SPAM


Fight spam! Jeg mottar for tiden mange klager på uønsket elektronisk post sendt til studenter og ansatte ved Universitetet i Bergen. Her er en oversikt over hva dette er og hva som gjøres på IT-avdelingen for å bekjempe ondet.

Hva spam er.

SPAM er Internetets svar på utidige dør- og telefonselgere. Ordet spam har sitt opphav fra «Monty Python's Flying Circus», en hermetisert kjøttmat som barn ikke opplevde som særlig positivt å bli påtvunget.

Spam eller unsolicited commercial email (UCE), kjennetegnes av subjectfelt som "make-money-fast $$$" og er allehånde reklametilbud som mottageren ikke har bedt om å få tilsendt.

Det er ikke avklart hvorvidt dette faktisk er en lovlig virksomhet. I Norge bekjemper enhver deltager på nettet spammen, i USA er motstanden også kraftig - men spammerne slår tilbake og krever yttringsfrihet. Det står tildels tunge firmaer bak spammen, noen amerikanske operatører bekjemper spammen aktivt, noen gjør lite og godtar stilltiende misbruk, mens andre har spesialisert seg på spam (f.eks cyberpromo.com).

Spammernes elektroniske avsenderadresse er som regel ikke-eksisterende, bare veldig sjelden vil det være mulig å svare til avsender eller til adressene i meldingens headere. Maillistene som meldingene tilsynelatende er sendt til (f.eks Friends@public.com) finnes heller ikke. Etter normal forståelse av spillereglene på Internet, er meldingen altså ulovlig. Mange spam-meldinger gir inntrykk av at det er mulig å melde seg av listen ved å sende en mail til en «removal-adresse» eller ved å slå opp på en webside. Det er imidletid ikke å anbefale å benytte seg av slike removal-tjenester. Det en evt oppnår er å bekrefte overfor spammerne at ens adresse er i aktiv bruk og dermed en aktuell mottager for mer spam. Spammerne oppgir gjerne en postadresse som skal brukes for å få kjøpt produktet, de er ikke selv brukere av nettet.

Hva vi opplever på UiB.

Nye tiltak iverksettes

Spammerne har mange måter å få tak i mailadresser på, det finnes jo etterhvert svært mange systemer som bruker kjente teknikker på nettet for å finne mailadresser. Men websider og finger-informasjon er ikke mest mye brukt av spammerne. Lettest utsatt for spam blir nok de som poster på news, men også mange offentlige maillisters adresser er dumpet og tatt i bruk av spammerne.

Det sendes mye spam til UiB, i perioder er nær halvparten av alle oppkoblinger mot IT-avdelingens mailservere nettopp slik junkmail - de fleste av meldingene blir allikevel ikke levert til den endelige mottageren. Men flittige nettbrukere kan oppleve titalls spammeldinger daglig til stor irritasjon og ulempe. Mailserverne på IT-avdelingen håndterer hundrevis og sløser bort datakraft, båndbredde og diskplass.

UiB består av en rekke selvstendige mailservere og hvilke tiltak som er satt i verk, varierer sterkt. I utgangspunktet blir all mail godtatt, det er ingen mekanisme i dagens internetmail for automatisk å foreta en verifisering av avsender. Bare mot mailserverne på IT-avdelingen håndteres det daglig over 20.000 elektroniske postmeldinger, alf og noralf.uib.no snakker hver dag med tusenvis av forskjellige datamaskiner med ulike systemer for at posten skal gå sin gang.

På IT-avdelinges mailservere, alf og noralf, kjører vi et annet system for håndtering av mail enn det som er vanlig. Vi bruker ISODE's PP, de fleste unixmaskiner kjører en gammel variant av sendmail mens det finnes hederlige unntak med oppgradert programvare. I tillegg er det noen NT-servere som også opptrer som separate mailservere. Det er ulike (tvilsomme(?)) kommersielle produkter i bruk. Bare nyere sendmailversjoner er forberedt på den massive spamming som Internet for tiden utsettes for.

Hva gjør vi på UiB for å bekjempe spam.

Hver enkelt bruker kan lage et eget filter som kaster uønsket mail, slike filtre har imidlertid noe sær syntaks og er neppe noe våre tusenvis av brukere ønsker å mekke på. Procmail er ikke tilgjengelig og bruk av PPs ".mailfilter" er i høyeste grad udokumentert.

På systemet ved IT-avdelingen har vi i lengre tid blokkert rene spamdomener som f.eks savetrees.com, det reduserer mengden av spam litt. Spammerne bruker imidlertid en rekke skitne knep, og generer avsenderadresser på løpende bånd som det skal være vanskeligst mulig å filtrere bort for mottager.

