.

Sherbang
fonte
2

Meu primeiro pensamento foi que isso teria pouco valor, pois os endereços estão sempre mudando.

Mas, na minha experiência, os remetentes de spam costumam enviar para um monte de endereços@seudominio.com - quase de maneira bruta e forçada.

Pode valer a pena configurar um endereço (por exemplo, adam@seudominio.com.br) e filtrar não o endereço de origem ou o IP, mas o conteúdo - filtre qualquer email também enviado para "adam". Você deseja escolher um endereço de e-mail lexicograficamente antes de qualquer endereço real para aumentar suas chances. Além disso, você precisaria considerar pequenas diferenças de conteúdo.

Eu ainda suspeito que se enquadre na categoria de muito esforço, muito pouco ganho, mas é um pensamento se você estiver experimentando.

Draemon
fonte
2

Nosso produto anti-spam nos permite fazer isso, uma lista negra automatizada de tudo o que é enviado para um honeypot. Aqui estão alguns dos pontos de bala:

  • Você publica um endereço de e-mail em seu site para que os bots possam encontrá-lo e buscá-lo, mas nenhuma pessoa real o veria ou enviaria mensagens para esse endereço.

  • Você diz ao seu produto anti-spam para monitorar o e-mail recebido enviado para o endereço e todos os e-mails que entram nesse honeypot serão colocados na lista negra.

  • Funciona no nível do endereço IP de envio e não no endereço FROM de envio, é assim que evita o problema do remetente falsificado mencionado.

  • Embora tenhamos um honeypot para relatórios de spam, não usamos esse recurso, eis o motivo. O Spammer's envia rotineiramente algumas mensagens do hotmail, yahoo, gmail, etc. Normalmente, essas são as 419 mensagens fraudulentas difíceis de impedir. Embora a porcentagem não seja alta, seria suficiente que, se usássemos um sistema automático, ele bloqueasse emails legítimos.

Em resumo, não usamos o sistema de lista negra automática como você mencionou, no entanto, ter um honeypot ainda é um recurso útil. Nós o monitoramos e usamos o email recebido para denunciar spam e determinar a eficácia das nossas medidas anti-spam.

Aaron
fonte
1

Coloquei um endereço em um comentário na minha página principal. Recebe cerca de 5 e-mails por dia.

Paul Tomblin
fonte
1

Eu uso o ASSP ( asspsmtp.org ), um filtro de SPAM de código aberto. Se você configurar a autenticação, ele poderá criar automaticamente endereços de spamtrap para endereços desconhecidos após um certo número de tentativas ... por isso, se eu receber e-mails repetidamente para "invaliduser@domain.com", após a tentativa número X, o sistema começará a coletar todos os mensagens enviadas para esse endereço como spam. O X é alto o suficiente para que erros de digitação e erros normais não o atinjam, mas os spammers o fazem.

Jim G.
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.