Managed hosting door True

Zwaardere maatregelen vereist om groeiende stroom spam in te dammen

Dweilen met de kraan open

 

In een jaar tijd is het spamprobleem zo groot geworden dat Nederlandse organisaties extra maatregelen nemen om de mail bruikbaar te houden. Dat beeld kwam naar voren uit een onderzoek van Computable onder ruim twintig bedrijven.

Veel bedrijven doen nog niets
Dit artikel zou onterecht de indruk kunnen wekken dat Nederlandse organisaties massaal technische maatregelen hebben genomen tegen spam. Dat is niet waar. Onder de ruim twintig reacties die wij kregen op de vraag welek maatregelen zij tegen spam nemen was ook een drietal organisaties die aangaf niks te doen, waaronder verzekeraar CZ. It-auditor Daniella Goudswaard, werkzaam bij Pricewaterhouse Coopers, bevestigt dit beeld door te stellen dat de meeste bedrijven nog niets doen. De in dit artikel besproken bedrijven lopen kennelijk voorop.
Veel organisaties nemen wel maatregelen in de organisatorische sfeer. Zij lichten werknemers voor hoe zij het toezenden van spam kunnen beperken door bijvoorbeeld geen mailadres achter te laten op onbekende websites en vooral niet op spamberichten te reageren. Een mkb-bedrijf heeft alle mailadressen van de website gehaald. Voor communicatie gebruikt deze organisatie nu webformulieren.
Spam kost processortijd, opslagruimte en scantijd van mailgebruikers. Om die redenen is de groeiende stroom ongewenste mailberichten van onbekende afzenders veel organisaties een doorn in het oog. Sinds kort krijgt meer dan de helft van alle mail die bij bedrijven binnenkomt het stempel 'spam' opgedrukt. De it-afdeling van de bank ABN Amro schat dat 70 procent van de mailberichten op internet nu bestaat uit ongewenste mail. Sommige werknemers van de bank ontvangen meer dan tweehonderd spamberichten per dag.
Andere organisaties bevestigen dit beeld. Verzekeraar Achmea deed onlangs een proef met een nieuw spam-filter dat van binnenkomende mail controleert of het gericht is aan bestaande mailgebruikers binnen het systeem. Tussen de 65 en 70 procent van alle berichten bleken aan niet bestaande mailadressen gericht te zijn - een kenmerkend symptoom van spam. Bij andere ondernemingen is spam minder omvangrijk. Een andere financiële instelling, die onbekend wil blijven, komt op een lager percentage uit. Het schat dat 10 procent van al het mailverkeer dat bij het concern binnenkomt inmiddels uit spam bestaat.
Er zijn ook uitschieters. Zo meldt een mkb-bedrijf met vijftien werknemers dat het tussen de duizend spamberichten dagelijks hooguit vijftig serieuze mailberichten krijgt. Sjon van der Meulen, die zich bij de Stichting Telecom & Internetgebruikers bezighoudt met het spamprobleem, bevestigt dit beeld. "Van onze achterban, die bestaat uit vijftigduizend kleine en middelgrote ondernemingen, horen wij dat de mail inmiddels zo vervuild is door spam en virussen dat de effectiviteit van het communicatiemiddel in het geding raakt. Serieuze informatie is er nauwelijks meer uit te vissen", aldus Van der Meulen. Hij stelt dat mkb-bedrijven extra hard getroffen worden. De netwerkbeveiliging bij deze ondernemingen is meer dan gemiddeld onder de maat. Daarnaast is spam een relatief nieuw fenomeen, terwijl deze bedrijfsgroep meestal een langere leercurve kent.

