[LinuxFocus-icon]
LinuxFocus article number 279
http://linuxfocus.org

[Katja en Guido Socher]
door Katja en Guido Socher
<katja/at/linuxfocusorg guido/at/linuxfocus.org>

Over de auteur:

Katja is redactrice van de duitse versie van LinuxFocus. Ze houdt van Tux, film & fotografie en de zee. Je kunt haar homepage hier vinden.

Guido is al lange tijd Linux fan en hij waardeert Linux omdat het keuzemogelijkheden biedt en vrijheid geeft. Je kunt naar eigen believen oplossingen kiezen en ontwikkelen.



Vertaald naar het Nederlands door:
Christ Verschuuren <cjmversch/at/netscape.net>

Het gevecht tegen Spam-Mail

[Illustratie]

Kort:

Spam tussen je mail!? Spam E-mail groeit met schrikbarende snelheid en is voor bijna iedereen een serieus probleem. In dit artikel zullen we uitleggen wat je tegen deze plaag kunt beginnen.


_________________ _________________ _________________

 

Wat is spam-mail?

Spam-mail heeft vele namen. Sommigen noemen het UCE (Ongevraagde commerciële email) anderen noemen het Ongewenste E-mail, maar al deze namen verklaren niet echt wat het eigenlijk is. Als je (nog) geen spam ontvangt kijk dan eens naar deze collectie spam-mail (spam_samples.html). Het is een willekeurige selectie uit de over een paar dagen ontvangen spam-mail. Lees eens door de berichten en je zult snel begrijpen dat dit niets te maken heeft met commercie of zakendoen. Deze spammers zijn criminelen. Geen enkele zichzelf respecterende zakenman/vrouw zou miljoenen mensen zo irriteren en beledigen om enkele "argelozen" te vinden die in hun trucjes trappen.

Het is een wijd verbreid misverstand onder mensen die weinig ervaring met het Internet hebben om te geloven dat deze manier van reclame maken vergelijkbaar is met de aanbiedingen die ze bij tijd en wijle van hun supermarkt ontvangen. Producten die verkocht worden middels spam-mails zijn vaak illegaal en vaak is er helemaal geen product. Het zijn trucjes om je geld af te troggelen.  

Hoe veel?

Spammers halen je e-mail adressen van webpagina's, nieuwsgroepen of uit domeinregistraties (als je je eigen domein hebt). Er zijn individuen die robots gebruiken om de adressen te verzamelen, branden deze op CD's en verkopen ze voor weinig geld aan andere Spammers. Als je je e-mail adres vandaag de dag in klare taal op je homepage plaatst, kunnen dergelijke programma's dit herkennen, vervolgens heb je in enkele maanden tijd een serieus probleem dat niet meer te stoppen is. Het probleem wordt met de dag groter!

In 1998 was het percentage spam mail verzonden naar LinuxFocus minder dan 10%. In November 2002 zijn de statistieken als volgt:

Onze server krijgt ongeveer 4075 mailberichten per week. 3273 zijn spam-mails!
=> 80% van alle mailverkeer is Spam.

Dat wil zeggen dat 80% van de capaciteit van de mail server en 80% van de netwerkcapaciteit wordt gebruikt voor iets dat niemand wil.

Van deze 3273 spam mails is ongeveer 40% afkomstig uit Amerika (vooral Canada, US, Mexico) en ongeveer 30% uit Azië (vooral Korea, China en Taiwan).  

Wat doen we met Spam

Als je naar de spam-mails kijkt zul je zien dat ze nagenoeg allemaal een mogelijkheid bieden om verwijderd te worden uit de e-mail lijst. Doe dat niet! Je hebt te maken met criminelen. Geen enkele spammer zou iets bereiken als hij een behoorlijke verwijderlijst zou hanteren. Waarom bieden ze dan nog steeds deze mogelijkheid? Het antwoord is eenvoudig. Het maakt een veel betere indruk op de lezer en het is een statistisch hulpmiddel bij uitstek. De spammer kan onmiddelijk controleren dat zijn berichten aankomen. Met andere woorden je bevestigd de ontvangst van zijn bericht!

Er is ook een simpel technisch probleem met het concept van de verwijderlijst. LinuxFocus is geen grote site, maar we zouden een full time kracht nodig hebben om ons af te melden voor alle 3273 Spam berichten die we per week ontvangen en deze persoon dat afmelden dan in een minuut moeten kunnen doen. Elke spammer gebruikt een andere methode, het zou een belachelijke opdracht zijn en het kan niet werken. Verwijderlijsten zijn onzin en helpen alleen de spammers.

