image

Tips en technieken voor het voorkomen van spam

donderdag 24 maart 2005, 12:05 door Redactie, 4 reacties

Het versturen van spam is nog altijd makkelijker dan er vanaf te komen. Tel daarbij op dat meer dan 10% van de gebruikers weleens in spam geadverteerde produkten koopt, en het mag duidelijk zijn dat spam een probleem is waar miljoenen gebruikers nog lange tijd mee te maken krijgen. Om te voorkomen dat de mailbox uitpuilt met onzinnige en ongewenste reclame, zijn er verschillende filters, tips en technieken, die we hieronder in het kort bespreken. Heb je op- of aanmerkingen, dan zijn die altijd welkom op redactie@security.nl


Geef je e-mailadres niet weg
Om iemand met spam te bedelven moet een spammer wel over een e-mailadres beschikken. Het is dan ook verstandig om voorzichtig met je adres om te gaan en dit niet overal op internet achter te laten. Een beproefde en vaak gebruikte techniek is het gebruik van meerdere e-mailadressen. Kies bijvoorbeeld een e-mailadres dat alleen bij familie, nauwe vrienden en kennissen bekend is en gebruik een ander adres, er zijn talloze gratis e-maildiensten online te vinden, voor het registreren bij online shops, forums en websites. Mocht het laatste e-mailadres teveel spam ontvangen, dan kun je zonder al teveel gevolgen een nieuw adres aanmaken. Moet of wil je ergens een e-mailadres achterlaten, "versleutel" dit dan een beetje, zoals "piet@GEENSPAM.example.com" of "piet at example . com"

Toch kan een worm, virus of onoplettende kennis ervoor zorgen dat je goed beschermde e-mailaccount bij de spammers terechtkomt.


Filter software in de e-mail client
Ook software ontwikkelaars zien in dat spam een steeds groter probleem wordt en dat ze er verstandig aan doen om hun gebruikers enige bescherming te bieden. Een client zoals Thunderbird beschikt over een optie om aan te geven of een bericht junkmail is. Het betreft hier een "zelflerend filter" dat getraind moet worden, maar na verloop van tijd zelf kan bepalen of een bericht mogelijk spam is (straks meer over dit Bayesian filter).

Het is ook mogelijk om zelfs een op tekst gebaseerd filter in elkaar te zetten. Veel clients laten de gebruiker e-mail filteren. Nu is het niet te doen om de 5 miljard manieren waarmee Viagra gespeld kan worden op te nemen, toch zijn er verschillende punten die het overwegen waard zijn, zoals het bepalen van het "Content-Type", "euc-kr" en "ks_c_5601-1987" in de headers (in het geval van Koreaanse spam) en andere combinaties die spammers vaak gebruiken.


Whitelisting
Het gebruik van een whitelist filter is een zeer agressieve manier om spam tegen te gaan. Hierbij worden alleen e-mails van mensen of domeinen afgeleverd die hiervoor toestemming van de gebruiker hebben. De gebruiker moet een lijst met "bekenden" maken die mogen e-mailen. Staat een verstuurder niet op deze lijst, dan wordt zijn e-mail niet afgeleverd. Whitelist filters kunnen voor de vestuurders van legitieme e-mail, naar iemand die zo'n filter geinstalleerd heeft, voor de nodige frustraties zorgen.


Blacklisting
Een blacklist is het tegenovergestelde van een whitelist. Het betreft hier een lijst of database met daarin opgeslagen bekende IP-adressen die gebruikt zijn om spam (of virussen en dergelijke) te versturen. een dus geen e-mail mogen sturen naar de gebruiker. Veel providers maken gebruik van deze lijsten om spam te filteren dat anders via hun netwerk zou worden vervoerd en / of aan haar klanten zou worden afgeleverd. Verschillende internetorganisaties en systeembeheerders onderhouden lijsten van IP-adressen die bekend zijn als bronnen van spam, onder andere open relays of adressen waarvandaan spamsoftware wordt aangeboden.

