Sophos probeert botnet-spam aan banden te leggen

Sophos heeft nieuwe antispamtechnologie uitgebracht waarmee e-mail kan worden geblokkeerd op basis van het zogeheten Sender Genotype. Deze zou vooral effectief moeten zijn tegen botnets.

Taditionele reputation based-blokkeermethodes die e-mails van bekende spamzenders blokkeren, zijn niet effectief tegen botnets omdat deze meestal slechts kort actief zijn en de gebruikte machines vaak dynamische ip-adressen hebben, stelt Sophos. Het bedrijf schat dat negentig procent van alle spam van botnets afkomstig is.

botmaster De nieuwe methode, die als gratis upgrade voor Sophos-klanten beschikbaar is, moet een oplossing bieden voor het feit dat veel spambots gebruikmaken van ip-adressen die nog niet als verdacht te boek staan. Het bedrijf analyseert daartoe onder meer het ip-adres en het gedrag van mailservers die aan de poort rammelen om hun poststukken af te leveren. Dit zou, vooral aan het begin van nieuwe spamcampagnes, betrouwbaarder zijn dan traditionele methodes, waarbij naar de inhoud van mail wordt gekeken - wat Sophos in zijn persbericht als omslachtig en inefficiënt bestempelt.

Het beveiligingsbedrijf verklaarde tegenover Tweakers.net echter dat de Sender Genotype-technologie vooral moet worden gezien als een extra beveiliging naast traditionele filtermethodes. De werking is voornamelijk gebaseerd op een analyse van de ip-adressen, zoals reverse lookups die adressen opleveren als adsl-123.cable.provider.net, waar normaal gesproken geen mailservers op behoren te draaien. Om de effectiviteit verder te verbeteren probeert het bedrijf volgens Sophos-analist Mike Haro ook informatie van isp's los te peuteren over ip-ranges die voor consumenten bedoeld zijn. Sophos kijkt verder naar de communicatie tijdens het totstandbrengen van de verbinding. Er wordt bijvoorbeeld gelet op 'vreemde' helo-strings, zoals 'helo friend' in plaats van 'helo mail.provider.net'.

IT-banen

Reacties (38)

Verwijderd 31 juli 2008 10:46

Deze techniek wordt door andere filter diensten (spamexperts.com) /apparaten (Fortinet) al langere tijd toegepast.

Zo wordt bijvoorbeeld een e-mail de eerste keer niet aangenomen, spambots kennen nl. meestal geen retry-queue. Zodra een mail server meerdere keren de zelfde e-mail probeerd af te leveren wordt deze als 'echte' mail server gemarkeerd en wordt dan voortaan zonder vertraging afgeleverd. Een behoorlijk effictieve methode.

Upquark @Verwijderd • 31 juli 2008 11:00

I second that, werkt schitterend. Zie http://en.wikipedia.org/wiki/Greylisting voor meer info.

Verwijderd @Upquark • 31 juli 2008 11:10

Jep, en binnen no time in de lucht met http://assp.sourceforge.net/

BastiaanN @Verwijderd • 31 juli 2008 11:10

Waarschijnlijk zijn er bij de tweakers onder ons genoeg mensen die exim draaien in combinatie met linux. Die mensen kunnen via onderstaande link een greylisting module installeren voor exim

http://www.tldp.org/HOWTO...-MX/exim-greylisting.html

Edit;

Ik heb zojuist binnen 5 minuten op mijn CentOS 5 machine met Exim en Directadmin greylisting support toegevoegd via onderstaande link

http://www.directadmin.co...php?p=136365&postcount=31

Maybe it's usefull

[Reactie gewijzigd door BastiaanN op 22 juli 2024 13:36]

Verwijderd @Verwijderd • 31 juli 2008 12:45

Greylisting heet dat.

Het heeft zeker voordelen, maar ook nadelen. Mail wordt niet meer bijna-direct bezorgd, je bent afhankelijk van de retry-mechanismen van een smtp-server, die als het even tegenzit brak geconfigureerd is (retry-tijd van 4 uur of zo), waarmee je het probleem feitelijk bij iemand anders neerlegt...

