Handleiding SURFmailfilter
Transcript of Handleiding SURFmailfilter
SURFNET BV , RADBOUDKWARTIER 273, POSTBUS 19035, 3501 DA UTRECHT
T +31 302 305 305, F +31 302 305 329, WWW .SURFNET .NL
Hand l e i d i ng SURFma i l f i l t e r
versie 1.1, mei 2008
Handleiding SURFmailfilter
2
I NH OUD
1 Inleiding ................................................................................. 3
2 Hoe werkt SURFmailfilter? ............................................................ 4
2.1 Overzicht.......................................................................... 4
2.2 Mailafhandeling .................................................................. 4
2.3 Spamcontroleregels ............................................................. 6
2.4 Greylisting ........................................................................ 6
3 In- en uitloggen ........................................................................ 8
4 Domein instellen ....................................................................... 9
4.1 Overzicht.......................................................................... 9
4.2 Subdomein toevoegen .......................................................... 9
4.3 (Sub)domein instellen ........................................................... 9
5 Filters ................................................................................... 15
5.1 Overzicht......................................................................... 15
5.2 Settings .......................................................................... 17
5.3 Basic rules ....................................................................... 20
5.4 Custom rules .................................................................... 21
5.5 Mismatch rules .................................................................. 24
5.6 RBL rules ........................................................................ 25
5.7 MIME type rules ................................................................ 26
5.8 Filename extension rules ...................................................... 28
5.9 Filter toevoegen ................................................................ 29
6 Externe authenticatie ................................................................. 30
6.1 User lookup definiëren ......................................................... 30
6.2 Authentication mapping maken ............................................... 33
Handleiding SURFmailfilter
3
1 I NL EI DI NG
Met SURFmailfilter hebt u een service ter beschikking om spam en virussen uit
uw mailverkeer te weren of te onderscheiden. U kunt zelf filters samenstellen
of de filters gebruiken die SURFnet voorgedefinieerd heeft.
SURFmailfilter is onder andere krachtig omdat het gebruikmaakt van een
wereldwijde database met spaminformatie. Deze database wordt steeds
bijgewerkt, waardoor steeds beter kan worden bepaald of mail spam is of niet.
Door SURFmailfilter te gebruiken draagt u overigens bij aan het bijwerken van
deze database. Er zijn nog een aantal andere technieken die bijdragen aan het
resultaat van spamtests.
SURFmailfilter kent een groot aantal geavanceerde instellingen. Hier hoeft u
zich niet meteen in te verdiepen. U kunt snel aan de slag door uw domein(en)
in te stellen en daaraan de voorgedefinieerde filters te koppelen.
SURFmailfilter bestaat onder andere uit het product Canit PRO van Roaring
Penguin Software Inc. (www.roaringpenguin.com).
Hebt u vragen of commentaar, dan kunt u altijd contact opnemen met
SURFnet.
Handleiding SURFmailfilter
4
2 H OE WERKT SURF ma i l f i l t er ?
2.1 Overzicht
SURFmailfilter scant de mail voordat die naar uw server verstuurd wordt,
bepaalt of het spam is, en vervolgens wat ermee moet gebeuren. Er zijn drie
mogelijkheden. Mail kan worden:
geaccepteerd, al dan niet voorzien van een label waaruit blijkt dat het
spam betreft;
geweigerd aan de poort, tijdens de SMTP-sessie (zodat een verzendende
partij de verantwoordelijkheid heeft voor de foutafhandeling);
weggegooid.
Deze beslissingen worden genomen op basis van de regels die u instelt of
delegeert. Hoe deze regels worden toegepast, leest u in paragraaf 2.3. Bij het
toepassen van de regels wordt aan de mail een score toegekend die
uiteindelijke bepaalt of een mail als spam wordt aangemerkt. Dat betekent dat
de meeste tests in SURFmailfilter op zichzelf geen reden zijn om een mail als
spam te blokkeren of markeren. Pas als meerdere tests negatief uitpakken
voor een mail en de score over een ingestelde drempel gaat, wordt de mail
opgemerkt als spam (en vervolgens gelabeld, geweigerd of verwijderd). De
verschillende tests zijn op instellingsniveau, domein, of mailadres aan te
passen.
Een belangrijke eigenschap van SURFmailfilter is de mogelijkheid om te leren
met behulp van Bayesiaanse analyse. Als u Bayesiaanse analyse instelt, wordt
de inhoud van elke mail gecontroleerd op het voorkomen van woorden en
woordparen die vaak in spam of juist in niet-spam voorkomen. Hierdoor kan
beter bepaald worden of mail aangemerkt moet worden als spam.
2.2 Mailafhandeling
Als een mail binnenkomt op het SURFmailfilter-platform van SURFnet, bekijkt
SURFmailfilter de mail en doet het volgende:
Als de mail van een host of een mailadres komt die op de blacklist staat,
wordt de mail geweigerd.
Als de host op een whitelist staat (dus als u de host altijd volledig
vertrouwt), wordt de mail direct geaccepteerd zonder verdere (spam)tests
uit te voeren.
Als u greylisting hebt ingeschakeld, wordt mail van hosts die onbekend
zijn in eerste instantie tijdelijk geweigerd. Een mailhost die RFC-compliant
is probeert direct (of binnen afzienbare tijd) de mail opnieuw af te leveren.
Spam of spambots doen dit doorgaans niet, omdat ze geen status
bijhouden van de mailaflevering.
Greylisting is een effectieve manier om (ook nog niet bekende) spam van
Handleiding SURFmailfilter
5
met name bots tegen te houden, en kent binnen SURFmailfilter bijna geen
nadelen (zoals vertraging). Zie paragraaf 2.4 voor meer informatie over
greylisting.
In de overige gevallen wordt de mail gescand met behulp van een aantal
tests.
Op basis van de scan doet SURFmailfilter het volgende:
Als de mail een virus bevat, wordt de mail (al naar gelang de instelling)
geweigerd tijdens de SMTP-sessie (Reject), of gewist (Discard).
