Handleiding SURFmailfilter

SURFNET BV , RADBOUDKWARTIER 273, POSTBUS 19035, 3501 DA UTRECHT

T +31 302 305 305, F +31 302 305 329, WWW .SURFNET .NL

Hand l e i d i ng SURFma i l f i l t e r

versie 1.1, mei 2008

Handleiding SURFmailfilter

2

I NH OUD

1 Inleiding ................................................................................. 3

2 Hoe werkt SURFmailfilter? ............................................................ 4

2.1 Overzicht.......................................................................... 4

2.2 Mailafhandeling .................................................................. 4

2.3 Spamcontroleregels ............................................................. 6

2.4 Greylisting ........................................................................ 6

3 In- en uitloggen ........................................................................ 8

4 Domein instellen ....................................................................... 9

4.1 Overzicht.......................................................................... 9

4.2 Subdomein toevoegen .......................................................... 9

4.3 (Sub)domein instellen ........................................................... 9

5 Filters ................................................................................... 15

5.1 Overzicht......................................................................... 15

5.2 Settings .......................................................................... 17

5.3 Basic rules ....................................................................... 20

5.4 Custom rules .................................................................... 21

5.5 Mismatch rules .................................................................. 24

5.6 RBL rules ........................................................................ 25

5.7 MIME type rules ................................................................ 26

5.8 Filename extension rules ...................................................... 28

5.9 Filter toevoegen ................................................................ 29

6 Externe authenticatie ................................................................. 30

6.1 User lookup definiëren ......................................................... 30

6.2 Authentication mapping maken ............................................... 33


3

1 I NL EI DI NG

Met SURFmailfilter hebt u een service ter beschikking om spam en virussen uit

uw mailverkeer te weren of te onderscheiden. U kunt zelf filters samenstellen

of de filters gebruiken die SURFnet voorgedefinieerd heeft.

SURFmailfilter is onder andere krachtig omdat het gebruikmaakt van een

wereldwijde database met spaminformatie. Deze database wordt steeds

bijgewerkt, waardoor steeds beter kan worden bepaald of mail spam is of niet.

Door SURFmailfilter te gebruiken draagt u overigens bij aan het bijwerken van

deze database. Er zijn nog een aantal andere technieken die bijdragen aan het

resultaat van spamtests.

SURFmailfilter kent een groot aantal geavanceerde instellingen. Hier hoeft u

zich niet meteen in te verdiepen. U kunt snel aan de slag door uw domein(en)

in te stellen en daaraan de voorgedefinieerde filters te koppelen.

SURFmailfilter bestaat onder andere uit het product Canit PRO van Roaring

Penguin Software Inc. (www.roaringpenguin.com).

Hebt u vragen of commentaar, dan kunt u altijd contact opnemen met

SURFnet.

http://www.roaringpenguin.com/


4

2 H OE WERKT SURF ma i l f i l t er ?

2.1 Overzicht

SURFmailfilter scant de mail voordat die naar uw server verstuurd wordt,

bepaalt of het spam is, en vervolgens wat ermee moet gebeuren. Er zijn drie

mogelijkheden. Mail kan worden:

geaccepteerd, al dan niet voorzien van een label waaruit blijkt dat het

spam betreft;

geweigerd aan de poort, tijdens de SMTP-sessie (zodat een verzendende

partij de verantwoordelijkheid heeft voor de foutafhandeling);

weggegooid.

Deze beslissingen worden genomen op basis van de regels die u instelt of

delegeert. Hoe deze regels worden toegepast, leest u in paragraaf 2.3. Bij het

toepassen van de regels wordt aan de mail een score toegekend die

uiteindelijke bepaalt of een mail als spam wordt aangemerkt. Dat betekent dat

de meeste tests in SURFmailfilter op zichzelf geen reden zijn om een mail als

spam te blokkeren of markeren. Pas als meerdere tests negatief uitpakken

voor een mail en de score over een ingestelde drempel gaat, wordt de mail

opgemerkt als spam (en vervolgens gelabeld, geweigerd of verwijderd). De

verschillende tests zijn op instellingsniveau, domein, of mailadres aan te

passen.

Een belangrijke eigenschap van SURFmailfilter is de mogelijkheid om te leren

met behulp van Bayesiaanse analyse. Als u Bayesiaanse analyse instelt, wordt

de inhoud van elke mail gecontroleerd op het voorkomen van woorden en

woordparen die vaak in spam of juist in niet-spam voorkomen. Hierdoor kan

beter bepaald worden of mail aangemerkt moet worden als spam.

2.2 Mailafhandeling

Als een mail binnenkomt op het SURFmailfilter-platform van SURFnet, bekijkt

SURFmailfilter de mail en doet het volgende:

Als de mail van een host of een mailadres komt die op de blacklist staat,

wordt de mail geweigerd.

Als de host op een whitelist staat (dus als u de host altijd volledig

vertrouwt), wordt de mail direct geaccepteerd zonder verdere (spam)tests

uit te voeren.

Als u greylisting hebt ingeschakeld, wordt mail van hosts die onbekend

zijn in eerste instantie tijdelijk geweigerd. Een mailhost die RFC-compliant

is probeert direct (of binnen afzienbare tijd) de mail opnieuw af te leveren.

Spam of spambots doen dit doorgaans niet, omdat ze geen status

bijhouden van de mailaflevering.

Greylisting is een effectieve manier om (ook nog niet bekende) spam van


5

met name bots tegen te houden, en kent binnen SURFmailfilter bijna geen

nadelen (zoals vertraging). Zie paragraaf 2.4 voor meer informatie over

greylisting.

In de overige gevallen wordt de mail gescand met behulp van een aantal

tests.

Op basis van de scan doet SURFmailfilter het volgende:

Als de mail een virus bevat, wordt de mail (al naar gelang de instelling)

geweigerd tijdens de SMTP-sessie (Reject), of gewist (Discard).

