Voor en na onze wijzigingen op een van de servers

In de constante strijd tegen spammers, zijn wij opnieuw gaan kijken naar onze spamfiltering. In het hele proces, dat we in stappen hebben uitgevoerd, kwamen we in onze logs en statistieken een aantal opvallende zaken tegen, die we hieronder op een rijtje hebben gezet.

Spammers gebruiken oude DNS records
Ooit, ongeveer 3 jaar terug, hadden wij een los systeem in gebruik dat spam filterde. Later hebben we besloten deze load te verdelen over de servers op ons shared hosting platform, maar nu we druk bezig zijn met virtualisatie, is dat minder interessant geworden.

De server (of eigenlijk virtuele server) die nu weer spamfiltering gaat doen, hebben we op hetzelfde IP adres gezet als de server van 3 jaar terug. Tot onze verbazing zagen we zelfs nog tijdens de installatie al spam aangeleverd worden op de nieuwe installatie. Dit terwijl de DNS al 3 jaar niet meer naar die server verwijst en het IP adres al die tijd niet in gebruik is geweest.

Na enig zoekwerk op Google zagen we dat meer mensen hier last van hebben. Dit is wel belangrijk om in de gaten te houden, zeker als je MX records toevoegt van losse systemen die filtering doen.

Spammers kijken niet naar MX priority
Inmiddels beginnen spammers door te krijgen dat MX records met een hogere prioriteit (dus een lager getal), vaak spamfilters zijn. Spammers kiezen nu dus heel vaak juist het MX record met de laagste prioriteit (hoger getal), of kiezen willekeurig een MX record uit.

Als er dus een apart spamfilter wordt geinstalleerd die de mail doorstuurt naar de volgende server, dan kan het dus slim zijn om de spamfilter het MX record te geven met zowel de laagste als de hoogste prioriteit. Maar dan nog krijg je vaak direct mail binnen op de server.

Spammers kijken uberhaupt niet naar MX
Het komt ook vaak voor dat spammers mailen naar de A record van een domeinnaam, in plaats van naar de MX records te kijken. Dit betekent dat op shared hosting systemen waarbij de email en website op een enkel systeem draait, de mail daar direct naartoe gaat. Hierbij kijken spammers niet naar de MX records waarin wordt verwezen naar de aparte spamfilters.

Wel of niet filteren aan de hand van blacklists?
De echt consequente spammers komen op blacklists terecht. Maar de vraag is, wil je aan de hand van blacklists wel direct filteren of zelfs de verbinding weigeren? Het gebeurt wel eens dat legitieme verzenders ook in blacklists terecht komen, zoals bijvoorbeeld een keer met Gmail is gebeurd, welke ineens in SpamCop stond.

Je kunt besluiten om wel direct te filteren aan de hand van blacklists, waarmee je heel veel spam direct zult tegenhouden. Onze mening is dat de spamfiltering er in elk geval niet voor moet zorgen dat normale email verloren gaat. Wij werken daarom gewoon met een Spamassassin score systeem, waarbij email dus pas gefilterd gaat worden op het moment dat de afzender op meerdere blacklists staat. Naar ons idee is dat veiliger.

Onze oplossing
Ons doel is voornamelijk om de load op de shared hosting servers omlaag te krijgen, dus niet direct om de spamfiltering helemaal los te hebben. De oplossing die wij nu hebben geimplementeerd binnen onze shared hosting is als volgt:

• De server die filtert, staat als eerste en laatste MX record opgegeven. De shared hosting server waar de klant op draait als middelste MX.
• De shared hosting servers zelf hebben ook een spamfilter draaien, maar de bedoeling dat deze zo min mogelijk doet, omdat die mogelijk de performance van de shared hosting omlaag brengt.
• De filterende server heeft zelf ook een database met alle mailgebruikers, zodat mail naar een niet-bestaande gebruiker direct afgewezen kan worden.
• Wordt email wel direct naar de shared hosting gestuurd,  dan wordt deze gecontroleerd aan de hand van twee blacklists en direct afgewezen als de afzender op een blacklist staat. Deze mensen kunnen dus alleen email versturen als dit langs de filterende server gaat, die werkt met een scoresysteem.