Virusscanning is erg trefzeker, en het gebruik van ‘Discard’ is daarom
standaard binnen SURFmailfilter.
Mail met gevaarlijke (Windows-)attachments (bijvoorbeeld *.exe-
bestanden) kan worden geweigerd als u deze optie hebt aangevinkt.
Als de mail op basis van de spamregels (zie paragraaf 2.3) niet als spam
wordt aangemerkt, wordt de mail geaccepteerd en doorgestuurd naar de
geadresseerde.
De mail krijgt op basis van verschillende tests (en spamregels) een
bepaalde score. Het gedrag van SURFmailfilter is te beïnvloeden op basis
van deze score. Het is mogelijk om:
- De mail te weigeren: dit wordt bepaald door de instellingen
‘AutoReject’ en ‘AutoRejectNoIncident’ (zie paragraaf 5.2);
- De mail te labelen als spam met een header (instelling ‘X-Spam-Flag’:
Yes) en eventueel een indicatie in het subject (instelling ‘SpamTag’)
als de score hoger is dan de waarde bij de instelling ‘HoldTreshold’ (zie
paragraaf 5.2).
Handleiding SURFmailfilter
6
2.3 Spamcontroleregels
De spamcontroleregels, die nader worden uitgelegd in hoofdstuk 5, worden als
volgt op de mail toegepast:
Fig. 1
Hierbij geldt dat de eerste regel die voldoet, wordt uitgevoerd. De mail wordt
dus niet meer op de overige regels gecontroleerd.
2.4 Greylisting
Werking
Greylisting (in het filter ‘Tempfail Unknown Sender’ genoemd) is een methode
voor het blokkeren van veel spam afkomstig van bijvoorbeeld bots en
virussen. Mail van onbekende hosts en met een niet eerder voorgekomen
combinatie van zender, ontvanger, IP-adres, enzovoort wordt bij de eerste
afleverpoging ‘in de wacht gezet’. Dat gebeurt op SMTP-niveau met een ‘450’:
ook wel ‘tempfail’.
Een normale MTA zal proberen de mail opnieuw af te leveren, en heeft dan
pas succes. Een bot of virus is geen echte MTA, voldoet meestal niet aan
RFC’s, probeert het niet vaker, en de spam blijft dus buiten de deur. In de
praktijk blijkt dat erg veel mail vanaf dit soort ‘niet-RFC-compliant’ MTA’s
wordt verzonden. Daardoor kan greylisting heel effectief zijn, ook al wordt
veel spam van dit type al tegengehouden door het ‘normale’ filter. Met name
nieuwe soorten spam verstuurd vanuit bots worden door dit filter effectief
geweerd als de normale content-filtering de spam nog (net) niet kent.
Handleiding SURFmailfilter
7
Weinig vertraging
Een nadeel van de meeste greylisting-implementaties is dat het vertraging
oplevert in de aflevering van e-mail. De manier van greylisting die in
SURFmailfilter wordt toegepast, kent dit nadeel nauwelijks, onder andere door
het gebruik van een database van ‘hosts known to retry’.
Verder heeft SURFnet voor SURFmailfilter meerdere IP-adressen achter een
MX-record, en zijn er meerdere MX-records met daarachter één database.
Hierdoor doet de verzendende MTA direct een nieuwe poging en wordt de mail
meteen toegelaten. Dit komt ook doordat SURFmailfilter de tempfail op een
ander moment in de SMTP-sessie geeft dan de meeste greylisting-
implementaties. De vertraging is dus vrijwel altijd nihil.
Om dit te laten werken moet in het menu Filter Administration > Settings
(zie paragraaf 5.2) de instelling ‘UnknownSenderMinRetryDelay’ op 0 staan
(default). Als die waarde hoger staat, en ‘TempfailUnknownSender’ staat aan,
wordt de tweede direct opvolgende poging niet meteen geaccepteerd, maar
pas minimaal na de tijd in ‘UnknownSenderMinRetryDelay’.
De mail wordt geaccepteerd zodra de tweede poging binnen de
‘UnknownSenderMaxRetryDelay’-periode is (meestal na 1 tot 2 dagen).
40 dagen geen greylisting bij ‘known to retry’ MTA’s
Als een host eenmaal ‘known to retry’ is, laat SURFmailfilter mail van deze
MTA 40 dagen lang door zonder greylisting (en dus potentiële vertraging). Dit
is handig voor het geval er mail komt van (oudere) MTA’s die geen frequente
nieuwe pogingen doen, en niet RFC-compliant zijn. De (legitieme) mail van
deze MTA’s wordt dan met vertraging afgeleverd. In de praktijk zal dit weinig
voorkomen.
Handleiding SURFmailfilter
8
3 I N- EN UI TLOGGEN
U hebt van SURFnet de gegevens gekregen om in te loggen op SURFmailfilter.
U gaat nu als volgt te werk:
1. Ga in uw internetbrowser (bij voorkeur Mozilla Firefox) naar
https://www.mf.surf.net (vergeet de ‘s’ in ‘https’ niet!).
Fig. 2
2. Vul uw gebruikersnaam en wachtwoord in, kies eventueel een andere taal
en klik op Log in.
Als u voor de eerste keer inlogt, is het verstandig om uw wachtwoord direct te
wijzigen in een zelfgekozen wachtwoord. Dat doet u als volgt:
1. Kies uit het menu Preferences > Change password.
2. Voer uw nieuwe wachtwoord (kies dit wachtwoord zo sterk mogelijk) en
het oude wachtwoord in en klik op Change password.
Uw wachtwoord is nu gewijzigd.
Handleiding SURFmailfilter
9
4 DOMEIN IN STEL L EN
4.1 Overzicht
Als u ingelogd bent in SURFmailfilter, ziet u een overzicht van de domeinen
waar u een filter op kunt toepassen.
Fig. 3
Dit zijn uw hoofddomeinen waarvoor de SURFmailfilter-dienst is aangevraagd.