Virusscanning is erg trefzeker, en het gebruik van ‘Discard’ is daarom

standaard binnen SURFmailfilter.

Mail met gevaarlijke (Windows-)attachments (bijvoorbeeld *.exe-

bestanden) kan worden geweigerd als u deze optie hebt aangevinkt.

Als de mail op basis van de spamregels (zie paragraaf 2.3) niet als spam

wordt aangemerkt, wordt de mail geaccepteerd en doorgestuurd naar de

geadresseerde.

De mail krijgt op basis van verschillende tests (en spamregels) een

bepaalde score. Het gedrag van SURFmailfilter is te beïnvloeden op basis

van deze score. Het is mogelijk om:

- De mail te weigeren: dit wordt bepaald door de instellingen

‘AutoReject’ en ‘AutoRejectNoIncident’ (zie paragraaf 5.2);

- De mail te labelen als spam met een header (instelling ‘X-Spam-Flag’:

Yes) en eventueel een indicatie in het subject (instelling ‘SpamTag’)

als de score hoger is dan de waarde bij de instelling ‘HoldTreshold’ (zie

paragraaf 5.2).


6

2.3 Spamcontroleregels

De spamcontroleregels, die nader worden uitgelegd in hoofdstuk 5, worden als

volgt op de mail toegepast:

Fig. 1

Hierbij geldt dat de eerste regel die voldoet, wordt uitgevoerd. De mail wordt

dus niet meer op de overige regels gecontroleerd.

2.4 Greylisting

Werking

Greylisting (in het filter ‘Tempfail Unknown Sender’ genoemd) is een methode

voor het blokkeren van veel spam afkomstig van bijvoorbeeld bots en

virussen. Mail van onbekende hosts en met een niet eerder voorgekomen

combinatie van zender, ontvanger, IP-adres, enzovoort wordt bij de eerste

afleverpoging ‘in de wacht gezet’. Dat gebeurt op SMTP-niveau met een ‘450’:

ook wel ‘tempfail’.

Een normale MTA zal proberen de mail opnieuw af te leveren, en heeft dan

pas succes. Een bot of virus is geen echte MTA, voldoet meestal niet aan

RFC’s, probeert het niet vaker, en de spam blijft dus buiten de deur. In de

praktijk blijkt dat erg veel mail vanaf dit soort ‘niet-RFC-compliant’ MTA’s

wordt verzonden. Daardoor kan greylisting heel effectief zijn, ook al wordt

veel spam van dit type al tegengehouden door het ‘normale’ filter. Met name

nieuwe soorten spam verstuurd vanuit bots worden door dit filter effectief

geweerd als de normale content-filtering de spam nog (net) niet kent.


7

Weinig vertraging

Een nadeel van de meeste greylisting-implementaties is dat het vertraging

oplevert in de aflevering van e-mail. De manier van greylisting die in

SURFmailfilter wordt toegepast, kent dit nadeel nauwelijks, onder andere door

het gebruik van een database van ‘hosts known to retry’.

Verder heeft SURFnet voor SURFmailfilter meerdere IP-adressen achter een

MX-record, en zijn er meerdere MX-records met daarachter één database.

Hierdoor doet de verzendende MTA direct een nieuwe poging en wordt de mail

meteen toegelaten. Dit komt ook doordat SURFmailfilter de tempfail op een

ander moment in de SMTP-sessie geeft dan de meeste greylisting-

implementaties. De vertraging is dus vrijwel altijd nihil.

Om dit te laten werken moet in het menu Filter Administration > Settings

(zie paragraaf 5.2) de instelling ‘UnknownSenderMinRetryDelay’ op 0 staan

(default). Als die waarde hoger staat, en ‘TempfailUnknownSender’ staat aan,

wordt de tweede direct opvolgende poging niet meteen geaccepteerd, maar

pas minimaal na de tijd in ‘UnknownSenderMinRetryDelay’.

De mail wordt geaccepteerd zodra de tweede poging binnen de

‘UnknownSenderMaxRetryDelay’-periode is (meestal na 1 tot 2 dagen).

40 dagen geen greylisting bij ‘known to retry’ MTA’s

Als een host eenmaal ‘known to retry’ is, laat SURFmailfilter mail van deze

MTA 40 dagen lang door zonder greylisting (en dus potentiële vertraging). Dit

is handig voor het geval er mail komt van (oudere) MTA’s die geen frequente

nieuwe pogingen doen, en niet RFC-compliant zijn. De (legitieme) mail van

deze MTA’s wordt dan met vertraging afgeleverd. In de praktijk zal dit weinig

voorkomen.


8

3 I N- EN UI TLOGGEN

U hebt van SURFnet de gegevens gekregen om in te loggen op SURFmailfilter.

U gaat nu als volgt te werk:

1. Ga in uw internetbrowser (bij voorkeur Mozilla Firefox) naar

https://www.mf.surf.net (vergeet de ‘s’ in ‘https’ niet!).

Fig. 2

2. Vul uw gebruikersnaam en wachtwoord in, kies eventueel een andere taal

en klik op Log in.

Als u voor de eerste keer inlogt, is het verstandig om uw wachtwoord direct te

wijzigen in een zelfgekozen wachtwoord. Dat doet u als volgt:

1. Kies uit het menu Preferences > Change password.

2. Voer uw nieuwe wachtwoord (kies dit wachtwoord zo sterk mogelijk) en

het oude wachtwoord in en klik op Change password.

Uw wachtwoord is nu gewijzigd.

https://www.mf.surf.net/


9

4 DOMEIN IN STEL L EN

4.1 Overzicht

Als u ingelogd bent in SURFmailfilter, ziet u een overzicht van de domeinen

waar u een filter op kunt toepassen.

