De afgelopen weken werden we geconfronteerd met een toename van het aantal servers die op de Backscatterer blacklist terecht zijn gekomen. In dit artikel gaan we in op deze problematiek: wat is backscatter spam, wat merk je van een blacklisting, hoe ontstaat een blacklisting en nog belangrijker: wat is de oplossing?
Wat is backscatter spam?
Bij backscatter spam wordt e-mail verstuurd vanuit een vervalste afzender, vindt een bounce plaats waarna een automatisch bericht wordt teruggestuurd naar de vervalste afzender. De eigenlijke beheerder van het afzender-adres is zich van geen kwaad bewust dat zijn of haar mailadres gesimuleerd wordt. Maar heeft wel last van dit verschijnsel. Daarover later meer.
Een voorbeeld, en we gebruiken voor het gemak een voorbeeld-mailadres.
Een kwaadwillende verstuurt (ogenschijnlijk) mail vanuit info@voorbeeld.nl naar een hele reeks mailadressen. Van deze verstuurde mails komt alles of een groot deel daarvan terug met een automatisch antwoord: de mail kon niet worden afgeleverd omdat het mailadres van de ontvanger niet bestaat, of een out-of-office reply. Doordat veel automatisch gegenereerde berichten worden teruggestuurd wordt dit gezien als spam. De server waarop het mailadres van de afzender staat (in dit voorbeeld voorbeeld.nl) wordt door Backscatterer op de blacklist gezet.
Mails die een bounce-bericht (automatisch antwoord) genereren zijn bijvoorbeeld:
- Bericht kan niet worden bezorgd omdat het e-mailadres van de ontvanger niet bestaat
- Afwezigheidsberichten (denk aan berichten die melden dat je op vakantie bent)
- Berichten die vragen om een bevestiging van de afzender, zoals die worden gebruikt bij bijvoorbeeld nieuwsbriefinschrijvingen.
Gevolgen Backscatterer blacklisting
Als een server door Backscatterer wordt ‘gelist’ dan heeft dat direct consequenties voor iedereen die vanaf die server mail verstuurt. E-mails die (legitiem) worden verstuurd naar legitieme afzenders worden deels geweigerd. Ze worden namelijk geweigerd door ontvangers die een e-maildienst hebben die Backscatterer meeneemt in hun spamfiltering. Een e-maildienst die Backscatterer als (onderdeel) van spamfiltering gebruikt is bijvoorbeeld Gmail.
Als we het voorbeeld hierboven nog even aanhalen gebeurt er het volgende: de server waarop voorbeeld.nl draait staat gelist bij Backscatterer. Nu probeert info@voorbeeld.nl een mail te versturen naar voorbeeld@gmail.com. Die mail komt terug met de melding dat de mail niet door de spamfilter is gekomen.
Je kunt je voorstellen dat de hinder groot is als een server door Backscatterer is ‘gelist’ en alle gebruikers op die server worden geconfronteerd met terugkomende e-mails van bv Gmail gebruikers.
Bij Backscatterer kun je niet om een (gratis) de-listing vragen: een server staat 30 dagen op de blacklist en wordt daar automatisch weer vanaf gehaald. En als de onderliggende problemen niet worden verholpen staat de server enkele dagen later opnieuw op deze blacklist.
Backscatter spam voorkomen
In de uitleg over backscatter spam staat al dat het genereren van automatische antwoorden bij een bounce het probleem van blacklisting in de hand werkt. Om blacklisting te vermijden zouden de mails die automatisch worden gegenereerd en teruggezonden worden naar fake afzenders voorkomen moeten zien te worden.
Daar is op diverse fronten wat aan te doen:
- Het versturen van afwezigheidsmeldingen (bijvoorbeeld tijdens vakantieperiode) en mails die bedoeld zijn om een inschrijving of mailadres te bevestigen (als auto-reply) worden hoe dan ook afgeraden. De afwezigheidsmeldingen die worden verstuurd tijdens een vakantieperiode worden niet alleen gelezen door goedwillenden en bevatten vaak informatie die misbruikt kan worden.
- Het vermijden van mails die op de server worden aangeboden vanaf een vervalste afzender ligt wat complexer maar is op te lossen door e-mails die op de server binnenkomen eerst op afzender te screenen voordat de mail aan de ontvanger wordt aangeboden.
Deze twee punten samen beperken de kans op problemen als gevolg van backscatter spam tot een minimum. Punt 1 is moeilijk te verbieden maar is wel een kwestie die we bij gebruikers onder de aandacht willen brengen door het ze af te raden. Punt 2 is een oplossing die we op de server kunnen verhelpen.
E-mail screenen en afwijzen
Afgelopen week is op punt 2 hierboven actie ondernomen: door aanvullende software te installeren op de servers wordt alle e-mail die op de server binnenkomt nu eerst gescreend voor die mail aan de ontvanger wordt aangeboden. Mail die op de server binnenkomt wordt gescreend op onder andere een correct SPF record van de afzender. Is het SPF record niet in orde, dan wordt de mail geweigerd. Dit is de enige mogelijkheid om legitieme mail vanaf info@voorbeeld.nl te onderscheiden van niet-legitieme mail vanaf info@voorbeeld.nl.
Wat is een SPF record?
Een SPF record is een onderdeel van de DNS records die zijn ingesteld voor je domeinnaam. In de DNS records staat onder andere vermeld op welk IP-adres je website draait, van welke mailservers je domein gebruik maakt en zo is er ook een SPF record, dat record bevat hostnamen en IP-adressen en zegt daarmee: als er wordt gemaild op het domein vanaf
één van deze platforms, vertel tegen spamfilters dat het platform waar vandaan wordt gemaild in orde is.
Gevolgen van e-mail screenen
De nieuw geïnstalleerde anti-spam software heeft wel een kanttekening: als een legitieme afzender geen correct SPF record heeft gekoppeld aan zijn of haar domeinnaam dan wordt die (legitieme) mail ook tegengehouden.We hebben inmiddels een aantal meldingen binnen over afzenders die niet meer door de screening heen komen omdat ze blijkbaar geen correct SPF record hebben ingesteld. We onderzoeken nu of er een oplossing mogelijk is die legitieme afzenders niet blokkeert. Dat is lastig, want deze oplossing is bedoeld om de servers van de Backscatterer blacklist af te krijgen en houden.
Op dit moment is er contact met een aantal afzenders om testen uit te voeren die hopelijk naar een goede oplossing leiden.
Geef een antwoord