Lintopdrachten overslaan
Verdergaan naar hoofdinhoud

Direct contact

Uitleg over de werking van Universal spam filtering
KBA-01309-P3Z3
Question
Uitleg over de werking van Universal spam filtering
Answer

Algemeen

Universal gebruikt zeer uitgebreide spamfiltering (e-mail gateway) voordat een e-mail bericht wordt toegelaten tot het Hosted Exchange platform. Toch kan het voorkomen dat er ongewenste berichten in uw Postvak terecht komen. Hoewel dit diverse oorzaken kan hebben, beperken wij ons in dit artikel tot een van de meest voorkomende scenario’s.

Aan de hand van een voorbeeld hieronder wordt de werking van spamfiltering toegelicht. Daaruit blijkt dat het in sommige gevallen “nodig” is om spam te ontvangen voordat er actie kan worden ondernomen. Een spammail moet namelijk eerst een keer ergens worden toegelaten voordat het ergens anders kan worden geblokkeerd / herkend.

 

Verklarende woordenlijst

IP adres: Het Internet Protocol adres van een (mail)server, waardoor computersystemen onderling met elkaar kunnen communiceren.

DNS: Domain Name System wordt ook wel omschreven als het telefoonboek van het internet. Het DNS is een register waarin wordt bijgehouden welke server (ip adres) verantwoordelijk is voor een domain naam.  b.v.: Als men op het internet het webadres www.google.com bezoekt zal DNS dit domein omzetten naar een ip adres 173.194.65.94 en dit vervolgens doorgeven aan uw pc.

SPF: Sender Policy Framework is een protocol dat bedoeld is om spam te verminderen door vast te stellen of een email is verzonden vanaf een computersysteem dat gemachtigd is om namens het betreffende domein te verzenden.

DKIM: Domain Keys Identified Mail is een systeem om vast te stellen of email berichten afkomstig zijn van de legitieme eigenaar van het domein. Servers die gebruik maken van DKIM ondertekenen elke uitgaand email met een unieke versleutelde tekenreeks. De ontvangende partij kan vervolgens op basis van deze tekenreeks en een in de DNS opgeslagen publieke sleutel bepalen of het betreffende bericht afkomstig is van de domein eigenaar.

Spamscore: Een getal dat per email bericht wordt berekend. Hoe hoger de score hoe waarschijnlijker het een spam bericht betreft.

 

De diversen onderdelen van een e-mail gateway

De spamfiltering van de gebruikte e-mail gateway bestaat uit meerder lagen en filters met ieder een eigen functie.

1.       De IP blacklist. Deze lijst houdt reputaties bij van een grote hoeveelheid IP adressen welke er in de wereld in gebruikt worden. Deze lijst wordt 24x7 up-to-date gehouden door grote beveiliging instanties. De spamfilters zullen bij de allereerste fase van het ontvangen van een email bepalen of het verzendende computersysteem (op basis van het IP adres) een goede of een slechte reputatie heeft. In het geval van een slechte reputatie wordt de verbinding direct verbroken zonder dat er een dataoverdracht heeft plaatsgevonden.

 

2.       De header. Nadat een inkomend bericht de eerste linie heeft mogen passeren, zal de verzendende server zogenaamde “Header” informatie versturen en zal het spamfilteringsplatform een “Spamscore” gaan bijhouden voor dit bericht.
“Headers” zijn informatie zoals “Van welk email adres komt het bericht”, “Naar welk email adres gaat het bericht”, “Hoe laat is het bericht verzonden” etc. Optioneel wordt er een DKIM tekenreeks doorgegeven. Op basis van al deze header informatie zal het filter vervolgens de volgende hoofdzaken controleren:

a.       zijn de headers conform de vastgestelde standaarden opgesteld? Vaak zal er in het geval van spam een of meerdere headers ontbreken of niet compleet zijn.

b.      Heeft het domein van de afzender een goede reputatie?

c.       Is er voor er verzenden domein een SPF en/of DKIM record bekend? Zo ja, is het verzendende computer systeem gemachtigd om dit bericht te verzenden?

d.      Komt er informatie uit de headers naar boven die door de ontvangende organisatie zelf wordt bijgehouden blacklist? Of staat deze informatie juist op een White list?

Bovenstaande zaken worden allen in overweging genomen en de spamscore van het bericht    wordt op basis van deze informatie bijgesteld (dit kan zowel naar boven als naar beneden zijn). Indien de spamscore in deze fase hoger is dan de toegestane waarde, dan zal dit bericht naar de persoonlijke quarantaine van een gebruiker gaan of worden geweigerd.