U kunt via SURFnet domeinen aten toevoegen aan de lijst.
4.2 Subdomein toevoegen
Het is mogelijk zelf subdomeinen toe te voegen. Dit doet u door onder
‘Actions’ op Add subdomain te klikken. Vervolgens kunt u dit subdomein
instellen zoals u ook een domein instelt, zie paragraaf 4.3.
4.3 (Sub)domein instellen
Het instellen van een (sub)domein bestaat uit de volgende onderdelen:
Aangeven naar welke mailserver de mail moet worden gerouteerd.
Aangeven of eindgebruikers ook toegang mogen krijgen tot SURFmailfilter,
en zo ja in hoeverre ze wijzigingen kunnen uitvoeren.
Aangeven welke filters toegepast moeten kunnen worden in dit domein.
Hieronder wordt uitgelegd wat u per onderdeel precies kunt invullen.
Handleiding SURFmailfilter
10
Mailserver
Fig. 4
Item Beschrijving
Domain name Vul, indien van toepassing, de naam van het nieuwe
subdomein in
Route mail to De DNS-naam of het IP-adres van de mailserver waarop de
mail van het betreffend domein moet worden afgeleverd.
Wilt u meerdere servers opgeven die de mail kunnen
aanpakken, zet ze dan onder elkaar in het invoervak. Deze
servers worden in chronologische volgorde afgewerkt.
Om load-balancing toe te passen is het ook mogelijk om
hier een MX-record op te nemen. Hiervoor moet u wel het
volgende doen:
1. Kies uit het menu Setup > Domain Routing en kies
Edit bij het betreffende domein.
2. Zet ‘Treat route entries as MX records’ aan.
Deze optie is nog niet beschikbaar voor recipient
verification, maar past wel load-balancing toe in de
aflevering van de mail (op basis van de al dan niet
gelijkwaardige prioriteit in de MX-records).
Let op: deze settings worden overschreven bij het
aanpassen van een setting voor het domain in de
Domain Administration.
Handleiding SURFmailfilter
11
Recipient address
verification
Stel in of, en zo ja hoe geverifieerd moet worden of het
ontvangende e-mailadres echt bestaat:
No recipient address verification: geen verificatie.
Verification against ‘route-to’ host: verificatie met de
‘route-to’ host. Zijn er meer ‘route-to’ hosts
opgenomen, dan wordt de eerste genomen voor
verificatie.
Verificatie against specified host: vul een andere host
in waarop de verificatie wordt uitgevoerd.
Recipient address verification is belangrijk om de
zogenaamde collateral spam (of backscatter) tegen te
gaan. Dit is e-mail die wordt verzonden naar niet-
bestaande adressen. De mailserver moet dan een
foutmelding sturen naar de oorspronkelijke afzender. Deze
is bij spam vaak ‘geforged’, waardoor een onschuldige
derde de bounce-melding krijgt. Hierin kan ook een virus
of spam-bericht verstopt zijn.
De beste plaats om spam te blokkeren is op het moment
dat de mail binnenkomt op het SURFmailfilter-platform.
Daarvoor zet u ‘Recipient address verification’ aan.
SURFmailfilter bepaalt dan via een korte SMTP-sessie naar
de mailhost van uw instelling of een adres binnen een
bepaald domein bestaat of niet.
Om adresverificatie te kunnen toepassen, moet uw eigen
mailserver ook onderscheid maken in recipients via SMTP.
Raadpleeg hiervoor de handleiding van de mailserver.
Onder UNIX is een dergelijke functionaliteit vaak geen
probleem. Voor bijvoorbeeld Microsoft Exchange is een
kennisbankartikel beschikbaar bij Microsoft om dit aan te
zetten: http://support.microsoft.com/kb/823866/%236.
Het gaat om de ‘Create a recipient filter’ en vooral de
laatste ‘Filter recipients who are not in the directory’.
Hebt u vragen over recipient address verification, aarzel
dan niet om contact op te nemen met SURFnet. Het is een
belangrijke manier om (collateral) spam tegen te gaan,
beperkt de belasting op uw mailserver en beschermt de
reputatie van uw mailserver.
Action if verification
server is unavailable
Geef aan wat er met de mail moet gebeuren als deze niet
geverifieerd kan worden:
Tempfail mail: de mail wordt tijdelijk geweigerd. De
afzender krijgt een temporary failure code, en moet
later opnieuw proberen deze mail af te leveren. Elke
RFC-compliant MTA zal dit ook doen.
Queue mail: de mail wordt geaccepteerd (zonder
verificatie) om (later) te worden afgeleverd. De
werking hiervan is vergelijkbaar met een ‘MX fallback’.
Handleiding SURFmailfilter
12
Toegang eindgebruikers
Een authenticatiekoppeling is per domein nodig om eindgebruikers te
mogelijkheid te bieden om:
binnen SURFmailfilter instellingen te laten aanpassen
mail te laten trainen (trainen is niet noodzakelijk om het filter goed te
laten functioneren, maar het kan zinvol zijn om bijvoorbeeld false
positives of negatives te trainen)
een selectie te laten maken uit een aantal profielen/filters
aliassen aan te laten maken
Fig. 5
Item Beschrijving
Authentication method Geef aan hoe de authenticatie moet plaatsvinden:
POP3
IMAP
Other: in dit geval gebruikt u externe authenticatie
(zie hoofdstuk 6)
Authentication server Vul in via welke POP3- of IMAP-server authenticatie plaats
moet vinden.
Strip domain name Een gebruiker logt in met een gebruikersnaam@domein.
Kies ‘Yes’ als de authenticatie op de mailserver plaats
moet vinden met alleen de gebruikersnaam
Kies ‘No’ als de authenticatie op de mailserver plaats
moet vinden met gebruikersnaam@domein.
Validate Server
Certificate
Geef aan of het servercertificaat gevalideerd moet worden,
bij gebruik van TLS of SSL.