Pietervs @Verwijderd • 31 juli 2008 17:09

waarmee je het probleem feitelijk bij iemand anders neerlegt...
En dat is het mooie: die brakke servers lopen op een gegeven ogenblik vol. En dan heeft de beheerder weinig andere keuze dan zijn zaakjes eens goed te gaan regelen...
ok, het is wat cru. Maar zoals het spreekwoord luidt: wie niet horen wil...

Daarnaast scheelt greylisting ook enorm in het aantal pogingen tot virussen die zichzelf proberen te verspreiden, dus ook vanuit dat oogpunt is het aan te raden.

ATS @Verwijderd • 31 juli 2008 13:43

Zodra dat op grotere schaal wordt toegepast, gaan spambots dat natuurlijk ook implementeren en is het effect compleet weg. Dit is echt een korte-termijn oplossing.

Pietervs @ATS • 31 juli 2008 17:12

gaan spambots dat natuurlijk ook implementeren
Ja en nee. De meeste spambots zijn domweg PC's van (windows)gebruikers die besmet zijn met een virus. Om greylisting te omzeilen, zal het virus zodanig moeten worden herschreven, dat hij hetzelfde mailtje met dezelfde afzender na x tijd weer aan gaat bieden bij dezelfde mailserver. Aangezien die virussen erop gericht zijn om (bijvoorbeeld) 10.000 mails in een uur te versturen, wordt de PC enorm traag als bijgehouden zou worden welke mailservers de mail "gebounced" hebben.
Daar komt nog bij: mailserver x heeft een greylisting van 3 minuten, mailserver y hanteert een uur. Hoe ga je daar je virus op afstemmen?

BastiaanN 31 juli 2008 10:43

Unlike traditional reputation filters, which rely on prior knowledge of the sender, Sender Genotype effectively identifies aberrant behavior from IP addresses, which have not yet established a reputation and immediately blocks them from connecting to Sophos customers’ mail systems.

Een citaat uit het originele artikel van de website van Sophos, waar het allemaal net iets duidelijker van wordt. Het beoordeelt dus zelf IP Adressen die nog geen "reputatie" hebben opgebouwd. Dus heb je een servertje thuis en je stuurt alleen goede mails zul je vanzelf een reputatie opbouwen als betrouwbare source en visa versa

[Reactie gewijzigd door BastiaanN op 22 juli 2024 13:36]

prutsger 31 juli 2008 10:26

De werking is voornamelijk gebaseerd op een analyse van de ip-adressen, zoals reverse lookups die adressen opleveren als adsl-123.cable.provider.net, waar normaal gesproken geen mailservers op behoren te draaien.

Dus een mailserver thuis is dan standaard verdacht? Gelukkig kan (moet zelfs) ik bij mijn provider intern relayen... maar als iemand thuis een server heeft draaien en rechtstreeks normale mails verstuurd is dat dus verdacht?

En als dat eerst geanalyseerd wordt zoals in de laatste regel van het artikel, kun je dus spam versturen als je helo-string etc maar goed is?

Ik vind het niet echt overtuigend klinken allemaal.

ATS @prutsger • 31 juli 2008 10:34

Dus een mailserver thuis is dan standaard verdacht? Gelukkig kan (moet zelfs) ik bij mijn provider intern relayen... maar als iemand thuis een server heeft draaien en rechtstreeks normale mails verstuurd is dat dus verdacht?

Verdacht: ja, maar tegengehouden: niet per definitie. Het is natuurlijk wel verdacht als een IP adres van een particulier wat normaal gesproken nooit email verstuurd ineens bakken vol probeert aan te bieden. Wat ik ervan begrijp probeert dit systeem dit soort situaties te herkennen en daar iets aan te doen.

Blokker_1999

Internet
Netwerk en systeembeheer

@prutsger • 31 juli 2008 10:28

waarom zou je als thuisgebruiker een eigen server moeten kunnen opzetten? Zowat elke ISP stelt zijn eigen server ter beschikking. En je mails moeten toch via je isp passeren of je hun smtp nu gebruikt of niet.

