Top botnets versturen 135 miljard spamberichten per dag
De acht grootste botnets op het internet zijn in staat om per dag meer dan 135 miljard spamberichten te versturen. Het grootste gedeelte van de spam is afkomstig van het Srizbi botnet, dat over 315.000 bots beschikt en een capaciteit van 60 miljard spamberichten heeft. Botnets worden al lange tijd ingezet om spam te versturen, maar sinds 2004 zijn spammers overgestapt op het zogeheten "template-based spamming". Deze tactiek is niet alleen een oplossing voor geïnfecteerde machines die zich achter NAT routers bevinden, het verhoogt ook de efficiëntie van het spammen, omdat de te spammen adressen over de bots zijn te verdelen. Dit in tegenstelling tot het "proxy-based spamming", dat voor 2004 door botnets als Sobig werd toegepast.
Elk botnet beschikt over specifieke eigenschappen, of het nu gaat om de manier waarop het beheerd wordt tot het versturen van het soort en de hoeveelheid spam. Zo is Bobax met een omvang van 185.000 zombies het tweede botnet op het internet, toch verstuurt het dagelijks "maar" 9 miljard spamberichten. Het botnet heeft als bijnaam "Kraken", waar de laatste tijd veel over te doen is geweest. In tegenstelling tot veel andere botnets gebruikt Bobax geen rootkit-technologie.
Dat omvang niet alles zegt bewijst het Mega-D botnet. Met 35.000 machines is het veel kleiner dan Bobox, maar weet toch dagelijks 10 miljard spamberichten te versturen. Het beruchte Storm botnet heeft een leger van 85.000 zombies, waarvan er 35.000 voor het spammen worden gebruikt.
alleen naar SMTP host van provider zelf.
Ik zeg: Alle ISP's port 25 uit filteren voor eindgebruikers,
alleen naar SMTP host van provider zelf.
Dat is niet het antwoord. Spammers gaan dan via de mail server van de
provider mailen, die vervolgens geblacklist wordt. Ook gaan spammers dan
nog meer dan nu servers hacken en van daaraf spam versturen.
Het spreekt vanzelf dat veel spamfilters grotere moeite zullen hebben in het
herkennen van spam wanneer dit gebeurt.
Wat je beter kan doen als provider is zorgen dat het SMTP verkeer
geauthenticeerd wordt. Dan kost het de spammers meer moeite om de mail
server van de ISP te gebruiken en problemen kunnen makkelijk worden
opgespoord.
Dat is niet het antwoord. Spammers gaan dan via de mail server van de
provider mailen, die vervolgens geblacklist wordt. Ook gaan spammers dan
nog meer dan nu servers hacken en van daaraf spam versturen.
Als dat echt gebeurt, is uiteraard niet goed, maar dan heb je wel iets wat je
centraal houden kan. 1 Server is beter te beveiligen en strak te configureren
dan een paar miljoen hosts.
Wat je beter kan doen als provider is zorgen dat het SMTP verkeer
geauthenticeerd wordt. Dan kost het de spammers meer moeite om de mail
server van de ISP te gebruiken en problemen kunnen makkelijk worden
opgespoord.
Ook zo, maar dan moet je weer al je gebruikers uitleggen hoe je dat moet
instellen.
Mijn oplossing heeft geen interactie van de gerbuiker nodig. Orange doet dit al
tijden, en ik heb nergens last van.
gestuurd dus zou smtp authenticatie niets uithalen.
Natuurlijk moet je auth wel aanzetten als je ook van clients
buiten je eigen netwerk wil accepteren (wat voor veel
beheerders een vereiste is).
Domweg poort 25 blokkeren kan wat mij betreft, maar geef je
gebruikers alsjeblieft wel de mogelijkheid het voor hen wel
aan te zetten. Mijn provider doet dit ook en dit los ik op
door gericht te relayen, maar dat maakt het backscatter
probleem weer tig keer erger. Ook zijn er een aantal apps
die rechtstreeks smtp gebruiken, die gaan natuurlijk ook kapot.
Ik denk trouwens dat als er genoeg providers zowel 25-blocks
als smtp-auth gebruiken dat de malware en botnets dan naar
de authenticatie gegevens van gebruikers gaan vissen,
waardoor er dan weer een golf van spam en afgesloten
gebruikers zal komen.
Dat is niet het antwoord. Spammers gaan dan via de mail
server van de
provider mailen, die vervolgens geblacklist wordt. Ook gaan
spammers dan
nog meer dan nu servers hacken en van daaraf spam versturen.
Als dat echt gebeurt, is uiteraard niet goed, maar dan heb
je wel iets wat je
centraal houden kan. 1 Server is beter te beveiligen en
strak te configureren
dan een paar miljoen hosts.
Wat je beter kan doen als provider is zorgen dat het SMTP
verkeer
geauthenticeerd wordt. Dan kost het de spammers meer moeite
om de mail
server van de ISP te gebruiken en problemen kunnen makkelijk
worden
opgespoord.
Ook zo, maar dan moet je weer al je gebruikers uitleggen hoe
je dat moet
instellen.
Mijn oplossing heeft geen interactie van de gebruiker nodig.
Orange doet dit al
tijden, en ik heb nergens last van.
Tot de spammers het door hebben, resp. interessant vinden om
te kraken en dan gebruiken ze ook 'de andere' poort ....
internet m.u.v. de (eigen) ISP relay server.
2) draai je een mailserver dan mag die alleen maar mail
ontvangen en versturen naar de (eigen) ISP relay server (dus
port 25 wordt voor iedereen geblokt op het internet)
3) de ISP is verplicht voor smtp auth.
Je creeert dus zo een omgeving waar alleen ISP relay servers
met elkaar kunnen communiceren over SMTP, ware het niet zo
dat het onmogelijk is om alle ISP's zover te krijgen om port
25 standaard dicht te zetten voor elke internet gebruiker
(denk ik).
goestin
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
