Jak działają zabezpieczenia
antyspamowe w Twoim koncie poczty?

Przede wszystkim skutecznie. Chronią Twoją skrzynkę przez zalewem niechcianej korespondencji. Niniejszy artykuł omawia rozwiązania i pokazuje, jak możesz kontrolować mechanizmy używane do zatrzymywania niechcianej korespondencji, aby uniknąć odfiltrowania potrzebnych wiadomości.

Możesz skorzystać z kilku mechanizmów chroniących Cię przed spamem. Zabezpieczenia są podzielone na trzy grupy, dwiema możesz zarządzać z poziomu Panelu Klienta Ogicom.

  • Zabezpieczenia na poziomie domeny – może je regulować tylko główny administrator Twojego konta. Ich ustawienia wpływają na wszystkie konta w domenie. Usuwają najwięcej SPAM’u.
  • Zabezpieczenia na poziomie konta – może je regulować każdy posiadacz konta, ponieważ zakres ich działania dotyczy tylko konkretnego konta na serwerze.
  • Zabezpieczenia na poziomie komputera użytkownika – np. w takich programach, jak MS Outlook, The Bat, Thunderbird, a także pakietach antywirusowych, jak Kaspersky, Symantec, F-Secure i innych, mogą powodować zatrzymywanie wiadomości na etapie między naszym serwerem i Twoim komputerem.

Schemat filtrowania spamu na serwerach poczty Ogicom - hosting z mniejszą liczbą niechcianych wiadomości.

Wprowadzenie

Jak działają zabezpieczenia antyspamowe w Twoim koncie poczty? Będąc klientem Ogicom.pl możesz skorzystać z kilku mechanizmów chroniących Cię przed spamem. Wszystkimi tymi opcjami możesz zarządzać w panelu administracyjnym

 

 

metoda opis zakres
Szare listy Metoda wykorzystująca znajomość działania oprogramowania do wysyłania spamu Działa dla całej domeny. Ustawia tylko administrator główny (właściel) panelu.
SPF Technika przeciwdziałająca fałszowaniu adresów email i ułatwiająca identyfikację spamu, robaków i wirusów Działa dla całej domeny. Ustawia tylko administrator główny (właściel) panelu.
Listy RBL Aktualizowane na bieżąco listy adresów IP serwerów/komputerów, z których nastąpiła wysyłka spamu Działa dla całej domeny. Ustawia tylko administrator główny (właściel) panelu.
Filtrowanie w na poziomie konta Technika przeciwdziałająca fałszowaniu adresów email i ułatwiająca identyfikację spamu, robaków i wirusów Działa dla danego konta. Ustawa użytkownik.

 

Filtrowanie na poziomie konta

Druga grupa zabezpieczeń konfigurowana jest bezpośrednio przez użytkownika korzystającego z konta e-mail. Tutaj do dyspozycji masz:

  • blokada po kraju pochodzenia – blokowane są wiadomości z krajów, z których wysyłane jest najwięcej spamu tj. Rosja i kraje azjatyckie. W szczególności są to: *.cn, *.kr, *.tw, *.sg, *.jp, *.br, *.ru, *.ro, *.ng, *.mz, *.mx, *.hk oraz *.cn.com, *.kr.com, *.tw.com, *.sg.com, *.jp.com, *.br.com, *.ru.com, *.ro.com, *.ng.com, *.mz.com, *.mx.com, *.hk.com
  • blokada na podstawie analizy programem SpamAssassin – program SpamAssassin jest programem analizującym nagłówki i treść maila pod kątem charakterystycznych cech spamu. Za występowanie każdej z cech przyznawane są punkty karne w zależności od wagi danej cechy (pełna lista reguł i punków karnych im odpowiadających dostępna jest na stronie programu). Dodatkowo program posiada samouczący się mechanizm analizy statystycznej oparty na filtrach Bayesa. Jeśli wiadomość otrzyma odpowiednią ilość punków jest oznaczana przez program jako spam. Domyślną wartością jest 5. Jest to zaawansowany program i cechuje się wyjątkowo dużą skutecznością.

Do walki ze spamem możesz skorzystać również z bardzo elastycznych filtrów, dzięki którym decydujesz co stanie się z wiadomością cechującą się określonymi parametrami.

SPF

Sender Policy Framework – jest techniką przeciwdziałającą fałszowaniu adresów email i ułatwiającą identyfikację spamu, robaków i wirusów.

Dostałeś kiedykolwiek spam od samego siebie? Ja tak i zastanawiałem się jak to zatrzymać! Nie wysyłałem tego! To przyszło od spamera. Jeśli moglibyśmy powstrzymać spamera przed fałszowaniem adresu email, moglibyśmy w prosty sposób zatrzymać sporą ilość spamu. SPF daje taką możliwość poprzez ustawienie odpowiedniego rekordu w serwerze DNS, który mówi o tym z jakich serwerów można wysyłać pocztę używając naszej domeny. Jeśli poczta przychodzi z innych serwerów, oznacza to że spamer kłamie twierdząc, że wysyła pocztę jako Ty.

