H a n d l e i d i n g S U R F m a i l f i l t e r

Handleiding SURFmailfilter versie 1.1, mei 2008

SURFNET BV, RADBOUDKWARTIER 273, POSTBUS 19035, 3501 DA UTRECHT T +31 302 305 305, F +31 302 305 329, WWW.SURFNET.NL

Handleiding SURFmailfilter

INHOUD

1

Inleiding ................................................................................. 3

2

Hoe werkt SURFmailfilter? ............................................................ 4 2.1

Overzicht.......................................................................... 4

2.2

Mailafhandeling .................................................................. 4

2.3

Spamcontroleregels ............................................................. 6

2.4

Greylisting ........................................................................ 6

3

In- en uitloggen ........................................................................ 8

4

Domein instellen ....................................................................... 9

5

6

4.1

Overzicht.......................................................................... 9

4.2

Subdomein toevoegen .......................................................... 9

4.3

(Sub)domein instellen ........................................................... 9

Filters ................................................................................... 15 5.1

Overzicht......................................................................... 15

5.2

Settings .......................................................................... 17

5.3

Basic rules ....................................................................... 20

5.4

Custom rules .................................................................... 21

5.5

Mismatch rules .................................................................. 24

5.6

RBL rules ........................................................................ 25

5.7

MIME type rules ................................................................ 26

5.8

Filename extension rules ...................................................... 28

5.9

Filter toevoegen ................................................................ 29

Externe authenticatie ................................................................. 30 6.1

User lookup definiëren ......................................................... 30

6.2

Authentication mapping maken ............................................... 33

2


1

INLEIDING

Met SURFmailfilter hebt u een service ter beschikking om spam en virussen uit uw mailverkeer te weren of te onderscheiden. U kunt zelf filters samenstellen of de filters gebruiken die SURFnet voorgedefinieerd heeft. SURFmailfilter is onder andere krachtig omdat het gebruikmaakt van een wereldwijde database met spaminformatie. Deze database wordt steeds bijgewerkt, waardoor steeds beter kan worden bepaald of mail spam is of niet. Door SURFmailfilter te gebruiken draagt u overigens bij aan het bijwerken van deze database. Er zijn nog een aantal andere technieken die bijdragen aan het resultaat van spamtests. SURFmailfilter kent een groot aantal geavanceerde instellingen. Hier hoeft u zich niet meteen in te verdiepen. U kunt snel aan de slag door uw domein(en) in te stellen en daaraan de voorgedefinieerde filters te koppelen. SURFmailfilter bestaat onder andere uit het product Canit PRO van Roaring Penguin Software Inc. (www.roaringpenguin.com). Hebt u vragen of commentaar, dan kunt u altijd contact opnemen met SURFnet.

3


2

HOE WERKT SURFmailfilter?

2.1

Overzicht

SURFmailfilter scant de mail voordat die naar uw server verstuurd wordt, bepaalt of het spam is, en vervolgens wat ermee moet gebeuren. Er zijn drie mogelijkheden. Mail kan worden: 

geaccepteerd, al dan niet voorzien van e en label waaruit blijkt dat het spam betreft;



geweigerd aan de poort, tijdens de SMTP-sessie (zodat een verzendende partij de verantwoordelijkheid heeft voor de foutafhandeling);



weggegooid.

Deze beslissingen worden genomen op basis van de regels die u instelt of delegeert. Hoe deze regels worden toe gepast, leest u in paragraaf 2.3. Bij het toepassen van de regels wordt aan de mail een score toegekend die uiteindelijke bepaalt of een mail als spam wordt aangemerkt. Dat betekent dat de meeste tests in SURFmailfilter op zich zelf geen reden zijn om een mail als spam te blokkeren of markeren. Pas als meerdere tests negatief uitpakken voor een mail en de score over een ingestelde drempel gaat, wordt de mail opgemerkt als spam (en vervolgens gelabeld, geweigerd of verwijderd). De verschillende tests zijn op instellingsniveau, domein, of mailadres aan te passen. Een belangrijke eigenschap van SURFmailfilter is de mogelijkheid om te leren met behulp van Bayesiaanse analyse. Als u Bayesiaanse analyse instelt, wordt de inhoud van elke mail gecontroleerd op het voorkomen van woorden en woordparen die vaak in spam of juist in niet -spam voorkomen. Hierdoor kan beter bepaald worden of mail aangemerkt moet worden als spam.

2.2

Mailafhandeling

Als een mail binnenkomt op het SURFmailfilter-platform van SURFnet, bekijkt SURFmailfilter de mail en doet het volgende: 

Als de mail van een host of een mailadres komt die op de blacklist staat, wordt de mail geweigerd.



Als de host op een whitelist staat (dus als u de host altijd volledig vertrouwt), wordt de mail direct geaccepteerd zonder verdere (spam)tests uit te voeren.



Als u greylisting hebt ingeschakeld, wordt mail van hosts die onbekend zijn in eerste instantie tijdelijk geweigerd. Een mailhost die RFC -compliant is probeert direct (of binnen afzienbare tijd) de mail opnieuw af te leveren. Spam of spambots doen dit doorgaans niet, omdat ze geen status bijhouden van de mailaflevering. Greylisting is een effectieve manier om (ook nog niet bekende) spam van

4


met name bots tegen te houden, en kent binnen SU RFmailfilter bijna geen nadelen (zoals vertraging). Zie paragraaf 2.4 voor meer informatie over greylisting. 

In de overige gevallen wordt de mail gescand met behulp van een aantal tests.

Op basis van de scan doet SURFmailfilter het volgende: 

Als de mail een virus bevat, wordt de mail (al naar gelang de instelling) geweigerd tijdens de SMTP-sessie (Reject), of gewist (Discard). Virusscanning is erg trefzeker, en het gebruik van ‘Discard’ is daarom standaard binnen SURFmailfilter.



