:strip_icc():strip_exif()/u/49396/icoon.jpg?f=community)
De laatste tijd, al een aantal jaren, hebben veel mensen last van spam. Velen proberen spam te blokkeren. Het liefst doen ze dat zo simpel mogelijk en willen ze ervoor zorgen dat gewone valide mail, niet de dupe ervan wordt. Nu wordt er spamassasin geinstalleerd op servers, anti-spam software op de clients geinstalleerd door gebruikers, blacklists gebruikt, etc.
Om spam goed te bestrijden, moet je ervoor zorgen dat het zich geen weg kan banen door het internet. Het mooiste zou zijn, om dit bij de bron aan te kunnen pakken, maar dat lijkt niet echt te lukken, aangezien je geen controlle hebt over de versturende computer. Je kunt echter wel de weg blokkeren via jouw server, door jouw server te beveiligen. Dit werkt overigens ook niet altijd even goed.
Een veel voorkomend probleem is echter, dat de gebruiksvriendelijkheid een beetje ten onder gaat hierdoor. Greylisting kan bijvoorbeeld voor vertraging zorgen. spam software op de client kan de boel blokkeren of gaan lopen kloten met je mail, als het niet goed werkt (heb daar ervaring mee).
Nu is mijn vraag aan jullie, wat doen jullie allemaal serverside, om spam te blokkeren. Hiermee bedoel ik zowel thuis gebruik, als professioneel gebruik. Of welke manieren gebruik je niet, maar waarbij je wel denkt dat het goed werkt. Het mooiste zou zijn dat je hierbij erbij zet wat dit voor gevolgen kan hebben voor gebruiksvriendelijkhied. Ook nieuwe technieken die in het nieuws worden genoemd of als speculatie worden neergezet op een blog zijn hier welkom.
Ik wil met deze topic naar toe, dat dit een soort van checklist kan worden voor mensen die hun mailserver inrichten. Ook wil ik mensen bewust maken voor wat voor impact bepaalde technieken kunnen hebben op gebruiksvriendelijkheid, vandaar dat ik het liefst heb dat je de mogelijke gevolgen erbij zet.
SMTP proxy's
Je hebt van die alles-in-1 oplossingen, namelijk SMTP proxy's. Die hebben al een aantal anti-spam technieken aan boord. Een nadeel van die dingen is echter dat sommigen wel erg een blackbox zijn, waardoor je ze niet echt goed kunt beheren. Dit vergroot wel de kans op false-positives en wordt het lastig om aan te geven dat het een false-positive is. Hiervoor zou echter iets als een rapporteer functie in moeten zitten zodat je een false-positive kunt melden. Die zit er echter niet vaak in en dat is jammer. Dus let hierbij wel op met het implementeren. Het scheelt je echter wel een hoop load op de server, aangezien de het grootste deel al van je af houden. De tijd om het systeem op te zetten is ook erg klein, dus is snel en makkelijk geimplementeerd.
Op m'n werk gebruiken we bijvoorbeeld een firewall die een SMTP proxy aan boord heeft, namelijk de Watchguard Firebox. Nu zijn er nog wel meer firewalls die standaard een SMTP proxy aan boord hebben. Om je te beveiligen tegen zombies binnen je netwerk zou die firewall ook meteen ALLE SMTP verkeer naar buiten ook eerst door de proxy heen moeten gooien, of je zou het helemaal kunnen blokkeren.
Nog een optie voor een SMTP proxy is Spamd. Deze kun je installeren onder Linux/BSD. Dit is ook een SMTP proxy, maar die kun je ook als thuis gebruiker gebruiken of binnen een bedrijf wat geen firewall heeft. Misschien is beide gebruiken ook wel handig.
Relaying beperken
Dit is bijna standaard, maar veel mensen vergeten dit nog. Dit is relaying beperken. Relaying houd in dat iemand een mail vanaf jouw server naar een andere server kan sturen. Als jij een ISP bent wil je dat alleen doen voor je eigen klanten. Als de hele wereld dat zou kunnen, kunnen ze ook spam versturen via jouw SMTP server. Daardoor wordt jouw server ook geblacklist. Hiervoor moet je zorgen dat iedereen, naar alleen jouw beheerde domeinen kan sturen, dat jouw beheerde domeinen naar iedereen kan sturen en dat alleen jouw gebruikers als jouw beheerde domeinen kan sturen. Dat laatste is met een verplichte SMTP authenticatie op te lossen.