SPF zostało stworzone do przeciwdziałania rujnowaniu Twojej reputacji przez spamerów. Jeśli chcą wysyłać spam, niech to robią pod własną domeną. Ustawiając rekordy SPF dla domen naszych klientów zmniejszamy możliwość wykorzystywania ich przez spamerów i wirusy.

Jak to działa?

Domeny używają rekordów DNS do kierowania żądań dla różnych usług (www, email, itd.) do serwerów, które wykonują odpowiednie usługi. Wszystkie domeny aktualnie publikują rekordy pocztowe (MX), które mówią światu jakie serwery przyjmują dla nich pocztę.
SPF opiera się na publikowaniu rekordów „odwrotnego MX”, które mówią światu o tym z jakich serwerów można wysyłać pocztę dla danej domeny. Kiedy dostajemy wiadomość odbiorca może sprawdzić te rekordy aby się upewnić czy poczta została wysłana z uprawnionych serwerów. Jeśli nie, można w prosty sposób taką wiadomość odrzucić.
Jak to włączyć?

Dla wszystkich domen naszych klientów ustawiliśmy odpowiednie rekordy SPF, w których pozwalamy wysyłać pocztę tylko z naszych serwerów pocztowych. Umożliwia to innym operatorom korzystającym z SPF odrzucanie emaili, w których spamerzy będą się podszywać pod Twoją domenę. Jeżeli sam chcesz również skorzystać z takiej możliwości możesz włączyć obsługę SPF w ustawieniach antyspamowych w panelu administracyjnym. Jeżeli posiadasz własny serwer SMTP i chciałbyś aby był dodany do listy uprawnionych serwerów zgloś się do naszego działu walki ze spamem antyspamWYTNIJ-TO@ogicom.pl.

Skuteczność metody
Skuteczność SPF uzależniona jest od tego, jak dużo domen posiada ustawione rekordy SPF. Z przeprowadzonych obserwacji wynika, że juz kilkanaście procent domen posiada odpowiednie wpisy a ich liczba rośnie.
Poniżej dzienna statystyka z jednego z naszych serwerów:

  • Wszystkie wiadomości: 365613 (100%)
  • Brak rekordów SPF: 307369 (84.07%)
  • Prawidlłowy SPF: 14671 (4.01%)
  • Błędny SPF (podszywanie): 27412 (7.50%)
  • Błędny SPF ale właściciel domeny zezwala na podszywanie: 14532 (3.97%)

Zalety
Będąc właścicielem domeny sam decydujesz z jakich serwerów może być wysyłana Twoja poczta. Jeżeli ktoś wysyła z innych używając Twojej domeny, oznacza to, że podszywa się pod Ciebie. SPF zapobiega podszywaniu. Możesz w końcu w prosty sposów odrzucać wiadomości ze sfałszowanymi adresami nadawcy.

Wady
Jeżeli posiadasz przekierowanie poczty (forward) z zewnętrznego serwera pocztowego na nasz serwer i masz włączoną obsługę SPF mogą pojawić się błędne odrzucenia poczty, ponieważ serwer przekierowujący nie zmienia adresu nadawcy a ma inny adres IP niż uprawniony do wysyłki serwer. Aby móc skorzystać z SPF proponujemy wówczas zrezygnowanie z tamtego przekierowania i skorzystanie z naszej usługi do pobierania poczty z innych serwerów: popper

Listy RBL

RBL (ang. Real-time Blackhole List) – aktualizowane na bierząco listy adresów IP serwerów/komputerów, z których nastąpiła wysyłka spamu. Korzystanie z list RBL jest podobne do korzystania z czarnych list tworzonych przez firmy hostinogowe. Najpopularniejszym przykładem takiej listy jest SpamCop.

Jak to działa?
Wyobraźmy sobie sytuację, w której z jakiegoś serwera lub komputera zarażonego wirusem został wysłany spam. Odbiorca takiej przesyłki przekazuje ją do serwisu prowadzącego daną listę, np. SpamCopa. Wiadomość poddawana jest analizie i jeśli faktycznie jest spamem adres IP komputera, z którego została wysłana jest dopisywany do czarnej listy. Listy takie są udostępniane z koleii użytkownikom, którzy na ich podstawie mogą blokować emaile.

Podstawowe typy list RBL (adresy IP serwerów):

  • spamerów
  • wspierających spamerów
  • „open relay”
  • „open proxy”
  • sieci zombie

Jak to włączyć?

