Configurar una dirección de correo electrónico falsa para atrapar a los spammers

10

He oído que sugiere que establezcamos una dirección de correo electrónico especial , con el único propósito de ser cosechado . Luego ponga en la lista negra a todos los remitentes que se dirigen a esta dirección.

Me pregunto:

  • si alguien más ha intentado esto
  • ¿Cómo se hace para hacerlo (es decir, poner la dirección en un campo oculto en su sitio web, o mejores formas)?
  • ¿Funciona?
  • ¿Hay algo a tener en cuenta al intentar esto (es decir, remitentes legítimos que usan direcciones recopiladas?)
email  spam  honeypot 
Brent
fuente

Respuestas:

13

Alguien más ha intentado esto:

  • Ciertamente si. Casi todos los servicios antispam los utilizan, el término de la industria es "trampas de spam"

¿Cómo lo haces?

  • Normalmente, encuentre una dirección en uno de los dominios que recibe mucho spam y confirme con el propietario que no está en uso y que no tiene planes de resucitarla. Este proceso puede ser (parcialmente) automatizado.

¿Funciona?

  • Si. Lo más útil es que, como puede garantizar que los mensajes enviados a las trampas son spam, puede usarlo para calibrar la efectividad de un motor en un momento dado, para medir qué tan bien está bloqueando el spam (falsos negativos) - siempre que tenga una muestra suficientemente grande de trampas de spam; la mayoría de las compañías anti-spam tendrían cientos o miles
  • También pueden ser utilizados por sistemas de aprendizaje automático para "aprender" cosas sobre spam. Pero eso también podría aprender sobre el correo no deseado enviado a direcciones que no son trampas de correo no deseado (por supuesto, nunca está 100% seguro de que sea un correo no deseado si se envía a una dirección que no sea de correo no deseado)
  • Las direcciones de remitente "en la lista negra" no se utilizan normalmente. Esto se debe a que los spammers aparentes generalmente inventan direcciones de remitentes de basura de todos modos, y porque los spammers aparentes ocasionalmente reforman sus formas y comienzan a enviar correo limpio
  • La lista negra de direcciones IP tampoco se usa (en forma simplista), por la misma razón; las direcciones IP "malas" pueden comenzar a ser "buenas", por lo que si tuviera una prohibición general, el correo legítimo terminaría siendo bloqueado.

Normalmente no usarías una sola dirección; Eso no sería suficiente. Pruebe algunos cientos distribuidos en todos sus dominios (para empezar).

Puede anunciarlos si lo desea, pero si sus dominios son suficientemente conocidos por los spammers, es probable que ya existan direcciones de trampas de spam candidatas (probablemente sean buzones que no existen en sus sistemas de usuario final).

Se pueden configurar dominios completos de trampas de spam, estoy seguro de que muchas empresas los utilizan, ya sea comprar dominios de segunda mano o registrar dominios realistas con un sitio web plausible (aunque falso). Los subdominios también pueden funcionar. Los dominios de Spamtrap son útiles porque puede configurarlos con palabras clave o en dominios específicos de nivel superior a los que los spammers podrían estar apuntando.

MarkR
fuente
1
Olvidé mencionar que trabajo para una importante empresa antispam :)
MarkR
Tenga en cuenta que si está configurando trampas en un dominio que también recibe correo legítimo, debe elegir direcciones que, aunque parezcan verosímiles, sean lo suficientemente distintas de las direcciones legítimas existentes para evitar la posibilidad de un error tipográfico que lleve a una lista negra. Del mismo modo, comprenda la compensación entre el uso de una dirección "inactiva" y una nueva dirección como trampa de spam: la primera le brinda más cobertura, pero corre el riesgo de falsos positivos de, por ejemplo, correos electrónicos enviados por remitentes legítimos no comerciales a un gran número de direcciones.
user70549
5

No he probado este método, pero creo que [a menos que maneje decenas de miles de buzones de correo] estará mucho mejor usando el sistema anti-spam que toma decisiones basadas en múltiples rbls y comprobaciones de contenido como dcc / razor / pyzor .

muchos rbls usan trampas de spam en una escala mucho más amplia de lo que creo que podría implementar.

pQd
fuente
Ya tenemos un filtro de spam bastante bueno. Estoy considerando esto como una medida adicional, ya que las listas negras reducirían la carga en los filtros de correo.
Brent
5

Project Honey Pot puede darle algunas ideas sobre métodos y efectividad. Si lo desea, puede suscribirse a su lista negra y dejar que se encarguen de todo esto.

Estoy confundido en cuanto a lo que quiere decir con "remitentes legítimos que usan direcciones recopiladas". En casi todos los casos, consideraría que tal remitente es ilegítimo por definición.

ceejayoz
fuente
1
Este parece ser un buen lugar para usar el arduo trabajo de otra persona para crear / administrar la lista negra.
GreenKiwi
3

Mi preocupación por poner en la lista negra a todos los remitentes es que es bastante fácil falsificar quién envió un correo electrónico.

