IC Mail Gateway Gebruikershandleiding
Versiebeheer Versie 1.0 1.1 2.0
Datum 27 oktober 2008 18 juni 2010 30 januari 2013
Naam ICA ICA ICA
Wijziging Initieel document Document geheel herzien Aanpassing aan IC Mail Gateway Versie 3.1
1. Inleiding
IC Mail Gateway is een krachtige oplossing om spam, virussen, Trojans en Phising e-mails uit uw “Postvak In” te weren. De door het systeem aangemerkte spam berichten blijven maximaal 30 dagen in de persoonlijke quarantaine staan en zullen daarna automatisch worden verwijderd. Tevens wordt alle e-mail met behulp van ClamAV en Commtouch gecontroleerd op virussen. Besmette bestanden worden automatisch verwijderd. Ondanks deze bescherming is uiteraard ook lokaal geïnstalleerde antivirus programmatuur noodzakelijk. Dit document beschrijft het gebruik van het Quarantaine Management Systeem voor de eindgebruiker. Advies: Raadpleeg Bijlage 1: Gebruikersacties voor een overzicht voor het dagelijkse gebruik, print deze pagina eventueel uit.
IC Mail Gateway
2/7
2. Spam Quarantaine Management
Door de IC Mail Gateway wordt inkomend e-mail verkeer geanalyseerd en bepaald of het tot een spam- of viruscategorie hoort. E-mail die niet tot een van deze categorieën kan worden gerekend, wordt afgeleverd in “Postvak In”. E-mail die wel tot één van deze categorieën kan worden gerekend, wordt in de persoonlijke Quarantaine geplaatst. 2.1
Dagelijkse Rapporten (Daily Spam Report)
Als e-mail in de persoonlijke Quarantaine wordt geplaatst dan zal ‘s nachts een rapport verzonden worden naar de ontvanger met een overzicht van de persoonlijke spam e-mails van de laatste dag. Dit rapport wordt alleen verstuurd als nieuwe berichten zijn toegevoegd aan de persoonlijke Quarantaine.
Figuur 1: Voorbeeld Daily Spam Report
In het “Daily Spam Report” staan achter de berichten in Quarantaine links naar: Whitelist – Blacklist – Deliver - Delete
Whitelist (voeg deze afzender toe aan de Whitelist en laat e-mail van deze afzender altijd door); Blacklist (voeg de afzender toe aan de Blacklist en laat e-mail van deze afzender nooit meer door); Deliver (lever de e-mail nu af in Postvak); Delete (wis de e-mail uit Quarantaine).
Dit zijn rechtstreekse links naar de acties die u voor het betreffende bericht kunt uitvoeren. Dat is praktisch als meerdere berichten in Quarantaine zijn geplaatst en u vanuit het “Daily Spam report” bewerkingen wilt uitvoeren. 2.2
Quarantine Web Interface
Door op de link web interface in het Daily Spam Report te klikken, wordt een browser gestart en wordt de persoonlijke Spam Quarantine Web interface gestart. 2.2.1 Spam Quarantine Op deze Web Interface worden alle berichten getoond die voor de ontvanger in Quarantaine staan. De getoonde berichten kunnen zonder risico bekeken worden. Het bekijken van berichten op deze pagina is erg veilig omdat “malicious” code (het aanvallen van e-mail client of besturingssysteem) wordt verwijderd door de IC Mail Gateway.
IC Mail Gateway
3/7
Figuur 2: Quarantine Web Interface: Archive
Indien het als spam aangemerkte bericht wordt geselecteerd in de Quarantine Web Interface, kunnen de volgende handelingen worden uitgevoerd:
Whitelist (voeg deze afzender toe aan de Whitelist en laat e-mail van deze afzender altijd door); Blacklist (voeg de afzender toe aan de Blacklist en laat e-mail van deze afzender nooit meer door); Deliver (lever de e-mail nu af in Postvak); Delete (wis de e-mail uit Quarantaine).