Handleiding SURFmailfilter
13
Encryption Settings Vul het type encryptie in, en kies of het certificaat van de
mailserver geverifieerd moet worden tegenover de
bekende certificate authorities (CA):
Require SSL
Require TLS
Do not use SSL/TLS even if available
Use SSL/TLS if available
U kunt instellen welk filter eindgebruikers ter beschikking hebben en of ze
hierop wijzigingen mogen uitvoeren.
Wijzigingen die worden aangebracht door eindgebruikers, worden
opgeslagen in een eigen filter, dus niet in het aan het domein
gekoppelde filter. Ze zijn dus niet van toepassing op andere adressen of
domeinen die hetzelfde filter gebruiken.
Fig. 6
Item Beschrijving
Standard filter Kies het standaardfilter dat gebruikt moet worden voor de
mailaccounts binnen het domein.
Allow changes Bepaal wat eindgebruikers mogen wijzigen aan de
standaard SURFmailfilter-instellingen:
‘End users always use standard filter’: gebruikers
gebruiken altijd het standaard filter voor dit domein.
‘End user scan select a filter’: gebruikers hebben
keuze uit een aantal filters die u selecteert onder
‘Available filters’. Deze filters zijn een soort profielen.
‘End user scan create a custom filter’: gebruikers
kunnen verfijnde instellingen doen (op basis van een
gekozen filter). Een gebruiker kan de optie ‘Enable
Customization’ aanvinken en krijgt dan meer keuzes in
het menu.
Handleiding SURFmailfilter
14
Beschikbare filters
Fig. 7
In de lijst ‘Available Filters’ kan kunt u aanvinken welke filters beschikbaar
zijn voor eindgebruikers (na authenticatie) binnen dit (sub)domein.
Handleiding SURFmailfilter
15
5 FIL TERS
5.1 Overzicht
SURFnet levert bij SURFmailfilter een standaardfilter, genaamd ‘default’. In dit
hoofdstuk leest u hoe u dit filter aan uw eigen wensen kunt aanpassen en hoe
u nieuwe filters instelt.
Als u Filter administration kiest, krijgt u een overzicht van de beschikbare
filters.
Fig. 8
Om een filter te bewerken, klikt u in het ‘Filters’ hoofdvenster op het
betreffende filter. Klik op Add om een filterdefinitie toe te voegen. Het filter
vanwaaruit op Add geklikt wordt dient als basis voor het nieuwe filter.
Handleiding SURFmailfilter
16
Fig. 9
U kunt nu een aantal aspecten van het filter bewerken:
Settings: diverse instellingen
Basic Rules: beheer van blacklist en whitelist van hosts, domeinen of
adressen
Custom Rules: beheer van specifieke regels om de mail te filteren
Mismatch Rules: beheer van regels die controleren of het domein van de
afzender overeenkomt met het domein van de SMTP relay.
RBL Rules: beheer van RBL’s (real-time blacklists)
MIME Type Rules: beheer van MIME type regels
Filename Extension Rule: beheer van regels die mail op bestandextensies
van bijlagen filteren
Handleiding SURFmailfilter
17
5.2 Settings
Onder de settings kunt u de volgende gegevens invullen:
Item Beschrijving
AutoReject Als een bericht een hogere score heeft dan de waarde die u
hier invult, wordt het automatisch geweigerd. De
standaardinstelling van SURFnet is hier vrij terughoudend. Al
naar gelang de gebruikersgroep kan het wenselijk zijn deze
waarde te verlagen, bijvoorbeeld naar een score tussen de 8
en 15.
AutoRejectNoIncident Vul hier dezelfde waarde in als bij AutoReject.
HoldThreshold Als een bericht een hogere score heeft dan de waarde die u
hier invult, wordt het als spam aangemerkt door middel van
een tag in de headers van de mail (instelling ‘X-Spam-Flag’:
Yes) en eventueel in het subject (instelling ‘SpamTag’).
MaxMessageSize Vul hier de maximale omvang van een bericht in (in kB).
Let op: berichten kleiner dan 100 kB worden
veiligheidshalve niet geweigerd.
RejectBogusMX Vul hier in wat SURFmailfilter moet doen met foutieve MX-
records op de domeinen van de verzender:
No: het domein van de afzender moet niet gecheckt
worden op foutieve MX-records.
Loopback: mail vanaf een domein met loopback adres in
het MX-record (127.0.0.0/8) wordt geweigerd.
All-bogus: mail vanaf een domein met MX-records naar
een adres in de volgende ranges wordt
geweigerd:10.0.0.0/8, 127.0.0.0/8, 172.16.0.0/12,
192.168.0.0/16, 169.254.0.0/16, 224.0.0.0/4,
240.0.0.0/5, 0.0.0.0/32, 255.255.255.255/32.
VirusHandling Vul in wat er moet gebeuren met mails die een virus
bevatten:
Accept: accepteren (niet aan te raden)
Discard: weggooien (standaard)
Reject: weigeren (blokkade op SMTP-niveau)
Handleiding SURFmailfilter
18
EXEHandling Vul in wat er moet gebeuren met mails die een Windows
executable bevatten. Dit zijn bestanden met de volgende
extensies:
Let op: de geselecteerde actie wordt uitgevoerd op de
hele mail, niet alleen op het attachment.
De mail wordt tijdens de SMTP-sessie geweigerd, waardoor
de verzendende MTA de verantwoordelijkheid heeft dit te
rapporteren aan de verzender.
SpamTag Vul in welke tekst toegevoegd moet worden aan het
onderwerpveld van een als spam gemarkeerd bericht. De
volgende argumenten kunnen daarin worden opgenomen:
%* wordt vervangen door een reeks asterisken. Het
aantal asterisken geeft de spamscore aan.
%? wordt vervangen door de reden waarom het bericht
als spam wordt aangemerkt.
