Spammers worden slimmer

Een tijd geleden introduceerden we een nieuwe manier om spam te filteren (policy based greylisting) en dit zorgde voor een ongelooflijke verbetering op de spamfiltering. Niet enkel werden onze scanners minder belast, maar de spam viel effectief terug naar enkele berichten per dag, en legitieme mail bleef mooi aankomen waar die moest.

Helaas is hier sinds kort verandering in gekomen… Greylisting is een techniek die omzeild kan worden, en sinds 1 mei is dit dus het geval. Minstens één van de grote botnets heeft sinds kort de mogelijkheid om resends te doen, en zo greylisting te omzeilen. Collega’s van binnen en buiten België bevestigen dit ook, het is dus een algemeen fenomeen en probleem.

Wanneer we even enkele nummers voor de maand april nemen, zien we dat tussen de 4% tot 8% van de afgeweerde connecties op een later tijdstip opnieuw verbinden met de mailserver. Dit zijn dus twijfelgevallen (verre hosts, nog nooit geziene hosts, Windows-machines…), die een eerste keer het deksel op de neus krijgen, maar toch een tweede keer verbinden, en dus vermoedelijk legitieme mail met zich meedragen. Dit is een normaal getal, volgens sommige onderzoeken is minstens 90% van het email-verkeer spam is, wat dus in overeenstemming is met onze cijfers.

Wanneer we de eerste twee dagen van mei nemen, zien we een percentage van 26,5%. Wanneer we enkel deze morgen nemen, zien we een percentage van 41,15%.

Een kleine voetnoot, dit is mail die door de eerste defensielijn raken. Greylisting is gelukkig niet de enige techniek waarop we vertrouwen, en dus moeten er nog enkele andere hordes overwonnen worden. Deze volgende hordes zijn echter afhankelijk van probabiliteitsmechanismes, en zijn dus minder accuraat.

Spam is en blijft een groot probleem. Sinds deze ochtend zien we ook een iets hogere belasting op de mailscanners, omdat er meer mail verwerkt moet worden. Bij collega’s horen we gelijkaardige verhalen, we staan dus niet alleen in onze strijd…