是否有比较DNSBL有效性的工具？

Question

我刚刚在我的小型邮件服务器上使用的列表中添加了一个新的DNSBL。我把它设置为列表的第一位，因为我想看看它遗漏了什么，但其他列表却被捕获了。

当我做其他事情的时候，我从眼角里看邮件日志，只是为了确保事情看起来正常，我开始思考如何衡量各种列表的相对有效性。我想我可以在堆的顶端给每个列表一个星期，然后测量其他列表在那一周的捕获量，但这似乎是一个真正的黑客。

是否有任何工具或技术来衡量特定服务器上不同区块列表的相对有效性？我可以通过用户投诉量来衡量假阳性，所以我关心的是解决一个块名单错过而另一个被捕获的问题。

Answer 1

如果您只想确定“哪一组是我应该订阅的最小黑名单，以便捕获最大数量的垃圾邮件”，那么您真正想做的是：

• 根据IP地址统计所有被封锁的垃圾邮件(因此，分析您的邮件日志以获得一张阻止IP的表，并计算每个垃圾邮件的数量)
• 在所有黑名单中运行所有这些IP(这很简单，只需要快速查找每个IP)。
• 根据每一个黑名单所捕获的IP数量(以及来自每个IP的垃圾邮件数量)对每个黑名单进行评分。

这由于每个黑名单的内容都是时变的，所以也许有一个日志检查类型的过程(定期运行，分析新的日志条目)是要走的路，然后可以根据需要向您报告。

所有这些都不是用几行shell或$SCRIPTING_LANGUAGE_OF_CHOICE来装配的那么棘手。

当然，除非你运行了那么多黑名单，以至于浏览这些黑名单所需的时间太长，更有趣的问题是“有多少垃圾邮件没有被我的黑名单发现，还有什么更多的黑名单会抓住那些垃圾邮件，而不会对我的假阳性率造成太大影响。”同样，在您正在考虑的一组黑名单中查找“传递”的IP地址并记录结果将具有指导意义。

Answer 2

除了DNSBL之外，您可能希望考虑的是GeoIP阻塞。这是当您查看连接来自的IP地址时，确定起始国家，然后阻止连接。

我们发现，我们的垃圾邮件大多来自那些我们永远也不会希望收到的国家(中国、巴西、新加坡等)。

通过完全阻止这些国家，我们已经减少了我们的垃圾邮件负载，在任何其他类型的CPU密集检查之前，我们已经减少了大量的垃圾邮件。

我估计，至少90% (可能更多)的垃圾邮件是被GeoIP捕获的，只有不到10%的垃圾邮件是针对DNSBL、垃圾邮件杀手、白名单等实际处理的。

我们使用了MaxMind的免费GeoIP数据库，但我知道还有其他的。

为了直接回答您关于DNSBL的问题，我们使用以下方法：

sbl-xbl.spamhaus.org bl.spamcop.net dnsbl.cyberlogic.net dnsbl.ahbl.org

我们已经有相当一段时间没有从上面更新/更改了。我想说(对我们来说) spamhaus.org倾向于捕捉大多数GeoIP没有的东西。

你的里程可能会不同。

Answer 3

如果你有垃圾邮件杀手，你可以使用它的日志来做那些命中率的计算。

一旦您知道要信任哪些块列表，您就可以重新配置您的邮件服务器，以阻止最受信任的RBL。