%include "default.mgp" %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% %page %nodefault %size 6, font "standard", fore "white", vgap 20, back "black" %bquality 10 %center Spam Spiced Pork and haM Unsolicited Commercial Email (UCE) %size 6 %IMAGE "spam.jpg" Johan Swenker, 21 mei 2003 %page Inleiding Zie ook: C'T april 2003 en www.spamvrij.nl Hoe werkt mail pop3 server smtp server proxy Hoe werkt spam verzenden adressen opt-out Hoe hou je spam tegen Realtime Block List (Bayesian) filtering Tools SpamAssassin SpamPal %page Hoe werkt mail? De PC thuis heeft verbinding met SMTP server, bv smtp.hccnet.nl POP3 server, bv pop.hccnet.nl %IMAGE "netscape_config.gif" %page POP3 server %IMAGE "netscape_pop.gif" %page Route van een mailtje Mijn machine | | (SMTP) v SMTP Server van mijn ISP | | (SMTP) v SMTP Server van jouw ISP | | (intern) v POP Server van jouw ISP | | (POP3) v Jouw machine %page POP3-proxy (1) (thuis) Mailclient (bv Outlook) | V (thuis) POP3-proxy (bv SpamPal) | V (ISP) POP3-server (bv pop.hccnet.nl) De machine "thuis" heet localhost Proxy = ambassadeur %page POP3-proxy (2) Probleem 1: TCP-poorten POP3 = TCP-poort 110 Niet altijd beschikbaar voor POP3-proxy POP3-proxy vertelt zijn TCP-poort De machine "thuis" heet dan localhost:TCP-poort Probleem 2: POP3 server van ISP configuratie van POP3-proxy nadeel: slechts 1 ISP mogelijk in mailclient speciale gebruiker opgeven voorbeeld: J.B.Swenker@pop.hccnet.nl %page Samenvatting Mail Mailclient bv Netscape Communicator Binnenkomende mail: POP3 server wordt localhost of localhost met TCP-poort Gebruikersnaam: wordt naam@popserver.ISP.nl POP3-Proxy bv SpamPal draait op jouw eigen machine haalt de mail op bij de provider doet iets met Spam levert de mail aan de mailclient Uitgaande mail: blijft smtp.hccnet.nl %page Spam Voorbeelden: viagra (porno)sites Nigeriaanse oplichting %pause Tussenspel: spamsong van Monty Python %%system "wavplay spam-song.wav" Hoe? Via ISP van de Spammer (spamhause) Probleem: gratis accounts Via open relay Slecht geconfigureerde systemen Moderne virussen %page Oogsten van e-mail adressen Hoe oogst een spammer e-mail adressen? Zie http://www.cdt.org /speech/spam/030319spamreport.shtml e-mail adres onder aan een homepage (met stip) e-mail adres in headers van berichten in nieuwsgroepen wel de from-header niet de reply-to header e-mail adres vragen op hun website e-mail adressen verzinnen vanaf aaa@isp.nl tot zzz@isp.nl alle gebruikers van een ISP To: , , , , %page Voorkomen is beter dan genezen address munging zie http://members.aol.com /emailfaq/mungfaq.html johan punt swenker at xs4all punt nl johanREMOVE@swenker.xs4all.nl niet doen, belast mailserver johan@swenker.xs4all.nl.invalid no_spam_please@swenker.xs4all.nl wordt please@swenker.xs4all.nl :) mooi@niet.com mag niet, is van iemand anders! %page (on)gewenste mailings Opt-out spammers zweren hierbij genereert geldige adressen wanneer voegt spammer adres weer toe? Confirmed opt-in na aanmelding: verzoek om bevestiging na bevestinging: mailings komen binnen vaak: bounce betekent uitschrijven Double opt-in spammer taal voor confirmed opt-in met na te bootsen bevestiging %page Spam of ham (1) Methoden om onderscheid te maken Niet communiceren met erkende spammers Realtime Black List (RBL) Open Relay (http://ordb.org/) Spam haven (http://OsiruSoft.com/) Dial up links Landen (http://www.blackholes.us/) Eigen black list Korea B-G-E.com %page Spam of ham (2) Testen door jouw provider X-XS4ALL-DNSBL-Warning: Sending machine is listed in