Spam er selvpåført

Spam er selvpåført

Har du noen gang lurt på hvorfor du får så mye spam? Høyst sannsynlig er dette helt og holdent selvpåført.
Har du en gang lagt igjen e-postadressen din på en web-side for å få tilgang til et dokument, et program, en nyhetsgruppe eller en artikkel? Da håper jeg det ikke var jobb- adressen din du la igjen. Var det den har du bedt om trøbbel.

E-postadresser omsettes i både sort og hvitt marked for stadig større summer. Kanskje ikke så rart, når disse i mange tilfeller sier mye om hvem du er, hva du ønsker, og om du er villig til å betale for denne typen tjenester.

Selv har jeg jobbet som konsulent i mange år med blant annet fokus på e-postsikkerhet. Og ja, jeg er en av dem som la inn disse meldingene som sa "Meldingen du sendte inneholdt trolig et virus og har blitt stanset". Den gangen (for 2-3 år siden) virket dette som en ok gest mot de jeg kommuniserte med. Vi har sluttet med det. Det kan jeg love deg.

Å tro at en kan få bukt med spam med det første, er nærmest som å tro en kan lære å gå på vannet. Grunnen til dette skal jeg forsøke å gi deg her.

Det er sørgelig få som har noen klar oppfatning om hva internet egentlig er/består av. Internet er dugnad. Internet er ikke QoS (Quality of Service). Internet har ingen filter. Internet skal ikke ha filter. Internet er anarki. Internet er aksess, og det er det.

Hvordan kan jeg si at internet er dugnad? Det er ingen som betaler ende-til-ende på internet. Alle betaler for tilgang til nettet. Til leserens opplysning er det ingen avgift for isp-en å betale til andre isp-er heller, kun til hovedkoblingspunktet (typisk NIX). Dette er også årsaken til at det ikke kan gis noen QoS gjennom nettet, siden ingen operatør alene kan transportere dataene fra ende til ende.

Jeg har lagt merke til at stadig flere klager på isp-en over spam og virus. Det er noe av det dummeste jeg hører. Hvordan i all verden skal isp-en din kunne kontrollere, og med hvilken rett skulle dette være, hva som blir sendt ut og inn fra en betalende kunde? Kanskje overkommelig for isp-ens egne kunder, men antakelig er e-posten generert et helt annet sted utenfor dennes herredømme.

Hva ville reaksjonen være om kritisk e-post ble stanset? Om innholdet kanskje for noen virker litt på kanten, uten at det var det? Jeg har vært hos mang en kunde som har såkalte "hyggelige" isp-er, hvor denne snillheten har satt forretningskritiske applikasjoner ut av spill.

Eksempler på dette er e-post og vpn-løsninger som blir stanset. Dette oppleves faktisk verre enn det motsatte, kan jeg love. En internet-aksess er en internet-aksess, intet mer, intet mindre. Alt annet vil være umulig for mange å forholde seg til. At isp-ene setter opp virus og spam filter som egne tjenester er helt ok. Helt glimrende faktisk. Men da er det en bevisst handling fra kunden, og etter eget ønske og lommebok.

Det er vel på sin plass å komme med noen forslag til hvordan du/dere kan kvitte dere med problemet.

Få systemadministrator til å konfigurere e-postserveren skikkelig. Slik at den ikke kan misbrukes, samt at den kun mottar e-post fra folk som har gjort jobben riktig i andre enden.

Ikke legg igjen e-postadressen din på noen web-side, nyhetsgruppe, eller andre steder du ikke stoler på.

Skaff deg en egen "Hotmail-konto" for bruk på web-sider, nyhetsgrupper ol. Denne kan du enkelt bytte med jevne mellomrom.

Sørg for at det ikke ligger e-postadresser på web-sidene til bedriften/virksomheten din (disse blir funnet av web-roboter). Legg dem ut som jpg/gif-bilder.

Vurder om det er lurt å benytte fornavn.etternavn@bedrift.com (trolig ikke)

Bytt e-postadresse med jevne mellomrom.

Tenk deg om før du gir fra deg e-postadressen din. Ville du gitt bort personnummeret ditt?

Fredagsmail (ja, de nakne damene med hoppende ActiveX-pupper) avstraffes med to timer overtid uten betalig. På stedet.

Vær særdeles forsiktig med å prøve å melde deg av ("Unsubscribe") ved å trykke på en eller annen link. Veldig ofte er dette kun for å få bekreftet om adressen fungerer. "Spill død", det fungerer som oftest best.

Etter dette kan du vurdere et spam-filter. Det er slett ikke sikkert du trenger det.

nn Antakelig har du et stykke arbeide å gjøre. La oss begynne med DNS. Sonefilen din er neppe komplette. For å stanse useriøse aktører der ute må alle vedlikeholde denne best mulig. Dette betyr at i tillegg til vanlige oppslagsentry (A og MX) må du legge inn PTR-records. Dette er en av de få mulighetene som er for å stoppe spoofing av avsender.

Deretter skrur du på kontroll av DNS ved mottak av e-post. Nå får du sannsyneligvis et voldsomt bråk pga e-post som ikke mottas, siden nær sagt ingen har dette i orden. Forklar problemstilingen og stå på ditt. Dine viktigste forretningspartnere vil forstå deg, og rette på sine saker.

Vurder å sette opp et "skyggedomene" for brukerne for å håndtere behov for å legge igjen e-postadresser eksternt. Luk ut alle meldinger til dette domenet til en egen e-postserver med web-frontend (eks en Linux boks med Postfix) slik at brukerne kan nå disse meldingene via web ved behov.

Å tillate ting som "Verify address" i e-postserveren er ikke særlig lurt. Dette gir bare spammeren tilbakemelding på at adressen finnes, og dermed trolig er i bruk.

Sett opp "black-listing" i mail-gatewayen. Lag gjerne en liten "input-sak" på intranettet deres hvor spesielt plagsomme avsendere kan "meldes". Dette vil i de fleste mail-gatewayer medføre at mottaket blir terminert, en fin oppfølger til "spill død" taktikken.

Om spam-filtere kan sies at disse til en viss grad fungerer. Problemet er selvsagt at dette blir en reaktiv beskyttelsesform, akkurat som antivirus. Problemet er bare at antallet "signaturer" på spam er så enormt mye høyere, og øker voldsomt hver dag. Problemet er selvsagt "falske positive". Dette kan jo få uante følger, i og med at folk ofte har tatt i bruk e-postsystemet til helt andre ting enn det var satt opp for å gjøre. Som eksempel på dette kan nevnes feedback/interesse fra bedriftens web-sider, "e-handel" på web osv. Det ville jo være synd slette disse ordrene i spam-filteret.

Med andre ord kan du ikke regne med en 100 prosent deteksjonsrate uten at dette vil få negative konsekvenser. Å sikte mot 70-80 prosent vil i mange tilfeller være et ambisiøst, men oppnåelig resultat.

Til sist vil jeg gjerne sitere en kunde (systemadministrator) som nettopp hadde fått overhøvling fra en medarbeider for sen epostlevering: "Min kjære venn. Å sende en e-post har samme leveringsgaranti som om du skulle sende et postkort, la være å sette på frimerke, åpne vinduet, kaste kortet ut på fortauet, med den forventning at noen tar det med seg frem til mottakeren". 

Sturla Grelland
rådgiver innen it-sikkerhet i WM-data