Fig. 3

Dit zijn uw hoofddomeinen waarvoor de SURFmailfilter-dienst is aangevraagd.

U kunt via SURFnet domeinen aten toevoegen aan de lijst.

4.2 Subdomein toevoegen

Het is mogelijk zelf subdomeinen toe te voegen. Dit doet u door onder

‘Actions’ op Add subdomain te klikken. Vervolgens kunt u dit subdomein

instellen zoals u ook een domein instelt, zie paragraaf 4.3.

4.3 (Sub)domein instellen

Het instellen van een (sub)domein bestaat uit de volgende onderdelen:

Aangeven naar welke mailserver de mail moet worden gerouteerd.

Aangeven of eindgebruikers ook toegang mogen krijgen tot SURFmailfilter,

en zo ja in hoeverre ze wijzigingen kunnen uitvoeren.

Aangeven welke filters toegepast moeten kunnen worden in dit domein.

Hieronder wordt uitgelegd wat u per onderdeel precies kunt invullen.


10

Mailserver

Fig. 4

Item Beschrijving

Domain name Vul, indien van toepassing, de naam van het nieuwe

subdomein in

Route mail to De DNS-naam of het IP-adres van de mailserver waarop de

mail van het betreffend domein moet worden afgeleverd.

Wilt u meerdere servers opgeven die de mail kunnen

aanpakken, zet ze dan onder elkaar in het invoervak. Deze

servers worden in chronologische volgorde afgewerkt.

Om load-balancing toe te passen is het ook mogelijk om

hier een MX-record op te nemen. Hiervoor moet u wel het

volgende doen:

1. Kies uit het menu Setup > Domain Routing en kies

Edit bij het betreffende domein.

2. Zet ‘Treat route entries as MX records’ aan.

Deze optie is nog niet beschikbaar voor recipient

verification, maar past wel load-balancing toe in de

aflevering van de mail (op basis van de al dan niet

gelijkwaardige prioriteit in de MX-records).

Let op: deze settings worden overschreven bij het

aanpassen van een setting voor het domain in de

Domain Administration.


11

Recipient address

verification

Stel in of, en zo ja hoe geverifieerd moet worden of het

ontvangende e-mailadres echt bestaat:

No recipient address verification: geen verificatie.

Verification against ‘route-to’ host: verificatie met de

‘route-to’ host. Zijn er meer ‘route-to’ hosts

opgenomen, dan wordt de eerste genomen voor

verificatie.

Verificatie against specified host: vul een andere host

in waarop de verificatie wordt uitgevoerd.

Recipient address verification is belangrijk om de

zogenaamde collateral spam (of backscatter) tegen te

gaan. Dit is e-mail die wordt verzonden naar niet-

bestaande adressen. De mailserver moet dan een

foutmelding sturen naar de oorspronkelijke afzender. Deze

is bij spam vaak ‘geforged’, waardoor een onschuldige

derde de bounce-melding krijgt. Hierin kan ook een virus

of spam-bericht verstopt zijn.

De beste plaats om spam te blokkeren is op het moment

dat de mail binnenkomt op het SURFmailfilter-platform.

Daarvoor zet u ‘Recipient address verification’ aan.

SURFmailfilter bepaalt dan via een korte SMTP-sessie naar

de mailhost van uw instelling of een adres binnen een

bepaald domein bestaat of niet.

Om adresverificatie te kunnen toepassen, moet uw eigen

mailserver ook onderscheid maken in recipients via SMTP.

Raadpleeg hiervoor de handleiding van de mailserver.

Onder UNIX is een dergelijke functionaliteit vaak geen

probleem. Voor bijvoorbeeld Microsoft Exchange is een

kennisbankartikel beschikbaar bij Microsoft om dit aan te

zetten: http://support.microsoft.com/kb/823866/%236.

Het gaat om de ‘Create a recipient filter’ en vooral de

laatste ‘Filter recipients who are not in the directory’.

Hebt u vragen over recipient address verification, aarzel

dan niet om contact op te nemen met SURFnet. Het is een

belangrijke manier om (collateral) spam tegen te gaan,

beperkt de belasting op uw mailserver en beschermt de

reputatie van uw mailserver.

Action if verification

server is unavailable

Geef aan wat er met de mail moet gebeuren als deze niet

geverifieerd kan worden:

Tempfail mail: de mail wordt tijdelijk geweigerd. De

afzender krijgt een temporary failure code, en moet

later opnieuw proberen deze mail af te leveren. Elke

RFC-compliant MTA zal dit ook doen.

Queue mail: de mail wordt geaccepteerd (zonder

verificatie) om (later) te worden afgeleverd. De

werking hiervan is vergelijkbaar met een ‘MX fallback’.

http://support.microsoft.com/kb/823866/%236


12

Toegang eindgebruikers

Een authenticatiekoppeling is per domein nodig om eindgebruikers te

mogelijkheid te bieden om:

binnen SURFmailfilter instellingen te laten aanpassen

mail te laten trainen (trainen is niet noodzakelijk om het filter goed te

laten functioneren, maar het kan zinvol zijn om bijvoorbeeld false

positives of negatives te trainen)

een selectie te laten maken uit een aantal profielen/filters

aliassen aan te laten maken

Fig. 5

Item Beschrijving

Authentication method Geef aan hoe de authenticatie moet plaatsvinden:

POP3

IMAP

Other: in dit geval gebruikt u externe authenticatie

(zie hoofdstuk 6)

Authentication server Vul in via welke POP3- of IMAP-server authenticatie plaats

moet vinden.

Strip domain name Een gebruiker logt in met een gebruikersnaam@domein.

Kies ‘Yes’ als de authenticatie op de mailserver plaats

moet vinden met alleen de gebruikersnaam

Kies ‘No’ als de authenticatie op de mailserver plaats

moet vinden met gebruikersnaam@domein.