Verplichte SMTP authenticatie
Dit wordt haast niet gedaan, maar dit scheelt een hoop aan spam die vanaf jouw mailserver naar het www gaan. Aangezien het moeilijker wordt voor spammers om via jouw domeinen hun mail te gaan sturen. Hierbij weet je namelijk, zo goed als, zeker dat degene die de mail stuurt ook echt diegene is. Is het diegene niet, dan weet je dat hij of slordig is geweest met z'n wachtwoord of dat hij wel een heel makkelijk wachtwoord zou kunnen hebben gehad. Uiteraard moeten inkomend verkeer niet via SMTP authenticatie gaan, aangezien je dan geen mail zou ontvangen.
Patroon herkening in berichten
Dit kan oa via het bekende pakket SpamAssassin. Die scanned de mails oa op verdachte patronen, die veel gebruikt worden in spam berichten. Hierbij markeert hij het bericht, als het spam is, ook als spam. Hierdoor kun je er in je mail client voor zorgen dat hij de mail verplaatst naar een spam-map of verwijderd. Het probleem is alleen dat legitieme mail ook gemarkeerd kan worden als spam. Dus om het meteen te verwijderen kan "gevaarlijk" zijn. Het is wel handig om image en PDF spam te kunnen scanner. Hiervoor kun je bijvoorbeeld een OCR plugin voor spamassasin gebruiken.
spam rapporteer functie
Je ziet het wel bij hotmail en bij gmail. Daarbij kun je mails als spam markeren, spam als niet-spam markeren en daarbij dus ook spam rapporteren. Plesk bijvoorbeeld heeft ook deze mogelijkheid, alleen moet de gebruiker inloggen op de webinterface. Hierbij geef je de mogelijkheid om spamassasin te trainen. Het mooiste zou zijn om in je e-mail client (Outlook, Thunderbird, webmail eventueel) dit ook te kunnen rapporteren, zodat je filter op je mailserver dat ook kan meenemen. Het zou helemaal mooi zijn als je dat ook meteen kunt rapporteren bij een blacklist die door meerdere mailservers wordt gebruikt, bijvoorbeeld SpamCop of SpamHaus. Ik heb dit nog niet voor elkaar gekregen, maar zijn er mensen die dit wel voor elkaar hebben?
Blacklists gebruiken
Een goede snelle manier om bekende spammende mailservers te blokkeren zijn blacklists. Dit kan bijvoorbeeld via een DNSBL. Blacklists die ik bijvoorbeeld gebruik zijn: zen.spamhaus.org en bl.spamcop.net Het nadeel van deze blacklists is eigenlijk dat goede mailserver er soms ook inkomen. Dit kan betekenen, dat legitieme mail ook wordt geblokkeerd. Om dit op te lossen zou je een whitelist kunnen bijhouden van mailservers.
SPF records controle en in gebruik nemen
Een SPF record staat in je DNS. Dit kan gebruikt worden om te controleren of de mail van een bepaald domein van een legitieme mailserver af komt. Zie ook http://www.openspf.org/ voor meer info en om er een te genereren voor je domein. Dit gebruiken we op het werk ook. Dit heeft als voordeel, dat als het SPF record goed is ingesteld, zowat geen impact heeft op legitieme mail, maar het werkt wel goed om mail te blokkeren die een adres proberen te faken, van een domein die een SPF record gebruikt. Om je SPF records te beveiligen, moet je je DNS beveiligen (zie ook: http://www.dnssec.net/).
E-Mail digitaal ondertekenen
Een nieuwe kandidaat in het bestrijden van ongewenste mail is, DKIM (DomainKeys Identified Mail). Dit lijkt een beetje op GPG, maar het voordeel is dat het niet zo'n grote leercurve heeft als GPG. Voor de rest heb ik hier nog niet naar gekeken, dus ik kan er niet veel over zeggen, maar het ziet er leuk uit.