Verwijderd @Blokker_1999 • 31 juli 2008 10:34

Ikzelf heb een eigen domein en daarbij een mailserver thuis staan, reden hiervoor: omdat ik het leuk vind om te kijken hoe het allemaal werkt en omdat ik het zelf in de hand wil hebben.

Daarbij: een extern bedrijf zal al helemaal niet mogen beslissen dat niemand een mailserver als thuisgebruiker zou mogen gebruiken, dat is aan de ISP's.

Het valt me op dat veel bedrijven die anti-spam oplossingen aanbieden wel erg diep gaan in wat anderen nu wel of niet mogen, bij een te moeilijke block word er veelal terug gegaan naar een ip-block wat totale onzin is, want je kan nooit garanderen dat een bepaald IP-adres per definitie spam verstuurd.

Daarbij: er zijn heel erg veel pakketten waarbij zelfs de keyword checking niet werkt zoals het moet (bijvoorbeeld GFI een van de grote anti-spam suppliers).

Vooralsnog lijkt het me een beter idee om de huidige techniek echt goed te laten werken zoals Bayesian filters en DNS blocklists, er valt nog heel veel verbetering in te krijgen maar de spam gaat er nog vrolijk door heen.

dasiro @Verwijderd • 31 juli 2008 11:52

Sender Genotype-technologie vooral moet worden gezien als een extra beveiliging naast traditionele filtermethodes

dus het is niet zo dat per definitie mails van jouw mailserver worden geblokkeerd, het wordt als extra beveiliging gebruikt. Wordt er een mail als verdacht beschouwd, dan pas wordt er gekeken of deze van een homeserver komt

poefel @Verwijderd • 31 juli 2008 12:28

Vooralsnog lijkt het me een beter idee om de huidige techniek echt goed te laten werken zoals Bayesian filters en DNS blocklists

Ik heb er niet veel verstand van, maar is DNS blocklist nu niet precies wat deze nieuwe techniek doet? Filteren op url in plaats van op ip-adres.

[Reactie gewijzigd door poefel op 22 juli 2024 13:36]

MaxxBass @Verwijderd • 31 juli 2008 16:26

Geen probleem toch? Dan moet je zorgen dat jou mailserver zijn mail vertuurd via de smtp van je provider. Dan wordt jouw mail via de goede weg verstuurd, en wordt je dus niet aangemerkt als boefje..
Dat jou server ook mail kan ontvangen, staat daarbuiten.. dat checken ze niet!

carpcatcher @Blokker_1999 • 31 juli 2008 10:53

heb ook me eigen mailserver,
gewoon omdat ik het prettig vind dat me inboxstructuur +inhoud overal het zelfde eruit ziet, webmail, outlook(laptop / pc) , MDA etc.
Maar als ik een mail verstuur gaat dat wel direct naar de SMTP van me provider.

kozue @Blokker_1999 • 31 juli 2008 12:09

Omdat je geen controle hebt over de mailserver van de ISP. Een paar dingen waarom ik geen mail server van m'n ISP wil gebruiken:
* imap support over ssl, wat volgens mij geen enkele ISP aanbied (als ze uberhaupt al imap hebben).
* ontvangt geen mail voor mijn eigen domein
* het mail adres is niet te kiezen. ikke@mijndomein.nl is een heel stuk beter dan boringusername@mijnisp.nl.
* logfiles kunnen bekijken
* aliasen aan kunnen maken (en weer dicht kunnen zetten als er spam op komt)
* eventueel mail voor anderen (of andere domeinen) ontvangen
* mail op ISP servers wordt gelogd en kan door de overheid misbruikt worden

Een mail service van een ISP mist gewoon teveel functionaliteit om voor mijn een serieuze kandidaat als primair mail adres te zijn.

Dus laat sophos even lekker opzouten met mijn server als spamserver te bestempelen, alleen maar omdat het in een consumenten-range zit of boringhostname.nogwat.mijnisp.nl als reverse dns heeft...

