Mitől spam a spam?

Kivétel nélkül minden levelező szolgáltatás üzemeltetője küzd a levélszeméttel. Mi is. Vannak időszakok, amikor a beérkező levelek 7-80%-a (!!) szemét. Mint minden szolgáltató, mi is önálló levélszemét szűrő rendszert alkalmazunk, ami elválasztja az ocsút a búzától. A nagy számok törvénye alapján elkerülhetetlen, hogy egy -egy spam átcsússzon a szűrőn, vagy épp ellenkezőleg: levélszemétnek nézzen egy legitim levelet.

Mindkettő egy formán bosszantó, de talán az utóbbi nagyobb hátránnyal járhat. Nem önzetlenül teszi a szolgáltató ezt: a szervereinken erőforrást, sávszélességet és tárhelyet is foglal a szemét, így minden szolgáltatónak jól felfogott érdeke, hogy minél hatékonyabb eszközökkel harcoljon a szemét ellen. Időről időre nekünk szegezik az ügyfelek a – jogos – kérdésüket: ez a levél mitől lett spam?

Itt az ideje tehát, hogy világossá tegyük, milyen szempontokat figyel a levélszemét szűrő rendszerünk. A levélszemét minősítés nem fekete vagy fehér: a rendszer pontokat osztogat az egyes „gyanús” jelekre. A rendszergazda által meghatározott pontszám elérése után minősül szemétnek a levél (heurisztikus módszer). A lista nem teljes, de a legfontosabbakat felsoroljuk. Figyelem: nem lesz rövid, de cserébe hosszú lesz.

1.) A levélhamisítás ellen: SPF rekord. Alapvetően bármely számítógép bármilyen feladó címmel küldhetett e-mail-t. Ennek következtében viszonylag egyszerű e-mailt hamisítani. Az SPF bejegyzést a domain adminisztrációjában módosíthatod, és abban domainenként meghatározható, hogy mely IP című szerver(ek) küldhet(nek) az adott tartományból legitim e-maileket. Ha az SPF rekordban az az IP cím nincs felsorolva amelyről érkezett a levél, az egy fekete pont.

2.) DMARC rekord (Domain-based Message Authentication, Reporting and Conformance) Az SPF rekord mellett a DMARC is egy e-mail hitelesítési módszer. Ha a fogadó e-mail szerver olyan levelet kap, ami nem felel meg az SPF rekord ellenőrzésen, akkor a DMARC beállítások határozzák meg, hogy mi legyen a levél sorsa. DMARC irányelvek: None: nincs művelet ebben az esetben, a levél feldolgozásra kerül. Reject: az üzenet el lesz utasítva. Quarantine: az üzenet spamként lesz megjelölve.

3.) Feketelista a visszaeső IP címekről. A bolygón sok szervezet foglalkozik azzal, hogy listát vezessen a csintalan IP címekről – azaz a túlnyomórészt levélszemetet küldő szerverekről. Amennyiben ilyen IP címről érkezik a levél, az egy rossz pont. Feketelistázós szervezetek pl: https://www.spamhaus.org/sbl, https://www.spamcop.net

4.) „Spam Trigger” szavak a levél tartalmában. Tipikusan ilyen szavak lehetnek a „pénz visszafizetési garancia”, „cselekedj gyorsan”, „100% elégedettség”, „viagra”, az „ingyenes” vagy a „vásároljon most”. Még rosszabb a kevert tartalom: egy e-mail, amely egy tartalomban említi a Rolex órákat, a Viagrát, a pornót és az adósságot, nagyobb valószínűséggel spam, még akkor is, ha minden más egyértelmű. Egy kis fekete pont jár érte, de ugyanúgy fekete pont jár a CSUPA NAGYBETŰS LEVELEKÉRT vagy a sok írásjel használatáért is!!!!!!!!!!!!!!!!

5.) Linkek a levélben. Önmagában egy (két) linek elhelyezése a levélben nem baj, de ha sok benne a link, az gyanús. Még nagyobb probléma, ha az oldal ahova mutat, tele van szemétgyanús tartalommal, vagy már feketelistázott domain. (Igen, a levélszemét szűrők ilyen alaposak: átfutják a linkek tartalmát is.) Non-plus-ultra: ha egy link elnevezése nem egyezik azzal, amire mutat, azaz megtévesztő.

6.) Sok azonos tartalmú levél. Ha több egyező tartalmú levelet kap a levelezőszerver, az nagy kövér fekete pontot ér. Nyilván, 5-10 levélnek lehet azonos a tartalma, de hat több tucat (több száz…) levél érkezik egyező tartalommal, igen csekély az esély arra, hogy legitim levél legyen. (Az eltérő, random generált feladó e-mail címek nem tévesztik meg a szűrőt!). Ráadásul van olyan világméretű rendszer, ami szerverek között is lehetővé teszi az összehasonlítást.

7.) Küldő e-mail cím / domain jó híre. Bizony, az e-mail címeknek is vigyázniuk kell a jó hírükre, mert különben szájára veszi őket a falu levezőszerverek ájtatos társasága. Sok non-profit szervezet üzemeltet Spamházakat, ahol pontozzák az egyes domaineket. Ha egy domainről már nagyon sok Spam lett küldve, az egy rossz pont. (Igen, a levélszemét-szűrők „jelenik” a spammelő domaineket.)

