Voorlopig lijken spammers IPv6 links te laten liggen, maar hoe lang dat zo zal blijven is de vraag. Hiermee komt ook gelijk de vraag of een DNSBL voor mail over IPv6 opzetten nog wel zinvol is. Een computer met IPv6 Privacy Extensions enabled wisselt om de zoveel uur van IPv6-adres en zou dus eigenlijk eigenlijk afdwingen om op network-niveau te gaan blacklisten en misschien ook wel om te gaan whitelisten en greylisten. Hiermee komt eigenlijk ook de vraag hoe valide Spamhaus nog is en wat voor impact dit gaat hebben op de Bayesian filtering opstelling die nu zijn werk doet.

Gelukkig is er na lang gesteggel een redelijk veilige oplossing gekomen, maar iemand had poort 2000 uitgekozen om deze dienst op te laten draaien. Helaas was deze poort door IANA al vergeven aan Cisco SCCP om hun eigen XMMP/VoIP-oplossing op te laten luisteren. Uiteindelijk is poort 4190 uit IANA komen rollen als gereserveerde poort voor het Sieve-protocol. De migratie naar deze poort is nu begonnen en zal met Debian 6.0 waarheid worden voor veel Debian-gebruikers cq installaties. Bug 560094 heeft meer informatie.

Een jaar later is goed te zeggen dat de keuze voor het starten van een Bayesian-filter een goede keuze was. Veel spamberichten welke normaal gesproken niet door SpamAssassin zouden worden herkent worden nu als spam gemarkeerd. Ook het snelle leren van nieuwe type spamberichten gaat redelijk vlot, hoewel je wel voldoende berichten moet voeden aan het systeem. Naarmate de tijd vorderde ging de interval dat sa-learn draaide van eenmaal per dag naar elke zes uur, naar elke vier uur en uiteindelijk naar elk uur om bij te blijven. Zeker nadat de spamdomeinen geen bescherming meer hadden van de Spamhaus regels in de mailserver.

De komende maanden zal er een herimplementatie moeten komen van het statistiekensysteem om zo duidelijk te krijgen wat de belangrijkste regels in SpamAssassin zijn en of het mogelijk is om zonder oa SURBL, URIBL en Spamhaus te kunnen, maar ook welke SARE-regels nog zinvol zijn. Een andere optie is om te kijken of een herintroductie van Spamikaze kan plaats vinden om bepaalde e-mails toch op basis van een eigen blacklist/whitelist af te handelen.

Op Debian kan door het installeren van Mail::DKIM het oa worden gebruikt door SpamAssassin en Amavisd-new.

$ sudo apt-get install libmail-dkim-perl


Voor SpamAssassin om gebruik te maken van DKIM hoeft in het bestand /etc/spamassassin/v312.pre de volgende regel staan zonder #-teken ervoor.

loadplugin Mail::SpamAssassin::Plugin::DKIM


Je kan los een DKIM-proxy installeren om een header te laten toevoegen of de DKIM-signature voldoet, maar als je al al gebruikt maakt van Amavisd-new dan kan het al automatisch worden gedaan door Amavisd-new. Zorg dat in het bestand /etc/amavis/conf.d/50-user de volgende regel staan en herstart de daemon.

$enable_dkim_verification = 1;


Je zal nu zien dat de volgende regels zien verschijnen in /var/log/mail.log:

Dec 29 20:36:45 server amavis[7162]: Module Mail::DKIM 0.32
Dec 29 20:36:45 server amavis[7162]: DKIM code loaded


Als je bijvoorbeeld RoundCube gebruikt dat kan je met DKIM verification plugin de status automatisch laten weergegeven als de gebruiker zijn e-mail leest. Het zal je ook opvallen waar het voorlopig niet verstandig is om e-mail te rejecten op basis van een invalide DKIM signature. Bij sommige mailinglisten worden extra regels aan de body van de e-mail toegevoegd waardoor het signature niet meer valide is.

Een manier om aan data te komen voor het filter is door een mailbox met alleen ham en een mailbox met alleen spam regelmatig te importeren. De ham is natuurlijk nog wel gemakkelijk aan te komen door deze mailbox aan te melden op een paar mailinglists en nieuwsbrieven waarvan je weet dat ze te vertrouwen zijn en bijna 100% non-spam zijn en dus geschikt zijn voor de ham mailbox.

