image

Is "Nolisting" het antwoord op spam?

zaterdag 10 februari 2007, 11:51 door Redactie, 20 reacties

Met bijna 94% van alle e-mail die spam is, is het spamprobleem groter dan ooit tevoren. Nu zijn er verschillende opties om spam te blokkeren en te filteren, bijvoorbeeld door het gebruik van whitelists, blacklists en zelfs greylists. Voor beheerders die van een iets extrereme aanpak houden is er "Nolisting". Dit is een techniek waarbij een domein als eerste MX record een IP-adres instelt dat geen actieve service op SMTP poort 25 heeft draaien.

Uit onderzoek blijkt namelijk dat spammers alleen één poging wagen om een spambericht af te leveren, en wanneer dat niet lukt, ze doorgaan met het volgende bericht in hun queue. Aangezien goed ingestelde SMTP servers meerdere keren proberen om e-mail af te leveren, zou legitieme e-mail alsnog moeten aankomen, zij het met een vertraging. Volgens dit artikel, waarin het concept van Nolisting wordt uitgelegd, heeft het een positief effect op de hoeveelheid spam, maar kleeft er ook een risico aan. Sommige mail transfer agents (MTAs) gaan er namelijk niet goed mee om, waardoor het voor kan komen dat e-mail niet aankomt. De auteur heeft hier echter nog nooit mee te maken gehad.

Reacties (20)
10-02-2007, 12:28 door Anoniem
Er wordt echter ook veel mail afgeleverd op het secondary MX
record, aangezien er op die servers over het algemeen
slechtere (tot zelfs geen) antispam maatregelen zijn
getroffen (in het geval de secondary-taak wordt overgenomen
door een algemene provider).

Peter
10-02-2007, 12:38 door Bitwiper
Stompzinnige kop-in-het-zand symptoombestrijding met [url=http://en.wikipedia.org/wiki/Collateral_damage]collateral damage[/url] als bijwerking. En zodra genoeg sites het invoeren, zeer eenvoudig te ontwijken door spammers. Iets dat ze, zo wijst de praktijk uit, niet zullen nalaten. E-mail is, op sterven na, dood.

Aanvulling 12:48: ik zie trouwens al jaren veel spam juist via backup-MX-en worden gestuurd, waarschijnlijk in de hoop zo sommige filters te bypassen (een in veel gevallen niet eens zo'n heel stomme aanname).
10-02-2007, 12:48 door Anoniem
email dood? laat me niet lachen
10-02-2007, 13:04 door Anoniem
Het is een domme methode die moedwillig tegen de regels in gaat en de
last bij anderen neerlegt. Het zal niet lang duren of er wordt een lijst
bedacht a la "rfc ignorant" voor dergelijke systemen.

De titel "Is "Nolisting" het antwoord op spam?" is niet waar. Het
suggereerd dat deze methode goed werkt tegen alle spam en dat is hier
overduidelijk niet het geval. Zo'n titel misstaat niet in de Privé of Story. Zitten
we hier al op dat niveau?
10-02-2007, 14:13 door Mephesto
Klopt, als ik kijk op mijn clustered anti spam oplossing
wordt bijna 30% van alle spam direct afgeleverd op mijn
backup servers.
10-02-2007, 17:10 door Anoniem
Erik - waar haal je die kennis toch vandaan.
Email op sterven na dood.
Heb je andere baanbrekende communicatiemethodes uitgevonden ?
10-02-2007, 22:47 door Anoniem
Houd spam mail ook in van zeurende vriendinnen ?
11-02-2007, 08:38 door [Account Verwijderd]
[Verwijderd]
11-02-2007, 22:01 door Anoniem
Door Jos Visser
Ik zeg: grey-listing...

Jammer genoeg gaat ook daar mail door verloren of komt ie
met een vertraging van 48h aan. Veel slecht ingestelde mail
servers kunnen niet met greylisting om en de nieuwste
generatie spambots probeert tegenwoordig meerdere keren te
connecteren.

