Hoe bestrijd ik Spam?

Voortbordurend op ons artikel over de werking van webmail, zullen we ons deze keer concentreren op spam, waarom het bestaat, hoe het te bestrijden en wat we doen om te voorkomen dat het onze mailboxen bereikt, en wat we doen om te voorkomen dat het de mailboxen van onze klanten bereikt.

Wat is SPAM?

Spam is ongevraagde e-mail met commerciële inhoud die wordt verzonden om nieuwe klanten te winnen of reclame te maken voor een nieuwe dienst. Reclameboodschappen die afkomstig zijn van bronnen waarin u uw gegevens hebt verstrekt, zoals nieuwsbrieven, zijn geen spam. Dit soort berichten wordt niet geblokkeerd en mag ook niet worden geblokkeerd, omdat zij alleen worden ontvangen door klanten die zich hebben ingeschreven op de mailinglijst van een organisatie of winkel. Dit soort berichten bevat gewoonlijk in de voettekst een link naar het formulier waarmee we ons van deze lijst kunnen afmelden, in het Engels is dat bijvoorbeeld “Unsubscribe”, maar wees voorzichtig wanneer u op deze link klikt, want het kan gebeuren dat het een spambericht is dat Het brengt ons bijvoorbeeld naar een site die virussen bevat of probeert onze inloggegevens te ontfutselen.
Een voorbeeld zou een bericht van allegro kunnen zijn met informatie over nieuwe veilingen. Iemand die dit ziet, zal denken dat het zo hoort en zich van de lijst wil afmelden, zal op de link onderaan klikken en op een pagina terechtkomen die erg op het origineel lijkt, maar dan onversleuteld of met een tikfout in de url, bijvoorbeeld: a11egro.pl (één in plaats van “l”). Kijk uit voor dergelijke ongelukken door met uw muis over links te bewegen voordat u erop klikt.

Strijd tegen spam

RBL-lijsten

Dat wil zeggen dat IP-adressen die op de RBL-lijst staan, worden geblokkeerd om te proberen een bericht te verzenden. Het werkt volgens het principe dat wanneer een computer verbinding maakt met onze server, deze automatisch via het DNS-systeem snel controleert of dit IP op de zwarte lijst staat, indien de computer op afstand wil inloggen op onze computer (autorisatie) zal dit worden geaccepteerd en zal deze in staat zijn mail te verzenden. Anderzijds, als hij op de zwarte lijst staat en een bericht wil doorsturen naar een mailaccount op onze server, zal hij worden geweigerd.
RBL-lijsten bevatten zeer vaak internetproviders voor particulieren, waardoor servers worden beschermd tegen het ontvangen van spam van computers die via virussen spam proberen te versturen naar andere internetgebruikers, vaak zonder medeweten van de eigenaar van de computer. Het permanent blokkeren van dergelijke IP-adressen zou ertoe leiden dat bijna alle gebruikers in Polen geen mail meer kunnen versturen.

SPF

SPF is een DNS entry in het TXT record dat informatie overbrengt over welke computers gemachtigd zijn om mail te versturen voor een bepaald domein, bijvoorbeeld ons domein roan24.pl bevat de entry v=spf1 +a +mx +ip4:178.33.3.224 -all (gemakkelijk te controleren met het commando dig roan24.pl txt in Linux). Wat betekent het? dat voor een bepaald domein alleen een server met de ipv4 178.33.3.224 en servers met de entries a en mx mail kunnen versturen. Onze server accepteert mail op ipv6 adres maar verstuurt alleen op ipv4, omdat ipv6 niet bereikbaar is ondanks dat het in de dns zone staat.
U kunt voor elk domein zo’n vermelding maken en het is een goede manier om te voorkomen dat andere servers op het web zich voordoen als iemand anders, waardoor uw vertrouwen kan toenemen (of afnemen).

DKIM

Een iets meer geavanceerde oplossing dan spf, waarbij de verzendende server de e-mail ondertekent, waarna iedereen de openbare sleutel kan downloaden en controleren of de ondertekening correct is. Het downloaden van de DKIM sleutel is klaar… via DNS :-), de sleutel voor roan24.pl kan worden gedownload via het Linux commando: dig default._domainkey.roan24.pl txt. Merk op dat onze sleutel een selector heeft standaard kunnen andere diensten andere selectors hebben, deze selector wordt samen met de handtekening gegeven, dit maakt dat als we een paar servers hebben we elkaar een andere selector kunnen geven en zo de kwaliteit van de dienst niet beïnvloeden en onmiddellijk weten van welke server het bericht komt. Meer over DKIM en de problemen die ermee gepaard gaan.