Mail met gevaarlijke (Windows-)attachments (bijvoorbeeld *.exebestanden) kan worden geweigerd als u deze optie hebt aangevinkt.



Als de mail op basis van de spamregels (zie paragraaf 2.3) niet als spam wordt aangemerkt, wordt de mail geaccepteerd en doorgestuurd naar de geadresseerde.



De mail krijgt op basis van verschillende tests (en spamregels) een bepaalde score. Het gedrag van SURFmailfilter is te beïnvloeden op basis van deze score. Het is mogelijk om: -

De mail te weigeren: dit wordt bepaald door de instellingen ‘AutoReject’ en ‘AutoRejectNoIncident’ (zie paragraaf 5.2);

-

De mail te labelen als spam met een header (instelling ‘X -Spam-Flag’: Yes) en eventueel een indicatie in het subject (instelling ‘SpamTag’) als de score hoger is dan de waarde bij de instelling ‘HoldTreshold’ (zie paragraaf 5.2).

5


2.3

Spamcontroleregels

De spamcontroleregels, die nader worden uitgelegd in hoofdstuk 5, worden als volgt op de mail toegepast:

Fig. 1

Hierbij geldt dat de eerste regel die voldoet, wordt uitgevoerd. De mail wordt dus niet meer op de overige regels gecontroleerd.

2.4

Greylisting

Werking Greylisting (in het filter ‘Tempfail Unknown Sender’ genoemd) is een methode voor het blokkeren van veel spam afkomstig van bijvoorbeeld bots en virussen. Mail van onbekende hosts en met een niet eerder voorgekomen combinatie van zender, ontvanger, IP-adres, enzovoort wordt bij de eerste afleverpoging ‘in de wacht gezet’. Dat gebeurt op SMTP -niveau met een ‘450’: ook wel ‘tempfail’. Een normale MTA zal proberen de mail opnieuw af te leveren, en heeft dan pas succes. Een bot of virus is geen echte MTA, voldoet meestal niet aan RFC’s, probeert het niet vaker, en de spam blijft dus buiten de deur. In de praktijk blijkt dat erg veel mail vanaf dit soort ‘niet -RFC-compliant’ MTA’s wordt verzonden. Daardoor kan greylisting heel effectief zijn, ook al wordt veel spam van dit type al tegengehouden door het ‘normale’ filter. Met name nieuwe soorten spam verstuurd vanuit bots worden door dit filter effectief geweerd als de normale content-filtering de spam nog (net) niet kent.

6


Weinig vertraging Een nadeel van de meeste greylisting-implementaties is dat het vertraging oplevert in de aflevering van e -mail. De manier van greylisting die in SURFmailfilter wordt toegepast, kent dit nadeel nauwelijks, onder andere door het gebruik van een database van ‘hosts known to retry’. Verder heeft SURFnet voor SURFmailfilter meerdere IP-adressen achter een MX-record, en zijn er meerdere MX-records met daarachter één database. Hierdoor doet de verzendende MTA direct een nieuwe poging en wordt de mail meteen toegelaten. Dit komt ook doordat SURFmailfilter de tempfail op een ander moment in de SMTP-sessie geeft dan de meeste greylisting implementaties. De vertraging is dus vrijwel altijd nihil. Om dit te laten werken moet in het menu Filter Administration > Settings (zie paragraaf 5.2) de instelling ‘UnknownSenderMinRetryDelay’ op 0 staan (default). Als die waarde hoger staat, en ‘TempfailUnknownSender’ staat aan, wordt de tweede direct opvolgende poging niet meteen geaccepteerd, maar pas minimaal na de tijd in ‘UnknownSenderMinRetryDelay’. De mail wordt geaccepteerd zodra de tweede poging binnen de ‘UnknownSenderMaxRetryDelay’-periode is (meestal na 1 tot 2 dagen).

40 dagen geen greylisting bij ‘known to retry’ MTA’s Als een host eenmaal ‘known to retry’ is, laat SURFmailfilter mail van deze MTA 40 dagen lang door zonder greylisting (en dus potentiële vertraging). Dit is handig voor het geval er mail komt van (oudere) MTA’s die geen frequente nieuwe pogingen doen, en niet RFC-compliant zijn. De (legitieme) mail van deze MTA’s wordt dan met vertraging afgeleverd. In de praktijk zal dit weinig voorkomen.

7


3

IN- EN UITLOGGEN

U hebt van SURFnet de gegevens gekregen om in te loggen op SURFmailfilter. U gaat nu als volgt te werk: 1. Ga in uw internetbrowser (bij voorkeur Mozilla Firefox) naar https://www.mf.surf.net (vergeet de ‘s’ in ‘https’ niet!).

Fig. 2

2. Vul uw gebruikersnaam en wachtwoord in, kies eventueel een andere taal en klik op Log in. Als u voor de eerste keer inlogt, is het verstandig om uw wachtwoord direct te wijzigen in een zelfgekozen wachtwoord. Dat doet u als volgt: 1. Kies uit het menu Preferences > Change password. 2. Voer uw nieuwe wachtwoord (kies dit wachtwoord zo sterk mog elijk) en het oude wachtwoord in en klik op Change password. Uw wachtwoord is nu gewijzigd.

8


4

DOMEIN INSTELLEN

4.1

Overzicht

Als u ingelogd bent in SURFmailfilter, ziet u een overzicht van de domeinen waar u een filter op kunt toepassen.

Fig. 3

Dit zijn uw hoofddomeinen waarvoor de SURFmailfilter -dienst is aangevraagd. U kunt via SURFnet domeinen aten toevoegen aan de lijst.