Je kan natuurlijk ook altijd als secondary mx 127.0.0.1
instellen :)

IP reputation filtering à la Ironport / Cisco zal op termijn
de meest zinvolle oplossing zijn denk ik.
11-02-2007, 23:56 door [Account Verwijderd]
[Verwijderd]
12-02-2007, 11:14 door Anoniem
Een optie waarbij de 2nd mx géén mail installeert tenzij die zelf heeft
gecheckt dat de 1st mx down is helpt érg goed tegen spam. De meeste
spam gaat via de 2nd mx.
12-02-2007, 11:50 door Anoniem
Hallo,

ongeveer 50% van alle spam die wij ontvangen is indirect aan ons gericht.
Waarschijnlijk dat ons adres in het BCC veld staat.
Zou het een goede methode zijn om inkomende mail te controleren en alle
mail met een adres van ons in het BCC veld te markeren als verdacht en te
verplaatsen naar een aparte mailbox? Is dit technisch te doen en heeft het
ook zin?
Wat vinden jullie?
12-02-2007, 14:32 door Arno Nimus
Door AnoniemDe titel "Is
"Nolisting" het antwoord op spam?" is niet
waar. Het
suggereerd dat deze methode goed werkt tegen alle spam en
dat is hier
overduidelijk niet het geval.
Volgens mij suggereert het niks, maar stelt het een vraag.
Stof tot nadenken. Een discussie lospeuteren. Een
spreekwoordelijke knuppel in het hoenderhok gooien.

Door AnoniemZo'n titel misstaat niet in de
Privé of Story. Zitten
we hier al op dat niveau?
Volgens mij zegt jouw reactie op de titel meer over jou dan
de titel over het niveau van Security.nl
12-02-2007, 14:52 door Arno Nimus
Door Anoniem
Zou het een goede methode zijn om inkomende mail te
controleren en alle
mail met een adres van ons in het BCC veld te markeren als
verdacht en te
verplaatsen naar een aparte mailbox? Is dit technisch te
doen en heeft het
ook zin?
Wat vinden jullie?
Persoonlijk zou ik niet voor die optie kiezen omdat je op
die manier mensen ontmoedigt het BCC-veld te gebruiken
terwijl dit juist bedoeld is om niet alle email adressen van
de ontvangers weer te geven. Wanneer je dit gaat ontmoedigen
gaat men (nóg) vaker de complete ontvangerslijst in de to:
of cc: velden zetten met als gevolg dat iedereen meteen jouw
email adres heeft, wat vervolgens weer tot gevolg kan hebben
dat je vroeg of laat in een spamlijst terecht komt of het
adresboek van iemand gekaapt wordt door een virus.

Maar het kan (technisch gezien) allemaal.
12-02-2007, 15:00 door Anoniem
Door incompatible
Door AnoniemDe titel "Is
"Nolisting" het antwoord op spam?" is niet
waar. Het
suggereerd dat deze methode goed werkt tegen alle spam en
dat is hier
overduidelijk niet het geval.
Volgens mij suggereert het niks, maar stelt het een vraag.
Stof tot nadenken. Een discussie lospeuteren. Een
spreekwoordelijke knuppel in het hoenderhok gooien.

Door AnoniemZo'n titel misstaat niet in de
Privé of Story. Zitten
we hier al op dat niveau?
Volgens mij zegt jouw reactie op de titel meer over jou dan
de titel over het niveau van Security.nl

De pers dient zich te houden aan het rapporteren van feiten. Als je reacties
wilt uitlokken met stellingen die niet waar zijn (ook niet in de verste verte),
bedrijf je tabloid journalisme van het niveau Privé of Story. In dat soort
bladen is het normaal dingen te suggereren die niet waar zijn.

Is Incompatible een dikke travestiet met etterbulten?
Niet meteen kwaad worden, het is maar een vraag, geen suggestie.
12-02-2007, 21:46 door Bitwiper
Door Anoniem op 12 februari 2007 11:50
ongeveer 50% van alle spam die wij ontvangen is indirect aan ons gericht. Waarschijnlijk dat ons adres in het BCC veld staat.
Het 'BCC veld' is een truuk van MUA's (jouw email programma) dat je kunt invullen bij het verzenden van email. Het is by design dat de ontvanger geen BCC veld ziet in de mail die hij ontvangt (mails in je map 'Sent Items' of 'Verzonden' hebben een dergelijk veld vaak wel, dat is voor jouw eigen referentie).

Bij SMTP mails is er, net als bij de papieren versie, sprake van een envelop EN brief met een briefhoofd. In de meeste MUA's zie je bij ontvangen mail niets van de envelop, vergelijkbaar met een secretaresse die je post opent en de enveloppen weggooit. Alles in het briefhoofd (zowel email als papier) is doodeenvoudig te vervalsen.

Bij een BCC wordt er een aparte mail gestuurd waarbij de geadresseerde op de envelope bewust afwijkt van wat de ontvanger(s) zien in het "To:" veld. Anders gezegd is dit recipient-spoofing.

