Hvorfor får jeg Spam?

Det kan der være mange årsager til. For tiden er der især to årsager: Du har enten offentliggjort din e-mail adresse på en Web-side, eller sendt en e-mail til en person, som siden hen har fået virus på sin PC. Hvis nogen ikke ved hvad Spam er, så er det betegnelsen på uønsket mail (set fra modtagerens side). Herefter er det naturligt at kalde normal mail for Ham. Mange spørgsmål om Spam er besvaret her. Forskningsministeriet har også taget initiativer mod spam.

Alle Internettets Web-sider høstes jævnligt for e-mail adresser, og samlingen af disse sælges så til Spammere. Anbefalingen er derfor, at man aldrig offentliggør sin e-mail adresse i direkte maskinlæsbar form på en Web-side, men forvansker den, f.eks. ved at indlægge en form for blanke tegn omkring @-tegnet. En grundig videnskabelig artikel om sagen finder her.

Når du sender e-mail til andre, vil modtageren ofte gemme mailen samt afsenderens adresse lokalt. Hver gang modtagen så får virus på sin PC, vil den nye virus starte med at finde hele samlingen af e-mail adresser på PCen. Derefter vil den sende sig selv til alle adresserne, og i øvrigt bruge de andre adresser som fiktive/falske afsendere af virusen. Det betyder dels at du får Spam, dels at du står som afsender af Spam som sendes til helt fremmede personer.

Du må derfor aldrig klage over Spam til den tilsyneladende afsender, da det i hvert fald ikke er denne, der har sendt Spam. I øvrigt kan du ikke gøre noget som helt ved, at du står som afsender af denne form for Spam. De brugere, som sætter autosvar på deres postkasse (f.eks. ferie), skal være opmærksom på, at deres meddelelse udsendes til disse tilsyneladende afsendere. Det vil sige, at man generer en masse uskyldige mennesker med sine feriesvar, samt oplyser ukendte personer om sit fravær.

I IT-afdelingen anvendes en række forskellige programmer på et sæt Linux Mandrake maskiner til at begrænse mængden af indgående Spam. 

• Når en e-mail begynder at komme ind, så kontrolleres adressen på den fremmede mail server op mod en række eksterne databaser (Spamcop, NJABL og ORDB) for at se, om adressen er blacklistet af disse.
• Endvidere  kontrolleres om serveren er blacklistet i en lokal liste. Dette er en liste over over maskiner, som tidligere har sendt Spam til Fællesadministrationen. Her er der dog ingen automatik til igen at fjerne adresser.
• Herefter foretages en Greylisting. Det betyder, at alle e-mails fra ukendte servere afvises med besked om, at de kan prøve igen efter 10 minutter. Samtidig registreres serveren, således at den umiddelbart accepteres efter udløbet af de 10 minutter. Den midlertidige registrering udløber efter 12 timer. De fleste virus programmer, som sender mail, har ikke evnen til at gensende mail på et senere tidspunt. Bemærk: "RFC 2821 says that the sending MTA should retransmit 30 minutes or later"
• Det kontrolleres om maskinnavnet i den tilsyneladende afsenderadresse findes i navneserver systemet. Der kan jo alligevel ikke svares på sådanne mails.. 
• Hvis afsenderadressen i en udefra kommende mail f.eks er adm.ku.dk, så afvises den. Hertil anvendes SPF/SRS systemet, hvor man kan annoncere hvilke servere, der må sende mail med et givet servernavn. Dette er et af de mest lovende systemer til kontrol af Spam.
• Efter disse test sendes e-mailen gennem et program kaldet Spamassassin, som søger efter specielle ord eller sætningen, så som Viagra, samt mærkelig og defekt syntaks i HTML e-mail. De fundne forhold tildeles strafpoints, og hvis summen af disse overstiger 5, så markeres emne feltet med *****SPAM*****. Hvis der gives over 8 points, så afvises mailen med det samme. Endvidere kontrolleres e-mail også for eventuelle web referencer, og hvis den pågældende server er blacklistet i eksterne databaser eller i en lokal liste, så tildeles yderligere strafpoints.
• Til sidst foretages en virus kontrol med programmet ClamAV. 

Det skal fremhæves, at en mail som afvises pga. disse kontroller, ikke slettes, men bliver hængende på den fremmede server, som forsøger at sende mailen. Det er derfor fortsat den fremmede server, som bærer ansvar for mailen og har til opgave at underrette afsenderen om problemet. Selvom afsenderadressen er falsk, forbliver problemet på den fremmede server. Det er derfor vigtigt, at disse kontroller foretages på den første server i Fællesadministrationen, som modtager fremmede e-mails.

Efter denne behandling videresendes mailen til en Windows server, hvor der foretages yderligere en virus kontrol af e-mailen, inden den lagres på en Windows Exchange server. Hvis der findes mail med virus på dette trin, returneres der ingen besked til afsenderen, da adressen sandsynligvis er falsk. Til gengæld får modtageren mailen efter fjernelse af virusen.

En liste over afviste e-mails inden for den sidste uge kan findes her. Den opdateres hver time og er på ca 5 MBytes. Listen indeholder dog ikke virus mail.

En grov optælling i begyndelsen af december 2004 viste, at Fællesadministrationens mail servere på en uge modtog 113,000 mails udefra, hvoraf 41,000 blev leveret til brugerne. Af disse var 700 markeret af Spamassassin som mulig Spam (5-8 points). Derudover blev 23,000 afvist via eksterne og interne lister, 12,000 afvist via SPF, ugyldig domæner og Spamassassin (over 8 points), og 37,000 afvist via Greylisting. Det betyder, at næsten 65% af al indkommende mail blev afvist. Man kan også estimere forholdet mellem Spam fra virusbefængte PCer og fra rigtige mail servere til 37,000/12,000 = 3/1. Den indledende afvisning på 23,000 mails regnes ikke med i dette forhold, da den indeholder begge typer Spam. Det er derfor, at Greylisting er så effektiv. Den totale Greylisting var på 53,000, men 16,000 af disse kom igennem efter de 10 minutter.

Det er sagt mange gang før, at man ikke skal åbne vedlagte filer fra brugere man ikke kender. Mange Spam mails indeholder virus, og nogle af de nyere vira indeholder programmer, som efter installation kan aflæse brugerens tastatur. Så hjælper kryptering og password til homebanking ikke ret meget. Efter at have fortalt brugeren, at der er unormale transaktioner på hans bankkonto, opfordres han til at logge ind og kontrollere dem. Samtidig starter aflæsning af tastaturet og oplysningerne sendes automatisk til personer, som vil tømme den pågældende bankkonto. Aflæsning af tastaturet kan naturligvis også ske, hvis man selv har installeret uautoriseret programmel på sin PC.

Man bør også være opmærksom på, at man kan bliver registreret, når man læser Spam mail. Det sker ved at indlægge en reference til en Web-side i mailen. Når den pågældende Web-side bliver læst (den har et entydigt navn), så ved ejeren, at der findes en virkelig person bag den pågældende mail adresse..

 

IT-afdelingen
Nørregade 10	Fax 35 32 27 07
1165 København K	Opdateret 5. dec. 2004 af
Tlf. 35 32 27 00