Voor de gemiddelde gebruiker is het probleem van spam inmiddels opgelost. Waar nog niet zo lang geleden de vrees bestond dat de persoonlijke mailbox zou worden overspoeld met berichten over aandelen, seks of Viagra, blijkt dat in de praktijk mee te vallen. De mailserver – en diens beheerder – is echter nog lang niet ontlast.
Over het algemeen is niet meer dan één op de tien bij de eindgebruiker aangekomen berichten te classificeren als spam en wie Outlook heeft vervangen door bijvoorbeeld Thunderbird, ziet die laatste procenten automatisch naar de spammap verdwijnen. Hoewel de gebruiker behoorlijk is ontlast, geldt dat niet voor de beheerders van mailservers en de internet service providers (isp’s) die het mailverkeer voor het midden- en kleinbedrijf verzorgen. Zij zien nog steeds een stijgende lijn in het aantal spamberichten dat het netwerk binnenkomt.
Volgens de spamrapportages van Symantec en Ironport beweegt de gemiddelde hoeveelheid spam wereldwijd tussen de 65 en de 70 procent met forse uitschieters naar boven. “In de afgelopen weken hebben we een paar keer echter een extreem lage hoeveelheid spamberichten geconstateerd”, legt David Mayer, product manager van Ironport Systems uit.
“Je kunt duidelijk merken wanneer er weer een paar extra vrije dagen zijn en mensen blijkbaar hun computers niet aanzetten. Als die dan in een botnetwerk zitten, kunnen ze geen spam versturen. Zo zagen we rond 1 mei een sterke daling toen er in China een korte vakantie was.”
Vervolgen spammers
Volgens de OPTA is de hoeveelheid spam in Nederland overigens stabiel gebleven op ongeveer 53 procent, maar hebben we nog steeds een slechte notering op de wereldranglijst als het gaat om het verzenden van spamberichten. Dat heeft volgens OPTA-voorzitter Chris Fonteijn vooral te maken met de grote hoeveelheid breedbandverbindingen die Nederlandse huishoudens rijk zijn. Aan de andere kant is er inmiddels redelijk veel aandacht voor het vervolgen van spammers.
Onlangs nog werd een Nederlandse directeur een boete van 55.000 euro opgelegd wegens het verzenden van spam. Om die te verzenden reed hij rond in woonwijken op zoek naar onbeveiligde draadloze netwerken. Deze techniek wordt steeds meer toegepast, omdat veel huishoudens inmiddels door hebben dat zij hun pc’s moeten beschermen tegen ongewenste indringers. Draadloze netwerken daarentegen staan nog voor een groot gedeelte open en zijn onbeschermd.
Open netwerken
Wie de moeite neemt om een half uurtje met laptop en netwerkkaart door een woonwijk met jonge gezinnen te rijden, staat versteld van de hoeveelheid routers die geen enkele vorm van encryptie of toegangscontrole hebben. Tijdens een recente test in het Noord-Hollandse Alkmaar bleken er gemiddeld per straat ruim vier netwerken open te staan.
De SSID’s van de routers stonden allemaal op de fabrieksinstelling, wat duidelijk maakt dat de meeste mensen hun router uit de doos halen en direct aansluiten. Het tv-programma Radar liet onlangs overigens zien hoe ingewikkeld het voor de gemiddelde consument is om een draadloos netwerk afdoende te beveiligen.
In het verleden was het vooral reclame voor porno en geneesmiddelen die de boventoon voerde. Inmiddels bestaat een groot gedeelte van de hoeveelheid spam uit zogenaamde ‘pump & dump’ mails waarin ontvangers wordt aangeraden om een bepaald laaggeprijsd aandeel aan te schaffen. Onlangs bleek dat het aandeel Goldmark Industries tijdens een spamcampagne omhoog schoot van 17 dollarcent per aandeel naar 35 cent negen dagen later. Dit voorbeeld toont aan hoe eenvoudig het is om met spam geld te verdienen.
Hoewel ruim de helft van het aantal verzonden e-mails bestaat uit spam, heeft de gebruiker zoals gezegd weinig last meer. Dat is te danken aan de forse investeringen die bedrijven en isp’s hebben gedaan in de bestrijding van deze ongewenste rotzooi. Inmiddels hebben de meeste organisaties voor hun eigen mailserver een appliance staan die ervoor zorgt dat het gros van de spam de mailserver eigenlijk niet bereikt.