4.2

Subdomein toevoegen

Het is mogelijk zelf subdomeinen toe te voegen. Dit doet u door onder ‘Actions’ op Add subdomain te klikken. Vervolgens kunt u dit subdomein instellen zoals u ook een domein instelt, zie paragraaf 4.3.

4.3

(Sub)domein instellen

Het instellen van een (sub)domein bestaat uit de volgende onderdelen: 

Aangeven naar welke mailserver de mail moet worden gerouteerd.



Aangeven of eindgebruikers ook toegang mogen krijgen tot SURFmailfilter, en zo ja in hoeverre ze wijzigingen kunnen uitvoeren.



Aangeven welke filters toegepast moeten kunnen worden in dit domein.

Hieronder wordt uitgelegd wat u per onderdeel precies kunt invullen.

9


Mailserver

Fig. 4 Item

Beschrijving

Domain name

Vul, indien van toepassing, de naam van het nieuwe subdomein in

Route mail to

De DNS-naam of het IP-adres van de mailserver waarop de mail van het betreffend domein moet worden afgeleverd. Wilt u meerdere servers opgeven die de mail kunnen aanpakken, zet ze dan onder elkaar in het invoervak. Deze servers worden in chronologische volgorde afgewerkt. Om load-balancing toe te passen is het ook mogelijk om hier een MX-record op te nemen. Hiervoor moet u wel het volgende doen:

1.

Kies uit het menu Setup > Domain Routing en kies Edit bij het betreffende domein.

2.

Zet ‘Treat route entries as MX records’ aan.

Deze optie is nog niet beschikbaar voor recipient verification, maar past wel load-balancing toe in de aflevering van de mail (op basis van de al dan niet gelijkwaardige prioriteit in de MX-records).



Let op: deze settings worden overschreven bij het aanpassen van een setting voor het domain in de Domain Administration.

10


Recipient address verification

Stel in of, en zo ja hoe geverifieerd moet worden of het ontvangende e-mailadres echt bestaat: 

No recipient address verification: geen verificatie.



Verification against ‘route-to’ host: verificatie met de ‘route-to’ host. Zijn er meer ‘route-to’ hosts opgenomen, dan wordt de eerste genomen voor verificatie.



Verificatie against specified host: vul een andere host in waarop de verificatie wordt uitgevoerd.

Recipient address verification is belangrijk om de zogenaamde collateral spam (of backscatter) tegen te gaan. Dit is e-mail die wordt verzonden naar nietbestaande adressen. De mailserver moet dan een foutmelding sturen naar de oorspronkelijke afzender. Deze is bij spam vaak ‘geforged’, waardoor een onschuldige derde de bounce-melding krijgt. Hierin kan ook een virus of spam-bericht verstopt zijn. De beste plaats om spam te blokkeren is op het moment dat de mail binnenkomt op het SURFmailfilter-platform. Daarvoor zet u ‘Recipient address verification’ aan. SURFmailfilter bepaalt dan via een korte SMTP-sessie naar de mailhost van uw instelling of een adres binnen een bepaald domein bestaat of niet. Om adresverificatie te kunnen toepassen, moet uw eigen mailserver ook onderscheid maken in recipients via SMTP. Raadpleeg hiervoor de handleiding van de mailserver. Onder UNIX is een dergelijke functionaliteit vaak geen probleem. Voor bijvoorbeeld Microsoft Exchange is een kennisbankartikel beschikbaar bij Microsoft om dit aan te zetten: http://support.microsoft.com/kb/823866/%236 . Het gaat om de ‘Create a recipient filter’ en vooral de laatste ‘Filter recipients who are not in the directory’. Hebt u vragen over recipient address verification, aarzel dan niet om contact op te nemen met SURFnet. Het is een belangrijke manier om (collateral) spam tegen te gaan, beperkt de belasting op uw mailserver en beschermt de reputatie van uw mailserver. Action if verification server is unavailable

Geef aan wat er met de mail moet gebeuren als deze niet geverifieerd kan worden: 

Tempfail mail: de mail wordt tijdelijk geweigerd. De afzender krijgt een temporary failure code, en moet later opnieuw proberen deze mail af te leveren. Elke RFC-compliant MTA zal dit ook doen.



Queue mail: de mail wordt geaccepteerd (zonder verificatie) om (later) te worden afgeleverd. De werking hiervan is vergelijkbaar met een ‘MX fallback’.

11


Toegang eindgebruikers Een authenticatiekoppeling is per domein nodig om eindgebruikers te mogelijkheid te bieden om: 

binnen SURFmailfilter instellingen te laten aanpassen



mail te laten trainen (trainen is niet noodzakelijk om het filter goed te laten functioneren, maar het kan zinvol zijn om bijvoorbeeld false positives of negatives te trainen)



een selectie te laten maken uit een aantal profielen/filters



aliassen aan te laten maken

Fig. 5 Item

Beschrijving

Authentication method

Geef aan hoe de authenticatie moet plaatsvinden: 

POP3



IMAP



Other: in dit geval gebruikt u externe authenticatie (zie hoofdstuk 6)

Authentication server

Vul in via welke POP3- of IMAP-server authenticatie plaats moet vinden.

Strip domain name

Een gebruiker logt in met een gebruikersnaam@domein.

Validate Server Certificate



Kies ‘Yes’ als de authenticatie op de mailserver plaats moet vinden met alleen de gebruikersnaam



Kies ‘No’ als de authenticatie op de mailserver plaats moet vinden met gebruikersnaam@domein.

Geef aan of het servercertificaat gevalideerd moet worden , bij gebruik van TLS of SSL.

