Peters Blog

on Security and More

E-mail en spam

5/Oct 2007 By P. Peters
Internet Access Facilities Achterkrant security

Natuurlijk kun je zeggen dat spam ook e-mail is. Maar om onderscheid te maken tussen legitieme mail en spam gebruik ik beiden de laatste tijd steeds meer afzonderlijk. Met e-mail bedoel ik dan datgene wat ik echt wil ontvangen. De overblijvende rommel is spam.

Extreem

En af en toe neemt de hoeveelheid rommel toe. Dat hebben we afgelopen maand allemaal kunnen merken. Plotseling was de hoeveelheid spam factoren groter dan normaal. Niet alleen bij IAF, maar ook de Universiteit Twente, Saxion en andere organisaties waar ik informatie over de hoeveelheid spam kon achterhalen, blijken de afgelopen tijd fors meer rommel te hebben ontvangen.

In de meeste gevallen zorgt dat voor een forse reductie van de dienstverlening t.a.v. e-mail. Alle scanners hebben problemen om de spam te filteren en zeker tijdens piekuren. Ook bij IAF was merkbaar dat vanaf het middaguur de performance achteruit ging. In de loop van de avond konden de servers het weer bijbenen en werd de mail alsnog verwerkt.

Controleren

Reeds gedurende enige tijd controleren onze mailservers of een adres echt bestaat voor ze mail accepteren. Voor mailboxen op onze eigen systemen houden we een lijst bij van alle adressen. Voor servers die niet in ons beheer zijn, maken we gebruik van milter-ahead. Milter-ahead maakt een verbinding met de server van de klant en vraagt of het adres bestaat. Zo niet, dan wordt de mail geweigerd. Bestaat het adres wel, dan wordt de mail geaccepteerd en vervolgens doorgestuurd.

Gegroet

Voor er mail wordt uitgewisseld tussen twee systemen, groeten ze elkaar. De ontvangende machine stuurt hiervoor een herkenningstekst waarop de andere kant moet reageren. Spammers zijn ongeduldig. Die willen zo snel mogelijk spam versturen. Normaal merk je daar niets van, want een mailserver groet gelijk als hij een verbinding krijgt. Als de server echter enkele seconden wacht met die groet, dan begint een spammer alvast met sturen. Dat mag normaal niet. Onze servers wachten derhalve enkele seconden om te kijken of de andere kant al begint. Zo ja, dan is dat een spammer en wordt de verbinding verbroken. Dit heet een "greetpause".

Blacklists

We zijn normaal niet zo blij met blacklists. Je bent dan heel afhankelijk van de beheerder van die lijst en met zijn idee van spam. Of, wat al eens is gebeurd, hij stopt er mee en dat kan onverwachte resultaten opleveren. Tot vorige maand gebruikten we maar één blacklist, namelijk virbl. Dit is een Nederlands initiatief en het vullen van de blacklist gaat volledig automatisch. Als een machine een virus heeft verstuurd, komt hij op de blacklist. Heeft hij 24 uur geen virus meer verstuurd, gaat hij er af. Wij hebben de lijst bovendien zo geconfigureerd dat we de mail niet gewoon weigeren. We vertellen de andere machine dat hij het later nog een keer mag proberen. Is hij dan van de lijst, dan wordt het mailtje alsnog afgeleverd.

pbl.spamhaus.org

Na uitgebreid onderzoek van de bron van alle spam de afgelopen maand hebben we uiteindelijk toch besloten om een blacklist te gaan gebruiken. De keuze is gevallen op een blacklist die de IP adressen van ADSL, kabel en dynamische netwerken bij providers bevat. Allemaal netwerken waarvan de aangesloten machines gebruik horen te maken van de mailservers van hun providers. Normaal doen ze dat ook, behalve als ze spamsoftware draaien.

Veel van die ranges zijn door de providers zelf opgegeven. Wij hebben dat dan ook gedaan. Onze inbelrange en onze xDSL range staan in die lijst. We hebben wel een onderscheid gemaakt. Inbellers moeten altijd onze mailservers gebruiken. Gebruikers van onze xDSL aansluitingen kunnen zich uit die lijst halen.

Als u zich uitschrijft en u verstuurt onverhoopt toch spam, dan heeft dat een extra negatieve impact op uw registratie. Let hier dus op. Dat probleem heeft u niet bij gebruik van smtp.iaf.nl. Vandaar dat we dat blijven adviseren.

Statistieken

Het is natuurlijk wel leuk om te weten of deze maatregelen ook hebben gewerkt. Gelukkig wel. Op een willekeurige dag houden we met de blacklist 350.000 pogingen, om spam af te leveren, tegen. Ruim 15.000 keer trapt de spammer in de "greetpause" truuk. Door te controleren of een adres bestaat kunnen we nog eens 60.000 pogingen, om spam af te leveren, stoppen. Uiteindelijk worden er dan nog 55.000 mailtjes afgeleverd op onze eigen mailservers en 60.000 op die van onze klanten. We kunnen dus stellen dat ruim 75% van wat aangeboden wordt, spam is. En dat u dat nu niet meer in uw mailbox terug vindt.

Disclaimer

Dit artikel is eerder gepubliceerd als een officiële Achterkrant voor Internet Access Facilities.

More Reading
Newer// We heffen het glas
Older// Geheugen

Copyright; 1995 - 2015 Peter Peters. All rights Reserved.