%d wordt vervangen door de spamscore (bijv. 13.6)
%h wordt vervangen door de spamscore met
voorloopnullen (bijv. 0013)
%p wordt vervangen door de Bayes-waarschijnlijkheid
(waarde tussen 0 en 1). De Bayes-waarschijnlijkheid
wordt hoger naarmate er in de mail meer woorden of
woordgroepen voorkomen die zijn opgenomen in de
Bayes-database.
%% wordt vervangen door een procentteken.
De standaardwaarde is [Spam:%*], wat gebruikers in staat
stelt om te zien dat het bericht als spam is opgemerkt, en
hoe zeker het filter hier over is.
TempfailUnknownSend
ers
Vul in of berichten van onbekende afzenders de eerste keer
wel (Yes) of niet (No) moeten worden tegengehouden.
Servers die spam versturen, proberen het vaak maar één
keer, terwijl valide servers het vaker proberen. Hun mail
komt dan wel door het filter.
De ‘TempfailUnknownSenders’ optie is een greylisting-
implementatie. Zie paragraaf 2.4 voor meer uitleg over
greylisting.
ade adp app asd asf asx bas bat chm cmd
com cpl crt dll exe fxp hlp hta hto inf
ini ins isp js jse lib lnk mdb mde msc
msi msp mst ocx pcd pif prg reg scr sct
sh shb shs sys url vb vbe vbs vcs vxd
wmd wms wmz wsc wsf wsh
Handleiding SURFmailfilter
19
UnknownSenderMinRet
ryDelay
Vul in hoe lang minimaal gewacht moet worden (in minuten)
voordat een volgende verstuurpoging van een onbekende
afzender mag worden geaccepteerd. Standaard is dit 0
minuten, waardoor mail bij gebruik van greylisting (bij RFC
compliant MTA’s bij de verzendende partij) geen vertraging
krijgt en direct geaccepteerd wordt. Deze optie stelt u in
staat om agressiever te zijn in het accepteren van mail na
greylisting.
UnknownSenderMaxRe
tryDelay
Vul in hoe lang maximaal gewacht mag worden (in minuten)
voordat een volgende verstuurpoging van een onbekende
afzender moet worden geaccepteerd. Dit is de maximale tijd
waarin de mail van een onbekende afzender als 'herhaling'
(bekend) wordt gezien. Buiten deze tijd wordt de mail van
de 'onbekende' afzender als 'nieuw' gezien en begint de
greylisting-cyclus opnieuw.
UseBayesian Vul in of Bayesiaanse analyse wel (Yes) of niet (No) moet
worden toegepast.
Bayesiaanse filtering is een intelligente techniek om de
inhoud van de mail op statistische wijze te analyseren. De
filtering is een effectieve methode om spam tegen te gaan,
en gebruikt een trefzekerder techniek dan de standaard
Bayesiaanse filters van andere antispam-producten (zoals de
standaard Bayesiaanse filtering van SpamAssassin).
Het is overigens af te raden om Bayesiaanse filtering uit te
schakelen. Als u dit wel doet, is het belangrijk om andere
instellingen binnen SURFmailfilter aan te passen (denk aan
het gebruik van TempfailUnknownSender, en agressiever
gebruik van RBL blacklists), omdat Bayesiaanse filtering een
groot deel van de effectiviteit van SURFmailfilter voor zijn
rekening neemt.
StoreBayesSignatures Vul in of Bayesiaanse training wel (Yes) of niet (No) moet
worden toegepast.
BayesAddLinksIfWhitel
isted
Vul in of berichten van afzenders op de whitelist wel (Yes) of
geen (No) trainingslinks krijgen.
Vult u hier ‘Yes’ in, dan wordt de mail gebruikt om het
SURFmailfilter te ‘leren’ onderscheid te maken tussen spam
en niet-spam.
BayesAddHeaders Vul in of trainingslinks wel (Yes) of geen (No) moeten
worden toegevoegd aan de header van het bericht. Op basis
van deze headers is het mogelijk om via een URL het
mailbericht te trainen. Hiervoor moet authenticatie voor de
eindgebruikers op het betreffende domein aangezet worden.
Het is mogelijk om traininglinks toe te voegen in de body
van de mail, maar dat is niet aan te raden. Wilt u dit toch
(proberen), neem dan contact op met SURFnet.
Handleiding SURFmailfilter
20
Enable Spam Scanning Vul in of de inkomende mail wel (Yes) of niet (No) op spam
gefilterd moet worden.
Klik na bewerking van de settings op:
Submit changes om de wijzigingen door te voeren.
Back to filter list (ignore changes) om terug te gaan naar het
hoofdvenster zonder de wijzigingen door te voeren.
5.3 Basic rules
Fig. 10
Hier stelt u een lijst met afzenders op die altijd toegestaan worden (whitelist)
en een lijst met afzenders die altijd geweerd worden (blacklist). Afzenders
kunnen mailadressen, IP-adressen, domeinnamen of hosts zijn.
Het toevoegen van hosts heeft in de regel meer zin dan domeinen of
individuele adressen. Een adres werkt op basis van het envelope-sender
adres, en kan eenvoudig `gespoofd' worden door een spammer. Merk op dat
het hier gaat om de envelope sender: het is niet de waarde die in de ‘From:’ -
header van de mail is terug te vinden maar het adres dat tijdens de SMTP-
sessie wordt aangeboden.
Neem bij voorkeur hosts of adressen op waarvan zeker is dat de host
betrouwbaar is, en waarvan de filtering op orde is. Denk er ook aan dat een
host wel betrouwbaar kan zijn, maar mail kan forwarden (bijvoorbeeld voor
mailinglijsten) waarvan de filtering slechter is. Op die manier kan er toch nog
spam doorkomen.
Handleiding SURFmailfilter
21
1. Vul een of meer afzenders in het tekstvak in, elk op een nieuwe regel.
Voeg per regel eventueel commentaar toe met behulp van een ‘;’.
Bijvoorbeeld: ‘surfnet.nl ; our provider’
2. Klik op Add to blacklist of op Add to whitelist.
De afzender(s) zijn nu toegevoegd aan de whitelist of de blacklist.
