Om spam og spamfiltrering

Længere artikel om hvordan spammere opererer, hvilke systemer der findes til imødegå spam og hvordan Plan A's anti-spam system fungerer.

Indhold

Baggrund

Hvem er spammerne

Anti-spam initiativer

Kort om anti-spam systemer

Typisk eksempel på en spammer operation

Detaljeret gennemgang af anti-spam systemer

Software der genkender spam udfra e-mailens indhold

Systemer til vefication af afsendere

Systemer der begrænser mængden af mail en server kan sende ud

Mere radikale systemer - Greylisting og challenge response

Systemer anvendt hos Plan A og hvordan de fungerer


Baggrund

I takt med den stigende anvendelse af e-mail, er annoncering via e-mail blevet set som mere og mere attraktivt. Den vigtigeste faktor er at omkostningerne ved at udsende emails er meget små, sammenlignet med traditionel annoncering, hvilket har medført en eksplosiv stigning i mængden af useriøs annoncering via emails udsendt uopfordret. Dette i en grad så det er blevet en gene for slutbrugere modtage og en trafikal belastning for internetudbydere at aflevere.

Hvem er spammerne

Formidlerne

Nogle firmaer har gjort udsendelse af spam til deres levevej. De tager sig betalt for at levere en vis mængde mails til modtagere. Langt det meste spam i dag afsendes af sådanne firmaer. Det drejer sig typisk om firmaer baseret i lande udenfor Vest-Europa og USA (hvor der er lovgivning imod det) specielt Latin Amerika, Øst Europa og Kina er blevet hjemsteder for sådanne virksomheder. Steder hvor der er en del IT kyndige, og de kan gemme sig bag manglende lovgivning, eller at de lokale myndigheder synes, at de har langt mere presserende problemer at tage sig af.

Det er blevet mere og mere sådan i takt med at der er blevet lovgivet mod spam mange steder og i takt med at internet udbydere og slutbrugere er begyndt at tage modforholdsregler.

Groft sagt - når du modtager en spam mail, er den så godt som altid bragt til dig af folk der har det som deres speciale.

Kunderne

Medens mange firmaer legitimt bruger e-mail til annoncering, er der en række forhold, der har gjort e-mail annoncering specielt attraktivt for mindre seriøse virksomheder, såsom folk der ønsker falsk at puste aktie-værdier op ved at sprede urigtige oplysninger om et firma, pyramide-spils agtige foretagener og andre bondefangere. Mange sites med pornografisk indhold, ser det også deres bedste middel til at trække nye besøgende.

For sådanne foretagener er tanken, at hvis man udsender nok meddelelser, skal en eller anden nok hoppe på den.

I dag er det faktisk blevet sådan at man yderst sjældent om nogensinde tager fejl, hvis man over en kam antager, at et firma der benytter profesionelle spammere til at annoncere for sig er i bedste fald skrupelløst og som regel direkte uvederhæftigt, og at de firmaer, der leverer spammen for dem er en bunke kriminelle - i bedste fald at betragte på linie med fabrikker, der producerer illegale kopier af Rolex ure. Muligvis ikke ulovligt der hvor de kommer fra - endnu, men enhver kan sige sig selv at smuglere, der er fuldstændig ligeglade med, hvad der er i de pakker de sniger ind i din postkasse, ikke har megen integritet.

Anti-spam initiativer

Der findes en del frivillige foreninger og firmaer, der har gjort det til deres opgave eller levevej at forhindre spam.

Et eksempel er spamhaus som driver en af de mest anvendte "sortlister" (en liste over kendte spammere).

Et andet er spamassassin projectet som er en gruppe frivillige, der udvikler software der forsøger at genkende og frasortere spam.

Der findes mange andre

Kort oversigt over anti-spam systemer

En af de først udbredte og mest effektive er "sortlister". Det fungerer på den måde at en e-mail server operatør slår afsenderen op i en database over kendte spammere.
En variant heraf er lister over "usikre mailservere" (open relays) - idet spammere ofte benytter sig  af utilstrækkeligt sikrede mailservere til at videresende deres e-mails.
Der ligeledes lister over Websites der benytter sig af spam til markedsføring og andre sortlister

Andre metoder er software som spamassassin der analyserer indkommende e-mails og vurderer dens "spamagtighed".

