In 2017 is er veel gebeurd op het gebied van cybersafety. Net als voorgaande jaren zijn er vanuit LISA acties uitgevoerd en maatregelen genomen om de universitaire gemeenschap zo goed mogelijk te beschermen. Wij maken, zoals veel andere instellingen, gebruik van de scandienst van SURF, SURFmailfilter. Die dienst verzorgt voor ons de detectie van spam en het verwijderen van malware.
Greylisting
De eerste maatregel is de zogenaamde greylisting. Daarbij wordt een nieuwe computer, die mail wil versturen, initieel geweigerd. Pas bij een tweede poging om dezelfde mail af te leveren, wordt die mail geaccepteerd. Dit principe is gebaseerd op het feit dat een spammer zo veel spam verstuurt dat hij zich geen zorgen maakt of een mail wel of niet aankomt. Hij zal dus niet controleren of mail geaccepteerd wordt en dus de mail ook niet een tweede keer aanbieden. Een normale mailserver zal de mail even opslaan en het vijf minuten later opnieuw proberen. Dan wordt de mail direct geaccepteerd.
In bovenstaande grafiek is te zien dat gemiddeld 20.000 computers mail af kunnen leveren, terwijl bijna 3 miljoen computers dat proberen. We kunnen gevoeglijk aannemen dat we hierdoor heel veel spam tegenhouden.
Spamdetectie
Wat zit er dan nog in de mail die door die 20.000 computers wordt afgeleverd? Jammer genoeg nog steeds heel veel spam. Als er binnen een legitieme organisatie spam wordt verstuurd door bijvoorbeeld een besmette computer, gaat de mail via de standaard mailservers van die organisatie. Die servers zullen ook de spam opnieuw aanbieden, net zoals ze dat bij normale mail doen.
Zoals je ziet is van de mail, die geaccepteerd wordt, nog steeds bijna 40% spam.
Wat wordt hier mee gedaan?
Die spam wordt, net als de legitieme mail, doorgestuurd naar de mailserver van de universiteit. Daar wordt gekeken naar een kenmerk dat toegevoegd is door SURFmailfilter. Als dat kenmerk aangeeft dat iets spam is, wordt het in de Junk folder van de mailbox geplaatst. Dit biedt de mogelijkheid dat de gebruiker eventueel “verdwenen” mail alsnog kan vinden.
De mail in de Junk folder wordt na dertig dagen verwijderd om te voorkomen dat de mailbox volloopt met rommel.
Voor meer informatie over spam, spamfilters en andere maatregelen om je te beschermen, neem contact op met CERT-UT.
