Monen organisaation ongelma on, että roskapostisuodatus perustuu vähintään yhteen mustaan. Tämä on erityisesti NGFW palomuuripohjaisten tuotteiden heikkous: jos lähettävän palvelimen IP löytyy yhdeltä ”mustalta listalta” (RBL) listalta, viesti torjutaan heti. Teknisesti ratkaisu on nopea ja helppo sekä tietysti halpa, mutta se aiheuttaa paljon vääriä positiivisia ja voi estää täysin luvallisen viestinnän. Miksi NGFW antispam tekee virheellisiä päätöksiä?

Sähköpostin roskaposti- ja tietojenkalasteluongelma on valtava. Siksi lähes jokainen organisaatio käyttää jonkinlaista roskapostisuodtus (antispam) järjestelmää: Spamhaus , FortiGuard, Proofpoint, Mimecast, Gmailin ja Microsoftin omat reputaatioalgoritmit.

NGFW ongelma on, että liian usein ratkaisu perustuu yhteen signaaliin: jos (eMail) lähettävä IP:n löytyy yhdeltäkin mustalta listalta, viesti torjutaan suoraan. Tämä estää tehokkaasti roskapostin – mutta samalla myös lukuisat täysin luvalliset massapostit (jäsenkirjeet, uutiskirjeet, markkinointiviestit) voivat kadota matkalla. Jos lähettäjän IP osoite päätyy listalle, estetään myös normaali (kahden henkilön välinen) sähköpostiliikenne kunnes IP aikanaan poistuu listalta.

Miksi musta listan  käyttö on ongelmallista?

  • Väärät positiiviset: Spamhaus tai FortiGuard voivat listata IP:n, jos yksikin lähettäjä samasta poolista tekee virheitä (spamtrap-osumia, vanhat osoitteet). Kaikki samaa lähettäjää käyttävät (sama IP osite) joutuvat kärsimään.
  • Tekniset valmiudet kunnossa: Lähettäjällä voi olla virheetön SPF, DKIM, DMARC – mutta se ei auta, jos yksi ulkopuolinen lista antaa “punaisen kortin”.
  • Massapostit ≠ roskaposti: Monet yhdistykset ja yritykset lähettävät täysin luvallisia massaviestejä, joille on käyttäjän suostumus. Tekniset RBL-listat eivät erota näitä toisistaan.

Ihanne-antispam-malli: monisignaalinen scoring

Sen sijaan että yksi osuma = automaattinen hylkäys, antispam-järjestelmän tulisi käyttää pisteytysmallia. Esimerkkinä:

  • Jos IP löytyy yhdeltä listalta, iso miinus, mutta ei vielä torjuta. Jos useammalta listalta, painoarvo kasvaa.
  • Jos SPF, DKIM, DMARC on kunnossa, se vähentää riskiä, että viesti on spoofattu.
  • Domainin ja IP:n maine. Hyvä maine (pitkä historia ilman roskamerkintöjä) nostaa scorea, huono laskee.
  • Sisältöanalyysi   Epäilyttävät sanat, liitteet, URL:t → lisämiinus.
  • Käyttäjäpalautteet (FBL, spam-raportit)  Jos moni vastaanottaja painaa “Mark as spam”, pisteet laskevat.
  • Engagement (avaus, klikkaus, reply) ja aktiivinen käyttäjäinteraktio

Mikä hyöty?

• Vähemmän vääriä positiivisia: Luvalliset uutiskirjeet ja kahdenvälinen viestintä eivät katoa, vaikka lähetys-IP olisi yhdellä listalla, jos muut signaalit näyttävät hyvältä.
• Parempi käyttäjäkokemus: Vastaanottaja saa postinsa –  epäilyttävät viestit menevät spam-kansioon, eivät katoa.
• Joustavuus: Ylläpitäjä voi säätää pisteytyksen organisaation riskinsietokyvyn mukaan.

FortiGate ja DNSBL-esimerkki – ongelma

FortiGate NGFW tekee päätöksen nopeuden perusteella: se lähettää kyselyt samanaikaisesti FortiGuard Antispam -palvelulle ja muille määritellyille DNSBL/ORDBL-palveluille. Ensimmäinen vastaus ratkaisee. Tämä voi johtaa ongelmaan:

  • Jos esimerkiksi Spamhaus vastaa nopeammin ja palauttaa ”listed → reject”, FortiGate hylkää viestin välittömästi – vaikka maksullinen FortiGuard olisi myöhemmin antanut puhtaan tuloksen.
  • Vastaavasti jos FortiGuard ehtii ensin palauttamaan ”clean”, viesti hyväksytään ennen kuin Spamhaus ehtii ilmoittaa listauksesta.

Tulos: päätös ei perustu pisteytykseen tai kokonaisarvioon, vaan ensimmäinen vastaus jyrää kaikki muut. Tämä lisää väärien positiivisten riskiä.

FortiMailin kaltaisessa erillisessä mail gateway -ratkaisussa tilanne on parempi, koska useista signaaleista muodostetaan kokonaispisteytys ennen lopullista päätöstä. Sama koskee yleisesti kaikkien valmistajien NGFW palomuuriratkaisuja sekä Mail Gateway ratkaisuja. (esim Cisco Systems ESA ja Talos)

NGFW AntiSpam näyttää kokonaisedulliselta, mutta toiminnoissa on paljon eroja vs oikeaan eMail yhdyskäytävään. Kaikkien kohdalla trendi on sama: palomuuri torjuu karkeat uhat, mail gateway tekee scoringin ja hallitsee väärien positiivisten riskiä.

Delistaus on hankalaa

Toinen ongelma on se, että jos lähettäjä-IP joutuu mustalle listalle, sen poistaminen ei ole yksinkertaista. Useimmat RBL-palvelut vaativat, että lähettäjä osoittaa korjanneensa ongelman (listahygienia, bouncejen poisto, abuse-raporttien vähentäminen) ennen kuin poistopyyntö käsitellään. Prosessi voi kestää päiviä tai jopa viikkoja. Joissain tapauksissa maine voi jäädä pysyvästi heikoksi, varsinkin jos IP on osa jaettua poolia, jossa muidenkin käyttäjien toiminta vaikuttaa. Tämä tekee luvallisten viestien lähettäjälle tilanteesta erityisen haastavan. Kokemus lisäksi osoittaa, että RBL listat tulkitsevat liian helposti massapostittajan roskapostittajaksi.

Lopuksi

Yhden listan “punainen kortti” on liian kova ratkaisu. Nykyisessä monimutkaisessa viestintäympäristössä tarvitaan kokonaisuuteen perustuva scoring-malli. Näin roskaposti pysyy loitolla, mutta luvallinen viestintä kulkee perille. Antispam-järjestelmissä tulisi siirtyä pois pelkästä RBL-riippuvuudesta ja varsinkin vastaajan nopeuteen perustuvasta päätöksestä. NGFW antispam tekee virheellisiä päätöksiä liian helposti. Sähköpostijärjestelmän siirtyessä pilveen saadaan hyvä perussuojaus, mutta scoring perustuva järjestelmä lisäkerroksena parantaa käyttäjäkokemusta.

 

Hannu Rokka, Senior Advisor

5Feet Networks Oy