Andy
fuente
55
si alguien va a poner en la lista negra algo, definitivamente lo haré en función de la dirección de correo IP no del remitente.
pQd
Buen punto. ¿Pero los spammers tienen más dificultades para falsificar una IP? genuinamente curioso
Andy
1
Si, es mas dificil. Además, tienen menos razones para hacerlo.
Draemon
¿Qué sucede cuando recibes spam de alguien detrás de una gran dirección NAT? Hoteles completos, escuelas, etc. se bloquearán al usar esta técnica si el delincuente / computadora infectada ingresa a estas redes.
Ben Ashton
3

Hmm ... Solo agrego mi opinión a la discusión.

No creo que este método tenga una buena tasa de éxito. Acabo de echar un vistazo a un montón de Spams. En general, los spammers usan direcciones de correo electrónico falsas mientras envían spam y nunca usan la misma dirección una y otra vez. Por lo tanto, poner en la lista negra las direcciones de correo electrónico o dominios no sería una buena solución.

Pero su dirección oculta parece ser una buena idea. Dado que los usuarios reales no lo ven y solo un rastreador puede filtrar la dirección de correo electrónico, puede suponer que solo los spammers obtendrán esa dirección.

Entonces puede integrar esa idea con las direcciones IP. Si los correos enviados a la dirección oculta provienen de algún rango de IP, puede suponer que el rango de IP es un rango de spam.

Pero desde mi punto de vista, el resultado que está obteniendo con esto no vale la pena en cuanto al esfuerzo. Creo que los mecanismos de filtrado basados ​​en contenido son fructíferos que este mecanismo de "Honey pot"

Chathuranga Chandrasekara
fuente
"Creo que los mecanismos de filtrado basados ​​en el contenido son fructíferos que este machanism" Honey pot ". Las ollas de miel pueden ser maravillosas para conseguir que el contenido se filtre. Configura uno y lo usa para inicializar sus filtros de contenido.
ceejayoz 02 de
2

He hecho esto. Noté en mis registros que ciertas direcciones inválidas son golpeadas una y otra vez. Estas son direcciones que nunca estuvieron activas o publicadas en ningún lado. Así que configuré un buzón que envía esos correos electrónicos a sa-learn para ayudar a entrenar la base de datos bayesiana de spamassassin. Nunca he probado la efectividad de esto de ninguna manera, pero no estoy demasiado preocupado porque cuesta poco tiempo configurarlo.

Sherbang
fuente
2

Mi primer pensamiento fue que esto sería de poco valor ya que las direcciones siempre están cambiando.

Pero en mi experiencia, los spammers a menudo envían a una carga de direcciones@tudominio.com, casi de forma bruta.

Puede valer la pena configurar una dirección (por ejemplo, adam@yourdomain.com) y filtrar no en la dirección de origen o IP, sino en el contenido: filtre cualquier correo electrónico que también se envíe a "adam". Desea elegir una dirección de correo electrónico lexicográficamente antes de cualquier dirección real para aumentar sus posibilidades. Además, debería tener en cuenta las pequeñas diferencias de contenido.

Todavía sospecho que cae en la categoría de demasiado esfuerzo, muy poca ganancia, pero es un pensamiento si estás experimentando.

Draemon
fuente
2

Nuestro producto antispam nos permite hacer esto, una lista negra automatizada de todo lo que se envía a un honeypot. Aquí hay un par de puntos:

  • Publica una dirección de correo electrónico en su sitio web de modo que los bots puedan encontrarla y recogerla, pero ninguna persona real la vería o enviaría mensajes a esa dirección.

  • Usted le dice a su producto anti-spam que monitoree el correo electrónico entrante enviado a la dirección y todo el correo electrónico que ingrese a ese honeypot será incluido en la lista negra.

  • Funciona en el nivel de la dirección IP de envío, no en la dirección de envío DE, así es como evita el problema del remitente falsificado mencionado.

  • A pesar de que tenemos un honeypot para la generación de informes de spam, no utilizamos esta función, esta es la razón. Los spammers envían rutinariamente algunos mensajes de hotmail, yahoo, gmail, etc. Estos son típicamente los mensajes de estafa 419 que son difíciles de detener. Aunque el porcentaje no es alto, sería suficiente que si utilizáramos un sistema automático, bloquearíamos el correo electrónico legítimo.

En resumen, no hemos utilizado el sistema automático de listas negras como mencionó, sin embargo, tener un honeypot sigue siendo una característica útil. Lo supervisamos y utilizamos el correo electrónico recibido para informar sobre el correo no deseado y para determinar la eficacia de nuestras medidas contra el correo no deseado.

Aaron
fuente
1

Puse una dirección en un comentario en mi página principal. Recibe alrededor de 5 correos electrónicos al día.

Paul Tomblin
fuente
1

Yo uso ASSP ( asspsmtp.org ), un filtro de SPAM de código abierto. Si configura la autenticación, puede crear automáticamente direcciones de trampa de spam para direcciones desconocidas después de un cierto número de intentos ... así que si recibo correos electrónicos repetidamente para "invaliduser@domain.com", después del intento número X, el sistema comenzará a recolectar todos mensajes enviados a esa dirección como spam. X está lo suficientemente alto como para que los errores tipográficos y los errores normales no lo hagan tropezar, pero los spammers sí.

Jim G.
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.