De opzet van een zo'n blacklist is vaak hetzelfde, meestal wordt de techniek die we al kennen van de omzetting van domeinnamen naar IP adressen, de DNS, daarvoor gebruikt. De beheerders van deze blacklists publiceren elk hun 'policy', de criteria waaraan een IP adres moet voldoen om opgenomen te worden.

Een mailserver die geconfigureerd is om die lijst te gebruiken, zal het IP adres van elke mailserver die verbinding met hem probeert te maken opzoeken op die lijst. Als het IP adres van die verbindende mailserver voorkomt op de lijst, dan wordt de verbinding met een foutmelding afgebroken. Komt het IP adres niet voor, dan kan de andere mailserver beginnen met het afleveren van de e-mail.

De meeste mailservers zijn zodanig te configureren dat de blacklists automatisch gebruikt kunnen worden om mail te controleren op mogelijke herkomst van deze bekende spambronnen. Hoe de beheerder van een mailserver de blacklists precies inzet wisselt.

Sommige providers gebruiken sommige blacklists om prioriteiten toe kunnen kennen in de e-mail die wordt afgeleverd. Staat de mailserver die de mail aanbood op een specifieke blacklist, dan wordt die e-mail geaccepteert en opzij gezet. Op een rustiger moment kan die e-mail dan alsnog verwerkt worden. Enkele beheerders kiezen ervoor om de blacklist simpelweg te gebruiken om e-mail mee te blokkeren, andere bieden hun klanten zelf de keus. Als gebruiker bent u bij de laatste optie het beste uit.

De keuze om een blacklist te gebruiken ligt altijd bij de beheerder van de mailserver. De beheerder van een blacklist is dus niet degene die blokkeert, maar slechts een advies geeft over wat er geblokkeerd moet worden.

In sommige gevallen zijn het niet alleen enkele IP-adressen maar hele IP-ranges (een serie van IP adressen die direct naast elkaar liggen) die op een dergelijke lijst komen te staan. Ondanks dat slechts een beperkt aantal IP adressen uit die hele serie ook daadwerkelijk spam hebben verstuurd, wordt de hele serie geblokkeerd omdat de provider langdurig weigert iets met klachten over spam uit haar netwerk te doen. Niet de legetieme gebruiker is dan op de blacklist opgenomen, maar zijn of haar provider. Een provider met een adequate abuse desk opzoeken luidt het devies in die situaties.

De blacklists werken dus als een soort blokkeringsadvies van beheerders onder elkaar. De ene beheerder publiceert een lijst van wat hij denkt dat geblokkeerd moet worden, de andere beheerder heeft de keuze die lijst te gebruiken. Een soort zelfreguliering, die al jaren bestaat en bedoeld is om het internet schoon te houden.


Spam Assassin en Rule-based rankings
Een populaire manier om spam buiten de deur te houden is door middel van "Rule-based rankings". Een bekend programma dat hier gebruik van maakt is Spam Assassin. Bij het bepalen of een e-mail spam is, wordt naar allerlei kenmerken, eigenschappen en expressies gekeken. Aan de hand van bepaalde kenmerken, zoals de afzender, inhoud, opmaak etc, krijgt het bericht een score. Aan de hand van deze score, en hoe de gebruiker de grens heeft ingesteld, wordt bepaald of het bericht wordt doorgelaten of niet.


