自作のスパム対策サービス後藤、またはIPアドレスの白さを求めてどのように戦ったか

自作ソリューションの前のSelectelのスパム対策システム



こんにちは、Habr！SelectelのジュニアPython開発者であるSashaFedoseevです。数年前、私たちの会社が特に急速に成長し始めたとき、私たちは問題に直面しました。暑い国からのあらゆる種類の悪意のあるスパマーが私たちのリソースに興味を持ち始めました 。仮想マシンの構成はかなり予算があり、他に何が必要ですか。



なぜ彼らと戦うことにしたのですか？さて、メールはアカウントから送信されますが、何が問題なのですか...しかし、クラウドプロバイダーの観点からは、スパマーの「増殖」を止める価値があるのには理由があります。

スパマーと戦う理由

彼らは白いIPを台無しにします

ある種のメールを外部に送信するには、仮想マシンにIPアドレスが必要です。白い「IP」はかなり限られたリソースであるため、スパマーではなく、まともなユーザーによって占有されていることを理解することが重要です。後者は、大規模な電子メールサービスの一部でIP禁止を引き起こします。「IPアドレス」はブラックリストに登録されており、これを常に理解できるとは限りません。そのようなIPをメールを送信する必要のある別のクライアントに転送する場合にのみ、最終的に彼はこれを行うことができません。禁止からIPを削除するのはかなり難しいプロセスなので、そこに到達しない方がよいでしょう。

騒々しい隣人効果

スパマーが多くのスパムマシンを配備することは珍しいことではありません。また、同じ仮想化ホストを使用するのに不運なユーザーは、怪我をする可能性があります。不快です。

IPアドレスとCPU時間を消費します

Selectelがそのようなクライアントを必要とするのはなぜですか。代わりに、当社のサービスの品質に関心を持ち、ビジネスの開発に力を注ぐ優れたユーザーがいる可能性があります。

評判の問題

彼がスパマーと離婚したと彼らが彼について言って、彼がこれを下取りに出すならば、どんなプロバイダーもそれを好きではないでしょう。

以前のように

当初から、スパム対策は手動で行われました。問題は、各インシデントを分析したテクニカルサポートスタッフによって処理されました。テクニカルサポートは、このすべての負担を自分自身に負わせました。さらに、管理者は定期的に登録を確認して、10個のアカウントがスパマーによって登録されていないことを確認しました。これは単なる偶然です。10人の異なるユーザーが同時に登録しました。



そのようなシステムがかなり効果がないことは明らかです。まず、スパマーを特定してから禁止するまでに、容認できないほど長い遅延があります。第二に、テクニカルサポートの従業員は仕事の時間をより効率的に過ごすことができます。そこで、他のオプションを探し始めました。

問題の可能な解決策

書類による登録

これはスパマーを怖がらせるでしょうが、立派なクライアントにとってオンボーディングをはるかに難しくします。さらに、サポートスタッフはすべての登録を行う必要があります。それは最も楽しい仕事ではないようです。また、jpgファイルの存在は、実際のドキュメントの存在を保証するものではありません。



結論：「紙をお願いします」を手配しないことに決め、このオプションを拒否しました。

クライアントにメールを送信する機能を閉じます

単語からのメール送信は一切サポートしていないことを、すべてのお客様に警告することができました。しかし、おそらく、それは奇妙でしょう。スパムを送信しないユーザーは、標準の使い慣れた機能を失います。彼らは実際の郵便通信を維持することさえできず、これのために間違いなく悲しいでしょう。



結論：明らかに必要な機能をクライアントから奪い、「サイド」でソリューションを探すように強制したくありませんでした。

メールを送信するためのゲートウェイを作成する

一般に、メールゲートウェイは、すべてのメールが通過するサーバーです。彼はメールを分析し、これまたはその手紙がスパムであるかどうかを判断することができます。Selectelのようなインフラストラクチャプロバイダーの場合、これをサービスとしてフレーム化するのが正しいでしょう。しかし、そのようなソリューションには、別個の開発チーム、継続的なサポートおよび開発が必要です。 結論



：このようなサービスの作成は、決定時の会社の計画には含まれていませんでした。

サードパーティのサービスを使用する

このオプションも検討しましたが、反対の意見が複数見つかりました。まず、サードパーティのサービスとの統合は重要な技術的タスクです。第二に、私たちはある種の外部サービスに依存している状況に身を置くでしょう。最後に、外部サービスのコストを考慮に入れる必要があるため、サービスの価格が高くなります。もちろん、私はこれをしたくありません。



