Internet Access Facilities BV (IAF) gebruikt op haar centrale mailserver een set applicaties om e-mail communicatie te verbeteren en te beveiligen. Het systeem bestaat uit een aantal losse applicaties die samen een goede beveiliging bieden tegen virussen en andere gevaarlijk inhoud en die meehelpen om de overlast van spam te verminderen. Het systeem is te beschouwen als een meertraps traject waarbij sommige trappen door bepaalde applicaties worden verricht en andere trappen door anderen. Alle gebruikte applicaties draaien op de betreffende server zelf.

Hieronder volgt eerst in het kort een beschrijving van de applicaties die gebruikt worden:

Sendmail

Dit is de Mail Transfer Agent (MTA). Deze draagt zorg voor de ontvangst van e-mail via het SMTP-protocol. Daarnaast zorgt deze MTA ervoor dat e-mail die het volledige traject heeft doorlopen bij de juiste mailbox (of in ieder geval de server waar de mailbox draait) wordt afgeleverd.

MailScanner

Deze applicatie heeft meerdere functies. In de eerste plaats neemt hij de e-mail aan van sendmail en controleert deze op basis van een aantal kenmerken. Vervolgens wordt de e-mail aangeboden aan de andere applicaties die vervolgens specifieke controles uitvoeren. Hierna wordt de e-mail weer klaar gemaakt om door sendmail afgeleverd te worden op de eindbestemming.

Mail die door MailScanner als spam wordt gekenmerkt wordt standaard doorgestuurd naar uw mailbox. Er wordt alleen een kenmerk toegevoegd zoals verderop wordt aangegeven. U kunt echter ook een verzoek indienen om gemarkeerde mail door te sturen naar een aparte mailbox. Dat heeft als voordeel dat een gewone gebruiker die mail niet ziet, maar dat u wel, door in te loggen in die mailbox, de mail kunt controleren op zogenaamde false-positives.

Als tweede optie is het mogelijk om gemarkeerde mail direct te laten verwijderen. Dan ziet niemand die mail. Houdt er echter rekening mee dat hierdoor ook legitieme mail verwijderd kan worden. IAF kan niet garanderen dat een spamcontrole foutloos is. We raden derhalve aan om eerst enige tijd te kiezen voor doorsturen naar een aparte mailbox.

F-Prot

Dit is een anti-virus scanner. F-Prot is een van de betere scanners en beschikbaar onder Linux en Microsoft Windows. Dagelijks wordt minimaal één keer gecontroleerd of er nieuwe bestanden met virus-kenmerken aanwezig zijn op de website van F-Prot. Indien dat het geval is, worden de betreffende bestanden gedownload, zodat onze versie van de scanner up-to-date is.

SpamAssasin

Deze applicatie controleert de e-mail op basis van een aantal regels om te zien of de e-mail als spam is te classificeren. Deze regels worden regelmatig bijgesteld op basis van berichten die, na handmatige controle, als spam of niet-spam worden geclassificeerd.

Controlemechanismen

Sendmail

Sendmail kent een zogenaamde access-database. Hierin kunnen een aantal regels worden opgesteld op grond waarvan e-mail wordt doorgelaten of geblokkeerd.

De basis-principes hiervoor zijn als volgt:

• Gebruikers binnen IAF (inclusief co-locatie, inbel en xDSL) kunnen de server vrij gebruiken. Gebruikers van buiten IAF met de juiste authenticatie kunnen de server vrij gebruiken.
• E-mail adressen die standaard in virussen worden gebruikt, worden geblokkeerd met of zonder foutmelding. (Bijvoorbeeld big@boss.com)
• Het domein van de afzender moet bestaan.
• Bij opvragen van het IP adres van de machine die de mail aflevert moet er een legitieme naam terug komen van de nameserver. (Reverse DNS)

Reverse DNS

Om een verbinding te kunnen maken met een server vindt er een vertaling plaats van de naam die u intikt naar het IP adres. Maar het is ook gebruikelijk om op basis van uw IP adres een naam te zoeken. Zo kan de server controleren of u wel gerechtigd bent om die mail te versturen.

De mailservers van IAF controleren wij of het IP adres van de verzendende partij wel gekoppeld is aan een naam. Dat hoort te zijn gedaan in de nameserver van de provider van degene die mail probeert af te leveren. Onze ervaring is dat mailservers altijd een naam hebben. Een heel enkele keer kan het voorkomen dat dit niet het geval is. Dat is dan meestal het geval als de provider van de externe partij hun nameserver niet bijhoudt. Dan accepteren wij die mail niet en stuurt de mailserver van die externe partij een bericht terug naar de afzender.

Bijna altijd betreft het spam en wat daar dan mee gebeurt is gelukkig niet van belang voor ons. Het kan echter voorkomen dat die externe partij geen spammer is. Onderzoek duidt er op dat dit in 1 op de 1.000.000 keer voor kan komen. Die partij kan dan bij hun provider vragen om de nameserver in orde te maken en de mail alsnog aan ons aanbieden.

De melding die teruggestuurd wordt bevat meestal een opmerking in de trant van:

Zoals aangegeven kan die partij ook gebruik maken van de SMTP server van zijn eigen provider op dezelfde manier als waarop u gebruik kunt maken van smtp.iaf.nl. Dit overbrugt in ieder geval de tijd tot die provider het probleem heeft opgelost.

