Configuration d'une fausse adresse e-mail pour piéger les spammeurs

10

J'ai entendu dire que nous avions créé une adresse e-mail spéciale , dont le seul but était d'être récolté . Ensuite, mettre sur liste noire tous les expéditeurs qui ciblent cette adresse.

Je me demande:

  • si quelqu'un d'autre a essayé cela
  • comment procédez-vous (c.-à-d. - mettez l'adresse dans un champ caché sur votre site Web - ou mieux?)
  • est-ce que ça marche?
  • Y a-t-il quelque chose à surveiller lors de cette tentative (par exemple, des expéditeurs légitimes utilisant des adresses collectées?)
email  spam  honeypot 
Brent
source

Réponses:

13

Quelqu'un d'autre a-t-il essayé ceci:

  • Oui, certainement. Presque tous les services anti-spam les utilisent, le terme de l'industrie est "spamtraps"

Comment procédez-vous?

  • Normalement, trouvez une adresse dans l'un des domaines qui reçoit beaucoup de spam et confirmez au propriétaire qu'elle n'est pas utilisée et ils n'ont pas l'intention de la ressusciter. Ce processus peut être (partiellement) automatisé.

Est-ce que ça marche?

  • Oui. La chose la plus utile est que, comme vous pouvez garantir que les messages envoyés aux pièges sont des spams, vous pouvez l'utiliser pour calibrer l'efficacité d'un moteur à tout moment, pour mesurer votre capacité à bloquer le spam (faux négatifs) - à condition que vous disposiez d'un échantillon suffisamment important de spamtraps; la plupart des entreprises anti-spam auraient des centaines ou des milliers
  • Ils peuvent également être utilisés par les systèmes d'apprentissage automatique pour «apprendre» des informations sur les spams. Mais cela pourrait également vous renseigner sur le spam envoyé à des adresses non-spamtrap (bien sûr, vous n'êtes jamais sûr à 100% qu'il s'agit d'un spam s'il est envoyé à une adresse non-spamtrap)
  • Les adresses d'expéditeur de "mise sur liste noire" ne sont normalement pas utilisées. Cela est dû au fait que les spammeurs apparents inventent généralement des adresses d'expéditeur de déchets de toute façon, et parce que les spammeurs apparents réforment parfois leurs méthodes et commencent à envoyer du courrier propre
  • La liste noire d'adresses IP n'est pas non plus utilisée (sous une forme simpliste), pour la même raison; les "mauvaises" adresses IP peuvent commencer à être "bonnes", donc si vous aviez une interdiction générale, le courrier légitime finirait par être bloqué.

Normalement, vous n'utiliseriez pas une seule adresse; ce ne serait pas suffisant. Essayez quelques centaines réparties sur tous vos domaines (pour commencer).

Vous pouvez les annoncer si vous le souhaitez, mais si vos domaines sont suffisamment connus des spammeurs, les adresses de spamtrap candidates existent probablement déjà en leur sein (ce sont probablement des boîtes aux lettres qui n'existent pas sur vos systèmes d'utilisateur final).

Des domaines spamtrap entiers peuvent être configurés - je suis sûr que de nombreuses entreprises les utilisent - soit acheter des domaines de seconde main, soit enregistrer des domaines réalistes avec un site Web plausible (bien que faux). Les sous-domaines peuvent également fonctionner. Les domaines Spamtrap sont pratiques car vous pouvez les configurer avec des mots clés ou dans des domaines spécifiques de premier niveau que les spammeurs peuvent cibler.

MarkR
source
1
J'ai oublié de mentionner, je travaille pour une grande entreprise antispam :)
MarkR
Notez que si vous configurez des interruptions sur un domaine qui reçoit également des messages légitimes, vous devez choisir des adresses qui, bien que d'apparence plausible, sont suffisamment distinctes de toutes les adresses légitimes existantes pour exclure la possibilité d'une faute de frappe menant à une liste noire. De même, comprenez le compromis entre l'utilisation d'une adresse "inactive" et d'une nouvelle adresse en tant que spamtrap: la première vous offre plus de couverture, mais risque de faux positifs, par exemple, des courriels transmis par des expéditeurs légitimes et non commerciaux à un grand nombre des adresses.
user70549
5

je n'ai pas essayé cette méthode, mais je pense [à moins que vous ne gériez des dizaines de milliers de boîtes aux lettres] que vous feriez beaucoup mieux d'utiliser un système anti-spam qui prend une décision basée sur plusieurs rbls et des vérifications de contenu comme dcc / razor / pyzor .

beaucoup de rbls utilisent des pièges à spam à une échelle beaucoup plus large que je pense que vous pourriez déployer.

pQd
source
Nous avons déjà un assez bon filtre anti-spam en place. Je considère cela comme une mesure supplémentaire, car la mise sur liste noire réduirait la charge des filtres de courrier électronique.
Brent
5

Le projet Honey Pot peut vous donner quelques idées sur les méthodes et l'efficacité. Si vous le souhaitez, vous pouvez vous abonner à leur liste noire et les laisser gérer tout cela.

Je suis confus quant à ce que vous entendez par «expéditeurs légitimes utilisant des adresses collectées» - je considérerais, dans presque tous les cas, un tel expéditeur illégitime par définition.

ceejayoz
source
1
Cela semble être un bon endroit pour simplement utiliser le travail acharné de quelqu'un d'autre pour créer / gérer la liste noire.
GreenKiwi
3

Ma préoccupation avec la mise sur liste noire de chaque expéditeur est qu'il est assez facile d'usurper qui a envoyé un e-mail.