Nogle nye initiativer (spf, domainkeys og DKIM) går ud på at afsløre falske afsender adresser (for at undgå blokering kommer stort set al "professionel spam" fra falske adresser) og endelig er der kommet et system til at begrænse mængden af mails en mailserver kan sende ud ved at tvinge den til lave nogle beregninger for hver mail (hashcash)

Typisk eksempel på en spammer operation

En typisk operation er opdelt i nogle sektioner, som varetager nogle af følgende opgaver:

Fremskaffelse af e-mail adresser på modtagere.
Til dette bruges en række metoder. Nogle af de mest anvendte nævnes her:

  • Automatisk gennemlæsning af websites, nyhedsgrupper, fora mv og udtrækning af e-mail adresser.
    Der findes software specielt beregnet til dette. Det trawler simpelthen internettet igennem og trækker alt der ligner en e-mail asresse ud. Man vil derfor typisk finde at kontakt-adresser, der er nævnt på websteder vil modtage langt mere spam end andre. Skriver man ligeledes indlæg på debat-fora eller i nyhedsgrupper og angiver en gyldig e-mail adresse kan det forventes at e-mail adressen havner i spammernes datase. Mange bruger derfor det kneb at angive en omskrevet afsenderadresse såsom mig@Fjern-dette-plana.dk i stedet for mig@plana.dk. Det har dog den uheldige sidevirkning, at folk der bare klikker på besvar uden at rette addressen, vil få en fejl. Det kan ligeledes forventes at de mest åbentlyse og almindeligst brugte omskrivninger hurtigt vil kunne gennemskues af spammernes software og således kun vil være til besvær. Skal du omskrive din adresse så find på noget originalt.
  • Køb og salg af adresse-lister.
    Mange steder på internettet bliver man bedt om at registrere sig. En del af de steder beder dig om det fordi de har videresalg af registrerede adresser som en del af deres indtægtskilde.
    Det anbefales, før du registrerer dig selv, at checke et sites privatlivspolitik (privacy policy). Har sitet ikke noget eller lover de ikke at din adresse ikke videreformidles må du forvente at kunne havne på en spammer-liste. Og husk at der ikke er nogen garanti for at privatlivspolitikken er til andet end pynt.
    Registrer dig derfor kun på steder, hvor du har tillid til at de ikke vidersælger din information og kun på steder, hvor du rent faktisk har brug for noget. Er der ingen god grund til at du bedes om din e-mail adresse (som feks. at du vil købe noget og skal have en kvittereing eller vil meldes til et nyhedsbrev og de skal vide hvor det skal sendes hen) er det ofte fordi den videsælges.
  • Forsøg på at få mailservere til at godkende eller udlevere en liste over brugere
    Mailservere har nogle kommandoer, der kan bruges til at få dem til at udlevere en liste over modtagere eller at godkende en modtager adresse. De mest anvendte er VRFY (svarer om adresse er gyldig eller ej) og EXPN (udleverer en liste over modtagere). De fleste er efterhånden konfigureret til at nægte at følge sådanne kommandoer, men nogle er ikke. Enten pga. ukendskab, fordi det bare aldrig er blevet gjort eller fordi man mener at funktionerne af en eller anden grund behøves. Det anbefales at checke med ens e-mail levarandør at denne ikke tillader ESMTP VRFY og ESMTP EXPN for ens domæne.
  • Udsendelse af mails til tilfældige adresser og registrering af, hvilke der går igennem.
    Plan A's mailserver bliver f.eks. jævnligt udsat for forsøg på at aflevere mail til "gættede adresser" som joe@plana.dk, bob@plana.dk, mv. Sådan en gang hver anden dag kommer der lige en flok af disse (måske et par hundrede), der ser ud som om det er lavet udfra en liste over typiske (som regel engelske) navne. Mailene selv er ofter blanke, og det ser ud til formålet simplelthen er at se, om nogen vil modtage den eller ej. Specielt de meget store mail domæner (hotmail.com, yahoo.com, gmail.com mv) rapporterer at blive ramt af dette.

Formulering af spam-meddelelsen
For at undgå at blive fanget af filtre er spammere begyndt at formulere deres mails, så de er sværere for anti-spam software at genkende. Typiske kneb er at omskrive højtskorende formuleringer (feks. skriver de tit "forøg volumen på din l-e-g-e-m-s-d-e-l" i stedet for at skrive det almindeligt). Ofte tilføjes noget komplet urelateret tekst til enden af e-mailen. Andre kneb er at vedhæfte meddelelsen som et billede i stedet for tekst.

