[spam] Effectief bestrijden.

Een heel goed produkt is surfcontrol. Maar goed, dat is erg duur.

Niet scannen op inhoud maar op afkomst.

b.t.w. surfcontrol heb ik juist erg slechte ervaringen mee.. wij hebben het de deur uit gedaan en zijn overgestapt op barracuda (wat is gebaseerd op spamassasin).

[ Voor 68% gewijzigd door DukeBox op 07-01-2008 18:43 ]

Draai je spamassasin lokaal (op je pc via pop/imap naar je isp) of op je smtp server ? Aan jouw slechte catch rate te zien ga ik van het eerste af ?

ik gebruik zelf caretaker antispam (is van een nederlandsch bedrijf ook nog) bevalt me prima en is niet heel duur.
+een maand om te proberen

edit: o sorry is voor thuisgebruik...

[ Voor 23% gewijzigd door dribibu op 07-01-2008 19:34 ]

120 mailtjes valt nog mee Ik heb om 16.16 mijn spambox leeggegooid en zit al weer op 5862 mailtjes. Ik laat de mail van mijn domein afhandelen door Gmail en dat vangt de spam best goed af. Maar als je een andere mailprovider hebt of het zelf doet, Thunderbird heeft ook een heel goed lerend spamfilter. En de spam komt in een apparte map dus als je eens een mailtje mist zou je kunnen kijken of het daar tussen staat (komt bij mij vrij weinig voor).

Spamassasin had je al, dat is toch wel de serversided applicatie. Misschien moet je jezelf er gewoon meer in verdiepen hoe je het moet finetunen (en ook Spamassasin kan je laten leren). Ook kun je gebruik maken van dns-blacklists.

[ Voor 10% gewijzigd door Marzman op 07-01-2008 21:31 ]

Kun je overstappen op gmail? Krijg de spam netjes onder "spam"

Al eens gekeken naar K9 www.keir.net gratis... dit is nl een zelf lerend filter mogelijk dat je dit kunt combineren met je huidige paket.

Verwijderd schreef op maandag 07 januari 2008 @ 21:58:
Ja allemaal wel leuk en aardig dat gmail, maar ik neem natuurlijk niet voor niets een eigen domein

Daarom is er ook Google Apps, kun je de mx-en van je domein naar gmail verwijzen:
https://www.google.com/a/help/intl/nl/admins/editions.html

ESVA meerdere spamfilters in een heeft na een inleerperiode weinig tot geen tuning nodig, score zo goed al 100% (Werken er nu een half jaartje bedrijfsmatig mee).

http://www.global-domination.org/ESVA17.php

Ik heb zelf erg goede ervaringen met MailCleaner,
www.mailcleaner.net voor de commerciële versie
www.mailcleaner.org voor de opensource versie

Makkelijk te onderhouden (zeer weinig onderhoud aan) en het doet zijn werk uitstekend en het draait erg stabiel ! (gebaseerd op basis van Debian) Het kan tevens scannen op virussen

Ik heb een website waarbij ik ook mijn mail doe.

Hier draait alles via direct admin en daar zit ook spamassasin op.
Ik kan hier de score aangeven die gegenereerd word door bayes, razor2, dcc en pyzor databases.

Een mailtje vanaf 4.0 punten is als spam getagged en in heb ook aangegeven dat vanaf 10 punten het mailtje direct weggooit mag worden. (daar heeft nog nooit een false positieve tussen gezeten)(ja dat heb ik eerst een tijdje getest )

Nu heb ik nog 1 a 2 spammailtjes in de maand in mijn mailbox die netjes als spam getagged zijn en met een berichten regel in de spammap gaan. En deze wordt na 5 dagen vanzelf weer verwijderd.

Dus ik weet niet of je zelf host of een account hebt ergens. Als je een account ergens hebt moeten ze maar eens naar de laatste versies van spamassasin en filter databases gaan kijken. Ik heb zelf helemaal geen white en of black filters ingesteld staan.