結論：外部サービスの使用は、サービスのコストに影響を与える可能性がありますが、それを実現することはできませんでした。



一般的に、上記のオプションをすべて却下したため、独自のスパム対策システムを作成することにしました。

スパマーの50の色合い

ユーザー間でスパマーを個別に識別したい場合は、これを行うための基準を決定する必要があります。



ユーザーの行動特性に注意を払い、トラフィックを分析することは価値があります：



→ アカウント登録の日付。 5分前に登録され、すでにスパム対策の対象となっている場合、アカウントはスパム専用に作成された可能性が高いです。



→ メール名。私たちは皆、名前が何らかの意味を持つように住所を呼びます（会社の名前または送信者の名前）。名前が不明瞭で疑わしいと思われる場合、これは禁止を支持する非常に強力な議論です。



→ 支払い方法。使い捨てカードまたはPayPalの場合、そのようなアカウントも疑わしいです。



→ 登録時のIPアドレスのジオロケーション。 Selectelのクライアントの圧倒的多数は、ロシアとCIS諸国からのものです。別のユーザーが日当たりの良いブラジルまたはモロッコ（これらの国は伝統的に最もスパマーが多い）に登録している場合、これは懸念の原因です。また、IPアドレスのジオロケーションから取得した情報に対して国コードと電話番号を確認することもできます。



→ ユーザー名。ユーザー名がランダムに指をキーボード上でスワイプしたように見える場合、それは疑わしいです、同意します。



L7レベルでのトラフィックの分析をすぐに却下したことを付け加えておきます。結局のところ、これは、各電子メールを開いて、その内容を「読む」必要があることを意味します。このようなアプローチは、おそらく、Googleのような大規模で影響力のある企業によって提供され、メールコンテンツのセマンティック分析を設定し、NDAと弁護士を課すことができます。しかし、このオプションは私たちには適していません。



しかし、L4レベルで情報を処理することはすでに可能です。それは非人称的であり、いくつかのメトリックで表されます。ここでは、IPアドレスからメールが送信される アドレスの 数と、送信される情報のサイズを確認できます。スパマーが通常、手紙を送るアドレスの非常に大きなデータベースを持っていることは論理的です。



その結果、これらすべての基準の複合体は、スパマーが私たちの前にいるかどうかを十分に合理的に判断するのに十分であると判断しました。

ソリューションの概念

アカウントの評価

私たちは、リストされた基準に基づいてユーザーを評価するプロセスを自動化することを決定しました-評価モデル、一種の「信頼指数」に従って。私たちはメールを読みませんが、エンベロープを比較検討し、クラウドから出てくるパブリックトラフィックのメトリックを分析します。



使い方。ユーザーがサインアップすると、最初から100ポイントに相当する最高の評価が割り当てられます。当初、私たちはすべての人を信頼し、すべてのクライアントが正常に機能し、スパムを送信しないと信じています。





次に、ユーザーは一連のチェックを実行します。失敗した各チェックは、ペナルティの形でユーザーの最終評価に反映されます。スパマーでの経験に基づいてサイズを設定しました。



まず第一に、私たちは通常、IPアドレスの地理的位置に注意を払います：それがスパマーの大多数が来る国に対応するかどうか。そのような国のリストがあり、定期的に補充しています。次に、上記の残りのフィルターを介して新しいユーザーを「実行」します。その結果、アカウントの最終スコアが得られ、スパム対策サービスでさらに使用するために保存されます。

封筒の重さを量り、IPアドレスを表示します

当社のネットワーク機器は、Netflowプロトコルを使用してパブリックトラフィックのメトリックを提供できます。これらには、SMTPパケット、SMTPバイト、SMTPストリームの数、および各送信元アドレスのIPアドレスの数が含まれます。これらすべてのメトリックをNetflowコレクターに収集します。後者は、より便利に使用できるようにそれらを少しフォーマットし、NetClickフェッチャーと呼ばれる補助サービスの助けを借りて、スパム対策でさらに使用するためにClickhouseに入ります。

ゴス

Selectelの開発者には小さな伝統があります。私たちは、Hunter xHunterユニバースのキャラクターの名前で自作サービスを呼び出します。そのため、その名前は、漫画のヒーローである後藤に敬意を表して付けられました。



スパム対策は2つの部分で構成され、Goで記述されています。サービスの最初の部分はGotoh-fetcherと呼ばれます。彼は、いくつかのClickhouseリーダーで、Netflowを介して私たちに到達する前述のトラフィックメトリックのデータの取得に従事しています。このデータは、処理のためにGotoh-fetcherコアに送られます。そこで、それらはより便利な形式にフォーマットされ、さらに書き込むためにRedisライターに送信されます。これで後藤フェッチャーの作業は終わりです。



封筒の重さを量り、住所を見る



次に、その名に恥じない後藤検査官が仕事に取り掛かる。彼は意思決定者、裁判官の役割を果たしています。後藤検査官はどこに行くの？ Gotoh-fetcherからフェッチしたデータをRedisに求めます。