Andy
source
5
si quelqu'un va mettre sur liste noire quelque chose, je le ferais définitivement en fonction de l'adresse e-mail de l'expéditeur et non de l'adresse IP.
pQd
Bon point. Mais les spammeurs ont-ils plus de mal à usurper une adresse IP? véritablement curieux
Andy
1
Oui, c'est plus difficile. De plus, ils ont moins de raisons de le faire.
Draemon
Que se passe-t-il lorsque vous recevez du spam provenant de quelqu'un derrière une grande adresse NAT? Des hôtels, des écoles, etc. entiers seront bloqués lors de l'utilisation de cette technique si le délinquant / ordinateur infecté pénètre dans ces réseaux.
Ben Ashton
3

Hmm ... J'ajoute juste mon opinion à la discussion.

Je ne pense pas que cette méthode ait un bon taux de réussite. Je viens de jeter un œil à un tas de spams. Généralement, les spammeurs utilisent de fausses adresses e-mail lors du spam et ils n'utilisent jamais la même adresse encore et encore. La liste noire des adresses e-mail ou des domaines ne serait donc pas une bonne solution.

Mais votre adresse cachée semble être une bonne idée. Étant donné que les utilisateurs réels ne le voient pas et que seul un robot peut filtrer l'adresse e-mail, vous pouvez supposer que seuls les spammeurs obtiendront cette adresse.

Ensuite, vous pouvez intégrer cette idée avec des adresses IP. Si les e-mails envoyés à l'adresse masquée proviennent d'une plage IP, vous pouvez simplement supposer que la plage IP est une plage de spam.

Mais à mon avis, le résultat que vous obtenez par cela ne vaut pas la peine en ce qui concerne l'effort. Je pense que les mécanismes de filtrage basés sur le contenu sont plus fructueux que ce machanisme "Honey pot"

Chathuranga Chandrasekara
source
"Je pense que les mécanismes de filtrage basés sur le contenu sont plus fructueux que ce machanisme" Honey pot "." Les pots de miel peuvent être merveilleux pour filtrer le contenu. Vous en configurez un et l'utilisez pour créer vos filtres de contenu.
ceejayoz le
2

Je l'ai fait. J'ai remarqué dans mes journaux que certaines adresses invalides étaient frappées encore et encore. Ce sont des adresses qui n'ont jamais été actives ou affichées nulle part. J'ai donc configuré une boîte aux lettres qui envoie ces e-mails à sa-learn pour aider à former la base de données bayésienne de spamassassin. Je n'ai jamais testé l'efficacité de cela en aucune façon, mais je ne m'inquiète pas trop car cela coûte peu de temps à configurer.

sherbang
source
2

Mon premier était cependant que cela serait de peu de valeur car les adresses changent toujours.

Mais d'après mon expérience, les spammeurs envoient souvent à une charge d'adresses@votredomaine.com - presque de manière forcée.

Il peut être utile de configurer une adresse (par exemple, adam@votredomaine.com) et de filtrer non pas sur l'adresse de provenance ou IP, mais sur le contenu - filtrez tout e-mail également envoyé à "adam". Vous souhaitez choisir une adresse e-mail lexicographiquement avant toute adresse réelle pour augmenter vos chances. En outre, vous devez tenir compte des petites différences de contenu.

Je soupçonne toujours qu'il tombe dans la catégorie des efforts trop importants, trop peu de gain, mais c'est une pensée si vous expérimentez.

Draemon
source
2

Notre produit anti-spam nous permet de le faire, une liste noire automatisée de tout ce qui est envoyé à un pot de miel. Voici quelques points clés:

  • Vous publiez une adresse e-mail sur votre site Web afin que les robots puissent la trouver et la récupérer, mais aucune personne réelle ne la verrait ou n'enverrait de messages à cette adresse.

  • Vous dites à votre produit anti-spam de surveiller les e-mails entrants envoyés à l'adresse et tous les e-mails entrant dans ce pot de miel seront mis sur liste noire.

  • Il fonctionne au niveau de l'adresse IP d'envoi et non de l'adresse d'envoi FROM, c'est ainsi qu'il évite le problème d'expéditeur usurpé mentionné.

  • Même si nous avons un pot de miel pour les rapports de spam, nous n'utilisons pas cette fonctionnalité, voici pourquoi. Spammer enverra régulièrement des messages de hotmail, yahoo, gmail, etc. Ce sont généralement les 419 messages frauduleux difficiles à arrêter. Bien que le pourcentage ne soit pas élevé, il suffirait que si nous utilisions un système automatique, il bloquerait les e-mails légitimes.

En résumé, nous n'avons pas utilisé le système de liste noire automatique comme vous l'avez mentionné, mais avoir un pot de miel est toujours une fonctionnalité utile. Nous le surveillons et utilisons les e-mails reçus pour signaler le spam et déterminer l'efficacité de nos mesures anti-spam.

Aaron
source
1

J'ai mis une adresse dans un commentaire sur ma page principale. Il reçoit environ 5 e-mails par jour.

Paul Tomblin
source
1

J'utilise ASSP ( asspsmtp.org ), un filtre SPAM open source. Si vous configurez l'authentification, il peut automatiquement créer des adresses de spamtrap pour les adresses inconnues après un certain nombre d'essais ... donc si je reçois à plusieurs reprises un e-mail pour "invaliduser@domain.com", après essayer le numéro X, le système commencera à récolter tous les messages envoyés à cette adresse comme spam. X est réglé suffisamment haut pour que les fautes de frappe et les erreurs normales ne le déclenchent pas, mais les spammeurs le feront.

Jim G.
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.