12


Encryption Settings

Vul het type encryptie in, en kies of het certificaat van de mailserver geverifieerd moet worden tegenover de bekende certificate authorities (CA): 

Require SSL



Require TLS



Do not use SSL/TLS even if available



Use SSL/TLS if available

U kunt instellen welk filter eindgebruikers ter beschikking hebben en of ze hierop wijzigingen mogen uitvoeren.



Wijzigingen die worden aangebracht door eindgebruikers, worden opgeslagen in een eigen filter, dus niet in het aa n het domein gekoppelde filter. Ze zijn dus niet van toepassing op andere adressen of domeinen die hetzelfde filter gebruiken.

Fig. 6 Item

Beschrijving

Standard filter

Kies het standaardfilter dat gebruikt moet worden voor de mailaccounts binnen het domein.

Allow changes

Bepaal wat eindgebruikers mogen wijzigen aan de standaard SURFmailfilter-instellingen: 

‘End users always use standard filter’: gebruikers gebruiken altijd het standaard filter voor dit domein.



‘End user scan select a filter’: gebruikers hebben keuze uit een aantal filters die u selecteert onder ‘Available filters’. Deze filters zijn een soort profielen.



‘End user scan create a custom filter’: gebruikers kunnen verfijnde instellingen doen (op basis van een gekozen filter). Een gebruiker kan de optie ‘Enable Customization’ aanvinken en krijgt dan meer keuzes in het menu.

13


Beschikbare filters

Fig. 7

In de lijst ‘Available Filters’ kan kunt u aanvinken welke filters beschikbaar zijn voor eindgebruikers (na authenticatie) binnen dit (sub)domein.

14


5

FILTERS

5.1

Overzicht

SURFnet levert bij SURFmailfilter een standaardfilter, genaamd ‘default’. In dit hoofdstuk leest u hoe u dit filter aan uw eigen wensen kunt aanpassen en hoe u nieuwe filters instelt. Als u Filter administration kiest, krijgt u een overzicht van de beschikbare filters.

Fig. 8

Om een filter te bewerken, klikt u in het ‘Filters’ hoofdvenster op het betreffende filter. Klik op Add om een filterdefinitie toe te voegen. Het filter vanwaaruit op Add geklikt wordt dient als basis voor het nieuwe filter.

15


Fig. 9

U kunt nu een aantal aspecten van het filter bewerken: 

Settings: diverse instellingen



Basic Rules: beheer van blacklist en whitelist van hosts, domeinen of adressen



Custom Rules: beheer van specifieke regels om de mail te filteren



Mismatch Rules: beheer van regels die controleren of het domein van de afzender overeenkomt met het domein van de SMTP relay.



RBL Rules: beheer van RBL’s (real-time blacklists)



MIME Type Rules: beheer van MIME type regels



Filename Extension Rule: beheer van regels die mail op bestandextensies van bijlagen filteren

16


5.2

Settings

Onder de settings kunt u de volgende gegevens invullen: Item

Beschrijving

AutoReject

Als een bericht een hogere score heeft dan de waarde die u hier invult, wordt het automatisch geweigerd. De standaardinstelling van SURFnet is hier vrij terughoudend. Al naar gelang de gebruikersgroep kan het wenselijk zijn deze waarde te verlagen, bijvoorbeeld naar een score tussen de 8 en 15.

AutoRejectNoIncident

Vul hier dezelfde waarde in als bij AutoReject.

HoldThreshold

Als een bericht een hogere score heeft dan de waarde die u hier invult, wordt het als spam aangemerkt door middel van een tag in de headers van de mail (instelling ‘X-Spam-Flag’: Yes) en eventueel in het subject (instelling ‘SpamTag’).

MaxMessageSize

Vul hier de maximale omvang van een bericht in (in kB).

 RejectBogusMX

VirusHandling

Let op: berichten kleiner dan 100 kB worden veiligheidshalve niet geweigerd.

Vul hier in wat SURFmailfilter moet doen met foutieve MXrecords op de domeinen van de verzender: 

No: het domein van de afzender moet niet gecheckt worden op foutieve MX-records.



Loopback: mail vanaf een domein met loopback adres in het MX-record (127.0.0.0/8) wordt geweigerd.



All-bogus: mail vanaf een domein met MX-records naar een adres in de volgende ranges wordt geweigerd:10.0.0.0/8, 127.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 169.254.0.0/16, 224.0.0.0/4, 240.0.0.0/5, 0.0.0.0/32, 255.255.255.255/ 32.

Vul in wat er moet gebeuren met mails die een virus bevatten: 

Accept: accepteren (niet aan te raden)



Discard: weggooien (standaard)



Reject: weigeren (blokkade op SMTP-niveau)

17


EXEHandling

Vul in wat er moet gebeuren met mails die een Windows executable bevatten. Dit zijn bestanden met de volgende extensies: ade

adp

app

asd

asf

asx

bas

bat

chm

cmd

com

cpl

crt

dll

exe

fxp

hlp

hta

hto

inf

ini

ins

isp

js

jse

lib

lnk

mdb

mde

msc

msi

msp

mst

ocx

pcd

pif

prg

reg

scr

sct

sh

shb

shs

sys

url

vb

vbe

vbs

vcs

vxd

wmz

wsc

wsf

wsh

wmd wms



Let op: de geselecteerde actie wordt uitgevoerd op de hele mail, niet alleen op het attachment.

De mail wordt tijdens de SMTP-sessie geweigerd, waardoor de verzendende MTA de verantwoordelijkheid heeft dit te rapporteren aan de verzender. SpamTag

Vul in welke tekst toegevoegd moet worden aan het onderwerpveld van een als spam gemarkeerd bericht. De volgende argumenten kunnen daarin worden opgenomen: 

%* wordt vervangen door een reeks asterisken. Het aantal asterisken geeft de spamscore aan.