U kunt een afzender verwijderen door hem aan te vinken en op Remove
selected te klikken.
5.4 Custom rules
Fig. 11
OPSTELLEN
Hier geeft u een aantal specifieke regels voor het filteren van mail. Feitelijk
kent u een score toe aan het voorkomen van bepaalde informatie in de
verschillende onderdelen van een mail (‘velden’ genoemd). Op basis van de
totaalscore die een bericht krijgt, wordt bepaald wat ermee moet gebeuren.
1. Vul voor elke regel de volgende onderdelen in:
Field: het veld waarop de regel betrekking heeft:
Item Beschrijving
Subject Onderwerp van het bericht.
Sender SMTP envelope-sender; deze is niet noodzakelijk identiek
aan inhoud van het From-veld van de mail.
Recipient SMTP envelope ontvanger; deze is niet noodzakelijk
identiek aan inhoud van het To- of CC-veld van de mail.
Handleiding SURFmailfilter
22
HELO Wat door de zender ingevuld wordt bij het SMTP-
commando ‘HELO’ of ‘EHLO’. Door uw servernaam in te
vullen in het HELO-commando, denken spammers dat de
mail eerder wordt geaccepteerd. Dit kunt u ondervangen
met een HELO-regel.
Relay De hostnaam van de MTA (mailserver) waar de mail
vandaan komt, zoals vastgesteld door een reverse DNS-
lookup. Als deze lookup geen resultaat geeft, wordt de
relay-naam automatisch het IP-adres tussen vierkante
haken, bijvoorbeeld: [127.0.0.1]
Relay Address Het IP-adres van de relay waar de mail vandaan komt.
Header Inhoud van de header. De regel die u hier invult, is van
toepassing op alle regels in de header.
Body De inhoud van de mail. Deze regels zijn van toepassing op
gedecodeerde onderdelen van de mail, nadat MIME-inhoud
is gedecodeerd.
Raw Body De ongedecodeerde inhoud van het bericht, inclusief de
headers en ongedecodeerde MIME-inhoud. Voor de meeste
gevallen volstaan Body-regels in plaats van Raw Body-
regels.
Relation: de manier waarop het veld en de gezochte informatie worden
vergeleken:
Item Beschrijving
Contains De regel is waar als het veld de opgegeven string bevat.
Dit is niet hoofdlettergevoelig en spaties worden
overgeslagen. Bijvoorbeeld: de string ‘CHTCEN’ komt voor
in ‘Utrecht Centraal’.
Starts with De regel is waar als het veld begint met de opgegeven
string. Dit is niet hoofdlettergevoelig.
Ends with De regel is waar als het veld eindigt met de opgegeven
string. Dit is niet hoofdlettergevoelig.
RegExp matches De opgegeven string wordt beschouwd als een reguliere
expressie uit Perl. Deze regel werkt hoofdlettergevoelig.
Let op: als u een foutieve reguliere expressie
invoert, krijgt u in geen geval een match, maar komt
er een foutmelding in de maillog.
Does not contain De regel is waar als de opgegeven string niet voorkomt in
het veld.
Is De regel is waar als het veld precies overeenkomt met de
opgegeven string. Dit is hoofdlettergevoelig.
Handleiding SURFmailfilter
23
Data: string (of regular expression) waarop gescand moet worden.
Score: score die aan de mail moet worden toegekend als hij aan de regel
voldoet. Hoe hoger de score, hoe groter de kans dat een mail die aan deze
regel voldoet, spam is.
Tip: U kunt hier ook een negatieve waarde invullen, als u wilt dat een
mail die voldoet aan de regel, juist niet als spam wordt gezien. U kunt er
zo bijvoorbeeld voor zorgen dat mail met als onderwerp de
vertrouwelijke code ‘altijd_doorlaten-5432’ nooit als spam wordt gezien:
maak een regel ‘Als het Subject ‘altijd_doorlaten-5432’ bevat, ken dan
de score -2000 toe’.
Tip 2: als u wilt dat het voldoen aan een regel automatisch leidt tot het
weigeren van mail, kunt u een heel hoge score toekennen aan de regel,
bijvoorbeeld 3000.
Comment: commentaar, optioneel toe te voegen.
Klik op Add rule.
2. De regel wordt nu toegevoegd in het overzicht.
WIJZIGEN
U kunt de toegevoegde regels wijzigen door de velden aan te passen en
vervolgens op Submit changes te klikken.
VERWIJDEREN
U kunt regels verwijderen door ze aan te vinken onder ‘Delete?’ en vervolgens
op Submit changes te klikken.
SELECTIE TONEN
Hebt u veel regels ingesteld, dan kan het handig zijn om snel een selectie van
regels in beeld te brengen met een filter:
1. Vul achter de knop Filter een string in die voorkomt in een van de velden
van de regels die u zoekt, bijvoorbeeld ‘contains’, ‘offer’ of ‘subject’.
2. Klik op Filter.
De regels die voldoen aan het filter, worden getoond.
Handleiding SURFmailfilter
24
5.5 Mismatch rules
Fig. 12
Mismatch-regels controleren of het domein van de mailafzender overeenkomt
met het domein van de SMTP relay. Komen deze niet overeen, dan kan de
mail als spam worden aangemerkt. Dit kan handig zijn omdat spam vaak
gebruikmaakt van gefingeerde afzenderadressen van bijvoorbeeld Hotmail.
Door via een reverse DNS-lookup te controleren of een mail ook echt van
Hotmail komt, kan gecheckt worden of het spam is.
Het is echter niet aan te bevelen om deze regel standaard te gebruiken. Het
komt ook in normale situaties vaak voor dat de domeinnaam van de mail niet
overeenkomt met de het domein van de SMTP relay Het is bijvoorbeeld niet
verplicht om mail vanaf gmail.com ook via de servers van gmail te versturen,
bijvoorbeeld. Gebruik mismatch-regels alleen voor grote, bekende
internetdomeinen van wie het zeker is dat ze goede reverse-DNS configuraties
hebben. SURFnet kan dit ook (met voorzichtigheid en terughoudendheid (geen
reject)) toepassen in het default filter waar dat verstandig lijkt.