Validate Server

Certificate

Geef aan of het servercertificaat gevalideerd moet worden,

bij gebruik van TLS of SSL.


13

Encryption Settings Vul het type encryptie in, en kies of het certificaat van de

mailserver geverifieerd moet worden tegenover de

bekende certificate authorities (CA):

Require SSL

Require TLS

Do not use SSL/TLS even if available

Use SSL/TLS if available

U kunt instellen welk filter eindgebruikers ter beschikking hebben en of ze

hierop wijzigingen mogen uitvoeren.

Wijzigingen die worden aangebracht door eindgebruikers, worden

opgeslagen in een eigen filter, dus niet in het aan het domein

gekoppelde filter. Ze zijn dus niet van toepassing op andere adressen of

domeinen die hetzelfde filter gebruiken.

Fig. 6

Item Beschrijving

Standard filter Kies het standaardfilter dat gebruikt moet worden voor de

mailaccounts binnen het domein.

Allow changes Bepaal wat eindgebruikers mogen wijzigen aan de

standaard SURFmailfilter-instellingen:

‘End users always use standard filter’: gebruikers

gebruiken altijd het standaard filter voor dit domein.

‘End user scan select a filter’: gebruikers hebben

keuze uit een aantal filters die u selecteert onder

‘Available filters’. Deze filters zijn een soort profielen.

‘End user scan create a custom filter’: gebruikers

kunnen verfijnde instellingen doen (op basis van een

gekozen filter). Een gebruiker kan de optie ‘Enable

Customization’ aanvinken en krijgt dan meer keuzes in

het menu.


14

Beschikbare filters

Fig. 7

In de lijst ‘Available Filters’ kan kunt u aanvinken welke filters beschikbaar

zijn voor eindgebruikers (na authenticatie) binnen dit (sub)domein.


15

5 FIL TERS

5.1 Overzicht

SURFnet levert bij SURFmailfilter een standaardfilter, genaamd ‘default’. In dit

hoofdstuk leest u hoe u dit filter aan uw eigen wensen kunt aanpassen en hoe

u nieuwe filters instelt.

Als u Filter administration kiest, krijgt u een overzicht van de beschikbare

filters.

Fig. 8

Om een filter te bewerken, klikt u in het ‘Filters’ hoofdvenster op het

betreffende filter. Klik op Add om een filterdefinitie toe te voegen. Het filter

vanwaaruit op Add geklikt wordt dient als basis voor het nieuwe filter.


16

Fig. 9

U kunt nu een aantal aspecten van het filter bewerken:

Settings: diverse instellingen

Basic Rules: beheer van blacklist en whitelist van hosts, domeinen of

adressen

Custom Rules: beheer van specifieke regels om de mail te filteren

Mismatch Rules: beheer van regels die controleren of het domein van de

afzender overeenkomt met het domein van de SMTP relay.

RBL Rules: beheer van RBL’s (real-time blacklists)

MIME Type Rules: beheer van MIME type regels

Filename Extension Rule: beheer van regels die mail op bestandextensies

van bijlagen filteren


17

5.2 Settings

Onder de settings kunt u de volgende gegevens invullen:

Item Beschrijving

AutoReject Als een bericht een hogere score heeft dan de waarde die u

hier invult, wordt het automatisch geweigerd. De

standaardinstelling van SURFnet is hier vrij terughoudend. Al

naar gelang de gebruikersgroep kan het wenselijk zijn deze

waarde te verlagen, bijvoorbeeld naar een score tussen de 8

en 15.

AutoRejectNoIncident Vul hier dezelfde waarde in als bij AutoReject.

HoldThreshold Als een bericht een hogere score heeft dan de waarde die u

hier invult, wordt het als spam aangemerkt door middel van

een tag in de headers van de mail (instelling ‘X-Spam-Flag’:

Yes) en eventueel in het subject (instelling ‘SpamTag’).

MaxMessageSize Vul hier de maximale omvang van een bericht in (in kB).

Let op: berichten kleiner dan 100 kB worden

veiligheidshalve niet geweigerd.

RejectBogusMX Vul hier in wat SURFmailfilter moet doen met foutieve MX-

records op de domeinen van de verzender:

No: het domein van de afzender moet niet gecheckt

worden op foutieve MX-records.

Loopback: mail vanaf een domein met loopback adres in

het MX-record (127.0.0.0/8) wordt geweigerd.

All-bogus: mail vanaf een domein met MX-records naar

een adres in de volgende ranges wordt

geweigerd:10.0.0.0/8, 127.0.0.0/8, 172.16.0.0/12,

192.168.0.0/16, 169.254.0.0/16, 224.0.0.0/4,

240.0.0.0/5, 0.0.0.0/32, 255.255.255.255/32.

VirusHandling Vul in wat er moet gebeuren met mails die een virus

bevatten:

Accept: accepteren (niet aan te raden)

Discard: weggooien (standaard)

Reject: weigeren (blokkade op SMTP-niveau)


18

EXEHandling Vul in wat er moet gebeuren met mails die een Windows

executable bevatten. Dit zijn bestanden met de volgende

extensies:

Let op: de geselecteerde actie wordt uitgevoerd op de

hele mail, niet alleen op het attachment.

De mail wordt tijdens de SMTP-sessie geweigerd, waardoor

de verzendende MTA de verantwoordelijkheid heeft dit te

rapporteren aan de verzender.

SpamTag Vul in welke tekst toegevoegd moet worden aan het

onderwerpveld van een als spam gemarkeerd bericht. De

volgende argumenten kunnen daarin worden opgenomen:

%* wordt vervangen door een reeks asterisken. Het

aantal asterisken geeft de spamscore aan.

%? wordt vervangen door de reden waarom het bericht

als spam wordt aangemerkt.

