Τεχνικές αλλαγές σχετικές με (anti)spam

antispam

Νέες αλλαγές;

Χθες, πρώτη μέρα του καλοκαιριού αλλάξαμε όλο το antispam σύστημα της Πρίζας στο κεντρικό hosting μηχάνημα. Αλλαγές έγιναν τόσα στους ελέγχους στα εισερχόμενα μηνύματα, όσο και στα εξερχόμενα μηνύματα που φεύγουν από τα συστήματα μας. Αφορμή ήταν κάποια προβλήματα που εμφανίστηκαν στα μέσα Μαρτίου μετά από τις μεγάλες αναβαθμίσεις, κυρίως στις τεχνολογίες DKIM & DMARC που υποστηρίζουμε για όλ@ς τους φιλοξενούμεν@ς μας. Κάπου τότε το DKIM άρχισε να δυσλειτουργεί και το DMARC να επηρεάζεται επίσης, και κάποια εισερχόμενα email λάμβαναν μεγαλύτερο spam score απ’ ότι έπρεπε, πηγαίνοντας στα Ανεπιθύμητα των παραληπτών, αντί για τα Εισερχόμενα. Έτσι πήραμε το δρόμο των αλλαγών..

dont like spam - antispam

Τι άλλαξε στο antispam; (spoiler : περιλαμβάνει και τεχνικές λεπτομέρειες)

Να πούμε αρχικά ότι με μια μικρή αναζήτηση σε παλαιότερα άρθρα της Πρίζας, θα δείτε ότι όλα τα συστήματα μας για τις ιστοσελίδες και τη φιλοξενία χρησιμοποιούν 100% ανοιχτό λογισμικό/λογισμικό ελεύθερου κώδικα.. και αυτό δεν άλλαξε. Αλλάξαν/αντικαταστάθηκαν μόνο οι εφαρμογές/δαίμονες που έτρεχαν στο background κάνοντας χρήση ανοιχτών antispam τεχνολογιών/προτύπων. Συνεχίζουμε πλέον με εναλλακτική εφαρμογή FOSS που κάνει τα ίδια πράγματα, αλλά γρηγορότερα (ελέγχους και εκπαίδευση spam), χρησιμοποιώντας λιγότερους πόρους στα shared hosting μηχανήματα, και επίσης -θέλουμε να πιστεύουμε- με κάπως καλύτερους αλγόριθμους για το φιλτράρισμα…

εν συντομία, αντικαταστάθηκαν τα:

  • spamassassin – κυρίως antispam σύστημα όλα τα χρόνια της Πρίζας.. (μέχρι χθες)
  • opendkim – δαίμονας για ψηφιακές υπογραφές στα domains (DKIM)
  • opendmarc – δαίμονας ελέγχου και πιστοποίησης DMARC
  • greylist – δαίμονας για greylisting και ratelimit

αντικαταστάθηκαν με το :

  • rspamd – μοντέρνος, ελαφρύς και modular δαίμονας antispam που επίσης περιλαμβάνει modules για greylisting, ratelimit, dmarc, dkim signing, phish check, κ.α.

παρέμειναν τα :

  • clamav – antivirus δαίμονας που ελέγχει για malware εισερχόμενα και εξερχόμενα email
  • rbl λίστες – έλεγχος εισερχομένων για τυχόν εγγραφή του server που στέλνει σε αναγνωρισμένες blocklists.

η αλλαγή δεν ήταν απλή, ήθελε σχεδιασμό και περίπου 24ώρες για την υλοποίηση της με τις απαραίτητες δοκιμές.

Πως σας αφορά;

Επειδή το σύστημα antispam είναι πολύ νέο ακόμα, ίσως να μη λειτουργεί πολύ καλά στην αρχή, τουλάχιστον όχι μέχρι να “εκπαιδευτεί” σωστά. και παρότι το έχουμε εκπαιδεύσει με χιλιάδες spam email πριν το στήσουμε στο server, καλό θα είναι να ελέγχετε το πρώτο καιρό τα Εισερχόμενα, αλλά και τα Ανεπιθύμητα σας. Αν δείτε κάποιο spam email στα Εισερχόμενα το μετακινείτε στα Ανεπιθύμητα, και αντίστοιχα αν δείτε κάποιο κανονικό email στα Ανεπιθύμητα, το μετακινείτε στα Εισερχόμενα. Με την μετακίνηση αυτή, και ανάλογως το φάκελο που μετακινείτε το κάθε email, εκπαιδεύετε και εσείς το antispam σύστημα της Πρίζας.. (Αν θέλετε να βοηθήσετε και παραπάνω τους antispam αλγόριθμους μας και έχετε περισσότερα από 1000 email που μπορούμε να σκανάρουμε μπορείτε να επικοινωνήσετε μαζί μας).

