Ochrona przed spamem – AMA ze specjalistą dhosting.pl [zapis rozmowy]

[Łukasz]: Greylisting działa w taki sposób, że przy pierwszej próbie nadania korespondencji przez nadawcę, informuje serwer nadawczy o tym, że wystąpił “tymczasowy problem” z odbiorem korespondencji. Dla wiadomości niebędących spamem, taka próba zawsze nastąpi i wówczas wiadomość do odbiorcy może dotrzeć. W przypadku spamu już niekoniecznie.
W związku z tym, może mieć to wpływ na czas doręczenia korespondencji do odbiorcy. Jak długi to czas? Tego niestety nie wiemy – opóźnienia przy greylistingu mogą być dowolnie skonfigurowane zarówno po stronie odbiorcy (w temacie tego, kiedy wiadomość „przyjąć” – czy po kilku minutach, czy po kilku godzinach), jak i nadawcy (kiedy ponowić wiadomość po jej pierwszym tymczasowym odrzuceniu). Często natomiast jeśli uda się doręczyć pierwszą wiadomość do odbiorcy, kolejne wiadomości od tego samego nadawcy nie są już zatrzymywane przez filtr i doręczane są natychmiast.

[Łukasz]: W kwestii liczby osób – niestety ta informacja w naszej infrastrukturze jest zmienna i nie możemy jej udostępniać z przyczyn bezpieczeństwa.

W kwestii liczby wysyłanych maili – w praktyce nie limitujemy wysyłanych wiadomości, natomiast monitorujemy liczbę wychodzących wiadomości pod względem podejrzenia spamu i w razie potrzeby reagujemy lub reagują nasze systemy. W takiej sytuacji wysyłka jest wstrzymywana do czasu kontaktu i potwierdzenia.

[Łukasz]: Jeśli planujesz wysyłkę większej liczby korespondencji, skontaktuj się z nami. Jeżeli jest uzasadnienie wysyłki większej liczby korespondencji, jesteśmy w stanie to w taki sposób ustawić, aby odbyła się bez problemu.

[Łukasz]: Generalnie nie polecamy wysyłać maili wpisując odbiorcę w polu “Do”, raczej w “Ukryta kopia”. Nie ujawniamy ograniczeń, które stosujemy w tych kwestiach, natomiast są one na tyle wysokie, że nie powinny się ujawniać przy normalnym użytkowaniu poczty.

[Łukasz]: W zasadzie nie ma takich formatów. Warto natomiast zapytać jakich formatów lepiej nie otwierać, jeśli przychodzą do nas mailem. Tutaj szczególnie należy unikać plików uruchamialnych, dokumentów Worda/Excela od nieznanych nadawców oraz archiwów – mogą zawierać niepożądane pliki mogące uszkodzić nasze urządzenia lub wykraść z nich dane.

[Łukasz]: Serwery odbiorcze przy podjęciu wiadomości przyjmują je od nadawców niemalże natychmiast i nie znamy ich dalszego losu jako nadawcy. Wyjątkiem są sytuacje, w których:

– nasza wiadomość jest zablokowana przez RBL, wówczas może być wstrzymana lub może zostać – odrzucona wraz z odpowiednim komunikatem zwrotnym;
– źle skonfigurowany został tzw. rekord PTR lub inne podstawowe rzeczy dla serwera nadawczego;
– występuje problem z serwerem nadawczym/odbiorczym.

[Łukasz]: Wszystkie adresy serwerów pocztowych są przez nas monitorowane w trybie rzeczywistym pod kątem trafiania na listy RBL. Jeśli wykryjemy, że to się stanie, natychmiast podejmowana jest reakcja. Zanim jednak może do tego dojść, prowadzimy monitoring korespondencji wychodzącej z każdej skrzynki, która utrzymywana jest w ramach naszej usługi. W przypadku zlokalizowania dużego wolumenu korespondencji wychodzącej z konkretnego adresu, wysyłka jest blokowana przez operatorów do czasu ręcznego zwolnienia blokady lub odrzucenia wysyłki dalszych wiadomości.

[Łukasz]: Krótka odpowiedź brzmi: TAK.

DKIM umożliwia serwerom odbiorcy weryfikację nadawcy wiadomości. System działa w ten sposób, że w rekordach DNS domeny zawiera ukryty rekord DNS, który znajduje się także w nagłówkach wysyłanych maili – umożliwia to weryfikację czy maile pochodzą z właściwego serwera. Rekord DKIM skonfigurowany jest domyślnie dla wszystkich domen skierowanych na nasze serwery DNS.

Oprócz DKIM warto dodać również SPF, który również jest domyślnie skonfigurowany dla wszystkich domen skierowanych na nasze serwery DNS.
Rekord DMARC, podobnie jak SPF, jest zapisem w strefie DNS domeny. Zawiera on informacje dotyczące akcji podejmowanych przez MTA odbiorcy, które my sami temu MTA „podpowiadamy”.
Aby DMARC działał poprawnie, konieczne jest wcześniejsze zdefiniowanie rekordu SPF dla domeny. Rekord SPF zawiera informację o autentyczności MTA wysyłającego, natomiast DMARC zawiera politykę, którą MTA przyjmujący powinien przyjąć w momencie odbierania wiadomości e-mail.

