Uncategorized

Börtsök András előadása a Networkshop-on a NoSpamMail nevű kihelyezett spamszűrő megoldásról

Az előadás a 2011.04.28-án hangzott el a Networkshop-on Integrált spam, vírus, phising és hálózati védelem az elektronikus levelezésben címmel, amelyben Börtsök András a @NoSpamMail.hu kihelyezett spam+vírusszűrő rendszerét ismertette. Az előadást hallgatva/nézve pár komment azért kikívánkozik belőlem, íme.

Megtudtuk azt, hogy 2010-ben a világ összes email forgalmának mindössze a 4,4%-át adták a hasznos levelek. Ez azért is furcsa, mert egyrészt egyáltalán ki az, aki látja az ÖSSZES emailt, ami azért kellene egy ilyen számításhoz. A másik apróság meg az, hogy (kis túlzással) szinte zsinórban kapcsolják le a botneteket, ami azt jelenti, hogy jelentősen csökkent a világhálóra zúdított spam mennyisége. Szóval én a saját 80% körüli hasznos levél arányommal (mondjuk én zsákszámra kapom a ham leveleket) egy kissé hitetlenkedve csóválom a fejem e számok láttán.

A hagyományos felállással (amikor egy cég smtp szervere közvetlenül fogadja a leveleket) az a gond, hogy a szerver “ki van nyitva”, hogy mindenhonnan fogadni tudja a leveleket, és ez azért baj, mert a spammerek előszeretettel támadják a levelezőszervereket.

Azt csak halkan kérdezem, hogy miért jobb akkor egy kihelyezett spamszűrő megoldás, mint pl. a @NoSpamMail, ha egyszer azt is ki kell nyitni? Arról nem is beszélve, hogy egy magára csak egy kicsit is adó vállalatnál tűzfal védi a cég szervereit. De ha “csupaszon” is állna kint az Interneten, a 25-ös tcp port mellett akkor legfeljebb csak egy szűrt 22-es lenne elérhető, ami szerintem akár elfogadható is lehet.

A védekezés, az előadó szerint, 3-féle lehet. Az első (A) a felhasználó gépére telepített, ami nem túl hatékony, és adminisztratív nehézségek, stb. is felmerülnek.

A másik az SMTP szerverre telepített megoldás (B), aminél licence- és frissítési problémákat azonosított az előadó. Elmondta azt is, hogy hát ebben a felállásban a céges SMTP szerver nagy terhelést kap, és nem annyira hatékony, merthogy kevesebb szűrési szinttel dolgozik, mint egy professzionális megoldás. Ja, és nem annyira kifinomultak. Ezeket az állításokat majd később igyekszem árnyalni.

A harmadik megoldás (C) pedig a célhardver, pl. valamilyen spamszűrő appliance alkalmazása. Ezeket bonyolultnak nevezte az előadó, és a frissítéseket nevezte aggályosnak, ill. kevesellte a spamszűrő szintek számát. Bár én nem ilyen dobozokban utazom, de ezt a ronda csúsztatást nem hagyhatom szó nélkül. Noha Börtsök nem említett konkrét terméket, de egy ilyen célhardverhez (+a rajta futó szoftverhez) jobb helyeken jár rendszeres frissítés, támogatás, meg minden olyan nyalánkság, amit a vásárló megfizet. Ami pedig ezek bonyolultságát illeti, volt módom kipróbálni pl. az IronPort C160-as dobozát, ill. láttam a Barracuda screenshot-jait, szóval ezek alapján annyit bizton állíthatok, hogy vannak értelmesen összeállított, nem pilótavizsgás termékek is.

Mi hát a legjobb megoldás a levélben terjedő spamek és más ártó dolgok ellen? Hát a kihelyezett megoldások, mint pl. a NoSpamMail. Ez egyébként egy “korszerű, integrált védelmi rendszer” – legalábbis ezt mondta róla az előadó, akármit is jelentsen ez.

A kihelyezett megoldásnak az az előnye, amint arra helyesen mutatott rá az előadó, hogy kímélik a cég infrastruktúráját. (De milyen áron? Erről azonban majd később…) A felhasználók mailbox-ába meg sem érkezik a káros tartalom – mondjuk úgy lett volna szép, hogy ezt a feature-t a B és C megoldások esetén sem hallgatja el, hiszen ez jellemzően azok esetében is megoldható.