Daar is overigens niets mis mee, integendeel. Als ik een mail naar meerdere mensen stuur die onderling weinig of niets met elkaar te maken hebben, dan zorg ik dat zij elkaars email-adressen niet te zien krijgen. De meeste mailinglists doen dit trouwens ook. Als je dat niet doet schendt je de privacy. Bovendien, als de PC van 1 van de ontvangers gecracked is (of de eigenaar een moron) bestaat de kans dat iedereen in een spammer-database belandt of (tezijnertijd) met virussen van 1 van de geadresseerden wordt bestookt.

Zou het een goede methode zijn om inkomende mail te controleren en alle mail met een adres van ons in het BCC veld te markeren als verdacht en te verplaatsen naar een aparte mailbox?
Wat je met je eigen mail doet moet je zelf weten, maar aangezien je het over 'ons' hebt: nee.
12-02-2007, 21:51 door Bitwiper
Door Anoniem op 10 februari 2007 17:10
Erik - waar haal je die kennis toch vandaan.
Email op sterven na dood.
Okay mijn bitterheid schiet misschien wat door.

Feit is dat de regel "MUST NOT lose the message for frivolous reasons" (vraag Google) steeds meer met voeten wordt getreden.

Er zijn al malloten die spam laten verdwijnen om gebruikers niet te 'overbelasten' (define spam?), of erger, 'terugsturen' naar de -spoofed- afzender. Ook virusmails verdwijnen zonder een spoor achter te laten, er is bijna niemand meer die de moeite neemt om een ISP te wijzen op een besmetting bij een klant (niet onlogisch, er wordt zelden iets aan gedaan). Dat een mail een exe bijlage die wordt 'herkend' verdwijnt kan ik nog wel begrijpen, maar ik heb .doc CV's gezien (voor andere dan IT functies) die besmet waren met een macro virus. Moeten die ook maar verdampen als sneeuw voor de zon? Wie bepaalt dat? Steeds meer bedrijven zetten mail met bijlage op een zijspoor, totdat systeembeheer deze heeft vrijgegeven. Is het denkbeeldig dat zo'n mail tussen wal en schip raakt? E-mail zou [url=http://www.iusmentis.com/technologie/email/rechtsgeldig/]rechtsgeldig[/url] zijn, maar hoe realistisch is dat nog als steeds meer mensen in mijn omgeving claimen dat email (die zij sturen, of volgens anderen ontvangen zouden moeten hebben) zoekraakt?

Andersom, als je je geen effectief spamfilter kunt permitteren (financieel, technisch of bijv. omdat je 'info at' of 'postmaster at' bent), verzuip je soms in de spam, en is de kans dat je daardoor legitieme mails (en mogelijk klanten c.q. klachten) mist niet denkbeeldig.

Heb je andere baanbrekende communicatiemethodes uitgevonden ?
Wat is dat nou weer voor een denigrerende vraag. Nee, dat heb ik niet. Ik probeer alleen aandacht te krijgen voor het zo dicht mogelijk bij de bron aanpakken van email problemen, in plaats van tijd en geld verspillen aan [url=http://www.minez.nl/content.jsp?objectid=145811]hedgefund-achtige[/url] korte termijn 'oplossingen' (sorry voor de dwaling) die uiteindelijk alleen maar verliezers opleveren.
12-02-2007, 22:34 door Anoniem
Het spamprobleem wordt voor een groot deel veroorzaakt door
beheerders van bonafide mailsystemen die nogal lakoniek met
RFC's omspringen.
14-02-2007, 12:41 door Anoniem
Er zijn wel een aantal ideen geoppert, maar ik heb er nog niet 1 van gezien
die werkt, misschien wordt het wel eens tijd dat daar meer naar gekeken
wordt:

http://www.circleid.com/posts/hypertext_mail_protocol_aka_stub_emaill/
http://en.wikipedia.org/wiki/Internet_Mail_2000
14-02-2007, 17:02 door Anoniem
Door Anoniem
Er zijn wel een aantal ideen geoppert, maar ik heb er nog niet 1 van gezien
die werkt, misschien wordt het wel eens tijd dat daar meer naar gekeken
wordt:

http://www.circleid.com/posts/hypertext_mail_protocol_aka_stub_emaill/
http://en.wikipedia.org/wiki/Internet_Mail_2000

In welke zin helpt dit en waartegen precies? Dit is absoluut onveilig en er
ontstaat een splitsing tussen de bron en de inhoud.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.