Fra en modtagers perspektiv betyder det, at du ikke kan regne med at sidste års anti-spam software vil fange dagens spam. I dag skal anti-spam software opdateres regelmæssigt ligesom anti-virus, idet spammerne hele tiden tager skridt til at komme omkring det nyeste filter. Får du spam filtreret fra hos din mail-hotel leverandør, så check at de opdaterer det regelmæssigt.

Levering af meddelelsen

Afsendelse af store mængder meddelelser kræver computerkraft og stor båndbredde. Disse koster penge. Det er langt billigere - og sværere at blokere for, hvis man kan få andres servere til at gøre det for en. Spammere bruger derfor store mængder energi på at lokalisere mailservere der er utilstrækkeligt sikrede og kan bruges til at levere spam for dem.

 Nogle af de ting de kan bruge er:

  • Åbne relays
    Et åbent relay er en utilstrækkeligt sikret mailserver, der er villig til at videresende mail for hvemsomhelst. Åbne relays er specielt nyttige for spammere idet de typisk kan sende den een mail med hundreder eller tusinder af modtagere og den ramte mailserver så tager sig af selve afleveringen til hver enkelt modtager.  Du kan checke om din mailserver er et åbent relay hos ordb.org. (Open Relay dabase)

  • Stjålne mailkonti og hackede servere
    En anden ting spammere gør er at forsøge at bryde ind i mailkonti - ved enten at bruge kendte svagheder i mailservere eller ved simpelthen at gætte passwords til en konto. Ikke sjældent bliver vor mailserver udsat for kortvarige angreb, hvor man forsøger at logge ind på en konti med en række gættede passwords. Er en mailserver ikke ordentligt konfigureret, så en angriber blokeres efter en række fejlslagne forsøg på login, vil det ofte være muligt.
    Simple kodeord (på 5 bogstaver eller mindre) kan gættes vhja "brute-force" (dvs man starter med a og prøver alle muligheder indtil zzzzz) på få minutter. Har du et kodeord på 8 tegn eller derover og inkluderer det både store bogstaver, små bogstaver og tal er det straks en anden opgave. I praksis vil det tage så længe at forsøget vil blive opdaget længe før der er succes, eller sagt på en anden måde - det vil kræve så meget arbejde, at det ikke er besværet værd.

  • PC'er der kan kompromitteres
    Det er almindeligt kendt at der ofte opdages svagheder i diverse stykker software. Nogle af disse medfører at pc'er der ikke er opdaterede/korrekt sikrede kan overtages (fjernkontrolleres). Medens det der rammer avisoverskrifterne oftest er nye vira, spektakulære hacker angreb og tyveri af data, er det nok mindre kendt at der findes spam-leverandører, der systematisk checker efter og gør brug af svagheder med det formål at overtage maskiner og misbruge dem til at levere spam. Som regel prøver at gå stille med døren. Jo længere der går før ejeren opdager det jo længere kan de misbruge maskinen. Folk der ikke rigtig holder øje med hvad der sker med deres computer vil ofte først opdage det når maskinen bliver så overbelastet den begynder at gå ned, når der kommer klager, en astronomisk regning for trafik den sidste måned eller et brev fra ens udbyder der siger at de lukker ens konto fordi man spammer. Ikke sjældent vil ejeren finde, når han får maskinen bragt under kontrol at den i den den periode den var overtaget, har leveret hundrede-tusinder af spam mails
    De grupper der udsøger sårbare maskiner er ikke bare spammere. Spammere er dog (sammen med distributører af pirat- og andet illegalt materiale) nogle af de mest sofistikerede, da der er penge bagved og de kan ansætte ekspertise.

Mere detaljeret gennemgang af anti-spam systemer

Anti spam systemer forsøger at imødegå spam på følgende måder.

  • Vedligeholdelse af lister over servere, der vides at blive brugt af spammere, som kan slås op i af mailservere
  • Software der søger at kende forskel på spam og anden e-mail udfra indholdet af mailen
  • Systemer der søger at verificere afsenderens autencitet
  • Systemer der begrænser mængden af mail en server kan sende ud
  • Systemer der kræver at afsenderen viser vedhold i sit forsøg på at levere e-mailen.