Az email parkoltatás sem igazán csak a NoSpamMail előnye, hiszen ezt az SMTP protokoll “gyárilag” tudja, azaz a B és C megoldás esetén is elérhető, ha esetleg elérhetetlenné válna a céges SMTP szerver.

Ennek a megoldásnak előnye a többszintű szűrési rendszer – legalábbis az előadó szerint. Őszintén szólva nem igazán értem, hogy ez miért előny? A több nem biztos, hogy jobb is. Csak a tisztázás végett: nem vetem meg azt, ha több réteg gyomlálja ki a spamet, de ne essünk abba a hibába, hogy azért választunk egy x megoldást egy másik z megoldással szemben, mert az előbbiben öttel több elemű a szűrési folyamat.

A következő dián látható volt, hogy a NoSpamMail-nél milyen szűrési rétegek vannak: “etikett”, RBL, greylisting, SpamAssassin, clamav, meg pár közelebbről meg nem nevezett saját megoldás. Az a kisebbik furcsaság, hogy az előadó az “igaz pozitív spamek” és a “hamis pozitívok” egzotikus kifejezéseket használta a “spamek” és a “fals pozitív hibák” helyett. Az jobban meglepett, hogy gyakorlatilag elsíklott a saját megoldások felett, noha amiről szólt, az egy teljesen sima, extrák nélküli, open-source elemekből felépített közepes hatékonyságú kombó.

Szóba került az is, hogy a gmail-nek van kimenő spamszűrése, ezért nem valószínű, hogy onnan spameket kapunk. Ez azonban téves konklúzió. A spammerek egyre inkább a feltört ingyenes email account-ok (pl. gmail, freemail.hu, stb.) felé mozdulnak el, és bizony kapok ezektől a szolgáltatóktól is spamet.

Börtsök beszélt arról, hogy a tartalomszűrő rész nagyon fontos, és hogy a fals pozitív hibák bizony kritikusak. Ebben igaza van, és biztos abban is, hogy szerinte sok spamszűrő itt vérzik el. Ha számít neked valamit, a NoSpamMail-nél van karantén feature is.

A leginkább vitatható állítás pedig most jön: a NoSpamMail-nél az elmúlt 4 évben nem volt fals pozitív hiba. Ha ez így van, akkor ez bizony világrekord, de erről majd később.

A kihelyezett megoldásoknak azért megvan a létjogosultságuk, mert az előadó szerint ezek naprakész megoldások, redundáns kiszolgást biztosítanak, nem kell speciális szakértelem az ügyfélnél, nem kell extra hardver (mondjuk a B megoldásnál sem kell), elég egy DNS rekord módosítás (az MX rekordokat kell átírni). A NoSpamMail szolgáltatásának ára dolgozónként mindössze 1 kávé ára (1-200 forintot mondott az előadó).

Az külön érdekes volt, hogy valahol egy céges levelező szervert az mentett meg, hogy a spam- és vírusszűrést kiadták bérmunkába a NoSpamMail-nek, mert hogy a szervernek így kevesebb dologgal kellett foglalkoznia. Én ezt el is hiszem, mert valóban vannak erőforrászabáló antispam megoldások.

Hogy egy kicsit nagyobb kedvet csináljon a hallgatóságnak a NoSpamMail iránt, záró slide-ként egy pesszimista 2011-es előrejelzést mutatott, miszerint a spam mennyisége csak folyton nő (én ezt mondjuk nem hiszem, ld. fentebb), és hogy 8x több a kártékony tartalom. A számok hiteléből azért levon egy kicsit, hogy még azt sem tudtuk meg, mihez képest…

Eddig az előadás, ill. annak kritikája. Viszont volt pár fogós kérdés is a végén. Igyekeztem a metakommunikációs finomságokat is visszaadni, ami kegyetlenség az előadóval szemben, mert izgul, meg kellemetlenek a kérdések, és én pl. már habogtam párszor az előadást követő kérdésekre válaszolás közben. De mégis úgy gondolom, hogy ezek is segítik a hallottak befogadását.