proxies.relays.monkeys.com,bl.spamcop.net,list.dsbl.org,spews.relays.osirusoft.com,socks.relays.osirusoft.com,opm.blitzed.org X-XS4ALL-DNSBL-Checked: mxzilla1.xs4all.nl checked 148.235.79.46 against DNS blacklists Jouw reactie: Filter op de berichttop ^X-XS4ALL-DNSBL-Warning: Zet deze berichten in een aparte folder En controleer die folder af en toe %%page Stukjes logfile May 3 13:05:53 hinote sendmail[24532]: h43B5ov24532: ruleset=check_relay, arg1=[218.70.137.108], arg2=218.70.137.108, relay=[218.70.137.108], reject=553 5.3.0 Rejected - China and Korea blocked by cn-kr.blackholes.us Mar 18 00:12:20 hinote sendmail[13939]: h2HNC6Z13939: ruleset=check_relay, arg1=66-239-112-54.spokane.acetechusa.com, arg2=66.239.112.54, relay=66-239-112-54.spokane.acetechusa.com [66.239.112.54] (may be forged), reject=553 5.3.0 Rejected - see http://ordb.org/ %%page B-G-E Feb 17 11:03:13 hinote sendmail[31261]: h1HA37P31261: ruleset=check_mail, arg1=, relay=localhost.localdomain [127.0.0.1], reject=553 5.3.0 ... 550spamblock for B-G-E May 6 16:08:01 hinote sendmail[3576]: h46E80v03576: ruleset=check_mail, arg1=, relay=localhost.localdomain [127.0.0.1], reject=553 5.3.0 ... 550FUCK OFF!! B-G-E %page Spam of ham (3) Sleutelwoorden enlargement sex Nigeria Score van slechte en goede woorden - lange regels - regels met alleen hoofdletters - HTML-only mail - nummer in onderwerp (uniek onderwerp) + in-reply-to in berichttop + forwarded message Bayesiaans filter score van slechte en goede woorden op maat gesneden voor de ontvanger %page Tools (SpamAssassin) SpamAssassin: http://www.spamassassin.org/ score van goede en slechte woorden score CTYPE_JUST_HTML 0.407 score IN_REP_TO -0.847 eigen aanpassing score CTYPE_JUST_HTML 5.407 Perl script Perl voor Windows: http://www.activestate.com %size 5 pop3proxy: http://mcd.perlmonk.org/Pop3proxy %size 4 pop.hccnet.nl | V pop3proxy <--> SpamAssassin | V Eudora %page SpamAssassin (2) past kopregels aan Subject: Receive your Hand-Held Organizer. N0 R1SK. X-Spam-Status: No, hits=2.0 required=5.0 tests=FROM_ENDS_IN_NUMS,RISK_FREE, SPAM_PHRASE_03_05 version=2.43 %page SpamAssassin (3) past subject en kopregels aan Subject: *****SPAM***** ASSISTANCE NEEDED X-Spam-Status: Yes, hits=7.0 required=5.0 X-Spam-Flag: YES past inhoud aan SPAM: ----- Start SpamAssassin results ----- SPAM: This mail is probably spam. The original message has been altered SPAM: so you can recognise or block similar unwanted mail in future. SPAM: See http://spamassassin.org/tag/ for more details. SPAM: Content analysis details: (7.00 hits, 5 required) SPAM: US_DOLLARS (2.0 points) BODY: Nigerian scam key phrase (million dollars) %page Tools (SpamPal) SpamPal: http://www.spampal.org/ gewoon windows product gebruikt Realtime Black Lists plug-ins voor slechte woorden bayesian filter reguliere expressie's f*ck %page Spampal %size 4 Screenshots van http://ourworld.compuserve.com/ homepages/jamesd/spampal/screenshots/index.htm %%IMAGE "spampal0_26beta17.gif" %%pause %%system "xv spampal0_26beta00.png spampal0_26beta01.png spampal0_26beta02.png spampal0_26beta03.png spampal0_26beta04.png spampal0_26beta05.png spampal0_26beta06.png spampal0_26beta07.png spampal0_26beta08.png spampal0_26beta09.png spampal0_26beta10.png spampal0_26beta11.png spampal0_26beta12.png spampal0_26beta13.png spampal0_26beta14.png spampal0_26beta15.png spampal0_26beta16.png spampal0_26beta17.gif spampal0_26beta17.png" %page Samenvatting Mail Spam Anti-spam methoden Anti-spam producten Afsluiten met de spam sketch van Monty Python.