%? wordt vervangen door de reden waarom het bericht als spam wordt aangemerkt.



%d wordt vervangen door de spamscore (bijv. 13.6)



%h wordt vervangen door de spamscore met voorloopnullen (bijv. 0013)



%p wordt vervangen door de Bayes-waarschijnlijkheid (waarde tussen 0 en 1). De Bayes-waarschijnlijkheid wordt hoger naarmate er in de mail meer woorden of woordgroepen voorkomen die zijn opgenomen in de Bayes-database.



%% wordt vervangen door een procentteken.

De standaardwaarde is [Spam:%*], wat gebruikers in staat stelt om te zien dat het bericht als spam is opgemerkt, en hoe zeker het filter hier over is. TempfailUnknownSend ers

Vul in of berichten van onbekende afzenders de eerste keer wel (Yes) of niet (No) moeten worden tegengehouden. Servers die spam versturen, proberen het vaak maar één keer, terwijl valide servers het vaker proberen. Hun mail komt dan wel door het filter. De ‘TempfailUnknownSenders’ optie is een g reylistingimplementatie. Zie paragraaf 2.4 voor meer uitleg over greylisting.

18


UnknownSenderMinRet ryDelay

Vul in hoe lang minimaal gewacht moet worden (in minuten) voordat een volgende verstuurpoging van een onbekende afzender mag worden geaccepteerd. Standaard is dit 0 minuten, waardoor mail bij gebruik van greylisting (bij RFC compliant MTA’s bij de verzendende partij) geen vertraging krijgt en direct geaccepteerd wordt. Deze optie stelt u in staat om agressiever te zijn in het accepteren van mail na greylisting.

UnknownSenderMaxRe tryDelay

Vul in hoe lang maximaal gewacht mag worden (in minuten) voordat een volgende verstuurpoging van een onbekende afzender moet worden geaccepteerd. Dit is de maximale tijd waarin de mail van een onbekende afzender als 'herhaling' (bekend) wordt gezien. Buiten deze tijd wordt de mail van de 'onbekende' afzender als 'nieuw' gezien en begint de greylisting-cyclus opnieuw.

UseBayesian

Vul in of Bayesiaanse analyse wel (Yes) of niet (No) moet worden toegepast. Bayesiaanse filtering is een intelligente techniek om de inhoud van de mail op statistische wijze te analyseren. De filtering is een effectieve methode om spam tegen te gaan, en gebruikt een trefzekerder techniek dan de stand aard Bayesiaanse filters van andere antispam-producten (zoals de standaard Bayesiaanse filtering van SpamAssassin). Het is overigens af te raden om Bayesiaanse filtering uit te schakelen. Als u dit wel doet, is het belangrijk om andere instellingen binnen SURFmailfilter aan te passen (denk aan het gebruik van TempfailUnknownSender, en agressiever gebruik van RBL blacklists), omdat Bayesiaanse filtering een groot deel van de effectiviteit van SURFmailfilter voor zijn rekening neemt.

StoreBayesSignatures

Vul in of Bayesiaanse training wel (Yes) of niet (No) moet worden toegepast.

BayesAddLinksIfWhitel isted

Vul in of berichten van afzenders op de whitelist wel (Yes) of geen (No) trainingslinks krijgen. Vult u hier ‘Yes’ in, dan wordt de mail gebruikt om het SURFmailfilter te ‘leren’ onderscheid te maken tussen spam en niet-spam.

BayesAddHeaders

Vul in of trainingslinks wel (Yes) of geen (No) moeten worden toegevoegd aan de header van het bericht. Op basis van deze headers is het mogelijk om via een URL het mailbericht te trainen. Hiervoor moet authenticatie voor de eindgebruikers op het betreffende domein aangezet worden. Het is mogelijk om traininglinks toe te voegen in de body van de mail, maar dat is niet aan te raden. Wilt u dit toch (proberen), neem dan contact op met SURFnet.

19


Enable Spam Scanning

Vul in of de inkomende mail wel (Yes) of niet (No) op spam gefilterd moet worden.

Klik na bewerking van de settings op: 

Submit changes om de wijzigingen door te voeren.



Back to filter list (ignore changes) om terug te gaan naar het hoofdvenster zonder de wijzigingen door te voeren.

5.3

Basic rules

Fig. 10

Hier stelt u een lijst met afzenders op die altijd toegestaan worden (whitelist) en een lijst met afzenders die altijd geweerd worden ( blacklist). Afzenders kunnen mailadressen, IP-adressen, domeinnamen of hosts zijn. Het toevoegen van hosts heeft in de regel meer zin dan domeinen of individuele adressen. Een adres werkt op basis van het envelope -sender adres, en kan eenvoudig `gespoofd ' worden door een spammer. Merk op dat het hier gaat om de envelope sender: het is niet de waarde die in de ‘From:’ header van de mail is terug te vinden maar het adres dat tijdens de SMTP sessie wordt aangeboden. Neem bij voorkeur hosts of adressen op waarvan zeker is dat de host betrouwbaar is, en waarvan de filtering op orde is. Denk er ook aan dat een host wel betrouwbaar kan zijn, maar mail kan forwarden (bijvoorbeeld voor mailinglijsten) waarvan de filtering slechter is. Op die manier kan er toch nog spam doorkomen.

20


1. Vul een of meer afzenders in het tekstvak in, elk op een nieuwe regel. Voeg per regel eventueel commentaar toe met behulp van een ‘;’. Bijvoorbeeld: ‘surfnet.nl ; our provider’ 2. Klik op Add to blacklist of op Add to whitelist. De afzender(s) zijn nu toegevoegd aan de whitelist of de blacklist. U kunt een afzender verwijderen door hem aan te vinken en op Remove selected te klikken.