Som et videre forsvar, ble postsystemet endret primo juni-97. Endringen medførte at mail avvises dersom maskindelen av avsenderadresser ikke er registrert i Internets navnetjenere (DNS). Ulempen med det er at vi også avviser en del mail fra steder med feilaktig eller sterkt mangelfullt oppsett av sine systemer. Slik post ville uansett ikke vært besvarbar, så det har ikke skaffet meg bekymringer. Dette hacket minsket spammengden inn til våre servere med noen hundre pr dag og tok f.eks adresser som eroticcitynet.com og financialsuccess@oppsunlimited.com

Vi vedlikeholder også en annen liste på mailserveren over adresser som avvises. Listen oppdateres når vi mottar klager eller tilfeldig oppdager at UiB utsettes for et spamangrep. I perioder dukker gjengangere som top@ascella.net og cindyeasy@hotmail.com ofte opp dag etter dag. Dette er forfalskede adresser fra domener vi ikke generellt kan avvise til ulempe for andre brukere hos firmaet. Når adressene legges inn i det sentrale filteret, vil ingen brukere av serveren lenger motta post fra dem. Meldingene sendes i slike tilfeller oftest via uskyldig tredjepart.

Dersom spam videresendes med alle headere intakt til postmaster@uib.no, vil avsenderadressen bli lagt til det sentrale spamfilteret til fordel for andre brukere og evt repeterende forsendelser. I den grad det er mulig å finne tid, vil antispam-virksomhet bli gitt rimelig prioritet av postmaster.

Den siste metoden spammerne har tatt i bruk er å sende mail fra adresser som 123456789@aol.com, dette har de færreste et enkelt forsvar mot. Siden medio august-97 avviser vi imidlertid også mailadresser hvor venstrehåndssiden bare inneholder tall, over tusen slike forsendelser ble avvist den dagen patchen ble laget og installert. Samlet sørger disse tiltakene for avvisning av flere tusen oppkoblinger i døgnet. Det reelle antallet meldinger som ikke blir levert til mottager er imidlertid mindre, for å påføre spammerne mest mulig ulempe avvises ikke meldingene som en permanent feil. Det gjør at avsenders maskin omigjen og omigjen vil gjøre mislykkede forsøk på å få meldingen avlevert til UiB.

Slike tiltak kan være tidkrevende å implementere og følge opp, og det er ikke avsatt ressurser for dette. Restriksjoner skal heller ikke gå utover prinsipp om åpenhet og tilgjengelighet, og ikke på bekostning av driftsstabiltitet. Og vi avventer spammernes neste påfunn.

Hva vi ikke gjør på UiB for å bekjempe spam.

I liten grad prøver vi å følge opp mottatt spam med klager til serverne hvor spammen kommer fra. Det har ofte lite for seg, klager preller av som vann på gåsa om vi tar spammen opp med CyberPromo og tilsvarende firmaer. Spammens internasjonale karakter gjør det like vanskelig for UiBs nettleverandør UNINETT å iverksette tiltak. Oppdager vi imidlertid at spam rammer oss fra uskyldig tredjepart som brukes som rele av spammerne, underrettes ofte postmaster/abuse der. Meldingens headere bør leses grundig før klager og advarsler sendes. Dette er et møysommelig og tidkrevende arbeid å utføre og min anbefaling til brukere av elektronisk post ved UiB er å slette meldingen, glemme den og slett ikke la seg irritere. Ikke send sinte klager til abuse-adresser uten å vær helt sikker på at det sendes til riktig instans og at adressen det sendes til er en fungerende maskin.

Det ville også være mulig å blokkere all post fra domener som er kjent for å spamme eller stilltiende la seg misbruke av spammere. Mulig ville det også være å blokkere all trafikk fra slike nettleverandører. Dette er imidlertid veldig harde tiltak, som det ennå ikke har vært aktuellt å iverksette.

Er jeg for streng?

Noen vil kanskje hevde at politikken rundt avvisning av spam er altfor streng, at den på det nærmeste er fascistisk. Burde brukerne selv få bestemme om de vil motta spam? Bryter min politikk med god skikk og privatlivets fred? Kanskje noen liker denne formen for masseforsendelser og underholder seg med å lese meldingene eller returnere dem til avsendere? Kanskje noen skriver oppgaver om spam på nettet og blir veldig skuffet over at de slett ikke mottar spam?

Jeg tar gjerne tilbakemeldinger på det.

Mer informasjon om spam.

Med oppgraderte versjoner av sendmail (over 8.8.x) er det gode muligheter for å filtrere bort spam, tips finnes på sendmails antispam side. Ta kontakt med undertegnede om du vil ha tips om hvordan det er implementert andre steder ved UiB. Litt er imidlertid lagt ut!

Ett skrekkens eksempel på hva man kan bli utsatt for.

Rene sendmailinstallasjoner bør med fordel installere og bruke procmail. <http://..../>

Brukere av «alf» som savner dokumentasjon av ".mailfilter" kan jo klage til meg...

PP patchene kan jeg stille tilgjengelig for andre operatører av ICR/PP.

Fight spam! Fight Spam on the Internet Fight spam!



Sist oppdatert 10/8-97 av hmk