Dit kan ook uitgebreid worden met een consistency controle. Dan wordt de naam behorende bij het IP adres opgezocht. Vervolgens wordt het IP adres behorend bij die naam opgezocht. En daar moet minstens dezelfde naam uitkomen. Deze controle is echter veel te streng en zal vaker voor problemen zorgen. Vandaar dat die controle niet door IAF wordt gebruikt.

MailScanner

MailScanner kan, naast gebruik te maken van de mogelijkheden van SpamAssassin en F-Prot, ook zelf een aantal onderdelen van de e-mail controleren. Op dit moment zijn dat de volgende punten:

• IFrame: MailScanner zal controleren of er gebruik wordt gemaakt van de HTML-tag <IFrame> (zie voor informatie over de veiligheid hiervan ook http://www.gfi.com/emailsecuritytest/faq.htm#iframe-http). E-mail waar een dergelijke tag in voorkomt, wordt in quarantine geplaatst en een waarschuwing wordt naar de ontvanger gestuurd.
• Object CodeBase: MailScanner zal controleren of er gebruik wordt gemaakt van de HTML-tag <Object CodeBase=> (zie voor informatie over de veiligheid hiervan ook http://www.gfi.com/emailsecuritytest/faq.htm#object). E-mail waar een dergelijke tag in voorkomt, wordt in quarantine geplaatst en een waarschuwing wordt naar de ontvanger gestuurd.
• Filename-rules: MailScanner analyseert de filenaam van de meegestuurde bijlage(s) en probeert op grond daarvan te kijken of een e-mail een gevaarlijke bijlage bevat. In de bijlage is een overzicht van deze controle opgenomen. E-mail waar een dergelijke bijlage in voorkomt, wordt in quarantine geplaatst en een waarschuwing wordt naar de ontvanger gestuurd.

In de gevallen dat er een waarschuwing in de e-mail wordt meegestuurd, geldt dat de waarschuwing de potentieel gevaarlijke bijlage en/of de hele e-mail vervangt in het uiteindelijke e-mail bericht.
Als blijkt dat een bijlage ontsmet is, wordt de oorspronkelijke bijlage vervangen door de ontsmette bijlage en wordt er een separaat e-mail bericht gestuurd.

F-Prot

F-Prot werkt als iedere andere anti-virus scanner door de potentieel gevaarlijke bijlagen te onderzoeken op virussen en zo mogelijk te ontsmetten. Indien F-Prot een virus detecteert in een bijlage en die vervolgens heeft kunnen ontsmetten, wordt de e-mail met de ontsmette bijlage doorgestuurd naar de ontvanger. Indien F-Prot een virus detecteert en die niet kan ontsmetten, wordt de bijlage vervangen door een mededeling. In beide gevallen zal MailScanner de genomen actie melden in een header.

SpamAssassin

SpamAssassin maakt gebruik van regels zoals beschreven op de site van SpamAssassin en dan met name de ruleset zoals beschreven in http://www.spamassassin.org/tests.html). Indien de score van de e-mail een bepaalde waarde overschrijdt zal dat gemeld worden in de headers van de e-mail, maar de e-mail wordt verder ongewijzigd doorgestuurd.
IAF maakt geen gebruik van DCC of Razor, omdat die meer gericht zijn op persoonlijk gebruik van SpamAssassin.

Te nemen acties

Inleiding

De ontvanger kan op grond van een aantal kenmerken van de doorgestuurde e-mail bepaalde handelingen uitvoeren.

Spam

Spams worden aan de ontvanger kenbaar gemaakt door een wijziging in het onderwerp ({Spam?} of {Spam!}) van de e-mail. Het is aan te raden om e-mail, met headers die melding maken van spam, direct in een aparte folder op te slaan en die met lage prioriteit af te handelen. IAF raadt aan om dergelijke e-mail nooit direct weg te gooien omdat nooit met 100% zekerheid gesteld kan worden dat de analyse foutloos is uitgevoerd. De eindgebruiker kan in zijn e-mail programma filters instellen op basis van de informatie in de headers en zijn of haar ervaring met e-mail berichten die mogelijk onjuist zijn gekwalificeerd als spam.

Virussen

Virussen worden aan de ontvanger kenbaar gemaakt door een wijziging in het onderwerp ({Virus}) van de e-mail. We hebben er vertrouwen in dat deze kwalificatie correct plaats vindt door de virusscanner.

Bestand uitgangen

Indien MailScanner besluit om een bijlage te vervangen door een waarschuwing op grond van een van de 'verboden' bestandsuitgangen wordt het onderwerp gewijzigd door het vooraf te laten gaan met {Filename}.

IFrame, Object Codebase, filenames

Indien MailScanner besluit om een bijlage te vervangen door een waarschuwing wordt het onderwerp gewijzigd door het vooraf te laten gaan met {Blocked Content}.

Reverse DNS

Hier kunt u zelf niet veel aan doen. Als een legitieme verzender van mail aangeeft geen mail meer te kunnen sturen naar u en hij geeft aan dat hij bovenstaande foutmelding krijgt, dan kunt u hem vertellen dat hij het volgende moet doen: Hij moet zijn provider hiervan in kennis stellen en hem vragen om een reverse (PTR) entry op te nemen in de nameserver voor zijn IP adres.

Opvragen originele e-mail

Het is mogelijk om de originele e-mail doorgestuurd te krijgen. De eindgebruiker is hierbij volledig verantwoordelijk voor alle schade die veroorzaakt wordt door dit doorsturen. In principe zal IAF echter geen e-mail met echte virussen doorsturen. Het verzoek om de originele e-mail te ontvangen moet gericht worden aan de helpdesk van IAF en voorzien zijn van de door MailScanner gegenereerde bijlage.