データを受け取った後、私たちの「検査官」はチェックを開始します。まず、メトリックの制限を超えているかどうかを確認します。そうでない場合、それ以上の検証は意味がありません-Gotoh-inspectorは、データのこの部分を考慮から除外します。



Gotoh-inspectorのしくみ



少なくとも1つのメトリックで制限を超えた場合、最初にクライアントに信頼できるタグがあるかどうかを確認します。これは、通常のメールを送信するスパマーとユーザーを単純に大量に分離するために特別に導入されました。ユーザーの信頼できるタグは、Selectelのスペシャリストと話し合った後にのみ表示されます。



通常のビジネスメールを送信しているだけの本物の会社の人と取引していることを確認する必要があります。それはたくさんあります。信頼できるタグがある場合、Clickhouseでインシデントが生成され、このデータは考慮されなくなります。ただし、クライアントにタグがない場合は、「調査」を継続します。



評価を見て、ここから楽しみが始まります。スコアリングには2つの境界があります。 1つ目は信頼限界です。検証の結果によると、アカウントに適切な評価が割り当てられている場合は、インシデントをClickhouseに送信するだけで、忘れてしまいます。一般に、スコアの高いユーザーとは何の関係もありません。



スコアが信頼限界よりも小さい場合は、それが禁止限界から遠く離れているかどうかを調べます。より公正な評価には、2つの境界が必要です。スコアが良ければユーザーを禁止しませんが、評価で疑問が生じた場合は、このアカウントに関連付けられているインシデントの数を調べます。



アカウントが中間ゾーンに該当する場合、その評価が信頼限界よりも低く、禁止限界よりも高い場合、システムはチャットのアラートを担当役員に送信します。次に、スパムがアカウントまたは仮想マシンのどちらから送信されているかを手動で確認します。



評価が禁止の境界にさえ達していない場合、すべてが非常に単純です。違反者に直面していると信じる十分な理由があるため、アカウントは禁止されます。

結果

これが、単純なスパム対策システムを作成した方法です。疑問が生じます：それは良くなりましたか？



上の写真は、2020年初頭にこのサービスが開始されてからのアラートの数を示しています。ピーク時のアラートの数は60,000を超えていました。



手動のスパム対策では、このような量の情報を処理することはできませんでした。大量のデータが渡されました。そして今、私たちはどういうわけかこのデータを処理し、分析することができます。



分析した4つのトラフィックメトリックすべてについて到着したアラートの総数を調べました。各メトリックのグラフを見てみましょう。

送信されたバイト数

これは、アラートの数に関して最も多くのメトリックです。一般に、これらのアラートはスパムアラートの全体像をほぼ完全に形成しているため、このグラフは前のグラフと非常によく似ています。ここでのロジックは単純です。アカウントから送信されるメールが多いほど、スパム対策の視野に入る速度が速くなり、アラートが生成されます。

SMTPパケットの数

このメトリックと前のメトリックの間には関連性があります。しかし、なぜバイト数とパケット数を別々に分析するのでしょうか。アカウントのアラートがパケット数では生成されたが、バイト数では生成されなかった場合があるためです。たとえば、スパムアカウントは多数の小さな文字を送信し、それぞれが個別のパケットで送信されます。この場合、パケットの数に基づいてアラートが生成されます。

宛先IPアドレスの数

このグラフは分析が容易ではありませんが、追加の情報源になる可能性があります。アカウントごとに、スパムの構成は異なります。誰かがIPを10個または100個の異なるアドレスに送信し、誰かが10個の固定アドレスに送信し、このメトリックによるとスパム対策の視野に含まれません。

同時に開くSMTPストリームの数

最も「人気のない」メトリック-アラートはめったに到着しません。前の図でYスケールに数千があった場合、ここでは数百になります。ここでは、明らかに、スパマーはまだ再保険をかけられており、多数の開いている接続からメールを送信しません。グラフは一見代表的なものではありませんが、実際にはスパムの送信方法をよりよく理解するのに役立ちます。

結論

もちろん、このシステムは改善することができ、将来的には改善する予定です。しかし今、彼は仕事で非常に効果的に自分自身を示しています。



たとえば、立派なユーザーを禁止したことは一度もありません。そして、これが発生した場合（まあ、誰かがメーリングリストに関連する大学のプロジェクトを持っている場合はどうなりますか）、すべてが元に戻せます。Selectelアカウントが禁止されていることがわかった場合（ブロックの理由はアカウントに示されます）、テクニカルサポートに連絡してください。格下げに影響を与えたものと、今後それを回避する方法を見ていきます。これは生涯禁止ではありません。



SelectelDevTalksでスパム対策システムについても話しました。トークを見たい方はこちらの リンクから。