Om spam goed te bestrijden, moet je ervoor zorgen dat het zich geen weg kan banen door het internet. Het mooiste zou zijn, om dit bij de bron aan te kunnen pakken, maar dat lijkt niet echt te lukken, aangezien je geen controlle hebt over de versturende computer. Je kunt echter wel de weg blokkeren via jouw server, door jouw server te beveiligen. Dit werkt overigens ook niet altijd even goed.
Een veel voorkomend probleem is echter, dat de gebruiksvriendelijkheid een beetje ten onder gaat hierdoor. Greylisting kan bijvoorbeeld voor vertraging zorgen. spam software op de client kan de boel blokkeren of gaan lopen kloten met je mail, als het niet goed werkt (heb daar ervaring mee).
Nu is mijn vraag aan jullie, wat doen jullie allemaal serverside, om spam te blokkeren. Hiermee bedoel ik zowel thuis gebruik, als professioneel gebruik. Of welke manieren gebruik je niet, maar waarbij je wel denkt dat het goed werkt. Het mooiste zou zijn dat je hierbij erbij zet wat dit voor gevolgen kan hebben voor gebruiksvriendelijkhied. Ook nieuwe technieken die in het nieuws worden genoemd of als speculatie worden neergezet op een blog zijn hier welkom.
Ik wil met deze topic naar toe, dat dit een soort van checklist kan worden voor mensen die hun mailserver inrichten. Ook wil ik mensen bewust maken voor wat voor impact bepaalde technieken kunnen hebben op gebruiksvriendelijkheid, vandaar dat ik het liefst heb dat je de mogelijke gevolgen erbij zet.
SMTP proxy's
Je hebt van die alles-in-1 oplossingen, namelijk SMTP proxy's. Die hebben al een aantal anti-spam technieken aan boord. Een nadeel van die dingen is echter dat sommigen wel erg een blackbox zijn, waardoor je ze niet echt goed kunt beheren. Dit vergroot wel de kans op false-positives en wordt het lastig om aan te geven dat het een false-positive is. Hiervoor zou echter iets als een rapporteer functie in moeten zitten zodat je een false-positive kunt melden. Die zit er echter niet vaak in en dat is jammer. Dus let hierbij wel op met het implementeren. Het scheelt je echter wel een hoop load op de server, aangezien de het grootste deel al van je af houden. De tijd om het systeem op te zetten is ook erg klein, dus is snel en makkelijk geimplementeerd.
Op m'n werk gebruiken we bijvoorbeeld een firewall die een SMTP proxy aan boord heeft, namelijk de Watchguard Firebox. Nu zijn er nog wel meer firewalls die standaard een SMTP proxy aan boord hebben. Om je te beveiligen tegen zombies binnen je netwerk zou die firewall ook meteen ALLE SMTP verkeer naar buiten ook eerst door de proxy heen moeten gooien, of je zou het helemaal kunnen blokkeren.
Nog een optie voor een SMTP proxy is Spamd. Deze kun je installeren onder Linux/BSD. Dit is ook een SMTP proxy, maar die kun je ook als thuis gebruiker gebruiken of binnen een bedrijf wat geen firewall heeft. Misschien is beide gebruiken ook wel handig.
Relaying beperken
Dit is bijna standaard, maar veel mensen vergeten dit nog. Dit is relaying beperken. Relaying houd in dat iemand een mail vanaf jouw server naar een andere server kan sturen. Als jij een ISP bent wil je dat alleen doen voor je eigen klanten. Als de hele wereld dat zou kunnen, kunnen ze ook spam versturen via jouw SMTP server. Daardoor wordt jouw server ook geblacklist. Hiervoor moet je zorgen dat iedereen, naar alleen jouw beheerde domeinen kan sturen, dat jouw beheerde domeinen naar iedereen kan sturen en dat alleen jouw gebruikers als jouw beheerde domeinen kan sturen. Dat laatste is met een verplichte SMTP authenticatie op te lossen.