Snel tempo

Het spamprobleem is het laatste halfjaar snel gegroeid. It-auditor Michiel Baurichter, werkzaam bij accountancykantoor Kpmg, noemt een bedrijf dat een jaar geleden liet uitzoeken of spam een dringend probleem was of hooguit wat ongemak opleverde voor een aantal medewerkers. Destijds werd na het onderzoek geconcludeerd dat de beperkte omvang van deze kwestie geen stappen rechtvaardigde. Onlangs is alsnog besloten om anti-spamsoftware aan te schaffen. Binnen een jaar tijd was het aantal gebruikers dat last heeft van spam zeer sterk toegenomen.
Sommige organisaties zijn door dit tempo verrast en zien zich door spam geconfronteerd met continuïteitsproblemen van hun mailsystemen. Zo geeft Baurichter het voorbeeld van een verzekeringsorganisatie wiens mailsystemen door misbruik van een spammer dreigden te bezwijken. Deze spammer verzond zijn bulkmail vanaf een mailadres met het internetdomein van deze organisatie - een methode die ook wel bekendstaat als een 'joe job'. Alle geweigerde mail en antwoorden op deze spam-sessie werden vervolgens afgeleverd bij de mailserver van deze organisatie. Het dataverkeer nam daardoor zo toe dat de internetverbinding en de mailserver het verkeer nauwelijks meer aankonden. Dit veroorzaakte grote problemen voor het reguliere internetverkeer.
Een eerste stap die organisaties dan ook nemen is uitbreiding van hun mailvoorzieningen, waaronder uitbreiding van de bandbreedte, processorcapaciteit en opslagruimte. Zo heeft Achmea zijn netwerk- en servercapaciteit uitgebreid. Ook andere bedrijven geven aan dat zij de capaciteit van hun verbindingen en het aantal mailservers hebben moeten uitbreiden. Soms werd deze mogelijke impact van spam op het mailverkeer bij toeval ontdekt. Zo analyseerde een bank na klachten van individuele werknemers het mailverkeer. Toen pas kwam de werkelijke omvang van het probleem in beeld. Het was gelijk aanleiding voor het concern om de mailcapaciteit uit te breiden om technische overbelasting tijdens piekmomenten te voorkomen.

Zwarte lijsten

Naast uitbreiding van de mailvoorzieningen zijn de nodige bedrijven ook begonnen met het filteren van mailverkeer op basis van blokkerings- of zwarte lijsten op de mailserver om spam bij de poort al te weigeren. Van ieder bericht dat bij zo'n server binnenkomt wordt nagegaan of het ip-adres van de afzender voorkomt op de gebruikte zwarte lijst. Is het ip-adres van het toegezonden bericht daarop te vinden, dan wordt het bericht niet aangenomen en wordt de sessie verbroken. Deze zwarte lijsten, die in gratis varianten of in abonnementsvorm te vinden zijn, worden dagelijks ververst om het spoor aan ip-adressen dat spammers gebruiken voor het verzenden van hun bulkmail bij te kunnen houden.
Voordeel van deze maatregel is dat spam niet eens wordt aangenomen op de mailserver. Naast ip-adressen zijn er ook zwarte lijsten met domeinnamen. Nadeel van dit soort lijsten is dat mailverkeer van organisaties wier ip-adressen terecht of onterecht bekend staan als spam-bron er niet meer doorkomen. De recente stap van spammers om andermans domeinnamen te misbruiken of verzonnen domeinnamen in te zetten voor het versturen van bulkmail heeft deze maatregel minder effectief gemaakt. Ook staat het gebruik van deze lijsten onder druk, omdat het aantal lijsten terugloopt en de toeloop van afnemers erg groot is.
Naast filtermethodes op basis van het afzenderadres of de domeinnaam kiezen bedrijven er in toenemende mate ook voor om het mailverkeer te scheiden op basis van onderwerpregel, inhoud of een ander kenmerk van de toegezonden berichten. Mail waarin typische spam-termen voorkomen worden op een centrale plek tegengehouden. Filters worden soms handmatig bijgewerkt. Zo meldde een beheerder uit een ziekenhuis dat zij intern een adres aangemaakt hebben waar gebruikers ontvangen spam naar doorsturen. Deze informatie levert de beheerder domeinnamen en kernwoorden voor het spam-filter op. Deze handmatige actie vraagt veel tijd.

Nederlandse spammers
Een aantal van de geïnterviewde bedrijven signaleert dat er steeds meer spam van Nederlandse bodem komt. Sommige gaan zelfs zover om de spammers (veelal ook bedrijven) eerst actief te benaderen met de vraag te stoppen met het versturen van bulkmail. Als dat niets uithaalt, zetten zij deze bedrijven op de zwarte lijst, waarna mail van dit adres voortaan automatisch geblokkeerd wordt.
Computerblad PC-Active ontdekte in Nederland een levendige illegale handel in cd's met miljoenen mailadressen voor spammers. De recente verspreiding van deze cd's is de belangrijkste reden voor de snelle toename van ongewenste post in de laatste maanden. Bovendien wordt ook duidelijk waarom sommige gebruikers heel veel, en andere helemaal geen last hebben van spam. Het blad heeft een aantal cd-roms met mailadressen op de website http://www.pc-active.nl/spam gepubliceerd, waarmee mailgebruikers zelf kunnen controleren of hun gegevens op deze cd's voorkomen.
Er zijn ook zelfleverende filters. Een bekend voorbeeld daarvan zijn de populaire Bayesian filters die scores uitdelen aan woorden of combinaties van woorden in de mail. Ook hier is er een continu kat-en-muis spel tussen spammers die hun bewoordingen en spelwijze voortdurend aanpassen om tussen de mazen van dit soort filters te blijven doorglippen.