[edit:] hoe haal ik die irritante auto-mailto-links weg?

[Reactie gewijzigd door kozue op 22 juli 2024 13:36]

Verwijderd @kozue • 31 juli 2008 12:49

Je zou toch enkel van de smtp-server van je provider gebruik kunnen maken? Ik draai nu geen mailserver thuis meer, maar ik gebruikte de smtp van xs4all als smarthost in mijn postfix, terwijl inkomende mail gewoon netjes bij mij werd geleverd, en alle punten die je noemt werd aan voldaan.

Alleen had je geen controle over de smtp van je provider, maar ergens ga ik er vanuit dat dat wel goed zit, daar betaal je (en al hun andere abonnees) toch voor.

Verwijderd @kozue • 31 juli 2008 13:47

Gmail ondersteunt momenteel alle opties.
Ze zijn ook al bezig met Exchange implementatie dus wat jij roept over geen enkele provider het heeft, is bollox.
Neem dan een dedicated of colocatie machine bij een provider zoals server4you.nl of server4you.de (Duitsland is zowiezo goedkoper en unmetered BW).

bigbadbull @kozue • 31 juli 2008 14:16

blijkbaar is er toch iet beter aan de duurdere belgische providers.
Daar kan je wel (als je bij hen ) een eigen domein hebt, hun servers gebruiken.
zelfs zonder een domein te hebben, een gewoon abbo kan ik aliassen aan maken en vrij geven. ok ik zal wel meer beperkt zijn wan jan@tedureprovider.be zal wel al bestaan.
Maar voor testspam-adressen is dit toch geen probleem.

verder is verdacht nog niet schuldig.
dit geeft jouw mail misschien 1/10 als verdacht aan, als ik een mail verstuur met enkel een url erin naar mijn vrienden, zal deze meer verdacht zijn denk aan 9/10.
En voor hen schuldig.

mysterieworld @kozue • 31 juli 2008 16:39

neem je toch een volledig webhosting?
SSL en al erbij

BastiaanN @prutsger • 31 juli 2008 10:30

Vraag mij af wat er gebeurd als een bedrijf een glasvezelnetwerkje heeft liggen en daar hun eigen mailservers op draait. Bedoel, hoe weten hun nu welke namen niet mogen worden gebruikt, komt er dus op neer dat je een server hebt met verkeerde reverse dns dat je mail niet aankomt.

Wat gebeurt er overigens als reverse dns niet is ingesteld? Er zijn genoeg goedkope datacenters die dit niet doen/willen.

Blokker_1999

Internet
Netwerk en systeembeheer

@BastiaanN • 31 juli 2008 10:31

Maar dan zit je al in een DC, wat hier aangehaald word is voor echte thuisgebruikers via een simpele adsl of kabel verbinding.

ATS @BastiaanN • 31 juli 2008 10:32

Die zijn niet voor consumenten bedoeld zou ik zeggen :-)

smartsys @ATS • 31 juli 2008 11:31

Ik heb ook een klein bedrijf aan huis en heb aan een ADSL abbo met vast IP meer dan genoeg. Dat mijn provider een vage naam aan mijn ip adres koppeld is niet iets waar ik om gevraagd heb en is technisch eigenlijk niet nodig. Ze kunnen me ook een brief sturen met dit is je externe ip, stel dat in op je router en zorg zelf maar dat je dns zooi klopt als je een eigen domein op deze aansluiting wilt gebruiken. Of biedt mij de mogelijkheid om het vage adres om te laten zetten naar mijn eigen domein naam.

Zolang dit allemaal niet mogelijk is en toko's als SORBS standaard ALLE dynamische vaste ip adressen als SPAM source definieerd is het allemaal erg fijn.

Mijn uitgaande mail wordt overigens via de SMTP servers van de provider gestuurd, maar dan geeft nog steeds het originating ip adres een verkeerde reverse lookup en wordt mijn mail alsnog als spam gedefinieerd.

