19-05-2009 11:08:30

Als ISP word je zeer regelmatig geconfronteerd met de minder fijne kanten van het internet. Dan hebben we het niet alleen over gehackte accounts of misbruikte websites, maar voornamelijk over de ‘reclame industrie’ die ons allen wil voorzien van middelen om diverse delen van ons lichaam te vergroten danwel te verkleinen.

In het geval er in ons netwerk een server dubieuze dingen doet of er wordt een website misbruikt, dan hebben we dat meestal in no-time opgelost. De server of website wordt geisoleerd en de klant wordt meteen op de hoogte gebracht. SPAM daarentegen bezorgt ons juist een heleboel werk en kost ons een hoop centjes. De verhouding in werk en kosten voor de spammer versus de ISP is compleet omgekeerd, helaas.

Recent onderzoek wijst uit dat spammers ook last hebben van de recessie. Voor het versturen van twintig miljoen (20.000.000) berichten wordt nu gemiddeld nog maar 150 euro betaald. De arme stakkers.



Spammers maken misbruik van heel veel gehackte computers, zogenaamde ‘zombies’. Zombie computers (engels) worden door buitenstaanders gebruikt zonder dat de eigenaar van de computer daarvan op de hoogte is. De gebruiker merkt hooguit dat z’n internetverbinding traag is, maar geeft de schuld al gauw aan het besturingssysteem wat op de computer is geinstalleerd. Omdat deze zombies zich allemaal melden op een centraal punt (een zogenaamd ‘Command and Control Channel’) is het voor een spammer een klusje van luttele minuten om een nieuwe SPAM-run te starten. Met een paar drukken op wat knoppen gaan al deze zombie computers aan de slag met het versturen van hun puin. Een ernstig simpele manier om even snel 150 euro te verdienen.

Voor een gemiddeld grote ISP als BIT ligt het verhaal heel anders. BIT krijgt gemiddeld 3.2 miljoen email-berichten per dag aangeboden. Dat zijn er gemiddeld ongeveer 37 per seconde, maar dit piekt soms vér boven de 150 per seconde. Zoals in een eerdere blog-posting te lezen is houden we momenteel ‘aan de voordeur’ al mail tegen met RBLs. Dit scheelt enorm in de drukte op onze filter-servers, maar deze zijn nog altijd druk met de berichten die het wel voorbij de ‘gates’ halen.

Vrijwel al deze berichten worden door onze SPAM-scanners gecontroleerd. Dit is een intensief werkje omdat er veel tests worden uitgevoerd om te bepalen wat de score van een bericht wordt. BIT heeft hier maar liefst zeven dedicated servers voor in het datacenter hangen. Extra capaciteit kan eenvoudig worden bijgeschakeld wanneer dat nodig is doordat we gebruik maken van PXE-boot en CFEngine voor vrijwel al onze platforms.



Maar, met extra capaciteit zijn we er nog niet! Uit tests van een medewerker van BIT is het kinderlijk eenvoudig gebleken om eigen SPAM-traps op te zetten. Tevens blijkt dat hiermee een zeer groot deel van de binnenkomende SPAM kan worden tegengehouden. BIT heeft deze SPAM-traps zelf dus maar eens groots opgezet! Ontvangen SPAM op deze speciale SPAM-trap adressen worden gevoed aan een systeem genaamd ‘iXhash‘. Deze plugin voor SpamAssassin maakt op drie verschillende manieren een unieke code van de inhoud van een SPAM-email en slaat deze op in een database. Als er nu een email binnenkomt op onze SPAM-scanservers, controleren we de drie unieke codes van deze email met de reeds berekende codes in onze SPAM-trap database. Als de codes overeenkomen kunnen we met vrij grote zekerheid stellen dat het bericht wat we zojuist ontvingen ook SPAM is.

Tevens leren we de SPAM-emails die we ontvangen aan de SpamAssassin Bayes database. Bayes filtering (engels) richt zich voornamelijk op het herkennen van woord-patronen. Het is erg belangrijk dat deze Bayes database wordt gevoed met HAM- (legitieme) en SPAM-email. Het moet als het ware ‘leren’ wat SPAM-email is om de effectiviteit van deze test zo hoog mogelijk te houden.

Dit zijn een paar van de technieken die BIT inzet om uw en onze mail te ontdoen van zoveel mogelijk SPAM. Het blijft een automatisch proces waarin niet te veel risico’s genomen moeten worden. Soms glipt er een nieuw type SPAM-mail doorheen, maar we zullen SPAM bestrijden tot het bittere eind!