“Deze dozen moeten steeds intelligenter worden”, vertelt Mayer. “In de tijd van tekst-spam was het filteren relatief eenvoudig. Je liet de machine zoeken op combinaties van steekwoorden als seks en Viagra en het aantal berichten dat door het filter heen wist te komen, bleef beperkt. Tegenwoordig zien we vooral veel beeldspam langskomen. Daar wordt de commerciële boodschap als plaatje weergegeven en dat is al wat lastiger te herkennen als je alleen naar de inhoud kijkt.”
Honeypots
Net als bij virussen is het ook hier een wedloop tussen spammers en antispam. Omdat ook een plaatje relatief eenvoudig is te herkennen, gebruiken spammers kleine variaties in de beelden. Het menselijk oog ziet geen noemenswaardig verschil, maar de achterliggende filtersoftware ziet iedere verzonden advertentie als anders. De meeste leveranciers van antispam laten de analyse van de inhoud dan ook inmiddels voor wat het is.
Ze richten zich nu vooral op de ip-adressen en de verzendgegevens van het spambericht. In de meeste gevallen vormen de bij de klanten geïnstalleerde appliances tegelijkertijd een wereldwijd netwerk van zogeheten honeypots, een soort ‘lokdozen’ voor ongewenste berichten. Alle spamberichten die worden tegengehouden, worden door de leverancier geanalyseerd en verwerkt tot herkenningssignalen (signatures) voor alle klanten.
Zoals gezegd zijn de meeste antispamleveranciers behoorlijk succesvol in het tegenhouden van spam voordat deze de mailserver bereikt. Afhankelijk van de manier van meten, behalen de hardwarematige oplossingen hoge successcores met acceptabele valse positieven en negatieven.
Gemiddeld wisten ongeveer zes tot tien spamberichten per dag ongewild door het filter te komen en dat is een behapbaar aantal voor elke gebruiker. Particulieren en kleine organisaties die via een isp met het internet zijn verbonden, eisen van hun provider dat zij aan actieve spam- en malwarefiltering doen. Vrijwel alle grote zakelijke providers weten hier goede scores te behalen, want men weet dat dit een belangrijk onderwerp is voor klanten.
Honderdste van een promille
De verwachtingen van alle antispambedrijven is min of meer hetzelfde. Het komende jaar zal meer en meer bandbreedte worden ingenomen door traditionele spam en image-spam. Hoewel de spambestrijders de spammers op de voet volgen, zal er altijd een zeer kleine groep gebruikers zijn die ingaat op de wensen van de spammers. Juist door de lage kosten per spambericht hoeft maar een honderdste van een promille aan verzonden spam zijn doel te bereiken om winstgevend te zijn. Dat betekent dat we voorlopig niet hoeven te verwachten dat we een substantiële daling tegemoet kunnen zien.
Blacklists
Bij een blacklist worden alle berichten tegengehouden die afkomstig zijn van afzenders waarvan is vast komen te staan dat zij spamberichten versturen. Het probleem is dat men soms onterecht op een blacklist komt te staan en alle mail wordt tegengehouden in de filters.
Greylists
Om het gevaar van te veel false positives (berichten die onterecht als spam in de quarantaine worden gezet) te voorkomen zijn er greylists. Ook hier is er sprake van een lijst met verdachte adressen en domeinnamen. Komt er een verdacht bericht door dan wordt deze eerst in quarantaine gezet en wordt met doorzenden gewacht tot het bericht door dezelfde verzender nogmaals wordt verstuurd. Hoewel deze methode goed werkt, betekent het wel dat veel berichten langer nodig hebben om de ontvanger te bereiken.
Whitelists
De achtergrond van een whitelist is het alleen het toelaten van bekenden. Dus komen er alleen berichten door van adressen en ip-nummers door die als bekend staan aangemerkt. Deze methode werkt prima tegen spam, maar is onhandig in gebruik omdat (nieuwe) verzenders eerst toestemming moeten vragen voordat zij e-mail kunnen sturen.
Fingerprints
Professor dr. Scheffer van de Humboldt University in Berlijn ontwikkelde de vingerafdrukmethode. Deze techniek herkent berichten die in één keer op grote schaal zijn verstuurd en die min of meer dezelfde eigenschappen hebben. In Viagra-spam zit bijvoorbeeld vrijwel altijd een behoorlijk percentage blauw. Door niet te veel in detail te analyseren, zijn de variaties die spammers aanbrengen eenvoudig te elimineren.