Browse > Home /

| Subcribe RSS

Spam mailleri anlamak mı dediniz?

April 20th, 2009 | No Comments | Posted in e-posta güvenliği

Hergün inbox’unuzu kontrol ederken maillerinize yan gözle mi bakıyorsunuz?

Acil olan bir mail bekliyorsunuz ancak inbox’unuz o kadar dolu ki, aradığnız maili bulamıyor musunuz?

Çocuğunuza mail adresi aldınız ancak sizin isteğiniz dışında gelen abuk-sabuk mailleri, çocuğunuzun görmemesini mi istiyorsunuz?

O zaman siz hala SPAM maillerle tanışmamışsınız demektir. SPAM‘ı genel olarak; istenmeyen, talep edilmeyen mail olarak adlandırabiliriz. En basit anlamda, yolanan bir SPAM mailin,  alıcıların istekleri haricinde birbirinden farklı alıcılara gitmesi ve ideal olarak hiçbir şekilde durdurulamayan maillere verilen genel ad’dır. JUNK mail olarak ta adlandırılabilen SPAM, daha çok kurumsal olarak reklam amaçlı gönderilen ve isteğimiz dışında aldığımız maillere verilen addır.  Özellikle son yıllarda ciddi bir oranda artış gösteren SPAM mailler, dünyadaki e-mail mesajlarının yaklaşık olarak %85’ini kapsamaktadır.

Peki SPAM,  Ne değildir?

Bireysel olarak bir kişinin diğer bir kişiye küfürlü bir mail göndermesi, SPAM değildir.

Broadcast ya da Bulk e-mail nedir?

Spam’e alternatif olarak çeşitli tipte e-mailler vardır. Bunlardan birtanesi de Broadcast ve Bulk e-mail olarak geçer. Broadcast mailleri daha çok daha önce iş yaptığınız bireysel/kurumsal müşterilerinizin kendi hizmetleri hakkında size gönderdikleri pazarlama amaçlı mailler olarak adlandırabiliriz. Bu mailler sizin bir şirketin “subscription” olarak adlandırılan üyelikle haber alma servisleri bile olabilir. Ideefixe sitesinin size her hafta gönderdiği kampanya haberler, müşterisi olduğunuz bankanın size belirli aralıkla gönderdiği finans ya da kampanya bilgileri broadcast olarak adlandırılır. Yalnız bir mailin broadcast olarak adlandırılabilmesi için sizin bu mailleri almama seçeneğiniz olması gerekiyor (Unsubscribe).

Normal (Regular) Mail nedir?

Spam ya da broadcast maillerin haricinde bir kişinin diğer bir kişiye gönderdiği tüm mailler normal mail olarak adlandırılır.

False Positive nedir?

Spam mailerin hacminin artmasıyla birlikte bu tarz mailleri sınıflandırmak bir hayli zorlaşıyor. Gelişen teknolojilere nazaran birçok spam ve broadcast (bulk) mail üreten sistemlerin tespit edilmesi de, sınıflandırmayı zorlaştırıyor. Bu konuda False Positive dediğimiz klasman, normal bir mailin spam olarak algılanması prensibine dayanıyor.

Sınıflamalar

Spam ve Bulk  olarak adlandırılan maillerin çeşitli sınıflandırmaları bulunuyor. Sektörler çok geniş olduğu için bu sektörlere ait çok farklı klasmanlar bulunuyor. Şimdi bunları tanıyalım:

Adult: Pornografik, seks içerikli, şok verici içeriğe sahip ya da reklamı yapılan ürün/servisler, porno içeriğe ya da yetişkinlere özel web siteleri.

Scam: Alıcıları yanlış yönlendirilmiş birçok mail scam olarak geçer. Phishing dediğimiz oltalama, kimlik hırsızlığı, dolandırıcılık mesajları (mailleri),  direkt ya da indirekt olarak para çekimlerine yönelim tüm mailler.

Unclassified: Yukarıda bahsettiğim tüm kategorilerinin dışındaki tüm spam mailler bu sınıflandırmadadır.

Peki, Güvenlik Sistemleri nasıl işliyor?