Στην ουσία το ίδιο πράγμα προτείναμε και πριν, δεν έχει αλλάξει κάτι στο τρόπο εκπαίδευσης. Απλά επειδή είναι νέο το σύστημα και δεν σχετίζεται με το προηγούμενο και τα στοιχεία που υπήρχαν, θα χρειαστεί να ξαναγίνει εκπαίδευση.

Και εννοείται σε περίπτωση που αντιμετωπίζετε πρόβλημα, επικοινωνείτε μαζί μας.

Επόμενα βήματα

Από σήμερα και για το επόμενο διάστημα (βδομάδες/μήνες), το νέο antispam σύστημα θα είναι υπό “παρακολούθηση”. ελπίζουμε τους επόμενους μήνες να έχουμε και κάποια στατιστικά στοιχεία ώστε να μπορέσουμε να συγκρίνουμε διαφορές με το προηγούμενο σύστημα. Και βάσει της “παρακολούθησης” και τυχόν αναφορών προβλημάτων που θα λάβουμε από φιλοξενούμεν@ς, θα συνεχιστούν και οι προσαρμογές στο νέο antispam (rspamd) και στα modules του, όπου αυτές χρειάζονται. (όπως άλλωστε γίνεται σε κάθε web υπηρεσία της Πρίζας).

σημείωση, το ίδιο antispam σύστημα τρέχει και στο νέο γρηγορότερο (ssd) shared hosting μηχάνημα μας. Αντίθετα, στο email hosting της Πρίζας συνεχίζουμε με τις ίδιες τεχνολογίες τουλάχιστον μέχρι να σχεδιαστεί αντικατάσταση του, αφού είναι κάπως πιο πολύπλοκη η αντίστοιχη αλλαγή.

Malware email

Περίληψη

Το τελευταίο καιρό είναι αυξημένα τα spam, phish αλλά και malware email. Δεν είναι σπάνιες οι “επιθέσεις” με τέτοια μηνύματα σε λογαριασμούς email, παρόλ’ αυτά σε περιόδους κρίσεων, εκλογών κτλ, αυτά αυξάνονται. Και γενικά τα κακόβουλα αυτά email, αποτελούν το μεγαλύτερο όγκο email στο διαδίκτυο!!

Συνέχεια

Spam: Στοιχεία & Τρόποι που τα αντιμετωπίζουμε

Monty Spam

Εμφάνιση spam

Πολλές φορές γινόμαστε αποδέκτες μηνυμάτων που μας ζητούν να κάνουμε κάτι με τα spam που εμφανίζονται στο Inbox. Tα spam δεν είναι καθόλου εύκολη υπόθεση, καθώς καθημερινά διακινούνται δισεκατομμύρια από αυτά. Σύμφωνα με έρευνες τα μισά και ίσως περισσότερα (50-55%) από τα email που διακινούνται καθημερινά, είναι ανεπιθύμητη αλληλογραφία, δηλαδή Spam.

