Spambestrijding

In de constante strijd tegen spammers, zijn wij opnieuw gaan kijken naar onze spamfiltering. In het hele proces, dat we in stappen hebben uitgevoerd, kwamen we in onze logs en statistieken een aantal opvallende zaken tegen, die we hieronder op een rijtje hebben gezet.

Dave Fortuijn

System & Network Administrator

Spammers gebruiken oude DNS records
Ooit, ongeveer 3 jaar terug, hadden wij een los systeem in gebruik dat spam filterde. Later hebben we besloten deze load te verdelen over de servers op ons shared hosting platform, maar nu we druk bezig zijn met virtualisatie, is dat minder interessant geworden. 

De server (of eigenlijk virtuele server) die nu weer spamfiltering gaat doen, hebben we op hetzelfde IP adres gezet als de server van 3 jaar terug. Tot onze verbazing zagen we zelfs nog tijdens de installatie al spam aangeleverd worden op de nieuwe installatie. Dit terwijl de DNS al 3 jaar niet meer naar die server verwijst en het IP adres al die tijd niet in gebruik is geweest.

Na enig zoekwerk op Google zagen we dat meer mensen hier last van hebben. Dit is wel belangrijk om in de gaten te houden, zeker als je MX records toevoegt van losse systemen die filtering doen. 

Spammers kijken niet naar MX priority
Inmiddels beginnen spammers door te krijgen dat MX records met een hogere prioriteit (dus een lager getal), vaak spamfilters zijn. Spammers kiezen nu dus heel vaak juist het MX record met de laagste prioriteit (hoger getal), of kiezen willekeurig een MX record uit.
Als er dus een apart spamfilter wordt geinstalleerd die de mail doorstuurt naar de volgende server, dan kan het dus slim zijn om de spamfilter het MX record te geven met zowel de laagste als de hoogste prioriteit.Maar dan nog krijg je vaak direct mail binnen op de server.

Spammers kijken uberhaupt niet naar MX
Het komt ook vaak voor dat spammers mailen naar de A record van een domeinnaam, in plaats van naar de MX records te kijken. Dit betekent dat op shared hosting systemen waarbij de email en website op een enkel systeem draait, de mail daar direct naartoe gaat. Hierbij kijken spammers niet naar de MX records waarin wordt verwezen naar de aparte spamfilters.

Wel of niet filteren aan de hand van blacklists
De echt consequente spammers komen op blacklists terecht. Maar de vraag is, wil je aan de hand van blacklists wel direct filteren of zelfs de verbinding weigeren? Het gebeurt wel eens dat legitieme verzenders ook in blacklists terecht komen, zoals bijvoorbeeld een keer met Gmail is gebeurd, welke ineens in SpamCop stond.
Je kunt besluiten om wel direct te filteren aan de hand van blacklists, waarmee je heel veel spam direct zult tegenhouden. Onze mening is dat de spamfiltering er in elk geval niet voor moet zorgen dat normale email verloren gaat. Wij werken daarom gewoon met een Spamassassin score systeem, waarbij email dus pas gefilterd gaat worden op het moment dat de afzender op meerdere blacklists staat. Naar ons idee is dat veiliger.

Onze oplossing
Ons doel is voornamelijk om de load op de shared hosting servers omlaag te krijgen, dus niet direct om de spamfiltering helemaal los te hebben.De oplossing die wij nu hebben geimplementeerd binnen onze shared hosting is als volgt:

  • De server die filtert, staat als eerste en laatste MX record opgegeven. De shared hosting server waar de klant op draait als middelste MX.
  • De shared hosting servers zelf hebben ook een spamfilter draaien, maar de bedoeling dat deze zo min mogelijk doet, omdat die mogelijk de performance van de shared hosting omlaag brengt.
  • De filterende server heeft zelf ook een database met alle mailgebruikers, zodat mail naar een niet-bestaande gebruiker direct afgewezen kan worden.
  • Wordt email wel direct naar de shared hosting gestuurd, dan wordt deze gecontroleerd aan de hand van twee blacklists en direct afgewezen als de afzender op een blacklist staat. Deze mensen kunnen dus alleen email versturen als dit langs de filterende server gaat, die werkt met een scoresysteem.
Terug naar nieuwsoverzicht

Hulp nodig, vragen of opmerkingen?

Daag ons uit +31 (0) 546 - 714360

Stuur ons uw uitdaging!





Wij hebben uw uitdaging ontvangen,
we zullen binnen 24 uur contact met u opnemen.

Meer actueel

DDoS-aanvallen: Hackers, chantage of pesterijen?

U heeft het de laatste tijd vast meegekregen, de DDoS-aanvallen op ABN-Amro, ING, Rabobank en de Belastingdienst. DDoS-aanvallen zijn echter niets nieuws en zijn vaak voor veel bedrijven met omvangrijke IT omgevingen, waaronder ook wij zelf, aan de orde van de dag. Wat zijn DDoS-aanvallen, welke gevolgen heeft een DDoS-aanval, welke motieven zitten hier vaak achter en hoe kunt u ze voorkomen of afweren?

Kwetsbaarheden in processoren

Zoals u waarschijnlijk al heeft meegekregen zijn er afgelopen week zeer grote kwetsbaarheden aan het licht gekomen in vrijwel alle processoren die wereldwijd worden gebruikt in onder andere computers, telefoons, laptops en ook servers. Deze kwetsbaarheden hebben de naam Meltdown and Spectre gekregen. Deze kwetsbaarheden hebben wereldwijd zeer grote impact op de veiligheid van vrijwel alle gecomputeriseerde omgevingen.

Nominatie FD Gazelle 2017

Voor het 5e jaar op rij is het in Almelo gevestigde Shock Media genomineerd door Het Financieele Dagblad voor de prestigieuze Gazelle Award. Alleen bedrijven die meerdere jaren achter elkaar een flinke groei doormaken en financieel gezond zijn, komen in aanmerking voor de Gazelle Award.