De enige juiste actie is: verwijder het bericht!

 

Software om spam te beheersen

Er zijn een aantal mogelijkheden op spam berichten uit te filteren en dit is een goede zaak, omdat het daardoor moeilijker wordt voor spammers om hun boodschap te verspreiden. Het blijft echter een worsteling. De hulpmiddelen om spam te filteren worden steeds geavanceerder, maar de spammers verbeteren hun methoden ook.

Er zijn 2 typen filters:
  1. Controles die zijn ingebouwd in de MTA (Message Transfer Agent=Mail server). Hier kun je meestal het bericht weigeren. Dat wil zeggen: de e-mail wordt niet eens opgeslagen. Er wordt een foutcode teruggestuurd zodra tijdens de ontvangst van het bericht wordt herkend dat het om een spambericht gaat. Typische voorbeelden van deze hulpmiddelen zijn IP gebaseerde blokkadelijsten en controles op berichtkoppen. Als je zelf geen mail server hebt, dan zou je ISP er een moeten installeren.

  2. Filteren na ontvangst van het bericht. In dit geval is de e-mail succesvol afgeleverd en wordt hij pas later uitgefilterd.
We zullen nu de verschillen mogelijkheden meer in detail bespreken. Ze hebben allemaal voor- en nadelen. De beste oplossing om van spam af te komen is om meerdere hulpmiddelen te gebruiken.  

E-mail direct bij de MTA weigeren

Als je je e-mail direct bij ontvangst door de mail server weigert, kan de spammer een foutmelding terugontvangen en weet hij dat dit adres niet geldig is. Als het een van de "CD-makers" is kan hij je adres uit de lijst verwijderen. Het bespaart een hoop bandbreedte, omdat je niet het hele bericht hoeft te ontvangen. Je kunt een foutmelding zenden, zodra je ontdekt dat het spam betreft.

Om dit te doen heb je een goede en flexibele MTA nodig. Helaas zijn de twee meest gebruikte servers, Sendmail en degene van Bill Gates niet geschikt voor deze taak. Twee erg goede alternatieven zijn Postfix en Exim. Als niet kunt veranderen van mail server kun je altijd nog een smtp proxy als messagewall voor de server (smtp = Simple Mail Transfer Protocol, het Internet mail protocol) plaatsen.

We zullen nu de werking van enkele veelvoorkomende filtertechnieken bespreken. We zullen niet beschrijven hoe ze geconfigureerd moeten worden in elk van de MTA's. Dat zou het artikel te lang maken. In plaats daarvan stellen we voor de documentatie van je geïnstalleerde MTA te lezen. Postfix en Exim zijn goed gedocumenteerd. Sommige MTA's hebben nog meer opties maar de bovenstaande zijn gewoonlijk aanwezig in een goede MTA. Het voordeel van de bovenstaande controles is dat ze geen zware belasting van de CPU veroorzaken. Over het algemeen hoef je je mailserver hardware niet te upgraden voor deze controles.  

Filteren van reeds ontvangen mail

De hierna volgende technieken worden gewoonlijk toegepast op het gehele reeds ontvangen bericht en de zendende mail server wordt gewaar dat het bericht niet bezorgd kon worden. Dat betekent dat ook een te goeder trouw zijn zender geen foutrapportage krijgt. Het bericht verdwijnt gewoon.
Dit gezegd hebbende moeten we gelijk opmerken dat niet helemaal waar is omdat dat afhangt van de filtermogelijkheden van de mail server. Exim is erg flexibel en laat je toe om maatwerk filters te schrijven voor berichten.

Er zijn vele oplossingen mogelijk om spam te bestrijden. We denken dat het bovenstaande de belangrijkst hiervan behandeld.

De beste oplossing is om controles in de MTA te gebruiken als eerste verdedigingslinie en de resterende spam te verwijderen met een filter methode.  

HTML mail

Een bijzonder gevaarlijke vorm van e-mail xijn spam mails in HTML formaat.

De meeste spammers gebruiken de "afmeld mogelijkheid" om te zien hoeveel van hun berichten aankomen. HTML geformateerde berichten bieden een veel betere vorm van feedback: Afbeeldingen. Je kunt dit systeem vergelijken met de bezoekerstellers die je op sommige webpagina's aantreft. De spammer kan precies zien wanneer en hoeveel van zijn berichten zijn gelezen. Als je de Spam berichten zorgvuldig bestudeert zul je zien dat in sommige gevallen het URL voor de inbegrepen afbeeldingen een volgnummer bevat: De spammer kan precies zien wie naar zijn berichten kijkt en op welke tijd. Een onvoorstelbaar beveiligingslek.