5.4

Custom rules

Fig. 11

O PS T EL L E N Hier geeft u een aantal specifieke regels voor het filteren van mail. Feitelijk kent u een score toe aan het voorkomen van bepaalde informatie in de verschillende onderdelen van een mail (‘velden’ genoemd). Op basis van de totaalscore die een bericht krijgt, wordt bepaald wat e rmee moet gebeuren. 1. Vul voor elke regel de volgende onderdelen in: 

Field: het veld waarop de regel betrekking heeft:

Item

Beschrijving

Subject

Onderwerp van het bericht.

Sender

SMTP envelope-sender; deze is niet noodzakelijk identiek aan inhoud van het From-veld van de mail.

Recipient

SMTP envelope ontvanger; deze is niet noodzakelijk identiek aan inhoud van het To- of CC-veld van de mail.

21


HELO

Wat door de zender ingevuld wordt bij het SMTPcommando ‘HELO’ of ‘EHLO’. Door uw servernaam in te vullen in het HELO-commando, denken spammers dat de mail eerder wordt geaccepteerd. Dit kunt u ondervangen met een HELO-regel.

Relay

De hostnaam van de MTA (mailserver) waar de mail vandaan komt, zoals vastgesteld door een reverse DNS lookup. Als deze lookup geen resultaat geeft, wordt de relay-naam automatisch het IP-adres tussen vierkante haken, bijvoorbeeld: [127.0.0.1]

Relay Address

Het IP-adres van de relay waar de mail vandaan komt.

Header

Inhoud van de header. De regel die u hier invult, is van toepassing op alle regels in de header.

Body

De inhoud van de mail. Deze regels zijn van toepassing op gedecodeerde onderdelen van de mail, nadat MIME-inhoud is gedecodeerd.

Raw Body

De ongedecodeerde inhoud van het bericht, inclusief de headers en ongedecodeerde MIME-inhoud. Voor de meeste gevallen volstaan Body-regels in plaats van Raw Bodyregels.



Relation: de manier waarop het veld en de gezochte informatie worden vergeleken:

Item

Beschrijving

Contains

De regel is waar als het veld de opgegeven string bevat. Dit is niet hoofdlettergevoelig en spaties worden overgeslagen. Bijvoorbeeld: de string ‘CHTCEN’ komt voor in ‘Utrecht Centraal’.

Starts with

De regel is waar als het veld begint met de opgegeven string. Dit is niet hoofdlettergevoelig.

Ends with

De regel is waar als het veld eindigt met de opgegeven string. Dit is niet hoofdlettergevoelig.

RegExp matches

De opgegeven string wordt beschouwd als een reguliere expressie uit Perl. Deze regel werkt hoofdlettergevoelig.



Let op: als u een foutieve reguliere expressie invoert, krijgt u in geen geval een match, maar komt er een foutmelding in de maillog.

Does not contain

De regel is waar als de opgegeven string niet voorkomt in het veld.

Is

De regel is waar als het veld precies overeenkomt met de opgegeven string. Dit is hoofdlettergevoelig.

22




Data: string (of regular expression) waarop gescand moet worden.



Score: score die aan de mail moet worden toegekend als hij aan de regel voldoet. Hoe hoger de score, hoe groter de kans dat een mail die a an deze regel voldoet, spam is.





Tip: U kunt hier ook een negatieve waarde invullen, als u wilt dat een mail die voldoet aan de regel, juist niet als spam wordt gezien. U kunt er zo bijvoorbeeld voor zorgen dat mail met als onderwerp de vertrouwelijke code ‘altijd_doorlaten-5432’ nooit als spam wordt gezien: maak een regel ‘Als het Subject ‘altijd_doorlaten -5432’ bevat, ken dan de score -2000 toe’. Tip 2: als u wilt dat het voldoen aan een regel automatisch leidt tot het weigeren van mail, kunt u een heel hoge score toekenn en aan de regel, bijvoorbeeld 3000.

Comment: commentaar, optioneel toe te voegen.

Klik op Add rule. 2. De regel wordt nu toegevoegd in het overzicht.

W IJ Z IG E N U kunt de toegevoegde regels wijzigen door de velden aan te passen en vervolgens op Submit changes te klikken.

VE RW IJ D ER E N U kunt regels verwijderen door ze aan te vinken onder ‘Delete?’ en vervolgens op Submit changes te klikken.

SE L E CT IE T O N EN Hebt u veel regels ingesteld, dan kan het handig zijn om snel een selectie van regels in beeld te brengen met een filter: 1. Vul achter de knop Filter een string in die voorkomt in een van de velden van de regels die u zoekt, bijvoorbeeld ‘contains’, ‘offer’ of ‘subject’. 2. Klik op Filter. De regels die voldoen aan het filter, worden getoond.

23


5.5

Mismatch rules

Fig. 12

Mismatch-regels controleren of het domein van de mailafzender overeenkomt met het domein van de SMTP relay. Komen deze niet overeen, dan kan de mail als spam worden aangemerkt. Dit kan handig zijn omdat spam vaak gebruikmaakt van gefingeerde afzenderadressen van bijvoorbeeld Hotmail. Door via een reverse DNS-lookup te controleren of een mail ook echt van Hotmail komt, kan gecheckt worden of het spam is. Het is echter niet aan te bevelen om deze regel standaard te gebruiken. Het komt ook in normale situaties vaak voor dat de domeinnaam van de mail niet overeenkomt met de het domein van de SMTP relay Het is bijvoorbeeld niet verplicht om mail vanaf gmail.com ook via de servers van gmail te versturen, bijvoorbeeld. Gebruik mismatch-regels alleen voor grote, bekende internetdomeinen van wie het zeker is dat ze goede reverse -DNS configuraties hebben. SURFnet kan dit ook (met voorzichtigheid en terughoudendheid (geen reject)) toepassen in het default filter waar dat verstandig lijkt.