8.) Egy kép többet ér ezer szónál. Ezt azonban a levélszemét-szűrők is pontosan tudják, így ha nincs (vagy nagyon kevés a) szöveges tartalom az e-mailben (de csatolmányt tartalmaz), már gurul is a fekete pont.

9.) Reverse-DNS, alias rDNS, alias PTR rekord. Nem túlbeszélve a fontos tényezőt, próbálom egyszerűen elmagyarázni a működését. A névfeloldás azt jelenti, hogy a domain névből IP cím lesz, ami a kiszolgáló szervert azonosítja. De az IP címet is vissza lehet „fordítani” domain névre, aminek a sikeres levélküldéshez egyeznie kell a levelezőszerver nevével. Ha nem található meg a levelezőszerver neve az IP cím bejegyzéseiben, az már elég régóta rossz pont.

10.) DKIM aláírás (DomainKeys Identified Mail). Megint egy betűszó. Egyszerűen: a DKIM arra való, hogy egy digitális aláírás kerüljön be az e-mailbe, ami alapján ellenőrizhető, hogy a megfelelő jogosultsággal rendelkező fél küldte-e. Ebből a felhasználó nem lát semmit, de a levél forrásában benne van, a levelezőszerverek ellenőrizhetik. A DKIM nyilvános kulcsú titkosítást (public key encryption) alkalmaz, ami két kulcsból áll, egy titkos (private), és egy nyilvános (public) kulcsból. Rendszerint a publikus kulcsot a feladó domainjének névszervere szolgáltatja, DNS rekordként. A titkos kulcs pedig az e-mail aláírásához szükséges. Az e-mailt feladó levelezőszerver az e-mailt a titkos kulcs segítségével aláírja, amit az e-mail fejlécében helyez el. A fogadó levelezőszerver pedig a domainhoz tartozó névszervertől megkapott publikus kulccsal ellenőrzi az aláírás valódiságát. Ezzel a megoldással egyrészt garantálható, hogy a legitim feladótól származik az e-mail, és hogy azt „útközben” sem módosították. Okos dolog. Ha hiányzik / nem stimmel, az jó nagy fekete pont.

11.) Tiltott / gyanús fájlok a csatolmányban. Ősidők óta tilos .exe, .pif, .bat stb kiterjesztésű, futtatható fájlokat küldözni e-mailben. Ha zip állományt tartalmaz a levél, a szerver kicsomagolja, és megnézi mi van benne. Ha nem tudja kicsomagolni, – pl. jelszó miatt – megy a fekete pont. Előfordulhat, hogy egy ártalmatlan makrót tartalmazó csatolt .xlsx vagy docx fájlt tartalmaz a levél, de ez is egy okkal több, hogy levélszemétnek nézze a szűrő.

12.) Hirtelen sok e-mail egy IP címről. Ha egyszerre több száz vagy több ezer e-mail érkezik (pláne hasonló tartalommal), akkor nagyon valószínűtlen, hogy legitim levelek lennének. Gurul a fekete pont.

13.) Valaki(k) megjelölték levélszemétként a domaint / IP címet. Ez akkor fordul elő, ha egy nagyobb vállalat ugyanarról a domainről és / vagy IP címről küldi a hírleveleket (esetenként kéretlenül), mint amelyikről az üzleti levelezést bonyolítja. Ilyenkor a konkrét e-mail talán nem spam, de a domaint / IP címet már „bemocskolták” más küldött levelek, amiket a felhasználók „jelentették” (pl. azzal, hogy behúzták a levélszemét mappába).

14.) Sok a visszapattanó levél. Rossz hírű lehet a domain / IP cím attól is, ha nagyon magas a visszapattanó e-mailek aránya. A magas visszapattanó-arány arra utal, hogy a küldő nem biztos abban hogy a címzett létezik, csak lövöldöz vaktában. Már 1%-ért is repül a rossz pont.

15.) Túlzott HTML kód használat. A levélszemétszűrőket kaotikus és nagy számú szimbólumok, extra címkék vagy a Microsoft Word másolás-beillesztett kódja is aktiválhatja. Non-plus-ultra: ha a HTML kóddal láthatatlanná teszünk szövegrészeket. Néhány darab szmájlival nem lesz gond, de ha az emojik aránya eléri a betű-karakterek számát, azt a levélszemét-szűrő nem nézi jó szemmel. 🙂

16.) Területi / nyelvi különbségek. Az átlag felhasználó leveleinek a 99% saját országába irányul, és leginkább onnan érkezik. Nem katasztrófa ha más országból (pontosabban: más nyelvterületről) érkezik, de egy mákszemnyi fekete pontot azért kaphat. Ha egy levélben különböző nyelvi kódú szakaszok vannak, az rosszabb egy árnyalattal.

17.) Látványosan hosszú, generált vagy ominózus szavak az e-mail címben. Az álmoskönyv szerint sem jelent jót ha a feladó címében bounce@…, 3fgh5n4cgh51g6zh8f4z6h8f4hz3f5h@… , newsletter@, hirlevel@, marketing@… vagy valami hasonló van. Ezekért gurul a fekete pont.

Konklúzió

Nagyon fontos kihangsúlyozni: önmagában egyik kritérium teljesülésétől nem lesz szemétnek minősítve a levél. Mindig több kritériumnak kell teljesülnie. (Persze, nem minden kritérium kerül azonos súllyal beszámításra.) Mint mindenki a szakmában, mi is folyamatosan csiszolgatjuk, finomhangoljuk a rendszerünket.