Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Nieuwe anti-spam techniek ontlast mailservers

  • Door
  • Arnout Veenman
  • geplaatst op
  • 30 juli 2009 08:01 uur

Spam die afkomstig is van spambots is relatief eenvoudig te herkennen, hebben onderzoekers van het Georgia Institute for Technology ontdekt. Op basis hiervan hebben de onderzoekers een nieuwe techniek ontwikkeld genaamd  SNARE (Spatio-temporal Network-level Automatic Reputation Engine) dat niet naar de inhoud van de e-mail kijkt, maar naar de mailserver waar de e-mail vandaan komt.

Het onderzoek werd uitgevoerd op basis van 25 miljoen e-mails die waren verzameld door TrustedSource.org, een initiatief van McAfee om gegevens over malware en spam te verzamelen. Op basis van deze gegevens vonden de onderzoekers verschillende karakteristieken van spam(bots). Spambots hebben vaak maar één poort open staan, namelijk die van de mailserver, terwijl legitieme servers vaak een hele reeks aan poorten hebben open staan. Daarnaast is de fysieke afstand tussen de netwerken van de verzender en de ontvanger vaak velen malen groter bij spam dan bij legitieme e-mail. Als laatste wordt de meeste spam uit een klein percentage van alle netwerken wereldwijd (ASN’s) verstuurd.

Op basis van de criteria die SNARE gebruikt zou 70% van alle spam aan de poort kunnen worden gestopt, zonder dat er een spamfilter aan te pas komt, terwijl maar in 0,3% van de gevallen een legitieme e-mail ten onrechte voor spam wordt aangezien. Dat is vergelijkbaar met de percentages die spamfilters halen. Het voordeel is wel dat de 70% spam die aan de poort wordt geblokkeerd, niet hoeft te worden verwerkt door een mailserver of spamfilter. Dit scheelt aanzienlijke hoeveelheden servercapaciteit.

Ondanks het feit dat de nieuwe techniek veelbelovend is, zijn er ook redenen om sceptisch te zijn. Allereerst is de techniek nu enkel nog maar in een researchlab getest en zal het zich nog moeten bewijzen in de praktijk. Daarnaast hebben spammers keer op keer laten zien zeer innovatief te zijn. Dus Ookal zou de techniek ook al in de praktijk goed werken, dan is de kans groot dat spammers ook oplossingen zullen vinden om deze techniek te omzeilen.

De nieuwe techniek kan wellicht goed worden gecombineerd met greylisting, waarbij elke e-mail van een (nog) onbekende mailserver wordt geweigerd. Een legitieme mailserver zal dan op een later moment proberen de e-mail opnieuw te versturen. Wanneer greylisting wordt gecombineerd met SNARE, dan zouden mailservers die een hoge SNARE-score hebben meteen worden toegelaten in plaats van eerst te worden geweigerd.

Sjoerd van Groning, 30 juli 2009 11:16 am

Ik denk dat reputation based filtering erg goed kan werken, de grootste op dit gebied is denk ik Ironport (tegenwoordig onderdeel van Cisco). Als je maar van voldoende bronnen spam krijgt kan je erg goed beoordelen of het een spamserver is of een legale server.

Wij gebruiken geen Ironport, maar ik ben wel onder de indruk van hun setup en performance.

Joost Ringoot, 31 augustus 2009 11:16 pm

70 % Hahaha.

Dit is niet nieuw: meer dan 99 % van de spam wordt verstuurd door servers die alleen spam versturen en die zijn herkenbaar.

Met een correct geïmplementeerde S25R filter houd je al meer dan 99% van de spam tegen.:
http://www.gabacho-net.jp/en/anti-spam/anti-spam-system.html

Ik heb het getest, het werkt echt heel goed met de PostFix SMTP server, het enige nadeel is dat sommige "legitieme" mailservers slecht geconfigureerd zijn, (lees: "niet conform RFC's") zodat ze ook door S25R geblokkeerd worden. Oplossing hiervoor is eenvoudig hoor: de servers kunnen in een eenvoudige foutmelding onmiddellijk antwoord krijgen waarom hun mail niet ontvankelijk is. De meest voorkomende reden is afwezigheid of malconfiguratie van het PTR record van de mailserver.
PTR records zijn in mail een methode om domainspoofing op te sporen.Je kan de afwezigheid van het PTR record IMHO vergelijken met de afwezigheid van een handteking op een creditkaart.

Als er dan nog mailserver beheerders zijn die die raad niet willen opvolgen en je wil er echt mail van krijgen kan je ze nog altijd gaan whitelisten.

Er is ook dynamic blacklisting zoals met een spamtrap zoals bijvoorbeeld spamikaze: http://spamikaze.org/

Verder is er ook greylisting en allerlei vormen van white en blacklisting.
Als je die dingen correct combineert dan vang je 99.98% van de spam weg zonder een email op inhoud te scannen.

Maar tis een goeie zaak dat er nog mensen mee bezig zijn :)

Groeten,

Joost

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.