AANMAKEN
Ga als volgt te werk:
1. Vul voor elke regel de volgende velden in:
Sender domain: internetdomein waarvandaan de afzender zijn mail zegt te
sturen.
Relay match: SMTP relay domein waarvan de mail vandaan moet komen.
Action: actie die uitgevoerd moet worden als er een mismatch is:
- Hold: mail die een mismatch geeft, wordt vastgehouden.
- Reject: mail die een mismatch geeft, wordt geweigerd.
Handleiding SURFmailfilter
25
- Score: mail die een mismatch geeft, krijgt een score; vul de score in in
de kolom ‘Score’.
Score: score die aan de mail moet worden toegekend als er een mismatch
is.
Comment: commentaar, optioneel toe te voegen.
2. Klik op Submit changes.
De regel wordt nu toegevoegd aan het overzicht.
WIJZIGEN
U kunt de toegevoegde regels wijzigen door de velden aan te passen en
vervolgens op Submit changes te klikken.
VERWIJDEREN
U kunt regels verwijderen door ze aan te vinken onder ‘Delete?’ en vervolgens
op Submit changes te klikken.
SELECTIE TONEN
Hebt u veel regels ingesteld, dan kan het handig zijn om snel een selectie van
regels in beeld te brengen met een filter:
1. Vul achter de knop Filter een string in die voorkomt in een van de velden
van de regels die u zoekt.
2. Klik op Filter.
De regels die voldoen aan het filter, worden getoond.
5.6 RBL rules
Fig. 13
Handleiding SURFmailfilter
26
RBL staat voor real-time blacklist. Een RBL is een lijst met hosts waarvan
bekend is dat er spam vandaan komt. SURFnet stelt een aantal RBL’s
beschikbaar. U kunt zelf bepalen wat er moet gebeuren met mail van hosts die
op een bepaalde RBL staan. Het default filter is reeds voorzien van zinvolle
waardes en kan al naar gelang het laatste inzicht door SURFnet worden
aangepast.
Let op: SURFnet voegt ook whitelists toe. Pas op deze whitelists alleen
een ‘Ignore’ of negatieve score toe. Bij ‘Reject’ wordt valide mail van
mailservers (ook die van uzelf) geweigerd! Let op de Description van de
blacklist bij het aanpassen van de Action of Score.
Ga als volgt te werk:
1. Vul voor elke RBL de volgende velden in:
Action:
- Ignore: deze RBL is uitgeschakeld.
- Hold: mail van een host in deze RBL wordt vastgehouden.
- Reject: mail van een host in deze RBL wordt geweigerd.
- Score: mail van een host uit deze RBL krijgt een score; vul de score in
in de kolom ‘Score’.
Score: score die aan de mail moet worden toegekend als er een mismatch
is.
Comment: commentaar, optioneel toe te voegen.
2. Klik op Submit changes om de regels te activeren.
5.7 MIME type rules
Fig. 14
Handleiding SURFmailfilter
27
Mail-attachments van bepaalde MIME-typen kunnen risico’s met zich
meebrengen. U kunt hier regels opstellen voor de afhandeling van
verschillende MIME-typen. Het is vooral aan te raden een regel op te stellen
voor het MIME-type ‘message/partial’, aangezien dit in het bijzonder
gevaarlijk kan zijn.
U kunt per regel een afzonderlijke actie instellen voor afzenders die op de
whitelist staan.
REGEL TOEVOEGEN
Ga als volgt te werk:
1. Vul het MIME-type in en klik op Add rule.
Fig. 15
2. Vul de volgende velden in:
General action: de actie die moet worden ondernomen als een attachment
met het opgegeven MIME-type wordt gevonden:
- No change: er wordt geen actie uitgevoerd.
- Accept: de mail wordt geaccepteerd; de mail kan nog wel geweigerd
worden op basis van andere regels.
- Reject: de mail wordt geweigerd.
- Discard: de mail wordt verwijderd.
- Delete from table: de betreffende MIME type wordt verwijderd uit de
tabel waarop acties moeten worden uitgevoerd.
Action for whitelisted senders: de actie die wordt ondernomen als het
MIME-type wordt aangetroffen, maar de afzender op de whitelist staat.
Comment: commentaar, optioneel toe te voegen.
3. Klik op Submit changes om de regel in te stellen.
Handleiding SURFmailfilter
28
WIJZIGEN
U kunt een regel wijzigen door velden te wijzigen en op Submit changes te
klikken. Met de knop Reset maakt u nog niet bevestigde wijzigingen
ongedaan.
5.8 Filename extension rules
Fig. 16
U kunt mail filteren op de bestandsnaamextensie van attachments. U kunt per
regel een afzonderlijke actie instellen voor afzenders die op de whitelist staan.
REGEL TOEVOEGEN
Ga als volgt te werk:
1. Vul de bestandsnaamextensie in en klik op Add rule.
Let op: laat de punt uit de extensie weg, dus ‘exe’ in plaats van ‘.exe’.
Fig. 17
Handleiding SURFmailfilter
29
2. Vul de volgende velden in:
General action: de actie die moet worden ondernomen als een attachment
met de opgegeven bestandsnaamextensie wordt gevonden:
- No change: er wordt geen actie uitgevoerd.
- Accept: de mail wordt geaccepteerd; de mail kan nog wel geweigerd
worden op basis van andere regels.
- Reject: de mail wordt geweigerd.
- Discard: de mail wordt verwijderd.
- Delete from table: de betreffende MIME type wordt verwijderd uit de
tabel waarop acties moeten worden uitgevoerd.
Action for whitelisted senders: de actie die wordt ondernomen als de
bestandsnaamextensie wordt aangetroffen, maar de afzender op de
whitelist staat.
Comment: commentaar, optioneel toe te voegen.