Disse gennegå hver for sig nedenunder.

Sortlister
Der findes en række foreninger der vedligeholder sortlister.
Der er fire hovedkategorier af sortlister:

  1. sbl - spammer block lists - lister over ip adresser på spam afsendere
  2. xbl - xploit block lists - liste over maskiner der enten er kompromitterede eller er usikkert konfigureret og åbne for misbrug. En underkategori er ORBL (Open Relay Black List) - liste over åbne relays.
  3. subl - spammer URI block lists - liste over webadresser, der henvises til i spam mails. Subl er forskellig fra sbl på den måde at hvis der kommer en spam mail fra mail server mail.x.dk der gerne vil have dig til at besøge website www.y.dk - ryger mail.x.dk  på en sbl og www.y.dk kommer på en subl.
  4. dul - dial up list - liste over ip adresse områder, som udbydere anvender til tildeling af dynamiske adresser. Man vil typisk forvente at en mailserverer er at finde på en fast IP adresse. I modsætning til de ovenstående lister er DUL lister ikke lavet over maskiner der er konstateret problemer med. DUL lister er også kendt for at være mindre præcise (hvis TDC feks. internt omdelegerer et adresse område fra dynamiske til faste områder kan der længe før diverse DUL lister bliver opdateret). DUL regnes derfor for langt mindre præcise end de andre typer sortlister og giver typisk flere fejl. Til gengæld rammer de så bredere.

Nogle af de mest anvendte lister gennegås her. Realtime lister er lister der opdateres stort set øjeblikkeligt (typisk har de en større mængde rapporterende modtagere - der indsender modtaget spam og et system der automatisk opdaterer listen på grundlag af de indsendte meddelelser). Vi har ikke sat nogen DUL på da vi ikke bruger dem og ikke kender nogle der er bare tæt på at være præcise og opdaterede.

  • SpamHaus - http://www.spamhaus.org
    Vedligeholder realtime liste over ip adresser på verificerede spam kilder (sbl) og en liste over ip adresser på maskiner, der vides at fået installeret software der gør dem åbne for misbrug (inficerede PC'er).
  • Open Relay dataBase - http://www.ord.org
    Vedliger liste over åbne relays
  • SpamCop - http://www.spamcop.net
    Vedligerholder realtime liste over ip adresser på spam afsendere
  • Blitzed Open Proxy Monitor - http://opm.blitzed.org
    Vedligeholder liste over ip adresser på kendte usikre proxies (dvs. computere der tillader andre computere at udføre ting igennem sig og er utilstrækkeligt sikret).
  • Spammer URI Realtime block list - http://www.surbl.org
    Verdligeholder en realtime liste over websteder der henvises til i spam e-mails

Disse lister og andre kan alle slås op i af mailservere når de modtager mails. Plan A checker alle indkommede mails imod disse lister.

Software der genkender spam udfra e-mailens indhold
Der findes flere af den slags programmer. Nogle er beregnet til slutbrugere, nogle er beregnet til brug på mailservere og nogle kan bruges begge steder.

Principielt set fungerer de på den måde at de gennemser en mails indhold og tildeler mailen en spam-værdi baseret på nogle kendetegn. Hvordan de enkelte point lægges til og trækkes fra er noget ud over, hvad der kan dækkes i denne artikel, men for at give en ide vil forekomsten af udtrykket "forøg størrelsen på din penis" i en e-mail betragteligt forøge chancen for at programmet vil mene at den nok er en spam mail. De bedste af programmerne kigger ikke bare efter bestemte ord og udtryk, men kigger efter en langt bredere vifte af signaturer.

Efter vor mening er det suverænt bedste program på markedet spamassasin. Det er gratis (Open Source) og det vi selv bruger. Information om programmet kan findes her: http://www.spamassassin.org.

Systemer til vefication af afsendere
Nogle af de nyeste initiativer gå i retning af enten at søge at garantere at afsenderen er den han siger han er og/eller at afsløre falske afsenderadresser. Medens dette kan lyde som det samme er det, det ikke helt. Systemerne gennemgås nedenfor.