%d wordt vervangen door de spamscore (bijv. 13.6)

%h wordt vervangen door de spamscore met

voorloopnullen (bijv. 0013)

%p wordt vervangen door de Bayes-waarschijnlijkheid

(waarde tussen 0 en 1). De Bayes-waarschijnlijkheid

wordt hoger naarmate er in de mail meer woorden of

woordgroepen voorkomen die zijn opgenomen in de

Bayes-database.

%% wordt vervangen door een procentteken.

De standaardwaarde is [Spam:%*], wat gebruikers in staat

stelt om te zien dat het bericht als spam is opgemerkt, en

hoe zeker het filter hier over is.

TempfailUnknownSend

ers

Vul in of berichten van onbekende afzenders de eerste keer

wel (Yes) of niet (No) moeten worden tegengehouden.

Servers die spam versturen, proberen het vaak maar één

keer, terwijl valide servers het vaker proberen. Hun mail

komt dan wel door het filter.

De ‘TempfailUnknownSenders’ optie is een greylisting-

implementatie. Zie paragraaf 2.4 voor meer uitleg over

greylisting.

ade adp app asd asf asx bas bat chm cmd

com cpl crt dll exe fxp hlp hta hto inf

ini ins isp js jse lib lnk mdb mde msc

msi msp mst ocx pcd pif prg reg scr sct

sh shb shs sys url vb vbe vbs vcs vxd

wmd wms wmz wsc wsf wsh


19

UnknownSenderMinRet

ryDelay

Vul in hoe lang minimaal gewacht moet worden (in minuten)

voordat een volgende verstuurpoging van een onbekende

afzender mag worden geaccepteerd. Standaard is dit 0

minuten, waardoor mail bij gebruik van greylisting (bij RFC

compliant MTA’s bij de verzendende partij) geen vertraging

krijgt en direct geaccepteerd wordt. Deze optie stelt u in

staat om agressiever te zijn in het accepteren van mail na

greylisting.

UnknownSenderMaxRe

tryDelay

Vul in hoe lang maximaal gewacht mag worden (in minuten)

voordat een volgende verstuurpoging van een onbekende

afzender moet worden geaccepteerd. Dit is de maximale tijd

waarin de mail van een onbekende afzender als 'herhaling'

(bekend) wordt gezien. Buiten deze tijd wordt de mail van

de 'onbekende' afzender als 'nieuw' gezien en begint de

greylisting-cyclus opnieuw.

UseBayesian Vul in of Bayesiaanse analyse wel (Yes) of niet (No) moet

worden toegepast.

Bayesiaanse filtering is een intelligente techniek om de

inhoud van de mail op statistische wijze te analyseren. De

filtering is een effectieve methode om spam tegen te gaan,

en gebruikt een trefzekerder techniek dan de standaard

Bayesiaanse filters van andere antispam-producten (zoals de

standaard Bayesiaanse filtering van SpamAssassin).

Het is overigens af te raden om Bayesiaanse filtering uit te

schakelen. Als u dit wel doet, is het belangrijk om andere

instellingen binnen SURFmailfilter aan te passen (denk aan

het gebruik van TempfailUnknownSender, en agressiever

gebruik van RBL blacklists), omdat Bayesiaanse filtering een

groot deel van de effectiviteit van SURFmailfilter voor zijn

rekening neemt.

StoreBayesSignatures Vul in of Bayesiaanse training wel (Yes) of niet (No) moet

worden toegepast.

BayesAddLinksIfWhitel

isted

Vul in of berichten van afzenders op de whitelist wel (Yes) of

geen (No) trainingslinks krijgen.

Vult u hier ‘Yes’ in, dan wordt de mail gebruikt om het

SURFmailfilter te ‘leren’ onderscheid te maken tussen spam

en niet-spam.

BayesAddHeaders Vul in of trainingslinks wel (Yes) of geen (No) moeten

worden toegevoegd aan de header van het bericht. Op basis

van deze headers is het mogelijk om via een URL het

mailbericht te trainen. Hiervoor moet authenticatie voor de

eindgebruikers op het betreffende domein aangezet worden.

Het is mogelijk om traininglinks toe te voegen in de body

van de mail, maar dat is niet aan te raden. Wilt u dit toch

(proberen), neem dan contact op met SURFnet.


20

Enable Spam Scanning Vul in of de inkomende mail wel (Yes) of niet (No) op spam

gefilterd moet worden.

Klik na bewerking van de settings op:

Submit changes om de wijzigingen door te voeren.

Back to filter list (ignore changes) om terug te gaan naar het

hoofdvenster zonder de wijzigingen door te voeren.

5.3 Basic rules

Fig. 10

Hier stelt u een lijst met afzenders op die altijd toegestaan worden (whitelist)

en een lijst met afzenders die altijd geweerd worden (blacklist). Afzenders

kunnen mailadressen, IP-adressen, domeinnamen of hosts zijn.

Het toevoegen van hosts heeft in de regel meer zin dan domeinen of

individuele adressen. Een adres werkt op basis van het envelope-sender

adres, en kan eenvoudig `gespoofd' worden door een spammer. Merk op dat

het hier gaat om de envelope sender: het is niet de waarde die in de ‘From:’ -

header van de mail is terug te vinden maar het adres dat tijdens de SMTP-

sessie wordt aangeboden.

Neem bij voorkeur hosts of adressen op waarvan zeker is dat de host

betrouwbaar is, en waarvan de filtering op orde is. Denk er ook aan dat een

host wel betrouwbaar kan zijn, maar mail kan forwarden (bijvoorbeeld voor

mailinglijsten) waarvan de filtering slechter is. Op die manier kan er toch nog

spam doorkomen.


21

1. Vul een of meer afzenders in het tekstvak in, elk op een nieuwe regel.

Voeg per regel eventueel commentaar toe met behulp van een ‘;’.