Τρόποι Αντιμετώπισης – Διαδικασία αποστολής-παραλαβής email

Οι τρόποι αντιμετώπισης τους, είναι ποικίλοι και αρκετοί. Στο server της Πρίζας έχουμε κάνει αρκετά για να μπλοκάρουμε τους spam αποστολείς και συνεχώς προσπαθούμε να βελτιώνουμε τα φίλτρα μας, ώστε να μη περνάει ανεπιθύμητη αλληλογραφία, όσο το δυνατόν καλύτερα. Η διαδικασία ενός email (αποστολή-παραλαβή) ειναι σχετικά απλή. Ένα παράδειγμα: Ο Αντώνης με το email antonis@gmail.com θέλει να επικοινωνήσει με τη Σοφία που έχει το email sofia@stinpriza.org. ο Αντώνης γράφει το email στον υπολογιστή του, και όταν πατήσει “αποστολή”, αυτό επικοινωνεί με το email server του gmail που έχει το email του. το gmail ακολούθως επικοινωνεί με το email server του παραλήπτη που στη προκειμένη είναι ο email server της Πρίζας. Αυτός με τη σειρά του παραλαμβάνει το email και το παραδίδει στο γραμματοκιβώτιο της Σοφίας (mailbox). Η Σοφία μένει να πατήσει “παραλαβή” για να δει το μήνυμα στον υπολογιστή της. Στη διαδικασία αυτή παρεμβαίνουν πολλές φορές φίλτρα στους email server που δεν είναι πάντα εμφανή. Τα φίλτρα αυτά μπορεί να είναι έλεγχοι ταυτότητας (ότι υπάρχει το email του παραλήπτη στο server που παραδίδεται), έλεγχοι antivirus, και συνήθως αφορούν και antispam φίλτρα, αφού είναι ένα μόνιμο πρόβλημα για όλους τους διαχειριστές email. Τι από αυτά κάνουμε εμείς στη Πρίζα; Αναλυτικά:

Spamhaus RBL

Καταρχάς μπλοκάρονται όσες ip διευθύνσεις είναι δηλωμένες σε κάποιες αναγνωρισμένες λίστες με spammers παγκοσμίως τις οποίες έχουμε ενσωματώσει. Στην Πρίζα, χρησιμοποιούμε τη λίστα του spamhaus.org που είναι από τις πιο έγκυρες και με πολύ καλά ποσοστά μπλοκαρίσματος. ενδεικτικά χάρη στο spamhaus μπορούμε και γλυτώνουμε περίπου ~2000 spam μηνύματα καθημερινά που δεν φτάνουν ποτέ στους αποδέκτες, αφού μπλοκάρονται αρκετά πριν τη παράδοση του μηνύματος.

Recipient email check

Βασικός έλεγχος είναι και στο email του παραλήπτη. Αν πραγματικά υπάρχει. Ενδεικτικά, κόβονται 50-100 email ημερησίως που απευθύνονται σε μη υπαρκτά email.

Spamassassin Antispam

Στη Πρίζα χρησιμοποιούμε το spamassassin που αν και “βαρύ” πρόγραμμα, είναι απαραίτητο σε κάθε postmaster. το spamassassin έχει τη δυνατότητα να “εκπαιδεύεται” απο όσα email τοποθετούμε στο φάκελο spam που έχουμε στα γραμματοκιβώτια μας και έτσι να μην αφήνει spam του παρελθόντος που περάσαν, να ξαναπεράσουν. Αυτό είναι και το πιο δυνατό του σημείο, η εκπαίδευση των φίλτρων από τα ίδια τα email που λαμβάνουμε. επίσης εκεί μπορούμε και δηλώνουμε επαναλαμβανόμενους spammers σε μια δική του blacklist και έτσι να ξέρουμε ότι δε θα ξαναπεράσουν. επίσης το spamassassin είναι που αναγνωρίζοντας ένα email ως spam, αλλάζει το θέμα(subject) και προσθέτει ότι θέλουμε για να το δηλώσουμε στους χρήστες, π.χ.”*** SPAM ***”.

Clamav Antivirus

Οι πιο σπάνιες περιπτώσεις, μολυσμένα email με ιούς/malware. Στην Πρίζα, μπλοκάρουμε περίπου 3-4 τέτοια email τη βδομάδα με χρήση του Clamav Antivirus.

Greylisting

Η τεχνολογία του greylisting είναι αρκετά απλή. σε κάποιο email server που θα δούμε να επικοινωνεί για να παραδώσει σε μας ένα email, του απαντάμε ότι έχει γίνει greylisted και να ξαναεπικοινωνήσει μετά από 10′. οι περισσότεροι “κανονικοί” email servers, θα ξαναπροσπαθήσουν να παραδώσουν το μήνυμα (και να πάρουν απάντηση οκ για τη παραλαβή από εμάς) μέχρι και για αρκετές μέρες μετά την αποστολή του. Αντίθετα, πολλά spam bots, συνήθως δεν προσπαθούν να το ξαναστείλουν, απλά στέλνουν ασταμάτητα email, μία φορά το καθένα. έτσι με το παραπάνω απλό κόλπο, γλυτώνουμε περίπου 60-70 spam καθημερινά.