Q1: Mit csináltok (eltárol, eldob, vagy visszautasít) az azonosított spamekkel?
A1: Van, amit eldobunk, van, ami a karanténba kerül.

Q2: Hozzáfértek-e az intézmény email címeihez, vagy a nem létező címekre érkező leveleket is továbbítjátok az intézmény szervere felé?
A2: Nem ismerjük a valid email címeket, ezért mindent továbbítunk az intézmény levelezőszerverének (ha az nem spam).

Q3: Ez a rendszer akkor részt vesz a backscatter generálásában, ami ellen pedig ez a rendszer küzd is?
A3: (a kérdés egy kissé zavarba hozta az előadót…) […] de csak ha jó levél…

Q4: Az lenne a legjobb, ha minden SMTP szerver, ami a leveleket kezeli, ismerné a pontos címlistát, így kapásból el tudná hajítani a nem létező címekre küldött leveleket. Mert amúgy bounce-ot kell generálni…
A4: Igen, de ezt az email rendszer csinálja. A NoSpamMail gépek nem tudják, melyek a valid email címek. Ezt az intézménynek kell megoldania.

Q5: De ez nem feltétlen helyes konfiguráció..
A5: Más a spamszűrés, mi nem tudjuk, hogy az a cím valós-e…

Q6: Említetted, hogy mindenféle (pl. fekete) listákat is használtok, amelyek alapján azonnal visszadobjátok a leveleket. Nekem ezekkel a listákkal rossz tapasztalataim vannak: könnyű felkerülni (még ha nem is küldesz spamet) [páran bólogattak], de nehéz lekerülni. Ha ilyen listák alapján visszadobtok leveleket, akkor honnan tudjátok, hogy 1 fals pozitív hibátok sem volt, ha azt át sem vetted, és semmi nyoma nincs?
A6: Iiiigen… köszönöm a kérdést, nagyon jó a kérdés… Azt, hogy 1 fals pozitívunk sem volt, azt a mi elemzésünk alapján… Valóban probléma, hogy könnyen fel lehet kerülni egy feketelistára, de ha nem használnánk feketelistát, akkor elég nagy lenne a káosz. Ilyenkor az ügyfeleiknek nagyon hamar jelezzük, hogy feketelistán van… sokszor mi intézzük el, hogy lekerüljenek onnan.

Q7: De nem a te ügyfeled kerül fel rá, hanem a te ügyfeled ügyfele…
A7: Öööö, értem. Sajnos, ha valaki feketelistára kerül, hát igen… ez egy probléma. De mondom, ha nem használnánk feketelistát, akkor akkor akkor meg nagyon nem lenne olyan szinten a … hát …. jó.

Itt ért véget a felvétel. Azt azért el kell ismerni, hogy nagyon ott vannak a kérdések, és az előadó láthatóan zavarba jött.

A Q1-re adott válasz teljesen jó.

A Q2-3-4-5-ben feszegetett kérdésre azonban az a helyes válasz, ha a NoSpamMail ismerné az összes ügyfelének összes valid email címét, és már ő eldobná az érvénytelen címzetteknek szánt leveleket. A kérdező ezt jobban látta az előadónál.

Az utolsó kérdés pedig alaposan rámutatott egyrészt a feketelisták gyenge pontjára: a fals pozitív hibák aggasztó számára, másrészt arra, hogy a NoSpamMail statisztikája (amely szerint pedig nulla fals pozitív hibát vétettek 4 év alatt) egy kalap kutyagumit nem ér. Kiváncsi vagyok, elhitte-e bárki is ezt a számot.

De az is kiderült az előadó habogásából, hogy a széles körben elterjedt SpamAssassint használva nagyon észnél kell lenni, hogy mekkora terhelést engedünk rá, mert meglehetősen erőforrásigényes, és nyilván ezért kell egy zsák feketelistával megszabadulni egy csomó (jó) levéltől (is).

Konklúzió? Azt hiszem, el kell mennem a jövő évi Networkshop-ra, és bemutatni, hogy van az intézmények, vállalatok számára egy ennél klasszissal jobb B megoldás…