Bijvoorbeeld: ‘surfnet.nl ; our provider’

2. Klik op Add to blacklist of op Add to whitelist.

De afzender(s) zijn nu toegevoegd aan de whitelist of de blacklist.

U kunt een afzender verwijderen door hem aan te vinken en op Remove

selected te klikken.

5.4 Custom rules

Fig. 11

OPSTELLEN

Hier geeft u een aantal specifieke regels voor het filteren van mail. Feitelijk

kent u een score toe aan het voorkomen van bepaalde informatie in de

verschillende onderdelen van een mail (‘velden’ genoemd). Op basis van de

totaalscore die een bericht krijgt, wordt bepaald wat ermee moet gebeuren.

1. Vul voor elke regel de volgende onderdelen in:

Field: het veld waarop de regel betrekking heeft:

Item Beschrijving

Subject Onderwerp van het bericht.

Sender SMTP envelope-sender; deze is niet noodzakelijk identiek

aan inhoud van het From-veld van de mail.

Recipient SMTP envelope ontvanger; deze is niet noodzakelijk

identiek aan inhoud van het To- of CC-veld van de mail.

http://surfnet.nl/


22

HELO Wat door de zender ingevuld wordt bij het SMTP-

commando ‘HELO’ of ‘EHLO’. Door uw servernaam in te

vullen in het HELO-commando, denken spammers dat de

mail eerder wordt geaccepteerd. Dit kunt u ondervangen

met een HELO-regel.

Relay De hostnaam van de MTA (mailserver) waar de mail

vandaan komt, zoals vastgesteld door een reverse DNS-

lookup. Als deze lookup geen resultaat geeft, wordt de

relay-naam automatisch het IP-adres tussen vierkante

haken, bijvoorbeeld: [127.0.0.1]

Relay Address Het IP-adres van de relay waar de mail vandaan komt.

Header Inhoud van de header. De regel die u hier invult, is van

toepassing op alle regels in de header.

Body De inhoud van de mail. Deze regels zijn van toepassing op

gedecodeerde onderdelen van de mail, nadat MIME-inhoud

is gedecodeerd.

Raw Body De ongedecodeerde inhoud van het bericht, inclusief de

headers en ongedecodeerde MIME-inhoud. Voor de meeste

gevallen volstaan Body-regels in plaats van Raw Body-

regels.

Relation: de manier waarop het veld en de gezochte informatie worden

vergeleken:

Item Beschrijving

Contains De regel is waar als het veld de opgegeven string bevat.

Dit is niet hoofdlettergevoelig en spaties worden

overgeslagen. Bijvoorbeeld: de string ‘CHTCEN’ komt voor

in ‘Utrecht Centraal’.

Starts with De regel is waar als het veld begint met de opgegeven

string. Dit is niet hoofdlettergevoelig.

Ends with De regel is waar als het veld eindigt met de opgegeven

string. Dit is niet hoofdlettergevoelig.

RegExp matches De opgegeven string wordt beschouwd als een reguliere

expressie uit Perl. Deze regel werkt hoofdlettergevoelig.

Let op: als u een foutieve reguliere expressie

invoert, krijgt u in geen geval een match, maar komt

er een foutmelding in de maillog.

Does not contain De regel is waar als de opgegeven string niet voorkomt in

het veld.

Is De regel is waar als het veld precies overeenkomt met de

opgegeven string. Dit is hoofdlettergevoelig.


23

Data: string (of regular expression) waarop gescand moet worden.

Score: score die aan de mail moet worden toegekend als hij aan de regel

voldoet. Hoe hoger de score, hoe groter de kans dat een mail die aan deze

regel voldoet, spam is.

Tip: U kunt hier ook een negatieve waarde invullen, als u wilt dat een

mail die voldoet aan de regel, juist niet als spam wordt gezien. U kunt er

zo bijvoorbeeld voor zorgen dat mail met als onderwerp de

vertrouwelijke code ‘altijd_doorlaten-5432’ nooit als spam wordt gezien:

maak een regel ‘Als het Subject ‘altijd_doorlaten-5432’ bevat, ken dan

de score -2000 toe’.

Tip 2: als u wilt dat het voldoen aan een regel automatisch leidt tot het

weigeren van mail, kunt u een heel hoge score toekennen aan de regel,

bijvoorbeeld 3000.

Comment: commentaar, optioneel toe te voegen.

Klik op Add rule.

2. De regel wordt nu toegevoegd in het overzicht.

WIJZIGEN

U kunt de toegevoegde regels wijzigen door de velden aan te passen en

vervolgens op Submit changes te klikken.

VERWIJDEREN

U kunt regels verwijderen door ze aan te vinken onder ‘Delete?’ en vervolgens

op Submit changes te klikken.

SELECTIE TONEN

Hebt u veel regels ingesteld, dan kan het handig zijn om snel een selectie van

regels in beeld te brengen met een filter:

1. Vul achter de knop Filter een string in die voorkomt in een van de velden

van de regels die u zoekt, bijvoorbeeld ‘contains’, ‘offer’ of ‘subject’.

2. Klik op Filter.

De regels die voldoen aan het filter, worden getoond.


24

5.5 Mismatch rules

Fig. 12

Mismatch-regels controleren of het domein van de mailafzender overeenkomt

met het domein van de SMTP relay. Komen deze niet overeen, dan kan de

mail als spam worden aangemerkt. Dit kan handig zijn omdat spam vaak

gebruikmaakt van gefingeerde afzenderadressen van bijvoorbeeld Hotmail.

Door via een reverse DNS-lookup te controleren of een mail ook echt van

Hotmail komt, kan gecheckt worden of het spam is.