3. Klik op Submit changes om de regel in te stellen.
WIJZIGEN
U kunt een regel wijzigen door velden te wijzigen en op Submit changes te
klikken. Met de knop Reset maakt u nog niet bevestigde wijzigingen
ongedaan.
5.9 Filter toevoegen
U kunt een nieuw filter toevoegen dat gebaseerd is op een van de reeds
aanwezige filters. Alle instellingen die niet expliciet worden aangepast in het
nieuwe filter worden ‘overgeërfd’ van het default filter. Bij het dupliceren
worden de expliciete settings van het oorspronkelijke filter overgenomen.
Handleiding SURFmailfilter
30
6 EXTERN E A UTH EN TI CA TI E
SURFmailfilter kan werken met een ingebouwde gebruikerslijst, maar het is
gebruikelijker om normale gebruikers met een externe methode te verifiëren.
Hierdoor is het niet nodig gebruikers op te voeren in het filter.
De meest gebruikelijke vorm daarvoor is een koppeling via IMAP of POP3.
Deze is te maken via de Authentication Settings van de Domain
Administration.
Het is ook mogelijk om LDAP te gebruiken voor de authenticatie. Di t is
bijvoorbeeld zinvol als het mailadres anders is dan de
gebruikersnaam(@domain) op de IMAP- of POP3-server. Om dit in te stellen,
moet u het volgende doen:
1. Een user lookup definiëren. Een user lookup beschrijft via welke methode
SURFmailfilter gebruikersinformatie uit externe bronnen moet ophalen.
2. Een authentication mapping maken. Deze geeft aan welke user lookup
SURFmailfilter moet gebruiken voor een bepaald domein.
6.1 User lookup definiëren
Ga als volgt te werk:
1. Kies uit het menu Setup > User lookups.
Fig. 18
2. Klik op Add a new user lookup.
3. Voer een naam voor de lookup in en klik op Next.
4. Kies bij ‘Method’ voor LDAP (Generic)’ of ‘LDAP (Active Directory)’, voer
eventueel commentaar in en klik op Next.
Handleiding SURFmailfilter
31
Fig. 19
5. Vul de settings in en klik op Next.
Item Beschrijving
Use this method for
authentication?
Kies ‘Yes’ als deze methode gebruikt moet worden voor
authenticatie.
LDAP server(s) Vul het IP-adres of hostnaam van de LDAP-server(s) in.
Scheid servernamen met een komma. Als de LDAP-server
luistert op een niet-standaard poort, geef dit dan als volgt
aan: ‘servernaam/3389’.
Load-balance LDAP
servers
Kies ‘Yes’ als SURFmailfilter de LDAP-server in willekeurige
volgorde moet benaderen.
Base DN Vul de base DN van de LDAP-tree in.
Bind DN Vul de base DN in.
Bind password Als er om te binden een wachtwoord nodig is, vul dat dan
hier in.
Reconnect for additional
queries?
Sommige LDAP-servers vereisen dat SURFmailfilter tussen
query’s de verbinding verbreekt, weer herstelt en opnieuw
bindt. Kies in dat geval ‘Yes’.
Search filter for login
authentication
Vul het zoekfilter voor login authenticatie in. ‘%s’ wordt
vervangen door de gebruikersnaam.
Handleiding SURFmailfilter
32
Strip domain name from
login prior to
authentication?
Een gebruiker logt in met een gebruikersnaam@domein.
Kies ‘Yes’ als de authenticatie op de mailserver plaats
moet vinden met alleen de gebruikersnaam
Kies ‘No’ als de authenticatie op de mailserver plaats
moet vinden met gebruikersnaam@domein.
Attribute containing
user’s e-mail address
Vul het attribuut in waar e-mailadressen in opgenomen
zijn. Meestal is de default waarde juist.
Attribute containing
group names
Vul een LDAP-attribuut in als u groepslidmaatschap wil
beheren via LDAP.
Use this method for
streaming?
Kies ‘Yes’ als u de LDAP-server wilt gebruiken om adressen
te streamen.
Search filter for
streaming
Vul het zoekfilter in waarmee e-mailadressen opgezocht
moeten worden in de LDAP-server. Meestal is de default
waarde juist.
Force stream name to
lower-case?
Kies ‘Yes’ als de streamnamen in kleine letters moeten
worden omgezet.
Cache stream lookups in
database
Kes ‘Yes’ als de stream lookups in de database in een
cache bewaard moeten worden.
Attribute containing
stream name
Vul het LDAP-attribuut in waarin de streamnaam staat.
Meestal is de default waarde juist.
Action if stream
attribute missing
Selecteer de actie die SURFmailfilter moet uitvoeren als
het attribuut ontbreekt.
Connect timeout in
seconds for streaming
Vul in na hoeveel tijd een poging tot verbinden met de
LDAP-server, moet worden gestaakt.
6. Controleer de gegevens die u hebt ingevuld en klik op Finish.
SURFmailfilter kan ook LDAP ook gebruiken voor het verifiëren van mail-
adressen (als alternatief voor recipient address verification). Het is aan
te raden om de resultaten hier te cachen (‘Cache stream lookups in
database’) om uw LDAP-server niet te veel te belasten en vertragingen
te voorkomen. Door de ‘Attribute containing stream name’ aan te passen
is het mogelijk voor meerdere adressen dezelfde ‘stream’ te gebruiken
(en daarmee dezelfde training.)
Als LDAP alleen gebruikt moet worden voor authenticatie, moet ‘Search
filter for streaming’ op ‘No’ staan.
Handleiding SURFmailfilter
33
6.2 Authentication mapping maken
U kunt nu de user lookup-methode toekennen aan een domein. Ga als volgt te
werk:
1. Kies uit het menu Setup > Authentication mappings.
Fig. 20
2. Vul het domein waaraan u de user lookup-methode wilt toekennen en
selecteer de methode onder ‘Mapping’.
3. Klik op Submit changes om te bevestigen.