Sektörde E-mail Security alanında birçok firma bulunuyor. Bunların çoğu birçok özelliği desteklerini iddia etseler de, asla tam kapasite ile çalışmıyorlar. Bu alandaki firmaların donanımsal ve yazılımsal olarak çeşitli çözümleri bulunsa da, kullanılan yöntemler genel olarak ortak. Şimdi bu yöntemleri tanıyalım:

  • DNS Block List (DNSBL): 3.parti ya da open source olarak kullanılan bu yöntemde, dünya’da spam yapan DNS ya da IP adresleri belirli bir database altında toplanıyor ve gelen mailler bu güvenlik sistemleri tarafında DNSBL adreslerine bakılıyor (İnternet üzerinden ya da lokal) ve eğer gönderen mail bu adreslerden birinde yeralıyorsa; sistem bu maili bloklayarak, inbox’a düşmesine engel oluyor. Etkili bir sistem olmasının yanında, check edilecek birçok adres olduğu için daha çok büyük firmaların çözümleri tercih ediliyor.
  • Manual IP Address blocking: Belirli bir IP adresinin spam yaptığını düşünüyorsanız, bunu sisteminizden direkt olarak elle bloklayabilirsiniz.
  • Recipient Verification at the Relay: Relay ortamında alıcısı bilinmeyen bir mailin bloklanması prensibine dayanır. Otomatik spam mail gönderen sistemler çok değişik kullanıcılar oluşturduğundan (asflaflgdjb@kurumadi.com gibi) bu tip mail listeleri oluşturarak, gereksiz mailleri bloklayabilir ve mail sunucunuzun yoğunluğunu azaltabilirsiniz.
  • Edge Protection: Maillerin trafik patternlerini analiz ederek Denial of Service (DoS), Directory Harvest ve diğer kötü niyetli ataklara karşı bir koruma yöntemidir. Firmaların güvenlik sistemlerine bağlı olarak Edge Protection dışında farklı bir isimde de bulunabilir.
  • Content Filtering: Maillerin içeriğini filtreyen bu yöntem ile belirli kelimleri ilgili maillerin Subjecti ya da mail içeriğine bağlı olarak filtreleyebilirsiniz. Bu konuda atıyorum Viagra kelimesini tamamen bloklayabileceğiniz gibi bu kelimeye (ve daha fazlasına) belirli bir puanlama verip, X puan olunca maili drop et ya da karantinaya al gibi özellikleri kullanabilirsiniz.
  • White / Grey / Black Listler: Dediğimiz gibi broadcast ya da spam gibi sınıflandırılan mailler kimi zaman false positive olarak gözükebiliyor. Bu noktada tanıdığınız domain’lerden gelen mailleri White List’e koyup, bu domainleri Exclude edebilirsiniz. Ya da tüm bu sistemlerin etkisiz olması durumunda kendi şirketinize özel blacklist’ler oluşturarak, bu domainleri tamamen bloklayabilirsiniz. Bu konuda özellikle gmail, hotmail gibi domainlerden gelen spam mailleri domain bazında değil de, kullanıcı basında bloklamakta fayda var. Bu konuda dikkat edin 🙂
  • Digital Certificate: Sizin belirleyeceğiniz domainlere çeşitli sertifikalar atayarak PKI alanında bir güvenlik sağlanıyor. İlgili domain size mail gönderirken, bu mail bir sertifika ile imzalanıyor ve sizin güvenlik sistemleriniz bu sertifikayı tanıyor, onaylıyor ve sonra size güvenli olarak iletiyor.

Koruma yöntemleri çoğaltılabilir. Kimi firmaların bu konuda özel çözümleri de mevcut (Edge Protection gibi). Şimdi de SPAM konusunda neler yapabilirsiniz bunları kısaca anlatalım:

  • Tavsiye 1: Özellikle Adult içerikli mailler için agresif hatta çok agresif olmaya özen gösterin ve son kullanıcı konusunda bu tarz maillerin raporlanmasını engelleyin. Gerekli politikaları oluşturup bu tarz cinsel içerikli maillerin hepsini bloklayın.
  • Tavsiye 2: Firmanızın bulunduğu sektöre istinaden SCAM mailler konusunda agresif olun. Politikalarınız doğrultusunda bu mailleri raporlanmasını engelleyebilir ya da izin verebilirsiniz.
  • Tavsiye 3: Spam mailler çok çeşitli olduğu için kategori dışı mailler üzerinde agresif olun (agresif kelimesini çok kulladım 🙂 ).

Sonuç olarak güvenlik yöntemleri ne kadar gelişmiş olursa olsun, hepsi 25. porttan (genellikle 25)  SMTP protokolünü kullandığından özellikle network bazında bir zaaf var. Atak yöntemleri her zaman açıklık bulma prensibine dayandığından, her zaman üst düzey güvenlik sistemleri kullanmakta fayda var. Basit yazılımsal çözümler ucuz olduğu kadar özellikle fazla efektif değiller (Özellikle ücretsiz sürümler). Bunun dışında komplex yazılım çözümleri olduğu kadar donanımsal çözümlere yönelmek, her zaman daha etkin bir güvenlik çözümüdür.