Het is echter niet aan te bevelen om deze regel standaard te gebruiken. Het

komt ook in normale situaties vaak voor dat de domeinnaam van de mail niet

overeenkomt met de het domein van de SMTP relay Het is bijvoorbeeld niet

verplicht om mail vanaf gmail.com ook via de servers van gmail te versturen,

bijvoorbeeld. Gebruik mismatch-regels alleen voor grote, bekende

internetdomeinen van wie het zeker is dat ze goede reverse-DNS configuraties

hebben. SURFnet kan dit ook (met voorzichtigheid en terughoudendheid (geen

reject)) toepassen in het default filter waar dat verstandig lijkt.

AANMAKEN

Ga als volgt te werk:

1. Vul voor elke regel de volgende velden in:

Sender domain: internetdomein waarvandaan de afzender zijn mail zegt te

sturen.

Relay match: SMTP relay domein waarvan de mail vandaan moet komen.

Action: actie die uitgevoerd moet worden als er een mismatch is:

- Hold: mail die een mismatch geeft, wordt vastgehouden.

- Reject: mail die een mismatch geeft, wordt geweigerd.


25

- Score: mail die een mismatch geeft, krijgt een score; vul de score in in

de kolom ‘Score’.

Score: score die aan de mail moet worden toegekend als er een mismatch

is.


2. Klik op Submit changes.

De regel wordt nu toegevoegd aan het overzicht.

WIJZIGEN

U kunt de toegevoegde regels wijzigen door de velden aan te passen en

vervolgens op Submit changes te klikken.

VERWIJDEREN

U kunt regels verwijderen door ze aan te vinken onder ‘Delete?’ en vervolgens

op Submit changes te klikken.

SELECTIE TONEN

Hebt u veel regels ingesteld, dan kan het handig zijn om snel een selectie van

regels in beeld te brengen met een filter:

1. Vul achter de knop Filter een string in die voorkomt in een van de velden

van de regels die u zoekt.

2. Klik op Filter.

De regels die voldoen aan het filter, worden getoond.

5.6 RBL rules

Fig. 13


26

RBL staat voor real-time blacklist. Een RBL is een lijst met hosts waarvan

bekend is dat er spam vandaan komt. SURFnet stelt een aantal RBL’s

beschikbaar. U kunt zelf bepalen wat er moet gebeuren met mail van hosts die

op een bepaalde RBL staan. Het default filter is reeds voorzien van zinvolle

waardes en kan al naar gelang het laatste inzicht door SURFnet worden

aangepast.

Let op: SURFnet voegt ook whitelists toe. Pas op deze whitelists alleen

een ‘Ignore’ of negatieve score toe. Bij ‘Reject’ wordt valide mail van

mailservers (ook die van uzelf) geweigerd! Let op de Description van de

blacklist bij het aanpassen van de Action of Score.


1. Vul voor elke RBL de volgende velden in:

Action:

- Ignore: deze RBL is uitgeschakeld.

- Hold: mail van een host in deze RBL wordt vastgehouden.

- Reject: mail van een host in deze RBL wordt geweigerd.

- Score: mail van een host uit deze RBL krijgt een score; vul de score in

in de kolom ‘Score’.

Score: score die aan de mail moet worden toegekend als er een mismatch

is.


2. Klik op Submit changes om de regels te activeren.

5.7 MIME type rules

Fig. 14


27

Mail-attachments van bepaalde MIME-typen kunnen risico’s met zich

meebrengen. U kunt hier regels opstellen voor de afhandeling van

verschillende MIME-typen. Het is vooral aan te raden een regel op te stellen

voor het MIME-type ‘message/partial’, aangezien dit in het bijzonder

gevaarlijk kan zijn.

U kunt per regel een afzonderlijke actie instellen voor afzenders die op de

whitelist staan.

REGEL TOEVOEGEN


1. Vul het MIME-type in en klik op Add rule.

Fig. 15

2. Vul de volgende velden in:

General action: de actie die moet worden ondernomen als een attachment

met het opgegeven MIME-type wordt gevonden:

- No change: er wordt geen actie uitgevoerd.

- Accept: de mail wordt geaccepteerd; de mail kan nog wel geweigerd

worden op basis van andere regels.

- Reject: de mail wordt geweigerd.

- Discard: de mail wordt verwijderd.

- Delete from table: de betreffende MIME type wordt verwijderd uit de

tabel waarop acties moeten worden uitgevoerd.

Action for whitelisted senders: de actie die wordt ondernomen als het

MIME-type wordt aangetroffen, maar de afzender op de whitelist staat.


3. Klik op Submit changes om de regel in te stellen.


28

WIJZIGEN

U kunt een regel wijzigen door velden te wijzigen en op Submit changes te

klikken. Met de knop Reset maakt u nog niet bevestigde wijzigingen

ongedaan.

5.8 Filename extension rules

Fig. 16

U kunt mail filteren op de bestandsnaamextensie van attachments. U kunt per

regel een afzonderlijke actie instellen voor afzenders die op de whitelist staan.

REGEL TOEVOEGEN


1. Vul de bestandsnaamextensie in en klik op Add rule.

Let op: laat de punt uit de extensie weg, dus ‘exe’ in plaats van ‘.exe’.

Fig. 17


29

2. Vul de volgende velden in:

General action: de actie die moet worden ondernomen als een attachment

met de opgegeven bestandsnaamextensie wordt gevonden:

- No change: er wordt geen actie uitgevoerd.

- Accept: de mail wordt geaccepteerd; de mail kan nog wel geweigerd

worden op basis van andere regels.

- Reject: de mail wordt geweigerd.

- Discard: de mail wordt verwijderd.

- Delete from table: de betreffende MIME type wordt verwijderd uit de

tabel waarop acties moeten worden uitgevoerd.

Action for whitelisted senders: de actie die wordt ondernomen als de

bestandsnaamextensie wordt aangetroffen, maar de afzender op de

whitelist staat.