 

3.       De inhoud. De rest van het bericht wordt verzonden door de verzendende server. De inhoud van het bericht en eventuele bijlagen worden gecontroleerd op basis van de volgende hoofdzaken:

a.       bevatten eventuele bijlagen virussen of andere kwaadwillende onderdelen?
Deze controle wordt uitgevoerd op basis van Antivirus en Antimalware databases welke elk uur worden bijgewerkt met de nieuwste dreigingen.
Indien er iets wordt aangetroffen zullen de bijlage worden vervangen door een tekst bestand waarin vermeld wordt dat de originele bijlage is verwijderd i.v.m. een besmetting.

b.      Eventuele links in het bericht en de bijlagen worden geanalyseerd op de aanwezigheid van links naar kwaadwillende websites.

c.       Alle links worden geanalyseerd op reputatie van de betreffende domeinen.

d.      Afbeeldingen worden geanalyseerd op bekende spam / kwaadwillende / aanstootgevende patronen.

e.      De inhoud van het bericht wordt geanalyseerd op bekende patronen welke duiden op ongewenste email.

f.        Vertoont de inhoud kenmerken die door de ontvangende organisatie op een block- of White list is gezet?

Bovenstaande punten worden allen in overweging genomen en de spamscore van het bericht wordt op basis van deze informatie bijgesteld.

De eindscore van het bericht bepaald vervolgens of een bericht wordt doorgelaten, naar de persoonlijk quarantaine van een gebruiker wordt gestuurd of dat deze geheel geweigerd wordt met een notificatie naar de afzender.

 

Een scenario waarbij een ongewenst bericht toch in het postvak terecht kan komen

Hieronder volgt een scenario welke niet is tegen te houden door spamfilters en hierom dus ook veelvuldig wordt gebruikt.

“Een kwaadwillende partij heeft als doel om een ongewenste mailing (SPAM) te verzenden en registreert hiervoor een nieuw domein dat tot op heden niet bestond en koppelt dit domein aan een nieuwe (virtuele) server die bij veel providers wereldwijd voor weinig geld kan worden gehuurd. Nu men een domein heeft met een server om vanaf te verzenden implementeert men geldige SPF en DKIM records.”

Men plaatst vervolgens een aantal hulpmiddelen (software) op dit systeem om geautomatiseerd grote hoeveelheden legitiem ogende email te kunnen verzenden. Deze hulpmiddelen zullen vervolgens een nauwkeurig opgesteld email bericht, speciaal samengesteld om een zo laag mogelijk spamscore te krijgen, verzenden aan een (gekochte en-/of gestolen) lijst met email adressen.

Vanaf dit moment is de verzendende partij volgens Nederlandse wetgeving in overtreding. Gezien de snelheid waarmee grote hoeveelheden email kunnen worden verzonden, zal een faciliterende (Cloud) provider niet direct opmerken dat men systemen gebruikt voor ongeoorloofd gebruik. Daarbij is tevens de regelgeving niet in alle landen hetzelfde waardoor bestrijding bij de bron lastig is.

De grote hoeveelheden email zullen worden aangeboden bij ontvangende e-mail gateways. Eenmaal bij het filter aangekomen zal het volgende gebeuren.

1.       Het filter controleert de reputatie van het verzenden IP adres, aangezien dit computersysteem nieuw is zal de reputatie hiervan nog niet verslechterd zijn.

 

2.       Header controle

-          Gezien de zorgvuldigheid van het opstellen van het bericht zijn alle headers conform de richtlijnen.

-          Het domein is geheel nieuw en heeft dan ook geen verslechterde reputatie.

-          Het SPF en DKIM record is volledig in orde en de verzendende server is gemachtigd om namens dit domein te verzenden.

-          Aangezien het een volledige nieuwe afzender / server is de kans minimaal dat deze zaken een op blocklist staan.

 

3.       Content controle

-          De meeste van dergelijke berichten hebben geen bijlagen, indien er bijlagen bij zitten zijn ook deze zeer zorgvuldig opgesteld om een lage spamscore teweeg te brengen.

-          Links / inhoud en plaatjes zijn wederom heel zorgvuldig worden samengesteld / gekozen om een zo laag mogelijk score te behouden.

-          Blocklists zijn er nog niet.

 

De totaalscore van het bericht wordt berekend en in bijna alle gevallen zal deze laag genoeg zijn en worden doorgelaten naar het postvak van de gebruiker.

Naast het filteren op spam heeft het platform ook als functie om bij te dragen aan de databases waarvan het systeem zelf gebruik van maakt, met andere woorden het platform zal patronen en bijbehorende scores terug-rapporteren waarna deze 24x7 geanalyseerd worden. Op basis van deze patronen zullen de databases worden bijgewerkt en worden er nieuwe updates verschaft aan de filters.

Een patroon wordt pas herkend als zijnde spam / kwaadwillend als deze in de updates / databases zijn opgenomen. Er zit dus enige tijd tussen het moment van detecteren van een patroon en het daadwerkelijke blokkeren. In die tussentijd kunnen ongewenste berichten toch in een postvak terechtkomen

Additional Comments