我刚刚在我的小型邮件服务器上使用的列表中添加了一个新的 DNSBL。我将它设置为列表中的第一个,因为我想看看它错过了什么,但其他列表被捕获了。
当我做其他事情时,我正在用眼角余光看邮件日志,只是为了确保事情看起来很正常,我开始想知道如何衡量各种列表的相对有效性。我想我可以在堆的顶部给每个列表一周,然后测量其他列表在那一周捕获了多少,但这似乎是一个真正的黑客。
是否有任何工具或技术可以测量特定服务器上不同阻止列表的相对有效性?我可以通过用户投诉量来衡量误报,所以我关心的是一个阻止列表遗漏但另一个捕获的地址。
如果您只想确定“我应该订阅的最小黑名单集以捕获最大数量的垃圾邮件”,那么您真正想要做的是:
这因每个黑名单内容的时变性质而变得复杂,因此也许有一个日志检查类型的过程(定期运行,分析新的日志条目)是可行的方法,然后可以将其报告给您必需的。
用几行 shell 或
$SCRIPTING_LANGUAGE_OF_CHOICE.当然,除非您运行的黑名单太多以至于遍历它们所需的时间过长,否则更有趣的问题是“有多少垃圾邮件没有被我的黑名单捕获,还有哪些额外的黑名单会捕获那些没有贡献的垃圾邮件对我的假阳性率来说太高了。” 同样,在您正在考虑的一组黑名单中查找“通过”的 IP 地址并记录结果将是有益的。
除了 DNSBL,您可能还想考虑 GeoIP 阻塞。这是当您查看连接来自的 IP 地址,确定始发国家/地区,然后阻止连接时。
我们发现我们的大部分垃圾邮件都来自我们从未期望会收到电子邮件的国家(中国、巴西、新加坡等)。
通过完全阻止这些国家/地区,在进行任何其他类型的 CPU 密集型检查之前,我们已经大大减少了垃圾邮件负载。
我估计至少 90%(可能更多)的垃圾邮件被 GeoIP 捕获,而实际上只有不到 10% 的垃圾邮件是针对 DNSBL、spamassassin、白名单等进行处理的。
我们使用了 MaxMind 的免费 GeoIP 数据库,但我知道还有其他的。
为了直接回答您关于 DNSBL 的问题,我们使用以下方法:
sbl-xbl.spamhaus.org bl.spamcop.net dnsbl.cyberlogic.net dnsbl.ahbl.org
在相当长的一段时间内,我们不必对上述内容进行更新/更改。我会说(对我们而言)spamhaus.org 倾向于捕获 GeoIP 无法捕获的大多数内容。
你的旅费可能会改变。
如果您有 spamassassin 应用阻止列表,它(有效地)并行执行,您可以使用它的日志来进行这些命中率计算。
一旦您知道要信任哪些阻止列表,您就可以重新配置您的邮件服务器以阻止最受信任的 RBL。