3. Klik op Submit changes om de regel in te stellen.

WIJZIGEN

U kunt een regel wijzigen door velden te wijzigen en op Submit changes te

klikken. Met de knop Reset maakt u nog niet bevestigde wijzigingen

ongedaan.

5.9 Filter toevoegen

U kunt een nieuw filter toevoegen dat gebaseerd is op een van de reeds

aanwezige filters. Alle instellingen die niet expliciet worden aangepast in het

nieuwe filter worden ‘overgeërfd’ van het default filter. Bij het dupliceren

worden de expliciete settings van het oorspronkelijke filter overgenomen.


30

6 EXTERN E A UTH EN TI CA TI E

SURFmailfilter kan werken met een ingebouwde gebruikerslijst, maar het is

gebruikelijker om normale gebruikers met een externe methode te verifiëren.

Hierdoor is het niet nodig gebruikers op te voeren in het filter.

De meest gebruikelijke vorm daarvoor is een koppeling via IMAP of POP3.

Deze is te maken via de Authentication Settings van de Domain

Administration.

Het is ook mogelijk om LDAP te gebruiken voor de authenticatie. Di t is

bijvoorbeeld zinvol als het mailadres anders is dan de

gebruikersnaam(@domain) op de IMAP- of POP3-server. Om dit in te stellen,

moet u het volgende doen:

1. Een user lookup definiëren. Een user lookup beschrijft via welke methode

SURFmailfilter gebruikersinformatie uit externe bronnen moet ophalen.

2. Een authentication mapping maken. Deze geeft aan welke user lookup

SURFmailfilter moet gebruiken voor een bepaald domein.

6.1 User lookup definiëren


1. Kies uit het menu Setup > User lookups.

Fig. 18

2. Klik op Add a new user lookup.

3. Voer een naam voor de lookup in en klik op Next.

4. Kies bij ‘Method’ voor LDAP (Generic)’ of ‘LDAP (Active Directory)’, voer

eventueel commentaar in en klik op Next.


31

Fig. 19

5. Vul de settings in en klik op Next.

Item Beschrijving

Use this method for

authentication?

Kies ‘Yes’ als deze methode gebruikt moet worden voor

authenticatie.

LDAP server(s) Vul het IP-adres of hostnaam van de LDAP-server(s) in.

Scheid servernamen met een komma. Als de LDAP-server

luistert op een niet-standaard poort, geef dit dan als volgt

aan: ‘servernaam/3389’.

Load-balance LDAP

servers

Kies ‘Yes’ als SURFmailfilter de LDAP-server in willekeurige

volgorde moet benaderen.

Base DN Vul de base DN van de LDAP-tree in.

Bind DN Vul de base DN in.

Bind password Als er om te binden een wachtwoord nodig is, vul dat dan

hier in.

Reconnect for additional

queries?

Sommige LDAP-servers vereisen dat SURFmailfilter tussen

query’s de verbinding verbreekt, weer herstelt en opnieuw

bindt. Kies in dat geval ‘Yes’.

Search filter for login

authentication

Vul het zoekfilter voor login authenticatie in. ‘%s’ wordt

vervangen door de gebruikersnaam.


32

Strip domain name from

login prior to

authentication?

Een gebruiker logt in met een gebruikersnaam@domein.

Kies ‘Yes’ als de authenticatie op de mailserver plaats

moet vinden met alleen de gebruikersnaam

Kies ‘No’ als de authenticatie op de mailserver plaats

moet vinden met gebruikersnaam@domein.

Attribute containing

user’s e-mail address

Vul het attribuut in waar e-mailadressen in opgenomen

zijn. Meestal is de default waarde juist.


group names

Vul een LDAP-attribuut in als u groepslidmaatschap wil

beheren via LDAP.

Use this method for

streaming?

Kies ‘Yes’ als u de LDAP-server wilt gebruiken om adressen

te streamen.

Search filter for

streaming

Vul het zoekfilter in waarmee e-mailadressen opgezocht

moeten worden in de LDAP-server. Meestal is de default

waarde juist.

Force stream name to

lower-case?

Kies ‘Yes’ als de streamnamen in kleine letters moeten

worden omgezet.

Cache stream lookups in

database

Kes ‘Yes’ als de stream lookups in de database in een

cache bewaard moeten worden.


stream name

Vul het LDAP-attribuut in waarin de streamnaam staat.

Meestal is de default waarde juist.

Action if stream

attribute missing

Selecteer de actie die SURFmailfilter moet uitvoeren als

het attribuut ontbreekt.

Connect timeout in

seconds for streaming

Vul in na hoeveel tijd een poging tot verbinden met de

LDAP-server, moet worden gestaakt.

6. Controleer de gegevens die u hebt ingevuld en klik op Finish.

SURFmailfilter kan ook LDAP ook gebruiken voor het verifiëren van mail-

adressen (als alternatief voor recipient address verification). Het is aan

te raden om de resultaten hier te cachen (‘Cache stream lookups in

database’) om uw LDAP-server niet te veel te belasten en vertragingen

te voorkomen. Door de ‘Attribute containing stream name’ aan te passen

is het mogelijk voor meerdere adressen dezelfde ‘stream’ te gebruiken

(en daarmee dezelfde training.)

Als LDAP alleen gebruikt moet worden voor authenticatie, moet ‘Search

filter for streaming’ op ‘No’ staan.


33

6.2 Authentication mapping maken

U kunt nu de user lookup-methode toekennen aan een domein. Ga als volgt te

werk:

1. Kies uit het menu Setup > Authentication mappings.

Fig. 20

2. Vul het domein waaraan u de user lookup-methode wilt toekennen en

selecteer de methode onder ‘Mapping’.

3. Klik op Submit changes om te bevestigen.

Handleiding SURFmailfilter

Documents

Transcript of Handleiding SURFmailfilter