GrayList

Dat wil zeggen, greylisting – gebruikt door veel mail providers werkt door het blokkeren van mail van een onbekende geadresseerde met foutmelding nummer 4xx voorbeeld: “451 4.7.1 Greylisting in actie, kom later terug”. Natuurlijk is de blokkering met foutnummer 4xx slechts tijdelijk, het betekent dat ons bericht nu niet kon worden afgeleverd en dat we het over enige tijd nog eens moeten proberen. Daarom zal een goed ingestelde server over bijvoorbeeld 10 minuten weer verbinding maken, dan zal de server van de ontvanger het bericht ook accepteren omdat hij zich herinnert dat iemand al van plan was zo’n bericht te sturen. Wat niet wil zeggen dat verdere spamcontrole het niet zal afkeuren.
Waarom is dat? Dit is te wijten aan het feit dat spammers, als ze eenmaal een computer hebben van waaruit ze spam versturen, vaak voor kwantiteit gaan, d.w.z. dat ze vaak maar één keer proberen een bericht naar een ontvanger te sturen, als het mislukt, gaat het nauwelijks verder voordat de computer door RBL wordt geblokkeerd. Daarom kan de tijd van bijvoorbeeld 10 minuten voordat een adres van de grijze lijst verdwijnt, voor sommige RBL-lijsten voldoende zijn om te worden bijgewerkt met het ip-adres van de spammer en te worden geblokkeerd zonder de server te overbelasten.
Hetnadeel van deze oplossing is dat, wil het bericht de ontvanger bereiken, ten minste de tijd van de grijze lijst moet verstrijken, die gewoonlijk 5~10 minuten bedraagt, maar men mag niet vergeten dat de server van de afzender kan worden ingesteld om de eerste nieuwe poging te doen na b.v. 30 minuten, waardoor de tijd van aflevering van het bericht aanzienlijk wordt verlengd. Wij persoonlijk gebruiken deze oplossing niet, grote diensten zullen er vaak gebruik van maken in combinatie met een lokaal bijgehouden lijst van gebruikerscontacten.

Inhoud – Bijlagen

Vaak zullen servers bijlagen blokkeren die te groot of ongeschikt zijn – bv. een virus bevatten. Een extra bepalende factor is het verbergen van extensies, waarbij op Windows-systemen de extensie standaard niet wordt weergegeven, waardoor het bestand zdjęcie.jpg.exe wordt weergegeven als foto.jpg, waar, wanneer erop wordt geklikt, de foto niet wordt geactiveerd, maar het virus wel wordt gestart. Daarom blokkeert de server dubbele extensies, met name pdf, xml, exe, bat en com. Merk op dat niet alle dubbele extensies slecht zijn, zoals tar.gz waar we te maken hebben met een archief van bestanden (.tar), extra ingepakt met gunzip (.gz).
Bovendien kan het systeem alle bestanden van bepaalde types blokkeren, bijvoorbeeld uitvoerbare bestanden exe, com, bat, enz. Daarom moet een dergelijk bestand, voordat het wordt verzonden, worden gezipt. Een dergelijk bestand zal nog steeds door de server worden uitgepakt en op virussen gescand, maar er wordt van uitgegaan dat als een gebruiker meer dan 2 klikken nodig heeft om een virus te installeren, het veilig zou moeten zijn. Zelfs de beste veiligheidsmaatregelen zullen niet werken als de gebruiker niet op tijd reageert.

Inhoud – inhoud

Dat wil zeggen, als de inhoud veel links bevat, die vaak een verborgen url bevatten (een adres is zichtbaar, een ander adres is verborgen). Het bevat veel speciale tekens, of verdachte java script code, die malware moet lanceren nadat het bericht is geactiveerd, dan zullen dergelijke berichten worden geweigerd zonder zelfs naar de spam folder te gaan, maar de afzender, zelfs als hij/zij een spammer is, zal worden geïnformeerd over dit feit, in het geval dat het een normaal bericht is en de afzender niet op de hoogte is van het virus, en op de achtergrond van het bericht zal de virus code aan het bericht worden gehecht.

Samenvatting

Onze server ontvangt gemiddeld één bericht per seconde, waarvan 80% spam is, die onmiddellijk wordt verwijderd zonder de e-mailaccounts van onze klanten te bereiken. De resterende 20% gaat naar de spammap omdat ze niet gevaarlijk zijn, maar misschien wel door de klant gewenste berichten bevatten. Gevaarlijke berichten worden geweigerd zonder dat de ontvanger daarvan op de hoogte wordt gesteld; de enige informatie over de weigering wordt naar de afzender gestuurd.