Bu yazıda Tumbleweed firmasının “Understanding Spam” dökümanından faydalanılmıştır.
Tags: , ,

Symantec Internet Tehdit Raporunu açıkladı: Risk büyük!

April 15th, 2009 | No Comments | Posted in Güvenlik

Büyük kurumlar her sene kendi sektörleriyle ilgili çeşitli raporlar yayınlar. Bunun esas amacı kullanıcı ve kurumları bilgilendirip, olası tehditlerin önüne geçip “pro-active” davranmalarını sağlamaktır. Özellikle güvenlik konusunda sektörün lider kuruluşlarından biri olan Symantec, 2008 yılına ait “Internet Tehdit Raporu” yayınladı. Raporda özellikle sistem açıklıklıkları (vulnerabilites), oltalama  (phising), spam ve güvenlik riskleri konuları ağırlık kazanmış.

Symantec tarafından açıklanan raporda özellikle malicious code olarak adlandırılan zararlı kod uygulamalarının artışına dikkat çekiliyor. 2007 senesine göre yaklaşık %265 oranında artan zararlı kod uygulamaları, 2009 yılına damgasına vuracak gözüküyor.

ilgili raporun özetine bu adresten ulaşabilir ya da raporun geneline bu adresten PDF formatında indirebilirsiniz.

Tags: , , , , , ,

TTNET ADSL müşterilerinin SMTP port değişikliği Spam Maillerin önüne geçebilir mi?

April 8th, 2009 | 28 Comments | Posted in e-posta güvenliği

Yahoo’daki BilgiGüvenliği grubunda da paylaşmıştım, konu ile ilgili gelişmeleri gördükten sonra, ilgili konudaki gelişmeleri görmek sevindirici. Hosting hizmeti de verdiğimizden, müşterilerimiz zaman zaman black list denilen ve dünya çapında yaygın olarak kullanılan spam engelleyici DNSBL olarak adlandırılan kara listelere girebiliyor. Geçtiğimiz aylarda bunun check işlemlerini yaparken, TTNET’in ciddi bir spam oranına sahip olduğunu görmüştüm (IP’miz temizdi ancak sağlayıcımız TTNET olduğu için ilgili TTNET IP bloğu blocklanmış gözüküyordu). Aşağıdaki tablolarda detaylarını bulabilirsiniz (Güncel olmayabilir, 25 Mart 09 verileridir).

http://www.uceprotect.net/en/rblcheck.php

Position Spammer Provider AS – Test
1. 90993 TTNET TTnet Autonomous System AS9121

UCEPROTECT-Level3

Reputation of ASN 9121 | TTNET TTnet Autonomous System

AS Status Provider has
total IP’s
Level 1 listed spammers
within the last 7 days
Escalation to Level 3
by Level 1 records
Optional Expressdelisting
WARNING!
PROBLEM MUST BE FIXED FIRST
TO PREVENT NEW LISTINGS
9121 LISTED 5908224 90993 (1.54 %) 11816
What means listed at UCEPROTECT-Level 3?
UCEPROTECT Network operates three levels of blacklisting, so our users can make the decision how strong they want to filter.
While UCEPROTECT-Level 1 lists single IP’s only, UCEPROTECT Level-2 escalates and lists spammy allocations.
UCEPROTECT-Level 3 is the highest possible escalaion, complete Autonomus Systems (AS) get listed at Level 3 if there were too many spamming IP’s (listed in Level 1) originating from said AS within the last 7 days.
If the provider harbours too many spammers and only has one ASN (Autonomus System Number) that logically means:
All IP’s of said provider get listed at Level 3 then.
While in fact UCEPROTECT-Level 3 is nothing than pure mathematics based on Level 1, one could best describe UCEPROTECT-Level 3 as a boycottlist.

Spam ile ilgili mücadele konusunu Şubat ayında yayınlanan neler yapabiliriz konulu başlıkta açıklamıştım. Bu konuda ilgili kurum, firmaların görüşlerini almak istemişti. Bu konuda ciddi gelişmelerin olduğunu belirtmemde fayda var. Hemen açıklayalım;

TTNet önderliğinde Mynet, Çizgi Telekom, DorukNet ve TTMail kurumları, Türkiye’de pilot bir uygulama başlatıyor. Bu uygulama kapsamında; SMTP protokolünün default olarak kullandığı 25. port yerine, 587 no’lu port kullanılmaya başlatılacak. Bu konuda özellikle mail gönderirken domain kullanımı yerine, IP lere ve ilgili 25. port ataklarına karşı önlem alınması planlanıyor. Bundan böyle ilgili sistemlerin 25. portlarının INBOUND’larına gelen trafiklere izin verilmeyerek, tamamen bloklanacak.

