10-07-2009 11:10:00

Zoals je weet probeert BIT op diverse manieren spam te bestrijden. Naast de uit eigen filtering verkregen informatie krijgt BIT van een aantal partijen extra informatie binnen, specifiek over IP-adressen van BIT. Helaas is deze informatie veelal dusdanig verouderd dat het in veel gevallen te laat is om er actie op te ondernemen. Daarnaast zijn er ook partijen die wel informatie hebben over IP-adressen maar dat helemaal niet versturen naar de beheerder van het betreffende netwerk.

Wij hebben daarom SpamCheck bedacht, dit systeem houdt actief de IP-adressen van BIT in de gaten. Het is niet zo dat wij veel van dergelijke meldingen ontvangen, maar met dit nieuwe systeem proberen we óók dat kleine beetje spam wat het BIT netwerk uitkomt tegen te houden.

In plaats van op de informatie te wachten gaat SpamCheck bij diverse partijen vragen of er informatie bekend is over IP-adressen van BIT. Het is natuurlijk onnodig om elk IP-adres van BIT in te gaten gaan houden omdat er bijvoorbeeld ongebruikte blokken zijn, of deze adressen geen mail diensten draaien. Om ervoor te zorgen dat SpamCheck enkel de interessante IP-addressen in de gaten houdt gebruiken we de database van Senderbase.

Senderbase (onderdeel van IronPort) houdt informatie bij van IP-adressen die e-mail versturen. Deze informatie wordt verzameld door ‘IronPort Mail Appliances’ die bedrijven gebruiken om hun e-mail te filteren. Om ervoor te zorgen dat deze informatie bij elke IronPort appliance beschikbaar is, wordt deze informatie verzameld in de Senderbase database. Senderbase stelt vervolgens op basis van deze informatie vast wat het dagelijkse en maandelijkse mailvolume vanaf een bepaald IP-adres is en hoeveel spam daar tussen zat. Op basis van deze informatie koppelt Senderbase een reputatie aan een IP-adres.

Laten we als voorbeeld smtp.bit.nl nemen:

Address : 213.136.12.226
Hostname : smtp.lb.network.bit.nl
Fwd/Rev DNS Match : Y
Daily Magnitude : 3.6
Monthly Magnitude : 3.6
DNSBL listings : 0
SenderBase reputation score : Good

In dit voorbeeld is te zien dat ‘smtp.bit.nl’ bij Senderbase een goede reputatie heeft en dat ze, naar verhouding, bijna geen spam van deze server af zien komen. Had hier ‘Poor’ gestaan dan zou volgens Senderbase het merendeel van wat verstuurd is, spam zijn geweest. De status ‘Poor’ zul je daarom in 99% van de gevallen enkel terug zien bij addressen die echt spammen. Indien Senderbase onvoldoende informatie heeft, of een IP-adres net niet in de categorie Poor valt, krijgt het IP-adres de status Neutral.

Het systeem is in staat om veranderingen in patronen te herkennen. Ga je opeens duizend maal meer e-mail versturen dan normaal en bevat dit veelal spam dan zul je snel, vaak binnen 15 minuten, een slechte reputatie krijgen bij Senderbase.

Uiteraard hebben we met de Senderbase nog niet voldoende informatie. We willen van meerdere bronnen horen dat een IP-adres spam verstuurt om daarmee te bevestigen dat de melding van Senderbase geen ‘false positive’ is. Daarom wordt er van elk IP dat bij Senderbase bekend staat gekeken bij diverse RBLs of het gevraagde IP-adres daar ook vermeld staat. Tenslotte wordt ook informatie uit VIRBL en spamtraps, die opgezet zijn door collega’s, verzameld en doorgegeven aan SpamCheck.

Zodra SpamCheck wijzigingen ziet wordt dat gemeld aan medewerkers van BIT. Een voorbeeld hiervan:

Change for 213.136.xxx.xxx (xxxxxx.xxxxxx.nl) : New on senderbase daily 3.6, monthly 2.2, reputation => Poor

Er is in dit geval een IP-adres van BIT wat e-mail verstuurt met een dusdanig volume dat Senderbase daar melding van maakt. Het dagelijks volume van 3,6 is circa 0.00006% van het totaal aantal verstuurde e-mails op het internet. In dit specifieke geval is het merendeel spam waardoor het IP-adres direct een slechte reputatie krijgt op Senderbase. Vanaf dit moment gaat SpamCheck het IP-adres nazoeken op diverse RBL servers en niet veel later geven de RBLs spamhaus en AbuseAT aan ook spam te hebben ontvangen vanaf het betreffende IP-adres. De kans dat het dan nog om een false positive gaat is dan bijna te verwaarlozen:

Change for 213.136.xxx.xxx (xxxxxx.xxxxxx.nl) : Added to database because it has 2 hits (+xbl.spamhaus.org +cbl.abuseat.org)

BIT kan met deze meldingen veel sneller actie ondernemen en ervoor zorgen dat het aantal verzonden spam berichten tot een minimum wordt beperkt. Abuse medewerkers van BIT kunnen indien nodig het verkeer van het betreffende IP-adres analyseren en kijken of er nog meer bewijs verzameld moet worden. Een IP-adres dat hiermee gedetecteerd wordt zal, indien er voldoende informatie voor is, tijdelijk een filter opgelegd krijgen. Op het moment dat BIT een filter plaatst is het voor het betreffende IP-adres niet meer mogelijk om e-mail te versturen. Het IP-adres kan dus wel normaal blijven internetten en e-mail ontvangen. Daarnaast wordt de klant in kwestie op de hoogte gesteld.

SpamCheck draait inmiddels nu ruim een maand productie en zorgt dat de tijd vanaf detectie tot filtering van 24/48 uur tot gemiddeld 2 uur is teruggebracht. Daarmee zorgen we ervoor dat er nog minder spam wordt verstuurd vanuit het BIT-netwerk. Tevens wordt de historie van deze abusemeldingen automatisch bijgehouden door SpamCheck zodat we bij herhaling of aanhoudende problemen nog effectiever kunnen ingrijpen.