Verplichte SMTP authenticatie
Dit wordt haast niet gedaan, maar dit scheelt een hoop aan spam die vanaf jouw mailserver naar het www gaan. Aangezien het moeilijker wordt voor spammers om via jouw domeinen hun mail te gaan sturen. Hierbij weet je namelijk, zo goed als, zeker dat degene die de mail stuurt ook echt diegene is. Is het diegene niet, dan weet je dat hij of slordig is geweest met z'n wachtwoord of dat hij wel een heel makkelijk wachtwoord zou kunnen hebben gehad. Uiteraard moeten inkomend verkeer niet via SMTP authenticatie gaan, aangezien je dan geen mail zou ontvangen.
Patroon herkening in berichten
Dit kan oa via het bekende pakket SpamAssassin. Die scanned de mails oa op verdachte patronen, die veel gebruikt worden in spam berichten. Hierbij markeert hij het bericht, als het spam is, ook als spam. Hierdoor kun je er in je mail client voor zorgen dat hij de mail verplaatst naar een spam-map of verwijderd. Het probleem is alleen dat legitieme mail ook gemarkeerd kan worden als spam. Dus om het meteen te verwijderen kan "gevaarlijk" zijn. Het is wel handig om image en PDF spam te kunnen scanner. Hiervoor kun je bijvoorbeeld een OCR plugin voor spamassasin gebruiken.
spam rapporteer functie
Je ziet het wel bij hotmail en bij gmail. Daarbij kun je mails als spam markeren, spam als niet-spam markeren en daarbij dus ook spam rapporteren. Plesk bijvoorbeeld heeft ook deze mogelijkheid, alleen moet de gebruiker inloggen op de webinterface. Hierbij geef je de mogelijkheid om spamassasin te trainen. Het mooiste zou zijn om in je e-mail client (Outlook, Thunderbird, webmail eventueel) dit ook te kunnen rapporteren, zodat je filter op je mailserver dat ook kan meenemen. Het zou helemaal mooi zijn als je dat ook meteen kunt rapporteren bij een blacklist die door meerdere mailservers wordt gebruikt, bijvoorbeeld SpamCop of SpamHaus. Ik heb dit nog niet voor elkaar gekregen, maar zijn er mensen die dit wel voor elkaar hebben?
Blacklists gebruiken
Een goede snelle manier om bekende spammende mailservers te blokkeren zijn blacklists. Dit kan bijvoorbeeld via een DNSBL. Blacklists die ik bijvoorbeeld gebruik zijn: zen.spamhaus.org en bl.spamcop.net Het nadeel van deze blacklists is eigenlijk dat goede mailserver er soms ook inkomen. Dit kan betekenen, dat legitieme mail ook wordt geblokkeerd. Om dit op te lossen zou je een whitelist kunnen bijhouden van mailservers.
SPF records controle en in gebruik nemen
Een SPF record staat in je DNS. Dit kan gebruikt worden om te controleren of de mail van een bepaald domein van een legitieme mailserver af komt. Zie ook http://www.openspf.org/ voor meer info en om er een te genereren voor je domein. Dit gebruiken we op het werk ook. Dit heeft als voordeel, dat als het SPF record goed is ingesteld, zowat geen impact heeft op legitieme mail, maar het werkt wel goed om mail te blokkeren die een adres proberen te faken, van een domein die een SPF record gebruikt. Om je SPF records te beveiligen, moet je je DNS beveiligen (zie ook: http://www.dnssec.net/).
E-Mail digitaal ondertekenen
Een nieuwe kandidaat in het bestrijden van ongewenste mail is, DKIM (DomainKeys Identified Mail). Dit lijkt een beetje op GPG, maar het voordeel is dat het niet zo'n grote leercurve heeft als GPG. Voor de rest heb ik hier nog niet naar gekeken, dus ik kan er niet veel over zeggen, maar het ziet er leuk uit.
[ Voor 0% gewijzigd door eghie op 17-07-2007 17:03 . Reden: (tm) - dnssec toegevoegd bij SPF records ]
:strip_exif()/u/53157/thai4.gif?f=community)
:strip_icc():strip_exif()/u/37767/crop6580b1fac90ae_cropped.jpg?f=community)
/u/96077/crop5b8d7c89bae9d_cropped.png?f=community)
:strip_exif()/u/28405/scooby2.gif?f=community)