  1. DNS opslag af afsender adressens domæne.
    Dette er et meget simpelt (og derfor udbredt) system, der sier afsendere fra ikke eksisterende domæner fra. Når der kommer en mail fra joe@doe.com laver man et opslag på doe.com for at se om det findes eller ej. Dette er en sikker metode idet gyldig mail aldrig burde komme fra et ikke eksisterende domæne.
  2. DNS opslag på mailserverens navn.
    Ligeledes meget simpelt og udbredt. Når mailserver a forsøger at aflevere en mail til mailserver b - checker b at det navn a opgiver eksisterer og matcher den IP adresse a har. Ligesom med DUL lister vil dynamiske IP adresser give fejl her.
  3. Reverse DNS opslag på mailserverens IP adresse.
    Checker om der er´registreret en masine på den IP der opgives. Samme problem som i 2 med DUL her.
  4. SPF - Sender policy framework
    System der checker om en mail fra afsender @bla.dk kommer fra en mailserver for domænet bla.dk. Kræver at denne information offentliggøres. Da systemet stadig har begrænset udbredelse er dette mere egnet til at identificere at en mail sansynligvis ikke er spam. Hvis joe.dk bruger systemet vil det afsløre at en mail ikke kommer fra @joe.dk hvis den ikke gør det. Betyder at brugere af joe.dk skal sætte svaradressen på deres konto til den konto de bruger. (Vil give fejl hvis en bruger har sat sin mail op med en svar adresse der hører under et domæne der ligger på en anden mailserver).
  5. DKIM/Domainkeys
    System udviklet af yahoo. Tilføjer en digital signatur der så kan sammenlignes med en offentliggjort signatur. Garanterer at mail der siger det kommer @yahoo.com (og andre brugere) rent faktisk også kommer derfra. Et nyt men allerede ganske udbredt system. Specielt populært ved de store (yahoo, gmail mv.) som er træt af at deres domæner falsk bliver oipgivet som afsendere.

Afsender verifikation siger som sådan ikke noget om meddelelsen er spam eller ej. De kan af og til afsløre falske afsendere, men som hovedsagelig tjener de til at garantere at afsenderen er den han siger han er. Dvs. det er ikke så meget en beskyttelse mod spam, som det er en hjælp til at undgå at blive falsk mistænkt for at spamme.

Spammerne bruger stort set altid tilfældige falske adresser. Både for at undgå retsforfølgelse og for at undgå blokering.

Systemer der begrænser mængden af mail en server kan sende ud
Dette er system der populært kaldes hashcash. Når aktiveret tvinger det mailserveren til at foretage en række beregninger over en email. Normalt kræver det at sende en mail meget lidt af en server. En typisk server med en moderne processor kan let udsende tusind af mails i minuttet. Med hascash vil en mail typisk optage serveren i et par sekunder. Hvilket vil sige at serveren maksimalt kan udsende 30 mails i minuttet eller 1.800 i timen.

For spammere duer det simpelthen ikke. Der skal pumpes for store mængder igennem. For mange andre, hvis servere alligevel står og let kan følge med er det dog intet problem. Det kræver kun lidt at checke for et HashCash stempel i en mail der modtages. Det er afsenderen der laver arbejdet.

Spamtraps
En spamtrap er en e-mail adresse oprettet for at tiltrække spam. Feks. ingen@plana.dk. Ideen er at eftersom det ikke er nogens e-mail adresse vil mail til denne kunne antages at være spam og at afsenderen og dennes mailserver kan tilføjes til en liste over blokerede afsendere samt at mails sendt til andre konti med det samme indhold ligeledes kan antages at være spam.

Mere radikale systemer - Greylisting og Challenge response
Nogle mere radikale fremgangsmåder til forhindring af spam er:

  • Greylisting
    Greylisting (anbringelse i gråzone) fungerer ud fra observation at spammere ikke tager hvert enkelt mail alvorligt, men i stedet generelt praktiserer noget der mere minder om tæppebombning. Dvs. det betragtes ikke som vigtigt, at hver eneste mail bliver afleveret - prioriteten er få flest muligt, afleveret hurtigst muligt med mindst muligt arbejde.
    En normal mailserver vil - hvis den får at vide en mail ikke kan afleveres - prøve igen med jævne mellemrum typisk i en dags tid eller mere. Spammere undlader næsten altid dette ud fra tanken, at hvis den ikke gik første gang går den nok heller ikke næste. Der er næsten altid en meget lav grænse, hvor længe de gider blive ved at prøve på at aflevere en enkelt mail og vil hellere bruge deres resourcer på at aflevere nogle andre.
    Greylisting er et system, som tager det noget kontroversielle skridt at afvise en mail (med en meddelelse om at der er en midlertidig fejl) første gang den sendes og i de næste x minutter (typisk 10-15 minutter). Dvs en mail bliver først accepteret når den afsendende server har demonstreret at den virkelig bekymrer sig om at få den afleveret. Ofte kombineres det med at afsenderen så anbringes på en "godkendt" liste og senere mails fra samme afsender ikke på lignende vis afvises. 
    Det er meget virksomt mod spam, men betyder at en del mail trafik med vilje forsinkes. Nogle udbydere har (i strid med god skik) konfigureret deres servere til at have meget lange intervaller (af og til flere timer) mellem forsøg på aflevering ved fejl. Overfor sådanne kan greylisting medføre hyppige langvarige forsinkelser af e-mail.
    Principielt bryder vi os ikke om ideen om bevidst at forsinke mail. Det har dog vundet en del udbredelse, da det er ganske effektivt overfor spam og i modsætning til andre anti-spam metoder kun kræver ganske lidt af serveren og den der skal konfigurere den.
  • Challenge/response
    Challenge/response er greylisting taget et trin videre. Det fungerer på den måde at mail ikke bare afvises i x minutter, men at der sendes en mail retur til afsenderen der spørger om han virkelig har sendt den og beder ham om at besvare. Indtil svaret kommer vil afsenderen være i karantæne, når det kommer anbringes afsenderen på en "hvidliste" (liste over afsendere der ok at lade passere igennem) og mailen leveres til modtageren. Kommer svaret aldrig bliver mailen aldrig leveret. Medens dette er ekstremt effektivt kan det ikke generelt anbefales. Det kan jo feks. ske at en afsender sender en mail, lukker sin maskine og ikke kommer igen før dagen efter. Det kan også ske at afsenderen bliver forvirret eller fornærmet over at skulle sende en mail der siger ja, den første mail var god nok.
    Derudover udelukker det en fra at modtage al automatisk genereret mail (som feks et nyhedsbrev) da et nyhedsbrev ikke kan forventes at svare på ens forespørgsel om at bekræfte at det virkelig er afsenderen.
    Selv om der er måder at gøre det mindre brutalt på (feks. ved at brugeren kan gå ind og frigive mails i karantæne) forekommer det os at besværet og forsinkelsen overgår besværet ved den spam det evt. måtte spare en for. Vi har PT ingen planer om at introducere et sådant system.

Systemer anvendt hos Plan A

Hos Plan A bruges fungerer vor antispam som følger.

Alle de nævnte systemer ovenfor (på nær SUBL opslag, greylisting og Challenge/Response) anvendes og indgår i en samlet vurdering.
Der er ikke et enkelt punkt der vil forårsage at en mail afvises som spam (på nær et ikke eksisterende afsenderdomæne).

I hvert enkelt trin tildeles mailen nogle point. Disse er vilkårlige værdier der skal ses i forhold til to relevante grænseværdier.

  • En sansynligvis spam grænseværdi - pt. 5,0 -
    skorer mailen over dette vurderes den som højst sansynligt spam og markeres som spam i titlen men afvises ikke
  • En helt sikkert spam grænseværdi - pt. 16.0
    skorer mailen over dette vurderes den som afgjort spam og afvises

Tildelingen af point sker som følger:

  1. Der checkes for om address book whitelisting (se nedenfor) er slået til og om afsenderen findes i modtagerens addressebog. Er svaret på begge ja går mailen igennem uden videre check. Er svaret til en af delene nej gås til trin 2.
  2. Der foretages et opslag på afsenderens domæne. Siger resultatet at det ikke eksisterer afvises mailen.
  3. Ved modtagelsen af e-mail slås afsenderen og i diverse sortlister. Mail fra afsendere på sortlister afvises ikke blankt, men tildeles en mængde point - typisk 4
    dvs. tilstedeværelsen på en sortliste er i sig selv ikke helt nok til at blive vurderet som spam, men der skal meget lidt mere til
  4. Indholdet slås op i en subl
    Er der links til websites spammere vides at annoncere for tildeles 4 point
  5. Indholdet anayseres af spam-assassin baseret på et regelsæt. Afhængigt af om mailen er spamagtigt formuleret kan den blive tildelt alt fra -4 til 10 point. Regelsættet checkes dagligt for opdateringer. Spam-assassin checker også og tildeler/fratrækker point for HashCash og Domainkey/DKIM signaturer.
  6. Der checkes for SPF information. Manglende SPF 0 point, eksisterer spf og er mailen afsendt af en gyldig server -3.0 point, forkert afsender ifølge spf +2.5 point
  7. Opnår mailen en samlet skore under 5,0 leveres mailen til modtagerens indbakke.
  8. Opnår mailen en skore mellem 5,0 og 16,0 tilføjes ****spam**** til mailens titel. Som standard vil der også være en regel der gør at sådanne mails anbringes i en "Junk E-mail" mappe i stedet for i indbakken. Indholdet I "Junk E-mail" mapper slettes automatisk efter 30 dage.
  9. Opnår mailen over 16,0 afvises modtagelsen

Der er der følgende overstyringsmulighed:

  • Addressbook whitelisting - hvidlistning baseret på adressebog -  typisk kombineret med at adressebogen opdateres automatisk med modtagere af afsendt post.
    Dvs. mail fra afsendere der står i modtagerens adressebog vil automatisk blive tilladt igennem og at adressebogen på serveren automatisk opdateres med adresser man sender mail til.  Altså mail fra personer du selv har sendt en mail til eller manuelt har tilføjet til din adressebog vil aldrig blive afvist og heller aldrig blive anbragt i "Junk E-mail" mappen.

Dette system har vist sig yderst effektivt og præcist. Spam skal være tydeligt spamagtig for at blive blankt afvist. Den højeste score jeg har set på "tilbudsmails" fra regulære firmaer er 12. Over 16 skore har jeg kun set på åbentlyst useriøst materiale.

I sagens natur vil det være meget svært for spam software at skelne imellem tilbudsbladet fra "Metro" som du gerne vil have og tilbudsbladet fra en eller anden som bare er spam. Som systemet er sat her kan det ske ind imellem at en tilbudsavis fra Metro havner i Junk E-mail mappen. Så længe metro ikke benytter falske afsender adresser og kompromitterede mailservere er der dog god chance for at det går glat igennem - specielt hvis de bruger SPF, domainkeys eller HashCash. I værste fald skal du checke din Junk E-mail mappe fra tid til anden og lige tiløje afsenderen på metros tilbudsavis til din adresseliste. Det skal bare gøres en gang.

Samtidig har jeg aldig set en personligt forfattet e-mail ryge i Junk E-mail. Det kunne selvfølgelig ske, hvis deres server var blevet kompromitteret eller hvis han skrevet sin egen e-mail adresse forkert, men det vil være sjældent og kræver noget i den retning. Til gengæld sorteres mellem 98% og 99% af al spam fra. Ca 1/3 afvises blankt og ses aldrig af modtageren. De sidste 2/3 ender i Junk E-mail mappen som det anbefales at skimme fra tid til anden. For mig personligt betyder det, at jeg får en spam mail en gang hver tredie dag i stedet for 40 eller så om dagen. Jeg kigger lige over min Junk E-mail en gang imellem (måske en gang om ugen) og af til sker det, at jeg finder noget derinde fra et firma jeg bad mig om at sende et nyhedsbrev, men det er ikke tit.

Udfra hvad vi ser tilbydes rundt omkring, vil jeg faktisk gå så langt, som til at påstå, at vi har tæt på det bedste system, der kan fås, Som vi ser det drejer det sig om at have et pålideligt system, der leverer den mail der kommer til en, men samtidig sørger for at floden af spam ikke medfører at vi ikke kan finde den. Vi kunne godt gå hårdere til værks men har valgt at sætte grænserne lidt på den sikre side. Det er trods alt ikke et korstog vi er på, og for os er det vigtigere, at vi er sikre på at egentlig mail igennem, end at vi får has på den allersidste spam mail.

Et anti-spam system skal hjælpe en til at gøre brugen af e-mailen mindre frustrerende - ikke introducere nye frustrationer. Selvom vi ikke planlægger at hvile på laurbæerne mener vi at have ramt målet.

Det skal nu nok også lykkes os at få ram på den sidste inden så længe.