Figuur 3: Quarantine Web Interface: Spam lijst per dag
2.2.2 Whitelist Een whitelist is een verzameling van e-mail adressen waarvan men hoe dan ook e-mail wil ontvangen. De persoonlijke whitelist kan gebruikt worden om e-mail adressen en domeinnamen (wat achter het @ staat) uit te sluiten voor de spam controle. Alle e-mail die voldoet aan de whitelist wordt direct afgeleverd. Voorbeelden: *.nl (alle mail van een.nl domain) *@voorbeeld.nl (alle mail van het domein voorbeeld.nl)
[email protected] (alle mail van
[email protected]) 2.2.3 Blacklist Een blacklist is een verzameling van e-mail adressen waarvan men geen e-mail meer wil ontvangen. De persoonlijke blacklist kan gebruikt worden om handmatig e-mails van specifieke mail adressen aan te merken als spam. Alle e-mail die voldoet aan deze lijst wordt direct in de persoonlijke Quarantaine geplaatst. Voorbeelden: *.nl (alle mail van een.nl domain) *@voorbeeld.nl (alle mail van het domein voorbeeld.nl)
[email protected] (alle mail van
[email protected])
IC Mail Gateway
4/7
3.0 Achtergrond informatie: Spam Filtering Methodes Hieronder worden de Filtering methodes kort beschreven.
Commtouch's Recurrent Pattern Detection (RPD™) Deze methode beschermt tegen spam uitbraken in real-time als e-mail massaal over het internet wordt gedistribueerd, ongeacht de taal waarin de e-mail is opgesteld. In plaats van de inhoud van de e-mail te evalueren worden miljoenen e-mails gelijktijdig geëvalueerd en beschermt op die manier tegen een spam uitbraak op het moment dat deze vorm krijgt.
Commtouch GlobalView™ Mail Reputation Service De wereldwijde detectie centra van Commtouch analyzeren zeer veel internet transacties per dag en krijgen op die manier een overzicht van het (inter)netwerk verkeer. Deze gegevens worden geanalyseerd m.b.v. Commtouch’s Recurrent Pattern Detection waarbij het mogelijk wordt de internet adressen in te delen in categorieën. GlobalView bepaalt of een specifiek adres wordt gebruikt om Spam te versturen, geldige e-mail of dat het adres is aan te merken als een zombie. Deze technologie maakt het mogelijk om een gedistribueerde spam aanval te blokkeren op het moment dat deze uitbreekt.
Greylisting Dit houdt in dat de IC Mail Gateway van iedere inkomende e-mail de volgende 3 onderdelen gebruikt, ook wel genoemd triplet.
Het IP adres waar de e-mail door wordt aangeboden Het afzender adres Het ontvanger adres
Eerst wordt de e-mail gecontroleerd op basis van de interne whitelist van de Gateway. Als de triplet nog nooit is gezien dan wordt de e-mail op de greylist geplaatst en wordt enige tijd geweigerd met een tijdelijke fout. Er wordt gebruik gemaakt van het feit dat tijdelijke fouten zijn ingebouwd in de specificaties voor e-mail aflevering. Als gevolg daarvan zullen goed geconfigureerde e-mail servers, de e-mail op basis van dezelfde triplet later opnieuw aanbieden. Deze methode is zeer effectief omdat e-mail tools die gebruikt worden door spammers niet overweg kunnen met (tijdelijke) fouten. Op deze manier kan het e-mail verkeer wel tot 50 % worden verminderd en hoeft uw eigen mail server voor al deze e-mail geen onbezorgbaar rapporten te versturen.
Receiver verification, the Proxmox Solution Veel domeinen ontvangen e-mail gericht aan niet bestaande gebruikers. Dit kan wel voor 95 % uit spam bestaan. De Gateway detecteert deze e-mail voordat het wordt doorgezonden naar de eigen mail server. Dit zorgt voor een vermindering van de belasting op de eigen mail server.
Sender Policy Framework (SPF), open standard to prevent sender address forgery Domeinen gebruiken openbare gegevens (DNS) om aanvragen voor verschillende services (Web, E-mail etc.) te sturen naar de machines die die services verlenen. Alle domeinen hebben e-mail (MX) gegevens om duidelijk te maken welke machine de e-mail ontvangt voor dat domein. SPF wordt gebruikt met omgekeerde e-mail (Reverse MX) gegevens om duidelijk te maken welke machines e-mail versturen voor dat domein. Als een e-mail wordt ontvangen van een domein kan de ontvanger gebruik maken van die omgekeerde e-mail gegevens om te controleren of de e-mail afkomstig is van de machine waar het vandaan zou moeten komen.
