spammers afwimplen met Postscreen

Het merendeel van de e-mails die op mailservers terechtkomt is helaas spam. De grootste uitdaging van elke e-mail administrator is dan ook die massale hoeveelheid spam tegen te houden. Sinds versie 2.8 bevat Postfix daarvoor een extra daemon: Postscreen.

Er bestaan heel wat tools om spam te detecteren. Denk bijvoorbeeld aan Postfix’ ingebouwde restricties, policy daemons, header en body checks of externe tools, zoals Amavis en SpamAssassin. Toch is Postscreen een prima aanvulling op de bestaande tools. Tegenwoordig wordt de meeste spam verstuurd door pc’s geïnfecteerd met malware, oftewel zombies. De taak van Postscreen is om met zo weinig mogelijk resources te detecteren of een SMTP-client een zombie is of niet. Vervolgens blokkeert Postscreen de zombies voordat de meer geavanceerde spamdetectie in actie schiet. Want SpamAssassin mag dan wel erg accuraat zijn in het detecteren van spam, het is ook behoorlijk intensief voor je processor. Dankzij Postscreen hoeft SpamAssassin dus heel wat minder e-mails te verwerken. Hierdoor kan een mailserver met dezelfde resources een veel hoger e-mailvolume aan.

Postscreen bevat verschillende tests om te bepalen of een machine een spambot is. Eerst en vooral kun je bepaalde network ranges whitelisten (=geen spambot) of blacklisten (=spambot). Gebruik dit bijvoorbeeld als je last hebt van een hardnekkige spammer, die door alle andere tests heen komt. In de praktijk heb je dit gelukkig zelden nodig.

Typerend voor spammers is dat ze zo snel mogelijk e-mails willen versturen. In een normale SMTP-communicatie wacht de client steeds op de server alvorens een nieuw commando te versturen. De meeste spambots zijn echter minder geduldig en vallen zo door de mand. Dit is Postscreens ‘pregreet test’.

Erg nuttig is ook Postscreens optie om verschillende DNS blocklist servers te raadplegen. Dit zijn servers die via DNS-records een ‘zwarte lijst’ publiceren van IP-adressen, die misbruikt worden door spammers. Het grote voordeel van dergelijke blocklist servers is dat de blacklists steeds up-to-date zijn zonder dat je ze zelf moet onderhouden. Je kunt ook meerdere blocklist servers configureren in Postscreen en elk een ander gewicht toekennen. Zo is het bijvoorbeeld mogelijk om een client als spambot te beschouwen als hij ofwel in de blacklist van Spamhaus ofwel in die van SpamCop én SORBS staat. Het is wel belangrijk dat je de policies van de verschillende blocklist servers naleest, voordat je ze gebruikt. Meestal zijn ze alleen gratis voor niet-commercieel gebruik én bij een beperkt mailvolume.

Tot slot bevat Postscreen nog enkele zogenaamde ‘deep protocol tests’. Net zoals de pregreet test controleert Postscreen hiermee of de SMTP-client zich wel netjes gedraagt. Spambots sturen bijvoorbeeld een reeks commando’s te snel achter elkaar of gebruiken gewoon incorrecte commando’s. Het grote verschil met de pregreet test is echter dat Postscreen (om technische redenen) de verbinding met de client steeds moet verbreken aan het einde van de test. Was de client door alle tests heen gekomen? Dan moet hij opnieuw verbinden en wordt hij de tweede keer meteen doorgelaten door Postscreen. In feite gedraagt Postscreen zich dan als een greylisting server.

Greylisting is een techniek waarbij nieuwe verbindingen van SMTP-clients steeds geweigerd worden met een tijdelijke foutmelding. Normale mailservers zullen de mail dan een tijdje later opnieuw proberen af te leveren. De greylisting server houdt een database bij van alle verbindingen en laat na een bepaalde tijd (bijvoorbeeld 5 minuten) een nieuwe verbindingspoging van hetzelfde IP-adres wél toe. Spammers hebben echter dat geduld niet, waardoor zij na de eerste verbindingspoging afhaken. Greylisting is dus een effectief middel om het gros van de spammers tegen te houden. Het enige nadeel is dat ook legitieme e-mails vertraging oplopen. Die vertraging kan oplopen van 5 minuten tot enkele uren.