Tak więc to właściciel domeny, korzystając z DMARC, podaje odbiorcom poczty instrukcje, co mają robić z otrzymywanymi wiadomościami. Oczywiście chodzi tutaj o politykę dotyczącą zafałszowanych wiadomości e-mail, dla których MTA odbierający może przyjąć podane przez nas zasady, np. odrzucenie wiadomości, skierowanie jej do kwarantanny lub jej przyjęcie mimo tego, że jest zafałszowana, czyli niezgodna z SPF.

Oprócz polityki przyjmowania fałszywych wiadomości, DMARC zawiera inne instrukcje, takie jak np. raportowanie stanu wiadomości z naszej domeny na podany adres e-mail, format tego raportu, jego częstotliwość, procent sprawdzania wiadomości z naszej domeny, politykę dla subdomen, stopień dopasowania DKIM i SPF do DMARC.

[Łukasz]: Pojęcie „nigdy” jest, niestety, bardzo ciężkie do opisania, jako że możliwości w zakresie filtrowania są bardzo szerokie i każdy operator może wprowadzić je zgodnie z własnym zakresie, co więcej, może to zrobić także klient poprzez utworzenie filtrów przenoszących wiadomości od Ciebie do spamu.

Filtrowanie może odbywać się zarówno poprzez zbadanie reputacji serwera pocztowego, reputacji domeny, a w przypadku części operatorów, również tego, co znajduje się w treści maila. Może być więc tak, że napiszemy maila, który „podejdzie” pod filtry analizujące treść i wówczas pomimo dowolnie szerokiego przygotowania ze strony Twojej i naszej, wiadomość może trafić do spamu.

Więcej: Dlaczego wiadomość została zakwalifikowana jako spam?

[Łukasz]: To czy na Gmailu, czy innej usłudze anty-spam działa dobrze jest pojęciem względnym. Nie jest bowiem nowością fakt, że w przypadku Gmaila, na przykład, wiadomości pochodzące z nowych domen lub też z adresów, które z jakiegoś powodu się Gmailowi nie podobają, będą trafiały do spamu przez długi okres, nawet jeśli wiadomość jest wysłana z serwera o świetnej reputacji i napisana w sposób niebudzący jakichkolwiek podejrzeń.

W praktyce warto się zastanowić czy lepiej dostać jedną wiadomość więcej, czy jedną wiadomość mniej i to jest właśnie wyzwanie dla nas. Ze wszystkich skrzynek, które u nas hostujemy, aż ok. 70% przychodzącej korespondencji traktowane jest przez nasze filtry jako spam. To pokazuje skalę mierzenia się z problemem wiadomości niechcianych. W 2018 udział spamu w ruchu pocztowym w skali świata wynosił aż 52,48%.

[Łukasz]: Poza ustawianiem filtru Greylist, każdy z filtrów może i powinien być uruchamiany cały czas. Greylist może wpłynąć na czas doręczania korespondencji do nas (dlaczego tak się dzieje wyjaśniłem już w odpowiedzi na inne pytanie wyżej), co może być niepożądane w niektórych sytuacjach.

[Łukasz]: Filtrowanie nie odbywa się wyłącznie po treści (u części operatorów), a dodatkowo każdy operator ma zbudowane swoje filtry, na podstawie których korespondencja jest separowana. Zwykle jednak największą niechęcią darzone są wiadomości reklamujące usługi finansowe oraz takie, w których jest nam sugerowane, że możemy odpisać w określony sposób, aby wypisać się z dalszej korespondencji. Swoją drogą, tego nigdy nie powinniśmy robić, gdyż potwierdza to spamerom, że adres, na który wysłali korespondencję ktoś czyta.

[Łukasz]: Przede wszystkim należy zacząć od wysyłki tej samej wiadomości na adres widoczny po wejściu na https://www.mail-tester.com. Pozwoli to zlokalizować typowe problemy związane z trafianiem wiadomości do spamu. W przypadku, gdy to narzędzie niczego nie zasugerowało, co wskazywałoby na problemy z treścią wiadomości, skontaktuj się z nami za pośrednictwem Helpdesk24 – przyjrzymy się sprawie.

[Łukasz]: W naszym SpamAssassinie stosujemy setki własnych reguł i dlatego na wszystkie wiadomości jakie do nas docierają udaje się odfiltrować aż ~70% – tyle z całości korespondencji jest przez nasze filtry uznawana jako spam.

Pozostałe ~30%, to prawie wyłącznie korespondencja pożądana. Jeżeli jest inaczej, chętnie sprawdzimy wiadomości, które nie są uznawane jako spam, a być powinny. Można, w takiej sytuacji, podesłać do nas na Helpdesk24 przykładowe maile, wobec których mechanizm nie zadziałał. Każdy mail sprawdzimy i wprowadzimy stosowne poprawki. Chcemy natomiast uniknąć „false positive’ów” na tyle, na ile jest to możliwe i stąd nie stosujemy reguł, które mogą filtrować wiadomości pożądane.

[Łukasz]: Listy RBL zaktualizowaliśmy niecałe 2 miesiące temu na bazie własnych analiz. Robimy to cyklicznie.

[Łukasz]: Nie jest to związane bezpośrednio ze spamem, ale odpowiadając na pytanie w zasadzie możesz to ustawić samemu po dodaniu stosownych rekordów autoryzacyjnych (w przypadku domen ulokowanych na naszych DNSach, należy dodać tylko DMARC) można dodać rekord DNS BIMI wskazujący na stosowną grafikę. https://mxtoolbox.com/dmarc/bimi/how-to-create-bimi-record