AAN MAK E N Ga als volgt te werk: 1. Vul voor elke regel de volgende velden in: 

Sender domain: internetdomein waarvandaan de afzender zijn mail zegt te sturen.



Relay match: SMTP relay domein waarvan de mail vandaan moet komen.



Action: actie die uitgevoerd moet worden als er een mismatch is: -

Hold: mail die een mismatch geeft, wordt vastgehouden.

-

Reject: mail die een mismatch geeft, wordt geweigerd.

24


-

Score: mail die een mismatch geeft, krijgt een score; vul de score in in de kolom ‘Score’.



Score: score die aan de mail moet worden toegekend als er een mismatch is.




2. Klik op Submit changes. De regel wordt nu toegevoegd aan het overzicht.

W IJ Z IG E N U kunt de toegevoegde regels wijzigen door de velden aan te passen en vervolgens op Submit changes te klikken.

VE RW IJ D ER E N U kunt regels verwijderen door ze aan te vinken onder ‘Delete?’ en vervolgens op Submit changes te klikken.

SE L E CT IE T O N EN Hebt u veel regels ingesteld, dan kan het handig zijn om snel een selectie van regels in beeld te brengen met een filter: 1. Vul achter de knop Filter een string in die voorkomt in een van de velden van de regels die u zoekt. 2. Klik op Filter. De regels die voldoen aan het filter, worden getoond.

5.6

RBL rules

Fig. 13

25


RBL staat voor real-time blacklist. Een RBL is een lijst met hosts waarvan bekend is dat er spam vandaan komt. SURFnet stelt een aantal RBL’s beschikbaar. U kunt zelf bepalen wat er moet gebeuren met mail van hosts die op een bepaalde RBL staan. Het default filter is r eeds voorzien van zinvolle waardes en kan al naar gelang het laatste inzicht door SURFnet worden aangepast.



Let op: SURFnet voegt ook whitelists toe. Pas op deze whitelists alleen een ‘Ignore’ of negatieve score toe. Bij ‘Reject’ wordt valide mail van mailservers (ook die van uzelf) geweigerd! Let op de Description van de blacklist bij het aanpassen van de Action of Score.

Ga als volgt te werk: 1. Vul voor elke RBL de volgende velden in: 

Action: -

Ignore: deze RBL is uitgeschakeld.

-

Hold: mail van een host in deze RBL wordt vastgehouden.

-

Reject: mail van een host in deze RBL wordt geweigerd.

-

Score: mail van een host uit deze RBL krijgt een score; vul de score in in de kolom ‘Score’.



Score: score die aan de mail moet worden toegekend als er een mismatch is.




2. Klik op Submit changes om de regels te activeren.

5.7

MIME type rules

Fig. 14

26


Mail-attachments van bepaalde MIME-typen kunnen risico’s met zich meebrengen. U kunt hier regels opstellen voor de a fhandeling van verschillende MIME-typen. Het is vooral aan te raden een regel op te stellen voor het MIME-type ‘message/partial’, aangezien dit in het bijzonder gevaarlijk kan zijn. U kunt per regel een afzonderlijke actie instellen voor afzenders die op d e whitelist staan.

RE G E L T O E V O E G EN Ga als volgt te werk: 1. Vul het MIME-type in en klik op Add rule.

Fig. 15

2. Vul de volgende velden in: 

General action: de actie die moet worden ondernomen als een attachment met het opgegeven MIME-type wordt gevonden: -

No change: er wordt geen actie uitgevoerd.

-

Accept: de mail wordt geaccepteerd; de mail kan nog wel geweigerd worden op basis van andere regels.

-

Reject: de mail wordt geweigerd.

-

Discard: de mail wordt verwijderd.

-

Delete from table: de betreffende MIME type wordt verwijderd uit de tabel waarop acties moeten worden uitgevoerd.



Action for whitelisted senders: de actie die wordt ondernomen als het MIME-type wordt aangetroffen, maar de afzender op de whitelist staat.




3. Klik op Submit changes om de regel in te stellen.

27


W IJ Z IG E N U kunt een regel wijzigen door velden te wijzigen en op Submit changes te klikken. Met de knop Reset maakt u nog niet bevestigde wijzigingen ongedaan.

5.8

Filename extension rules

Fig. 16

U kunt mail filteren op de bestandsnaamextensie van attachments. U kunt per regel een afzonderlijke actie instellen voor afzenders die op de whitelist staan.

RE G E L T O E V O E G EN Ga als volgt te werk: 1. Vul de bestandsnaamextensie in en klik op Add rule.



Let op: laat de punt uit de extensie weg, dus ‘exe’ in plaats van ‘.exe’.

Fig. 17

28


2. Vul de volgende velden in: 

General action: de actie die moet worden ondernomen als een attachment met de opgegeven bestandsnaamextensie wordt gevonden: -

No change: er wordt geen actie uitgevoerd.

-

Accept: de mail wordt geaccepteerd; de mail kan nog wel geweigerd worden op basis van andere regels.

-

Reject: de mail wordt geweigerd.

-

Discard: de mail wordt verwijderd.

-

Delete from table: de betreffende MIME type wordt verwijderd uit de tabel waarop acties moeten worden uitgevoerd.



Action for whitelisted senders: de actie die wordt ondernomen als de bestandsnaamextensie wordt aangetroffen, maar de afzender op de whitelist staat.