_JGC_ @prutsger • 31 juli 2008 11:51

Sowieso komt al een groot percentage van je mail niet aan omdat veel dynamische hosts in veelgebruikte RBLs staan. Ik verstuurde eerst ook rechtstreeks vanaf mijn machine, maar sinds ik steeds vaker problemen had door servers die dit soort RBLs gebruiken om servers compleet te blokkeren ipv hogere spamscore te geven ben ik overgestapt op een smarthost die niet geblacklist is.

brompot758 @_JGC_ • 31 juli 2008 14:58

Dat geldt natuurlijk alleen als je een dynamisch IP adres hebt. Er zijn ook providers waar je een statische kunt krijgen (tegen eenmalige kosten of whatever). Als je dan op een RBL staat kun je gewoon de procedure volgen om eraf te komen.

vDorst 31 juli 2008 10:41

Er zijn niet voor niks standaarden, dan vind ik ook dat je daar aan moet houden.

Verwijderd 31 juli 2008 10:29

Sterker nog, je moest eens weten hoeveel MKB bedrijven een verkeerde HELO uitsturen. Dus daar op blocken is niet heel verstandig.

ATS @Verwijderd • 31 juli 2008 10:35

Of die MKB bedrijven zorgen dat ze zich aan de protocollen gaan houden natuurlijk.

Verwijderd @ATS • 31 juli 2008 10:48

Leg dat je klant maar eens uit die opeens geen mail meer krijgt van een bepaalde leverancier.

De enige juiste methode is nog steeds welke QuaDRuMaNouS beschrijft, werkt erg goed.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:36]

kozue @Verwijderd • 31 juli 2008 12:35

Hoezo klanten? Als mail niet meer aan komt gaan ze bij de IT afdeling klagen, die het vervolgens mag fixen. Als de IT afdeling een kapotte of verkeerd geconfigureerde mail server gebruiken is dat hun probleem en lossen ze het maar op.

Pietervs @ATS • 31 juli 2008 17:07

theoretisch gesproken heb je gelijk hoor. Maar als je in de praktijk (bijvoorbeeld als beetje middelgroot bedrijf) je inkomende e-mail gaat filteren op helo-strings, en wel of niet bestaande NS-, A of MX records dan valt er zomaar 30% van je binnenkomende e-mail weg.
En het zijn echt niet alleen de kleine bedrijven die dit soort (eigenlijk standaard-)zaken niet goed geregeld hebben...

Jan-E 31 juli 2008 11:11

Om de effectiviteit verder te verbeteren probeert het bedrijf volgens Sophos-analist Mike Haro ook informatie van isp's los te peuteren over ip-ranges die voor consumenten bedoeld zijn.

Dat bestaat dus ook al:
http://www.spamhaus.org/pbl/index.lasso

Mooi PR-praatje van Sophos. Raap wat bestaande technieken bij elkaar en verkoop dat als 'nieuwe methode'. Het levert je gratis publiciteit op.

kozue @Jan-E • 31 juli 2008 12:39

Ja, als ze spamhaus gaan gebruiken vind ik het niet erg meer. Die bieden tenminste de mogelijkheid aan mail server admins (mij dus) om hun server te laten whitelisten, ook al zit die in een range die ze als 'bad' markeren. Sinds ik dat heb gedaan ben ik van die vervelende bounces af van servers die blind op spamhaus vertrouwen (en dat waren er nogal wat).

Pietervs @kozue • 31 juli 2008 17:14

tja, spamhaus is nou eenmaal een van de grootste, zo niet de grootste, op het gebied van spamherkenning. Gevolg is dat mensen die ten onrechte geblack-list zijn wel heel veel moeite zullen doen om van de blacklist af te komen. Wat de lijsten van spamhaus weer wat betrouwbaarder maakt

TheSiemNL 31 juli 2008 13:40

Alle oplossingen zijn prima, als ze maar beter zijn dan die van Sorbs. Dat die organisatie nog niet verboden is voor chantage.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (38)

Sorteer op:

Weergave: