Spambestrijding

In de constante strijd tegen spammers, zijn wij opnieuw gaan kijken naar onze spamfiltering. In het hele proces, dat we in stappen hebben uitgevoerd, kwamen we in onze logs en statistieken een aantal opvallende zaken tegen, die we hieronder op een rijtje hebben gezet.

Dave Fortuijn

Senior System Engineer

Spammers gebruiken oude DNS records
Ooit, ongeveer 3 jaar terug, hadden wij een los systeem in gebruik dat spam filterde. Later hebben we besloten deze load te verdelen over de servers op ons shared hosting platform, maar nu we druk bezig zijn met virtualisatie, is dat minder interessant geworden. 

De server (of eigenlijk virtuele server) die nu weer spamfiltering gaat doen, hebben we op hetzelfde IP adres gezet als de server van 3 jaar terug. Tot onze verbazing zagen we zelfs nog tijdens de installatie al spam aangeleverd worden op de nieuwe installatie. Dit terwijl de DNS al 3 jaar niet meer naar die server verwijst en het IP adres al die tijd niet in gebruik is geweest.

Na enig zoekwerk op Google zagen we dat meer mensen hier last van hebben. Dit is wel belangrijk om in de gaten te houden, zeker als je MX records toevoegt van losse systemen die filtering doen. 

Spammers kijken niet naar MX priority
Inmiddels beginnen spammers door te krijgen dat MX records met een hogere prioriteit (dus een lager getal), vaak spamfilters zijn. Spammers kiezen nu dus heel vaak juist het MX record met de laagste prioriteit (hoger getal), of kiezen willekeurig een MX record uit.
Als er dus een apart spamfilter wordt geinstalleerd die de mail doorstuurt naar de volgende server, dan kan het dus slim zijn om de spamfilter het MX record te geven met zowel de laagste als de hoogste prioriteit.Maar dan nog krijg je vaak direct mail binnen op de server.

Spammers kijken uberhaupt niet naar MX
Het komt ook vaak voor dat spammers mailen naar de A record van een domeinnaam, in plaats van naar de MX records te kijken. Dit betekent dat op shared hosting systemen waarbij de email en website op een enkel systeem draait, de mail daar direct naartoe gaat. Hierbij kijken spammers niet naar de MX records waarin wordt verwezen naar de aparte spamfilters.

Wel of niet filteren aan de hand van blacklists
De echt consequente spammers komen op blacklists terecht. Maar de vraag is, wil je aan de hand van blacklists wel direct filteren of zelfs de verbinding weigeren? Het gebeurt wel eens dat legitieme verzenders ook in blacklists terecht komen, zoals bijvoorbeeld een keer met Gmail is gebeurd, welke ineens in SpamCop stond.
Je kunt besluiten om wel direct te filteren aan de hand van blacklists, waarmee je heel veel spam direct zult tegenhouden. Onze mening is dat de spamfiltering er in elk geval niet voor moet zorgen dat normale email verloren gaat. Wij werken daarom gewoon met een Spamassassin score systeem, waarbij email dus pas gefilterd gaat worden op het moment dat de afzender op meerdere blacklists staat. Naar ons idee is dat veiliger.

Onze oplossing
Ons doel is voornamelijk om de load op de shared hosting servers omlaag te krijgen, dus niet direct om de spamfiltering helemaal los te hebben.De oplossing die wij nu hebben geimplementeerd binnen onze shared hosting is als volgt:

  • De server die filtert, staat als eerste en laatste MX record opgegeven. De shared hosting server waar de klant op draait als middelste MX.
  • De shared hosting servers zelf hebben ook een spamfilter draaien, maar de bedoeling dat deze zo min mogelijk doet, omdat die mogelijk de performance van de shared hosting omlaag brengt.
  • De filterende server heeft zelf ook een database met alle mailgebruikers, zodat mail naar een niet-bestaande gebruiker direct afgewezen kan worden.
  • Wordt email wel direct naar de shared hosting gestuurd, dan wordt deze gecontroleerd aan de hand van twee blacklists en direct afgewezen als de afzender op een blacklist staat. Deze mensen kunnen dus alleen email versturen als dit langs de filterende server gaat, die werkt met een scoresysteem.
Terug naar nieuwsoverzicht

Hulp nodig, vragen of opmerkingen?

+31 (0) 546 - 714360

Meer actueel

Fantastische editie Hemelgames 2019!

Ook dit jaar was Shock Media weer hoofdsponsor van het Hemelgames Festival dat voor de vijfde keer georganiseerd werd. Dit jaar alleen geen "games" meer, des te meer tijd voor goede muziek en ontspanning! Natuurlijk waren we met een groep collega’s van de partij. Lees snel verder voor de foto’s die een beeld geven van de zeer geslaagde dag:

Kwetsbaarheden in Intel processoren

Deze week zijn er verschillende, zeer grote, kwetsbaarheden aan het licht gekomen in Intel processoren die met name worden gebruikt in laptops, computers en servers. Onderzoekers vonden deze kwetsbaarheden enkele maanden geleden en meldden deze in het geheim bij Intel. Deze kwetsbaarheden kunnen misbruikt worden middels zogenaamde Microarchitectural Data Sampling (MDS) aanvallen, waaronder de zogenaamde RIDL, Fallout en Zombieload aanvallen. De gevonden kwetsbaarheden kunnen mogelijk een zeer grote impact hebben op de veiligheid van digitale informatie en systemen.

Trotse hoofdsponsor van het Bevrijdingsfestival Gelderland 2019!

Bevrijdingsdag is elk jaar de dag waarop Nederland haar vrijheid viert. Een belangrijk moment om bij stil te staan en iets waar wij als organisatie trots op zijn om dit te kunnen sponsoren. Op het officiële Bevrijdingsfestival Gelderland 2019 waren wij dit jaar dan ook prominent aanwezig. Zie hieronder voor een sfeerimpressie van deze dag!