Moderne e-mail programma's zullen afbeeldingen die zomaar ergens van een URL worden opgehaald niet tonen. Echter er zijn nauwelijks moderne en veilige HTML leesprogramm's. Kmail en de nieuwste versie van mozilla mail bieden de mogelijkheid om afbeeldingen van externe bronnen te blokkeren. De meeste andere programma's genereren mooie statistieken voor de spammer.

De oplossing? Gebruik geen mailprogramma dat html mail kan verwerken of download de berichten eerst, verbreek dan de verbinding met het Internet en lees dan pas je mail.  

Waar komt spam vandaan?

Vertrouw nooit het zenderadres in het "From" veld van spam berichten! Het zijn of niet bestaande of onschuldige gebruikers. Het komt slechts zelden voor dat dit het mailadres van de spammer is. Als je wilt weten waar de mail vandaan komt moet je naar de volledige berichtkop kijken:
...

Received: from msn.com (dsl-200-67-219-28.prodigy.net.mx [200.67.219.28])
        by mailserver.of.your.isp (8.12.1) with SMTP id gB2BYuYs006793;
        Mon, 2 Dec 2002 12:35:06 +0100 (MET)
Received: from unknown (HELO rly-xl05.dohuya.com) (120.210.149.87)
        by symail.kustanai.co.kr with QMQP; Mon, 02 Dec 2002 04:34:43

In dit geval zend een onbekende host met IP adres 120.210.149.87 die beweert rly-xl05.dohuya.com te zijn de mail door naar symail.kustanai.co.kr. symail.kustanai.co.kr zend het bericht vervolgens weer door.
De spammer verbergt zich ergens achter 120.210.149.87 dat waarschijnlijk een eenvoudig inbelverbinding is.

Met andere woorden de politie zou deze persoon kunnen vinden als ze naar de eigenaar van kustanai.co.kr gaan en vragen om de server logs en een afdruk van de verbindingen van de lokale telefoonmaatschappij. Jij hebt weinig kans uit te vinden wie dat was.

Het kan ook zijn dat het eerste deel van de berichtkop vals is en dat de spammer zich in het echt achter dsl-200-67-219-28.prodigy.net.mx bevind. Dit is erg waarschijnlijk omdat er geen goede reden voor symail.kustanai.co.kr is om het bericht naar msn.com te zenden via de dsl verbinding (dsl-200-67-219-28.prodigy.net.mx). De mailserver.of.your.isp (symbolische naam) is de server van jouw Internet Service Provider en is het enige deel van de "Received:" regel dat echt betrouwbaar is.

Het is mogelijk de spammer te vinden, maar daarvoor heb je internationaal onderzoek en de lokale politie nodig om prodigy.net.mx te bezoeken.  

Conclusie

Als spam in het huidige tempo blijft toenemen dan zal het Internet spoeding veel meer Spam transporteren dan echte e-mail. Spam wordt vervoerd op kosten van de ontvanger. Er is meer bandbreedte benodigd en vaak moeten de mail systemen worden opgewaardeerd om de Spam stroom te kunnen beheersen.
De wetgeving in veel landen is gericht op het bechermen van burgers tegen misdadige spammers. In feite zijn er landen die wetten hebben waardoor eerlijke burgers worden beperkt (digital rights management etc...) en de criminelen worden geholpen (bijv. door leuke statistieken te krijgen over hun spam-mail).

Sluit je aan bij de Coalition Against UCE!
euro.cauce
http://www.euro.cauce.org/en/
cauce
http://www.cauce.org/


Internet Service Providers zouden hun mail systemen moeten controleren. Ongeautoriseerde toegang tot mail servers moet voorkomen worden en het aantal berichten dat een gebruiker per minuut kan verzenden moet beperkt worden.  

Referenties



Site onderhouden door het LinuxFocus editors team
© Katja en Guido Socher
"some rights reserved" see linuxfocus.org/license/
http://www.LinuxFocus.org
Vertaling info:
en --> -- : Katja en Guido Socher <katja/at/linuxfocusorg guido/at/linuxfocus.org>
en --> nl: Christ Verschuuren <cjmversch/at/netscape.net>

2005-01-14, generated by lfparser_pdf version 2.51