Marketeers en Tweets

Het was te verwachten uiteraard, maar bij het bekijken waarom sommige spamberichten niet netjes naar de Junk-folder viel me iets grappigs op. Sommige partijen zijn begonnen om niet alleen hun responses te monitoren met Google Analytics, maar laten nu ook automagisch een Tweet aanmaken om zo hoger op sommige lijsten te scoren. Of het fair is laat ik even in het midden, maar het lijkt wel langzaam een trend te worden om Twitter-achtige dingen te gebruiken in marketing en de kans dat gebruikers dit naar elkaar doorsturen is vrij klein.

describe LOCAL_TWEET Mailing with Tweet-API
rawbody __A_LOCAL_TWEET /\bhttp:\/\/api\.tweetmeme\.com\/share\?url/i
rawbody __B_LOCAL_TWEET /\bunsubscribe\b/i
meta LOCAL_TWEET ( __A_LOCAL_TWEET && __B_LOCAL_TWEET )
score LOCAL_TWEET 0.001

Met de bovenstaande ruleset voor SpamAssassin is te controleren wat de impact gaat zijn. Een paar dagen loslaten op de honeypot die het bayesianfilter van kenmerken voorziet zou voldoende moeten zijn om te kijken wat de score daadwerkelijk moet gaan zijn en of het effectief is.

Een Bayesian-filter vullen met data

In een vorige posting werd SpamAssassin zo geconfigureerd dat het Bayesian-filter gebruik maakte van PostgreSQL om de data in op te slaan. Ook werd aangegeven dat er niet automatisch werd geleerd met de optie bayes_auto_learn 0 om zo te voorkomen dat het filter zijn eigen waarheid ging verzinnen van wat spam was en wat niet.

Een manier om aan data te komen voor het filter is door een mailbox met alleen ham en een mailbox met alleen spam regelmatig te importeren. De ham is natuurlijk nog wel gemakkelijk aan te komen door deze mailbox aan te melden op een paar mailinglists en nieuwsbrieven waarvan je weet dat ze te vertrouwen zijn en bijna 100% non-spam zijn en dus geschikt zijn voor de ham mailbox.

Voor spam zelf wordt het wat lastiger. Je kan vertrouwen op wat je gebruikers markeren als spam en dan importeren, maar hierdoor loop je altijd achter de feiten aan. Een makkelijkere en betrouwbare methode is door spamtraps op te zetten, maar het kan even duren voordat deze functioneel zijn. Je kan op sommige websites die jezelf onder beheer hebt de onderstaande string opnemen en hopen dat de robotjes van e-mailverzamelaars het oppakken.

<!-- <a href="mailto:spamtrap@example.org">spamtrap@example.org</a> -->

Het kan lang duren voordat er resultaat is. Een tweede optie kan zijn door in bepaalde groepen zoals bijvoorbeeld in nl.test op usenet te posten en dit kan redelijk snel resultaat opleveren. Een derde optie kan zijn door een PGP-key te uploaden naar de keyservers, maar deze methode is niet aan te bevelen aangezien het echt vervuiling is en je wordt traceerbaar.

Nu je spam en ham netjes in hun eigen mailbox binnenkomen kan je met de volgende commando’s op gestelde tijden je filter opschonen en vullen met spam en ham:

sa-learn -u amavis --force-expire
sa-learn -u amavis --spam --mbox spam.mbox
sa-learn -u amavis --ham --mbox ham.mbox

Zoals te zien is forceer ik dat alles gedaan wordt onder de gebruiker amavis aangezien amavisd-new de daemon is die tussen Postfix en SpamAssassin en ClamAV zit om de mail te scannen, te beoordelen en in geval van een virus ook in quarantine te plaatsen. Er kan binnen SpamAssassin met de optie bayes_sql_override_username amavis in local.cf hetzelfde effect worden afgedwongen.

Je eerste spambericht

Het is al veel te lang geleden om te herinneren wanneer mijn eerste spambericht binnenkwam, maar irritant was het wel. Het was ook redelijk duidelijk dat het ongewenst was en ook hoe ik op z’n lijst gekomen was. Zeker omdat ik wat onvoorzichtig op usenet had lopen posten. Maar tegenwoordig zouden mensen beter moeten weten, maar zelfs als je heel voorzichtig doet.

De vraag is misschien hoe je dan op een spamlijst komt als je heel voorzichtig bent. Er zijn een paar mogelijkheden als het adres niet met oa Google te vinden is. De twee belangrijkste zijn de mailservers onderweg waar je mailadres wordt opgepikt of bij een eindgebruiker die vrolijk zijn adresboek met de wereld deelt. Dat laatste kan moedwillig, maar ook met behulp van spyware die ongezien is geinstalleerd. We zullen het misschien nooit weten, maar het geeft wel aan dat er voldoende gaten in net zitten helaas. Maar dit gesprek over iemands eerste spambericht zal ik nooit vergeten.

Oude e-mailadressen

Nu komt er toch een einde aan sommige e-mailadressen welke al jaren niet meer worden gebruikt of alleen nog door spammers en oplichters. Hiermee wordt e-mail met een PGP of een S/MIME signature ook bijna zo goed als standaard om ontvangers een mogelijkheid te geven om te controleren wie de verzender is.

Toename van besmette e-mail

Sinds een paar dagen mag de virusscanner op de mailserver zit weer uitleven, maar ik denk dat er sommige mensen in de spamwereld aardig boos gaan worden. En niet zozeer op mij, maar meer een beheerder van een botnet op de opdrachtgever. Zeer zeker omdat er ineens vrij veel trojans komen van nog machines die nog niet in enige blacklist staan cq stonden.

Wat ook opvalt is de nog steeds grote hoeveelheid brakke Qmail installaties die mensen gebruiken. Veel van deze installaties doen als dingen fout gaan een bounce wat redelijk wat veel backscatter veroorzaakt. En in dit geval ook backscatter welke besmet is oa. Het lijkt erop dat nog redelijk wat beheerders werk gaan krijgen in de toekomst.

Gelukkig blijkt ClamAV goed instaat om de problemen bij te houden, maar de hoeveelheid signatures in de database groeit redelijk stevig door. Nog iets meer dan 21.000 en de database gaat over de 400.000 signatures heen. Of dit een feestelijk moment is mag zeker worden betwijfeld, maar een ding is wel zeker en dat is dat vrije software en content hier veel mensen kan beschermen tegen minimale kosten. Dan ook hulde aan de mensen achter ClamAV.