Jeżeli chcesz aby nasz serwer pocztowy odrzucał wiadomości wysyłane z serwerów/komputerów umieszczonych na listach RBL włącz obługę list RBL w ustawieniach antyspamowych w panelu administracyjnym.
Nasze serwery korzystają z trzech list:

  • sbl-xbl.spamhaus.org
  • dnsbl.sorbs.net
  • cbl.abuseat.org

Skuteczność metody
Skuteczność list RBL waha się od 15 do 25% zatrzymanego spamu podczas połączenia z serwerem pocztowym. Zależy ona głównie od tego jak bardzo „popularny” jest Twój adres wsród spamerów. Im z większej ilości źródeł otrzymujesz spam tym listy RBL są skuteczniejsze.

Zalety
Listy RBL tworzone są przez setki administratorów na podstawie zgłoszeń tysięcy użytkowników internetu. Duża liczba zaangażowanych osób oraz rozproszenie geograficzne daje sposobność blokowania spamu wysyłanego z dowolnej lokalizacji na świecie.

Wady

Może się zdażyć, że na listach RBL znajdą się adresy IP serwerów dużych dostawców darmowych lub komercyjnych kont pocztowych na skutek wysyłki spamu przez jednego lub więcej użytkowników takiego serwera. Administratorzy takich serwerów starają się zazwyczaj usunąć włąsne serwery z list RBL, co może potrwać od kilku godzin do kilku dni w zależności od czasu reakcji administratora i polityki prowadzonej przez obsługę danej listy RBL. W tym czasie jeśli masz włączoną obsługę list RBL nasz serwer będzie odrzucał całą pocztę pochodzącą z takich serwerów.

Szare listy

Szare listy (ang. greylists) są nową, bardzo efektywną techniką walki ze spamem. W przeciwieństwie do metod filtracyjnych, opartych na wyszukiwaniu w wiadomościach cech charakterystycznych dla spamu, metoda ta wykorzystuje znajomość działania oprogramowania do wysyłania spamu.

Szacuje się, że ok. 90-95 % niechcianych wiadomości rozsyłane jest przez specjalnie do tego celu stworzone oprogramowanie, które posiada zaimplementowany tylko fragment protokołu SMTP (ang. Simple Mail Transport Protocol). Według różnych szacunków od 40% do 80% spamu rozsyłane jest przez wirusy, a raczej sieci wirusów, tzw. zombie networks. Idea działania takich programów polega na zasadzie „wyślij i zapomnij” (ang. fire-and-forget), gdzie po wysłaniu wiadomości taki program nie interesuje się czy email dotarł do adresata czy nie. Klasyczne programy pocztowe na serwerach posiadają natomiast pełną implementację protokołu SMTP, która zakłada zawodność tegoż protokołu, i potrafią ponowić wysłanie wiadomości jeśli z jakiegoś powodu nie można jej dostarczyć na serwer odbiorcy. Właśnie z tej właściwości skorzystali twórcy metody „szarych list”.

Jak to działa?
Po stronie serwera odbiorcy istnieje baza danych, w której przechowuje się informacje o następujących trójkach:

  • adres IP serwera, który próbuje wysłać wiadomość
  • adres email nadawcy
  • adres email odbiorcy

Dla każdej wiadomości serwer sprawdza czy posiada już taką trójkę w swojej bazie. Jeśli tak, to wiadomość jest dostarczana do odbiorcy. Jeśli nie, to serwer czasowo odmawia przyjęcie przesyłki, np. na okres 5 minut i zapamiętuje tą trójkę w swojej bazie. Klasyczny serwer pocztowy po stronie nadawcy ponowi wysłanie wiadomości i zostanie ona dostarczona do odbiorcy, ponieważ serwer nadawcy będzie już posiadał informację o takiej trójce. Natomiast program do wysyłania spamu nie ponowi przesyłki dzięki czemu spam nie zostanie dostarczony do odbiorcy. Informacje o każdej trójce przechowywane są w bazie danych przez określony czas, np. 3 miesiące, po czym są z niej usuwane.

Jak to włączyć?
Aby korzystać z techniki szarych list wystarczy włączyć ich obsługę w ustawieniach antyspamowych w panelu administracyjnym.

Zalety
Dzięki wykorzystaniu znajomości zasady działania programów do wysyłania spamu metoda ta cechuje się wyjątkowo dużą skutecznością. Z przeprowadzonych przez nas obserwacji wynika, że dzięki tej metodzie udaje się zatrzymać od 90 do 98 % spamu.

Wady
Jeżeli serwer odbiorcy nie posiada w swojej bazie danych informacji o danej trójce, co oznacza, że wiadomość od danego nadawcy do danego odbiorcy jest wysyłana po raz pierwszy to dostarczenie takiej wiadomości zostanie opóźnione. Każdy kolejny taki mail zostanie dostarczony bez opóźnień. Oznacza to że raz na 3 miesiące jedna wiadomość zostanie dostarczona z opóźnieniem a pozostałe będą docierać juz normalnie. Wielkość opóźnienia zależy od tego jak  szybko serwer nadawcy ponowi wysłanie wiadomości. Z naszych obserwacji wynika, że są to opóźnienia rzędu od 5 do kilkunastu minut.