IC Mail Gateway
5/7
DNS-based Blackhole List Een op DNS gebaseerde Blackhole lijst (DNSBL) is een methode waarbij op een internetpagina een lijst met IPAdressen wordt gepubliceerd die eenvoudig door een computer kunnen worden geraadpleegd. Zoals de naam aangeeft maakt deze methode gebruik van de Internet DNS technologie. De DNSBL lijsten worden voornamelijk gebruikt om een lijst met IP-adressen bij te houden waar Spam vandaan wordt verstuurd.
Bayesian Filter, statistical filters Sommige woorden worden veel in spam gebruikt en die hebben dan ook een hogere waarschijnlijkheid. Het woord Viagra bijvoorbeeld zal veel in spam staan maar erg weinig in geldige e-mail. Het filter weet deze waarschijnlijkheid niet van tevoren en moet daarom getraind worden. Dit gebeurd automatisch. Voor ieder woord in iedere e-mail zal het filter de waarschijnlijkheid aanpassen waarop dat woord zal voorkomen in spam of geldige e-mail. Een voorbeeld is dat Bayesian spam filters zelf geleerd hebben dat woorden als Viagra en refinance vaak in spam mail voorkomen en worden als namen van vrienden en familie weer vaak in geldige e-mail.
Advanced header analysis en text searching E-mail headers zijn normaal gesproken verborgen maar zijn vereist om e-mail af te leveren op de bestemming. Het systeem kan inconsistente headers herkennen die vaak terug te vinden zijn in Spam e-mail. Bijna 600 zoekregels worden gebruikt om zinnen en andere eigenschappen die vaak in spam e-mail voorkomen te herkennen.
Spam URI Realtime Blocklists (SURBL) SURBLs verschillen van de meeste RBLSs omdat ze gebruikt worden om spam te detecteren op basis van URL’s in het onderwerp of bericht. (meestal web sites). In tegenstelling tot de meeste RBLs worden SURBLs niet gebruikt om spam afzenders te blokkeren. In plaats daarvan maken ze het mogelijk om e-mail te blokkeren op basis van URL’s die zijn vermeld in het onderwerp of bericht.
IC Mail Gateway
6/7
Bijlage 1: Gebruikersacties Als eindgebruiker kunt u de volgende handelingen uitvoeren indien e-mail in de persoonlijke quarantaine is geplaatst. Onderstaande acties gelden alleen voor uw persoonlijke quarantaine en hebben geen effect op andere gebruikers.
Whitelist Als u van mening bent dat de e-mail onterecht als Spam wordt aangemerkt kunt u de afzender toevoegen aan de whitelist. Daarmee zal de e-mail die afkomstig is van dat adres voortaan direct afgeleverd worden in uw Postvak. Er zijn in dit geval 2 opties namelijk u voegt het e-mail adres (
[email protected]) toe aan de whitelist of u voegt de domeinnaam (*@voorbeeld.nl) toe aan de whitelist waarbij alle mail afkomstig van dat domein direct zal worden afgeleverd.
Blacklist Als u van mening bent dat deze e-mail niet eens meer in Quarantaine geplaatst moet worden maar direct mag worden verwijderd dan voegt u dit adres toe de blacklist. Er zijn in dit geval 2 opties namelijk u voegt het e-mail adres (
[email protected]) toe aan de whitelist of u voegt de domeinnaam (*@voorbeeld.nl) toe aan de blacklist waarbij alle mail afkomstig van dat domein direct zal worden verwijderd.
Deliver Als u de e-mail wilt ontvangen in uw Postvak dan kunt u hiervoor kiezen. Indien u de mail in Quarantaine niet eerst hebt toegevoegd aan de Whitelist of Blacklist dan zal toekomstige e-mail die hieraan voldoet opnieuw in Quarantaine worden geplaatst.
Delete Wis de e-mail uit Quarantaine, dit gebeurt ook automatisch na 30 dagen.
IC Mail Gateway
7/7