Overtuigd om Postscreen te gebruiken op jouw mailserver? Elders in dit nummer lees je hoe je Postscreen activeert en de verschillende tests configureert.

Er bestaan heel wat tools om spam te detecteren. Denk bijvoorbeeld aan Postfix’ ingebouwde restricties, policy daemons, header en body checks of externe tools, zoals Amavis en SpamAssassin. Toch is Postscreen een prima aanvulling op de bestaande tools. Tegenwoordig wordt de meeste spam verstuurd door pc’s geïnfecteerd met malware, oftewel zombies. De taak van Postscreen is om met zo weinig mogelijk resources te detecteren of een SMTP-client een zombie is of niet. Vervolgens blokkeert Postscreen de zombies voordat de meer geavanceerde spamdetectie in actie schiet. Want SpamAssassin mag dan wel erg accuraat zijn in het detecteren van spam, het is ook behoorlijk intensief voor je processor. Dankzij Postscreen hoeft SpamAssassin dus heel wat minder e-mails te verwerken. Hierdoor kan een mailserver met dezelfde resources een veel hoger e-mailvolume aan.

Postscreen bevat verschillende tests om te bepalen of een machine een spambot is. Eerst en vooral kun je bepaalde network ranges whitelisten (=geen spambot) of blacklisten (=spambot). Gebruik dit bijvoorbeeld als je last hebt van een hardnekkige spammer, die door alle andere tests heen komt. In de praktijk heb je dit gelukkig zelden nodig.

Typerend voor spammers is dat ze zo snel mogelijk e-mails willen versturen. In een normale SMTP-communicatie wacht de client steeds op de server alvorens een nieuw commando te versturen. De meeste spambots zijn echter minder geduldig en vallen zo door de mand. Dit is Postscreens ‘pregreet test’.

Erg nuttig is ook Postscreens optie om verschillende DNS blocklist servers te raadplegen. Dit zijn servers die via DNS-records een ‘zwarte lijst’ publiceren van IP-adressen, die misbruikt worden door spammers. Het grote voordeel van dergelijke blocklist servers is dat de blacklists steeds up-to-date zijn zonder dat je ze zelf moet onderhouden. Je kunt ook meerdere blocklist servers configureren in Postscreen en elk een ander gewicht toekennen. Zo is het bijvoorbeeld mogelijk om een client als spambot te beschouwen als hij ofwel in de blacklist van Spamhaus ofwel in die van SpamCop én SORBS staat. Het is wel belangrijk dat je de policies van de verschillende blocklist servers naleest, voordat je ze gebruikt. Meestal zijn ze alleen gratis voor niet-commercieel gebruik én bij een beperkt mailvolume.

Tot slot bevat Postscreen nog enkele zogenaamde ‘deep protocol tests’. Net zoals de pregreet test controleert Postscreen hiermee of de SMTP-client zich wel netjes gedraagt. Spambots sturen bijvoorbeeld een reeks commando’s te snel achter elkaar of gebruiken gewoon incorrecte commando’s. Het grote verschil met de pregreet test is echter dat Postscreen (om technische redenen) de verbinding met de client steeds moet verbreken aan het einde van de test. Was de client door alle tests heen gekomen? Dan moet hij opnieuw verbinden en wordt hij de tweede keer meteen doorgelaten door Postscreen. In feite gedraagt Postscreen zich dan als een greylisting server.

Greylisting is een techniek waarbij nieuwe verbindingen van SMTP-clients steeds geweigerd worden met een tijdelijke foutmelding. Normale mailservers zullen de mail dan een tijdje later opnieuw proberen af te leveren. De greylisting server houdt een database bij van alle verbindingen en laat na een bepaalde tijd (bijvoorbeeld 5 minuten) een nieuwe verbindingspoging van hetzelfde IP-adres wél toe. Spammers hebben echter dat geduld niet, waardoor zij na de eerste verbindingspoging afhaken. Greylisting is dus een effectief middel om het gros van de spammers tegen te houden. Het enige nadeel is dat ook legitieme e-mails vertraging oplopen. Die vertraging kan oplopen van 5 minuten tot enkele uren.

Overtuigd om Postscreen te gebruiken op jouw mailserver? Elders in dit nummer lees je hoe je Postscreen activeert en de verschillende tests configureert.