 

Προηγούμενες αναφορές στη σελίδα μας για spam :

Spam: 39 χρόνια ανεπιθύμητη αλληλογραφία

Κίνδυνοι των spam emails

 

Κίνδυνοι των Spam Emails

Spam emails

Κίνδυνοι των spam emails

Τελευταία ακούμε πολλά για ιούς και malware, όπως το διαβόητο ransomware locky[1]. Αυτό που δεν είναι αρκετά σαφές, είναι το πως κολλάμε τέτοια καταστροφικά malware. Ο πιο κοινός τρόπος είναι μέσω spam email μηνυμάτων που περιέχουν μολυσμένα αρχεία. Συνήθως επικίνδυνα αρχεία είναι αρχεία του Microsoft Word (.doc, .docx), εκτελέσιμα αρχεία .exe, zippped αρχεία (.zip, .rar), μολυσμένα αρχεία εικόνων(.jpg, .gif), .js κ.α.

Γενικά αποφεύγετε να ανοίγετε τέτοια email αν δεν γνωρίζετε τον αποστολέα και καλύτερα να τα διαγράφετε αμέσως.

 

Μερικές μέθοδοι προστασίας

Ακόμα και αν ανοίξετε κατά λάθος αρχεία που δε γνωρίζετε τύπου Microsoft Office, κοιτάξτε τουλάχιστον να μην ενεργοποιήσετε τα macros αν σας ζητηθεί. Αυτό μπορεί να κάνει τη μεγάλύτερη ζημιά στον υπολογιστή σας. Για κάποιο λόγο υπάρχει ακόμα η δυνατότητα να εκτελεστούν μέσα στο Microsoft Word macros, ενώ οι εναλλακτικές-ελεύθερες σουίτες γραφείου δε το κάνουν και άρα σε αυτό το κομμάτι είναι αρκετά πιο ασφαλείς. Οπότε αν σας καλύπτει καποια άλλη σουίτα γραφείου, προτιμήστε την. (π.χ. LibreOffice).

Στην Πρίζα και στο μικρό mail server μας το τελευταίο καιρό, κόβουμε(=δε φτάνουν ποτέ στους χρήστες) από ~1500 έως ~4000 spam email ημερησίως (!!!), ενώ ένα μικρό ποσοστό που περνάει τα φίλτρα μας, καταλήγει στο Spam/Junk φάκελο. Αυτά περνάνε γιατί δεν είναι βεβαιωμένο 100% ότι πρόκειται για spam και δε θέλουμε να χάνονται email/δεδομένα που ίσως έχουν αξία για τους πελάτες. Συνήθως βέβαια όλα αυτά είναι spam email και ως τώρα δεν έχει βρεθεί κάποιο που πήγε κατά λάθος στο φάκελο Junk/Spam. Καλό είναι να καθαρίζετε το φάκελο Spam τακτικά, π.χ. ανά βδομάδα, για να μη μένει κάποιο πιθανότατα επικίνδυνο email εκεί, που μπορεί να ανοιχτεί κατά λάθος αργότερα.

Ένα ακόμα πιο μικρό ποσοστό μπορεί να φτάσει και στο Inbox/Εισερχόμενα. Όπως με όλα τα email αν δεν αναγνωρίζετε τον/ην αποστολέα, τότε καλύτερα να μην ανοιγετε το μηνυμα καθόλου και να μεταφέρετε το email αυτό στο φάκελο Spam απευθείας. Με αυτό το τρόπο εκπαιδεύονται και τα antispam φίλτρα της Πρίζας, και την επόμενη φορά, email που έχετε βάλει στο παρελθόν στον συγκεκριμένο φάκελο, θα ταξινομηθεί απευθείας σαν ανεπιθύμητο.

Ενδεικτικά κάποια antispam εργαλεία/τεχνολογίες που χρησιμοποιούμε στη Πρίζα : Greylisting, RBL lists (zen.spamhaus.org),  Spamassassin ,  Clamav Antivirus,  κ.α.

[1] http://www.eset.com/gr/about/press/articles/article/eset-warns-against-a-wave-of-infected-e-mails/