Jump to Navigation
HjemBloggersjefen's blog

SPAM. Backscatter storm

Skrevet av sjefen man, 14.04.2008 - 04:20

total_mail_by_date.png

Den siste uken har SPAM fenomenet bacscatter blitt sikkerlig poulært. Hvorfor er det ingen som kan gi noe svar på. Backscattering er mail med forfalsket avsendere som sendes til mailservere og ikke sjekker om avsender er forfalsket (dårlig satt opp). Når mailen skal levers til mottaker finner serveren da ut av mottakeren ikke finnes og feilmeldignen går da tilbake til den serveren tror er avsender.

Noen servere vil da returnere hele mailen og noen undertrykker mailen og bare sender deg overskriften. Mailen inneholder SPAM som da smyger seg gjennom spamfilteret som en legetim mail (HAM).

Picture_1.png

Backscatter trafikk er ikke så lett å stoppe siden mailen kommer fra en reel mailserver og blacklister vi den vil man og stoppe potensielle legitime mail (HAM) men en del ting vil hjelpe på:

http://www.openspf.org. Dette er en signaturmodell. Du oppretter Info i din DNS for de servere som har love til å sende mail dette bruker en server som har SPF til å identifisere serveren som sender. SPF stopper ikke SPAM men gjør et forsøk på å forhindre forfalsket mail og komme inn i mail systeme.

Watermarking, Mailscanner har en mulighet til å lage et vannmerke på all mail den sender ut, når en eventuell bounced mail kommer tilbake vil den kunne sjekke om vannmerket er til stede. Sjekken er noe kostbar for selve serveren men trolig nødvendig. Jeg har satt at all mail om ikke holder dette skal bli merket som SPAM. Husk å sjekke karantene loggen i framtiden for å se om noen HAM havner der.

VBounce er en perl plugin til Spamassassin som prøver å tagge backscatter spam. Pass på at den er aktivert og gjør noen enkle sjekker for å se om den kjører.

Småting:
- Retuner 550 som feilmelding på mail som er feilsendt i stedet for den mere vanlige snille standarden 450.
- Flyttet noen blackhole sjekker til Postfix. At Postfix gjør sjekken på SMTP level er noe billigere for selve serveren.
- Flyttet grensen for SPAM fra 6 og ned til 3 siden en del av backscatter spammen hadde en score som var rett mellom 3 og 6 og ingen HAM hadde i de siste ukene fått denne verdien.
- Oppgrader til siste versjonen av Spamassassin. Jeg oppdaterer alltid selve Spamassassin fra CPAN.

Bookmark/Search this post with:
  • Digg
  • Facebook
  • LinkedIn
  • Twitter

Kommentarer

Skriv ny kommentar

Innholdet i dette feltet blir holdt privat og vil ikke bli vist offentlig.

Pålogging

  • Sign in with Twitter

sjefen's tweets

more