Konu ile ilgili olarak TTNET’in yaptığı açıklama ve ilgili güvenlik ayarlarını öğrenmek için bu adresi kullanabilirsiniz. Unutmayın, bu bir pilot uygulama ve etkilenecek şehirler şu şekilde sıralanıyor: Aydın, Bayburt, Diyarbakır, Giresun, Gümüşhane, Ordu, Rize, Sivas, Tokat, Trabzon.

Eğer bu şehirlerde yaşayan TTNET ADSL müşterisiyseniz, gerekli talimatları uygulayabilirsiniz.

Tags: , , , , , , , , ,

Türkiye’de Spam ile mücadele konusunda bilinçlendirme

February 9th, 2009 | No Comments | Posted in Güvenlik

Kısmi olarak Hosting hizmeti de verdiğimizden bu maili ilgili arkadaşım bana forwardlamış ve konu ile ilgili görüşlerimi belirtmemi istemiş. İlgili devlet birimi Telekomünikasyon İletişim Başkanlığı’ndan – Bilgi Teknolojileri ve İletişim Kurumu’na bağlı Internet Daire Başkanlığı. Firma özellikle Servis Sağlayıcıların genel olarak e-posta hizmeti verdikleri için konu hakkında geri dönüş bekliyorlar. Aynı kurumun ilgili 2008 Faaliyet Raporu‘na buradan ulaşabilirsiniz. Konu hakkında detayları aşağıda veriyorum. Konu ile ilgili düşüncelerimi daha sonra paylaşacağım.

Sayın Yetkili,

Bilindiği üzere, 5651 sayılı Kanuna dayanılarak çıkarılan “Telekomünikasyon Kurumu Tarafından Erişim Sağlayıcılara ve Yer Sağlayıcılara Faaliyet Belgesi Verilmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik” 24 Ekim 2007 tarihli ve 26680 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Yönetmeliğin 3 üncü maddesi birinci fıkrası (ş) bendine göre; İnternete açık hizmet ve içerikleri barındıran sistemleri sağlayan/işleten gerçek veya tüzel kişiler yer sağlayıcı olarak tanımlanmaktadır. Bu çerçevede, e-posta hizmetinin de verildiği değerlendirilmektedir.

Bununla birlikte, ülkemiz, istenmeyen e-posta (spam) konusunda dünya çapında yayınlanan istatistiklerde ön sıralarda yer almaktadır. Bu kapsamda alınacak tedbirlere ilişkin; standart smtp portu olarak kullanılan 25 portu yerine başka bir portun belirlenmesinin istenmeyen e-posta (spam) ile mücadele konusunda faydalı olup olmayacağının ve bu düzenlemenin gerekliliği, yapılırsa karşılaşılacak sorun ve çözüm yolları ile birlikte konunun değerlendirilerek;

  • İstenmeyen e-posta (spam) ile mücadele konusunda herhangi bir çalışmanızın olup olmadığının,
  • İstenmeyen e-posta (spam) ile mücadelenin gerekliliği konusundaki görüş ve önerilerinizin,
  • İstenmeyen e-posta (spam) ile mücadele konusunda varsa görüş ve önerilerinizin,
  • İstenmeyen e-posta (spam) ile mücadelede standart smtp portunun yerine başka bir portun kullanılması için tarafınızca yapılacak herhangi bir hazırlığa ihtiyaç duyulup duyulmadığı; bu hazırlığın ne kapsamda ve ne büyüklükte yapılması gerektiği konusunda varsa görüşlerinizin

16.02.2009 tarihine kadar Başkanlığımıza e-posta ile bildirilmesi gerekmektedir.
Bilgilerinize arz/rica olunur.

Not: Cevabınızı “görüş” konu başlığı kullanılarak yer_saglayici -ED- tib.gov.tr e-posta adresine göndermeniz gerekmektedir.

Tags:
  • Site istatistik

    Bugünkü ziyaret: 41
  • Add to Technorati Favorites

    Mail adresinizi girin:



  • Google Connnect
  • RSS DarkHardWare News