[ Voor 24% gewijzigd door Verwijderd op 07-01-2008 22:54 ]

Marzman schreef op maandag 07 januari 2008 @ 22:19:
[...]
Daarom is er ook Google Apps, kun je de mx-en van je domein naar gmail verwijzen:
https://www.google.com/a/help/intl/nl/admins/editions.html

idd, ik weet niet in wat voor situatie je het gaat gebruiken, maar met google for your domain kun je gmail gebruiken met je eigen domein / mailboxen, plus nog andere diensten.
En de gmail spamfilter is echt heel goed, ik krijg tussen de 2 en 3 honderd(!) spam mails per dag en er komen er misschien 2 per week(!) in mn inbox, verder controleer ik regelmatig op onterecht als spam bestempelde mails maar dat is nog nooit gebeurd

Ik heb thuis een eigen servertje draaien (Debian/Linux), e-mail ontvang ik op die server (met een server van TransIP als secondary mail server als m'n eigen machine plat ligt). Catch-all, dus praktisch alles voor de '@' wordt geaccepteerd.

Ook ik werd bedolven onder de spam, inderdaad ook op random @ mijndomein.net. Spamassassin helpt op zich wel leuk, maar niet effectief genoeg.

Wat bij mij echt gigantisch veel verbetering bracht: greylisting.

Het idee is simpel: men gaat er van uit dat spam voornamelijk via overgenomen halflekke windowsbakken wordt verzonden die geen fatsoenlijke mailserver draaien.
Mijn machine kijkt naar de afzender van e-mail. Als het een bekende is wordt het meteen geaccepteerd, anders wordt het tijdelijk geweigerd met een '450' code (als in, 'probeer het later nog eens'). Legitieme e-mail gaat dan of via de secondary mailserver of een redelijke tijd later alsnog via m'n eigen server. Spam die via lekke window-machines wordt verzonden probeert het over het algemeen *geen* tweede keer.

De hoeveelheid ontvangen spam is hierdoor dramatisch afgenomen.

Waar het niet tegen helpt: soms wordt er ergens een spam verstuur sessie gestart met *mijn* mailadres (random @ mijndomein.net) als afzender. Alle bounces hierop worden door relatief nette mailservers verstuurd naar mij toe, die ontvang ik helaas wel. Met Procmail wat filterregels en ook dit wordt effectief gefilterd.

Ik gebruik zelf GFI Antispam; en ben er erg tevreden over.
Wat ik voornamelijk fijn vind is DNS blacklisting en SPAM URL Blacklisting. Die filtert er bij mij het meeste uit. Deze bekijkt de lijst van oa Spamhause en Spamcop.

Blacklist 1
Sender blacklisted 1

Header Checking 98
Number of numbers in MIME From exceeds maximum threshold 37
Domain does not exist 7
Email found in subject 6
Email contains remote images 27
Email contains encoded IP addresses 21

Keyword Checking 77
Found word(s) in the subject 9
Found word(s) in the Text body 33
Found word(s) in the HTML body 35

Bayesian Analysis 568
Bayesian Filter detected spam 568

DNS Blacklist 6636
Sending mail server found on DNS Blacklist 6636

SPF 626
Sender is forged (SPF Fail) 364
Sender is probably forged (SPF Softfail) 262

Directory Harvesting 243
Local recipient does not exist 243

Spam URL Blacklist 1640
Email contains blacklisted url 1640

New Senders 0

Phishing URL Blacklist 85
Email contains phishing url 85

Verder gebruik ik mijn Wanadoo/Orange mail adres (welke blijkbaar door Orange/Wanadoo gratis is geabboneerd op de majorspamlijsten) om mijn Bayesian filter te leren.

vanaalten schreef op dinsdag 08 januari 2008 @ 08:36:
... greylisting...

Heb je hiervoor zelf een debian-servertje ingericht en "een greylisting antispam applicatie" op geïnstalleerd, of is dit een kant-en-klare appliance???
Heb je links waar staat hoe je dit ingeregeld hebt ???

cOOlrUnnINgs schreef op dinsdag 08 januari 2008 @ 09:20:
[...]
Heb je hiervoor zelf een debian-servertje ingericht en "een greylisting antispam applicatie" op geïnstalleerd, of is dit een kant-en-klare appliance???
Heb je links waar staat hoe je dit ingeregeld hebt ???