Tijdelijk succes

Het succes van filtertechnieken is tijdelijk. Spammers veranderen hun tactieken voortdurend. Daarom moeten de filtertechnieken constant aangepast worden. Zo stelt ABN Amro dat het op dit moment door verdere verfijning van zijn filtermethode ruim 90 procent van spam zou kunnen tegenhouden. Bij eerdere bijstellingen van de filters haalde het concern een score van 95 procent, maar dit percentage kruipt langzamerhand naar beneden als er een tijd niks veranderd wordt. Dat komt omdat spammers hun tactieken voortdurend aanpassen en verbeteren. Het noodzaakt organisaties om blijvend in nieuwe filtertechnieken te investeren.
Nadeel van deze meer verfijnde methodes om spam tegen te houden is dat veel berichten onterecht vastgehouden worden. Er zijn organisaties die na korte tijd het spam-filter weer uitzetten omdat het in de praktijk meer problemen oplevert dan dat het voordelen biedt. Zeker in het begin zijn beheerders vaak nog onbekend met filters. Beginnersfouten als het alleen maar doorlaten van één mailmethode als smtp, pop3 of uucp kan tot veel onterechte spam-stempels leiden. Mailgebruikers bestoken vervolgens deze beheerders met de vraag waar berichten gebleven zijn. Dit vormt voor veel ondernemingen een belangrijke drempel om spam met filtersoftware terug te dringen. Het zijn ook de onterecht uitgefilterde berichten die de meeste organisaties doen besluiten om de beheer van het spam-filter in eigen hand te houden.

Aanvullende maatregelen

Andere ondernemingen werken al langer met filtersoftware, maar zien zich door het volume van spam genoodzaakt om aanvullende maatregelen te treffen. Zo heeft Achmea zijn filtermethode enige tijd geleden opgedeeld in twee fasen. De eerste filtering wordt uitgevoerd op aparte hardware en moet de grote bulk aan spamberichten tegenhouden. Tijdens deze eerste filteractie worden berichten gecontroleerd op geldigheid van het mailadres, inhoud van de onderwerpregel en de tekst in de berichten zelf. De tweede fase in het filterproces is fijnmaziger en wordt uitgevoerd door 'schoonwassers' op de centrale mailservers.
Voor deze verfijning van de filtermethode was ook een uitbreiding van de beheercapaciteit nodig. Voorheen waren dezelfde personen verantwoordelijk voor het beheer van de interne en de externe mailfaciliteiten. Spam-bestrijding werd er door deze mensen in feite bij gedaan. Sinds kort is een aantal personen expliciet vrijgemaakt voor het beheer van dit aparte onderdeel van het mailsysteem, waarmee de verzekeraar spam en andere ongewenste berichten tegenhoudt.
ABN Amro wil juist door een vernieuwing aan zijn anti-spamsysteem de beheertaken verlichten door vooral het aantal ten onrechte tegengehouden berichten terug te dringen. Binnenkort krijgen werknemers van de bank in hun mailsysteem een persoonlijke quarantaine-omgeving waar gebruikers tegengehouden spamberichten kunnen bekijken en eventueel als reguliere mail kunnen aanmerken. Het concern verwacht door deze decentrale bediening van het filter minder telefoontjes over verdwenen berichten te moeten afhandelen, hetgeen de beheerkosten van het filter moet drukken. Daarnaast wil het ook zijn filter verbeteren. Informatie over vrijgelaten berichten wordt teruggekoppeld aan de filtersoftware om toekomstige aanmerking als spam te voorkomen. Dit moet de effectiviteit van het filter verder opschroeven van 65 procent nu tot boven de 90 procent in de toekomst.< BR>

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/1397233). © Jaarbeurs IT Media.

?


Lees meer over


 
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×