Spam blocking method at SMTP level
Wanneer we weten dat een bepaald domein, zoals siteslibrary.com, beheerd wordt door een spammer, hebben we drie effectieve manieren om berichten tijdens de initiële SMTP-onderhandeling te blokkeren voordat de inhoud wordt verzonden:
- Reverse DNS (PTR) controles
- HELO controles
- MAIL FROM (envelope sender) controles
In dit geval zouden deze controles allemaal succesvol zijn, terwijl in andere situaties slechts één of twee van deze controles kunnen slagen.
Analyse van IP-adressen
Bij nader onderzoek naar de IP-omgeving van het bericht zien we een duidelijk patroon van reverse DNS-scans van het IP-bereik. Een aantal IP-adressen vertoont gelijkaardige kenmerken, wat wijst op spam-activiteiten afkomstig van een netwerk van servers. De spammer gebruikte tijdens dit incident slechts 10 van deze IP-adressen en schakelde daarbij vijf domeinen uit, terwijl andere domeinen klaarstonden voor toekomstig gebruik.
Preventieve blokkering van domeinen
Op basis van onze bevindingen kunnen we concluderen dat deze domeinen allemaal tot dezelfde familie behoren en dus preventief geblokkeerd kunnen worden, zelfs als sommige nog niet zijn gebruikt. We voeren regelmatig dit soort analyses uit, waarbij variabele automatiseringsgraden worden toegepast. Dit stelt ons in staat om spam-domeinen op de bloklijst te plaatsen voordat ze daadwerkelijk zijn aangewend. Dit biedt onze gebruikers de mogelijkheid om verzenders te blokkeren, zelfs als het verzendende IP-adres niet op enige blokkade-lijst staat.
Dit biedt aanzienlijke voordelen, aangezien spammers vaak per IP-adres slechts korte tijd actief zijn en gelijktijdig een groot aantal verbindingen met hun doelwitten opzetten. Uiteindelijk ondervinden we aanzienlijke uitdagingen bij het blokkeren van deze verzenders op SMTP-niveau.