Het eerste. Debian 'Etch' installatie, Postfix als mailserver, postgrey als greylisting applicatie.

De manual die ik er geloof ik voor gevolgd heb:
http://www.howtoforge.com/greylisting_postfix_postgrey

Een compleet andere oplossing is een andere mailprovider, ik zit bijvoorbeeld bij http://webmail.us waar ik totaal geen last heb van spam. Hoogstens wat twijfelmailtjes (10 per week) die direct in m'n spamfolder worden geplaatst. Ze hebben heel nette (en snelle) support, en zijn op zich niet eens zo duur. Een gratis alternatief is natuurlijk Gmail zoals hierboven genoemd.

vanaalten schreef op dinsdag 08 januari 2008 @ 12:53:
[...]

Het eerste. Debian 'Etch' installatie, Postfix als mailserver, postgrey als greylisting applicatie.

De manual die ik er geloof ik voor gevolgd heb:
http://www.howtoforge.com/greylisting_postfix_postgrey

Thnx, ga ik daar eens m'n licht over laten schijnen...

Ik draai zelf voor een domein SpamAssissin. Er komen dagelijks zo'n 400+ spammailtjes binnen. Alles boven de 8 gaat direct weg en alles met een score van 3.6 of hoger gaat in de algemene spambak. (3.5 is de score bij (Bayesian spam probability is 99 to 100% [score: 1.0000]) Daarnaast wordt er 'hard' gefilterd op viagra. Het resultaat hiervan is 1 a 2 spammailtjes per dag en 1x in de week een false positive.

De eeuwig durende strijd tegen de bierkaai. Een paar opmerkingen:

Verwijderd schreef op maandag 07 januari 2008 @ 18:41:
..... desnoods regelmatig van mail adres wisselen (hoewel dat toch weinig uitmaakt, spammers pakken meestal random@domein.com), .........

Dat geldt alleen voor gemakkelijk te raden/genereren adressen, dus verzin nooit adressen met je achternaam, vooral niet als dit een veel voorkomende naam is. Evenmin een adres met maar heel weinig karakters. Mijn ervaring is dat ik op één van mijn adressen, dat een vrij complexe naam heeft, helemaal nog nooit een spambericht heb gehad.

DukeBox schreef op maandag 07 januari 2008 @ 18:42:
Niet scannen op inhoud maar op afkomst.

En dat werkt nou juist helemaal niet. Ik heb een tijdje alle spam verzameld, en ik vond praktisch geen herhalingspatroon in afzender. Ze verzinnen voortdurend andere adressen. De ene keer fake, een andere keer gestolen.

Marzman schreef op maandag 07 januari 2008 @ 19:05:
120 mailtjes valt nog mee Ik heb om 16.16 mijn spambox leeggegooid en zit al weer op 5862 mailtjes........

Geen idee of dat het adres is wat je hier in je profiel vermeldt, als dat het geval is, vraag je zelf om spam.

Verwijderd schreef op maandag 07 januari 2008 @ 19:03:
....Ik zou opzich de blacklist met woorden handmatig kunnen bijwerken, en alles wat er in zo'n mailtje komt, invoeren. Kost wel even, maar dan ben ik iig up 2 date.

Is ook mijn methode, alleen je blijft een hele tijd bezig, want het hele scala van te filteren woorden worden steeds weer met andere spellingsvarianten geschreven, opzettelijke spelfouten, een \/ in plaats van een V (zie je het verschil?) een 1 in plaats van een l etc.

DukeBox schreef op maandag 07 januari 2008 @ 18:42:
Niet scannen op inhoud maar op afkomst.

b.t.w. surfcontrol heb ik juist erg slechte ervaringen mee.. wij hebben het de deur uit gedaan en zijn overgestapt op barracuda (wat is gebaseerd op spamassasin).