Bayesian filtering
Een van de meest actuele en veelbelovende initiatieven is het Bayesian filter. Bayesian-filtering is een statistische analyse van e-mail waarbij de mogelijkheid bestaat het filter te leren wat spam is en wat juist géén spam is. Een Bayesian filter kan geleerd worden om te kijken naar de woorden in de tekst en het onderwerp, de headers, maar ook zaken zoals HTML code, combinatie van woorden en zinnen en meta informatie (waar een bepaalde zin bijvoorbeeld voorkomt). Een woord als Viagra komt bijvoorbeeld veel voor in spamberichten, maar niet in legitieme (ham) e-mail. Het filter weet dit niet van tevoren, maar kan dit wel aangeleerd worden. De volgende keer dat er een bericht met het woord Viagra verschijnt weet het filter dit en zal het als spam bestempelen. Een nadeel is wel dat de gebruiker de nodige tijd in het leren van het filter moet steken. SpamAssassin kan bijvoorbeeld de resultaten van een Bayesian spamfilter en vooropgestelde regels combineren, waardoor de kans op het ten onrechte bestempelen van spam nog kleiner wordt.


Afsluitend
De beste oplossing lijkt nu nog steeds te bestaan uit een combinatie van verschillende detectietechnieken waardoor het voor spammers moeilijker wordt om deze technieken te omzeilen.

Dat spam niet alleen een probleem, maar ook een marketingkans is, bewijzen veel Nederlandse internet service providers, die tegenwoordig bijna allemaal een soort spamfilter aanbieden. De ISP filters zijn niet allemaal zo efficient en gebruiksvriendelijk, toch kunnen ze veel spam tegenhouden. Het is echter de vraag in hoeverre de gebruiker wilt dat een ander zijn e-mail gaat filteren.


Bronnen en overige interessante links:
Spamvrij.nl
IBM developer works
Crypsys
Spam Links

Reacties (4)
24-03-2005, 21:59 door Anoniem
Beste redaktie,

Ik ben een fan van het australische programaatje MailWasher
(helaas niet meer gratis, misschien nog via de last free
version (tip?)te krijgen. Je kunt je spam en virusmailtjes
op de pop3 server zelf verwijderen, dus je haalt ze niet
meer binnen op je windhoos box. Je moet ze alleen nooit meer
bouncen, alleen verwijderen en op een blacklist zetten.
Bevalt prima.
Vraag? Waarom zijn Security mensen geen fans van de Firefox
browser,
Je maakt hem zelf zo veilig als je wil, bijv. met
SpoofStick. Ook IE 7.0
zal vol gaten blijven zitten, niet veilig meer te krijgen,
echt niet

D.
27-03-2005, 14:17 door Anoniem
Heet dat programma niet PINE waar dat al vanaf het begin der
tijden mee kon :)......we lopen achteruit mensen.......
01-04-2005, 13:53 door awesselius
Door Anoniem
Beste redaktie,

Ik ben een fan van het australische programaatje MailWasher
(helaas niet meer gratis, misschien nog via de last free
version (tip?)te krijgen. Je kunt je spam en virusmailtjes
op de pop3 server zelf verwijderen, dus je haalt ze niet
meer binnen op je windhoos box. Je moet ze alleen nooit meer
bouncen, alleen verwijderen en op een blacklist zetten.
Bevalt prima.
Vraag? Waarom zijn Security mensen geen fans van de Firefox
browser,
Je maakt hem zelf zo veilig als je wil, bijv. met
SpoofStick. Ook IE 7.0
zal vol gaten blijven zitten, niet veilig meer te krijgen,
echt niet

D.

Dan ben je zeker nieuw hier? Veel mensen zijn wel fan van
Firefox en/of Thunderbird als alternatieven.

Enkel komen hier ook een hoop nitwits die nog nauwelijks
over security hebben nagedacht en hier veel kunnen leren (en
op een hoop andere sites).

Overal waar ik de PC moet komen schoonmaken van malware
installeer ik de gewenste versie van Firefox (Engels,
Nederlands, Swahili) en eventueel ook Thunderbird met de
nodige extensies zoals een kalender enz.

Ik leg de gebruiker dan ook uit wat de voordelen zijn, wat
de mogelijkheden zijn en waarom het goed is om het te
ondersteunen.

Mond tot mond reclame is nog steeds het best......

- Unomi -
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.