Voor spam zelf wordt het wat lastiger. Je kan vertrouwen op wat je gebruikers markeren als spam en dan importeren, maar hierdoor loop je altijd achter de feiten aan. Een makkelijkere en betrouwbare methode is door spamtraps op te zetten, maar het kan even duren voordat deze functioneel zijn. Je kan op sommige websites die jezelf onder beheer hebt de onderstaande string opnemen en hopen dat de robotjes van e-mailverzamelaars het oppakken.

<!-- <a href="mailto:spamtrap@example.org">spamtrap@example.org</a> -->

Het kan lang duren voordat er resultaat is. Een tweede optie kan zijn door in bepaalde groepen zoals bijvoorbeeld in nl.test op usenet te posten en dit kan redelijk snel resultaat opleveren. Een derde optie kan zijn door een PGP-key te uploaden naar de keyservers, maar deze methode is niet aan te bevelen aangezien het echt vervuiling is en je wordt traceerbaar.

Nu je spam en ham netjes in hun eigen mailbox binnenkomen kan je met de volgende commando’s op gestelde tijden je filter opschonen en vullen met spam en ham:

sa-learn -u amavis --force-expire
sa-learn -u amavis --spam --mbox spam.mbox
sa-learn -u amavis --ham --mbox ham.mbox

Zoals te zien is forceer ik dat alles gedaan wordt onder de gebruiker amavis aangezien amavisd-new de daemon is die tussen Postfix en SpamAssassin en ClamAV zit om de mail te scannen, te beoordelen en in geval van een virus ook in quarantine te plaatsen. Er kan binnen SpamAssassin met de optie bayes_sql_override_username amavis in local.cf hetzelfde effect worden afgedwongen.

De vraag is misschien hoe je dan op een spamlijst komt als je heel voorzichtig bent. Er zijn een paar mogelijkheden als het adres niet met oa Google te vinden is. De twee belangrijkste zijn de mailservers onderweg waar je mailadres wordt opgepikt of bij een eindgebruiker die vrolijk zijn adresboek met de wereld deelt. Dat laatste kan moedwillig, maar ook met behulp van spyware die ongezien is geinstalleerd. We zullen het misschien nooit weten, maar het geeft wel aan dat er voldoende gaten in net zitten helaas. Maar dit gesprek over iemands eerste spambericht zal ik nooit vergeten.

Wat ook opvalt is de nog steeds grote hoeveelheid brakke Qmail installaties die mensen gebruiken. Veel van deze installaties doen als dingen fout gaan een bounce wat redelijk wat veel backscatter veroorzaakt. En in dit geval ook backscatter welke besmet is oa. Het lijkt erop dat nog redelijk wat beheerders werk gaan krijgen in de toekomst.

Gelukkig blijkt ClamAV goed instaat om de problemen bij te houden, maar de hoeveelheid signatures in de database groeit redelijk stevig door. Nog iets meer dan 21.000 en de database gaat over de 400.000 signatures heen. Of dit een feestelijk moment is mag zeker worden betwijfeld, maar een ding is wel zeker en dat is dat vrije software en content hier veel mensen kan beschermen tegen minimale kosten. Dan ook hulde aan de mensen achter ClamAV.

Het wordt duidelijk op een manier waarop sommige zich zorgen moeten gaan maken over hun privacy en identiteit. Veel partijen blijven namelijk nog jaren e-mails sturen terwijl de ontvangende mailserver aangeeft dat het adres niet meer bestaat. Nu is dit natuurlijk niet direct erg totdat iemand hetzelfde e-mailadres krijgt en wordt geattendeert op bijvoorbeeld jouw kooplust bij Bol.com of Wehkamp, maar ook over jouw zoektocht bij een vacaturesite. En aangezien veel websites zonder verificatie een nieuw wachtwoord toesturen is het “hacken” ineens kinderspel.

Nu heb je als gebruiker zelf ook de verantwoordelijkheid om voorzichtig te zijn en het is verstandig om bij te houden waar je allemaal een account hebt. Maar het is misschien kwalijker dat bedrijven hier gewoon in blijven fasciliteren en zeker als het een webshop betreft. Veel partijen zullen dus nog eens moeten gaan nadenken over hun beleid over het afsluiten van gebruikers en zullen ook hun datamodel cq applicatie moeten aanpassen. Of is het binnenhalen van geld belangrijker dan de veiligheid van de klanten en hun gegevens.