Onze config en steeds aangepaste rules werken zeer goed. Als het getweaked en onderhouden wordt is het erg effectief. PDF spam etc, komt er echt niet door. Als ik op maandag het filter check zitten er 10.000+ spam-mails in. Als er dan meer als 5 echte mails tussen zitten dan is dat veel, en dan zitten ze voornamelijk in het encrypted-attachments filter.

[ Voor 9% gewijzigd door KillerAce_NL op 08-01-2008 22:07 ]

Techneut schreef op dinsdag 08 januari 2008 @ 17:28:
En dat werkt nou juist helemaal niet. Ik heb een tijdje alle spam verzameld, en ik vond praktisch geen herhalingspatroon in afzender. Ze verzinnen voortdurend andere adressen. De ene keer fake, een andere keer gestolen.

Je kunt checken of de afzender klopt, PTR record, SPF record, bestaat DNS, bestaat afzender enz..
Als je daar alleen al op checked heb je zeker de helft al minder.

cOOlrUnnINgs schreef op dinsdag 08 januari 2008 @ 13:01:
[...]


Thnx, ga ik daar eens m'n licht over laten schijnen...

Misschien een stomme opmerking, maar gebruik je een catch-all account? Dat is namelijk een echte spammagneet.

Verder is greylisting inderdaad zéér effectief, al lijkt de effectiviteit de laatste tijd wel ietwat af te nemen (door wat slimmere spamservers denk ik).

Antwoord geef je zelf al Random@domain.com

Alles wat naar Random wordt verstuurt in een zwart gat laten verdwijnen...

Ik heb stuk of 20 aliases voor mijn eigen mail account. voor spelfouten. eddy schrijven veel mensen eddie..

Dus ja.. zo krijg je alleen juist geadreseerde mail... al het random filter je er uit.. Heb nagenoeg geen last meer van spam.

Was het maar zo eenvoudig. Een heleboel troep (althans bij mij) wordt wel terdege naar het juiste adres gestuurd. Gelukkig filtert mijn provider (UPC) 99% van alle spam. In de "hoogtijdagen" was dit ongeveer 500 per week. Maar af en toe (1 à 2 per dag) sijpelt er toch eentje door. Spam in veel soorten, die ik handmatig nog probeer te filteren.

Inderdaad wat To_Tall noemt een deel met wel m'n juiste adres, maar gecombineerd met een idiote naam die er helemaal niet bij hoort. Maar dit is maar een deel. Een heel groot deel wordt simpel verzonden met enkel het kale e-mail adres. Een deel lijkt zelfs helemaal niet aan mij geadresseerd, maar het antwoord daarop is simpel, het grootste deel van de geadresseerden staat onder BCC. Sommigen filteren die sowieso weg, maar daarmee loop je toch het risico dat ook legitieme mail wordt verwijderd. Ik heb hiervoor de tussenoplossing die me redelijk goed bevalt, nl. alles wat niet correct aan mij is geadresseerd naar de map verwijderde items te laten sturen. Dus niet meteen in het zwarte gat. Op die manier heb ik een handige voorselectie. Meestal kan ik dan met één muisklik op Map Verwijderde Items leegmaken de zich daar bevindende troep opruimen

Afzenders zijn zelden hetzelfde dus daarop filteren heeft geen enkele zin. Waar ik door de jaren heen wel een herhalingspatroon vind, is in trefwoorden met wat ik in mijn vorige bericht noemde een heleboel spellingsvarianten. Daarin heb ik inmiddels redelijk succes. Niettemin verschijnen er toch steeds weer nieuwe. Wat te denken b.v. van een titel "Britney showed it again". Simpel, denkt iemand misschien, filter Britney. Helpt niets, want een volgende keer is gegarrandeerd een andere tuttebol het onderwerp.
Kortom, meer dan 90% kan zonder meer met succes worden gefilterd, maar het blijft net als bij steeds vernieuwende antivirusprogramma's (de betere zelfs enige keren per dag) een voortdurende strijd.