3. Klik op Submit changes om de regel in te stellen.

W IJ Z IG E N U kunt een regel wijzigen door velden te wijzigen en op Submit changes te klikken. Met de knop Reset maakt u nog niet bevestigde wijzigingen ongedaan.

5.9

Filter toevoegen

U kunt een nieuw filter toevoegen dat gebaseerd is op een van de reeds aanwezige filters. Alle instellingen die niet expliciet worden aangepast in het nieuwe filter worden ‘overgeërfd’ van het default filter. Bij het dupliceren worden de expliciete settings van het oorspronkelijke filter overgenomen.

29


6

EXTERNE AUTHENTICATIE

SURFmailfilter kan werken met een ingebouwde gebruikerslijst, maar het is gebruikelijker om normale gebruikers met een externe methode te verifiëren. Hierdoor is het niet nodig gebruikers op te voeren in het filter. De meest gebruikelijke vorm daarvoor is een koppeling via IMAP of POP3. Deze is te maken via de Authentication Settings van de Domain Administration. Het is ook mogelijk om LDAP te gebruiken voor de authenticatie. Di t is bijvoorbeeld zinvol als het mailadres anders is dan de gebruikersnaam(@domain) op de IMAP- of POP3-server. Om dit in te stellen, moet u het volgende doen: 1. Een user lookup definiëren. Een user lookup beschrijft via welke methode SURFmailfilter gebruikersinformatie uit externe bronnen moet ophalen. 2. Een authentication mapping maken. Deze geeft aan welke user lookup SURFmailfilter moet gebruiken voor een bepaald domein.

6.1

User lookup definiëren

Ga als volgt te werk: 1. Kies uit het menu Setup > User lookups.

Fig. 18

2. Klik op Add a new user lookup. 3. Voer een naam voor de lookup in en klik op Next. 4. Kies bij ‘Method’ voor LDAP (Generic)’ of ‘LDAP (Active Directory)’, voer eventueel commentaar in en klik op Next.

30


Fig. 19

5. Vul de settings in en klik op Next. Item

Beschrijving

Use this method for authentication?

Kies ‘Yes’ als deze methode gebruikt moet worden voor authenticatie.

LDAP server(s)

Vul het IP-adres of hostnaam van de LDAP-server(s) in. Scheid servernamen met een komma. Als de LDAP-server luistert op een niet-standaard poort, geef dit dan als volgt aan: ‘servernaam/3389’.

Load-balance LDAP servers

Kies ‘Yes’ als SURFmailfilter de LDAP-server in willekeurige volgorde moet benaderen.

Base DN

Vul de base DN van de LDAP-tree in.

Bind DN

Vul de base DN in.

Bind password

Als er om te binden een wachtwoord nodig is, vul dat dan hier in.

Reconnect for additional queries?

Sommige LDAP-servers vereisen dat SURFmailfilter tussen query’s de verbinding verbreekt, weer herstelt en opnieuw bindt. Kies in dat geval ‘Yes’.

Search filter for login authentication

Vul het zoekfilter voor login authenticatie in. ‘%s’ wordt vervangen door de gebruikersnaam.

31


Strip domain name from login prior to authentication?

Een gebruiker logt in met een gebruikersnaam@domein. 

Kies ‘Yes’ als de authenticatie op de mailserver plaats moet vinden met alleen de gebruikersnaam



Kies ‘No’ als de authenticatie op de mailserver plaats moet vinden met gebruikersnaam@domein.

Attribute containing user’s e-mail address

Vul het attribuut in waar e-mailadressen in opgenomen zijn. Meestal is de default waarde juist.

Attribute containing group names

Vul een LDAP-attribuut in als u groepslidmaatschap wil beheren via LDAP.

Use this method for streaming?

Kies ‘Yes’ als u de LDAP-server wilt gebruiken om adressen te streamen.

Search filter for streaming

Vul het zoekfilter in waarmee e-mailadressen opgezocht moeten worden in de LDAP-server. Meestal is de default waarde juist.

Force stream name to lower-case?

Kies ‘Yes’ als de streamnamen in kleine letters moeten worden omgezet.

Cache stream lookups in database

Kes ‘Yes’ als de stream lookups in de database in een cache bewaard moeten worden.

Attribute containing stream name

Vul het LDAP-attribuut in waarin de streamnaam staat. Meestal is de default waarde juist.

Action if stream attribute missing

Selecteer de actie die SURFmailfilter moet uitvoeren als het attribuut ontbreekt.

Connect timeout in seconds for streaming

Vul in na hoeveel tijd een poging tot verbinden met de LDAP-server, moet worden gestaakt.

6. Controleer de gegevens die u hebt ingevuld en klik op Finish.



SURFmailfilter kan ook LDAP ook gebruiken voor het verifiëren van mail adressen (als alternatief voor recipient address verification). H et is aan te raden om de resultaten hier te cachen (‘Cache stream lookups in database’) om uw LDAP-server niet te veel te belasten en vertragingen te voorkomen. Door de ‘Attribute containing stream name’ aan te passen is het mogelijk voor meerdere adressen dezelfde ‘stream’ te gebruiken (en daarmee dezelfde training.) Als LDAP alleen gebruikt moet worden voor authenticatie, moet ‘Search filter for streaming’ op ‘No’ staan.

32


6.2

Authentication mapping maken

U kunt nu de user lookup-methode toekennen aan een domein. Ga als volgt te werk: 1. Kies uit het menu Setup > Authentication mappings.

Fig. 20

2. Vul het domein waaraan u de user lookup -methode wilt toekennen en selecteer de methode onder ‘Mapping’. 3. Klik op Submit changes om te bevestigen.

33

H a n d l e i d i n g S U R F m a i l f i l t e r

Recommend Documents