Miten roskaposti tunnistetaan?
Mitä roskaposti on?

Esimerkiksi Compuline Oy:n sähköpostitilien käyttäjille on automaattisesti A ja MX -tietueiden lisäksi lisätty SPF, DKIM ja DMARC tietueet, jotka lisäävät turvallisuutta ja vähentävät spammia. Myös Reverse PTR on määritelty sähköpostipalvelimille. Domainiin on liitetty DNSSEC ominaisuus.

Näiden tietueiden tarkoitus on varmistaa ja todentaa mm. sähköpostin lähettäjä. Myös Compuline Oy:n sähköpostipalvelimet hyödyntävät näitä lähettävän sähköpostipalvelimen tietueita tunnistaessaan onko saapuva sähköposti spammia.

Compuline Oy:n sähköpostipalvelimilla käytetään saatavilla olevaa todennustekniikkaa, jotta  vastaanottava sähköpostipalvelin ei merkitse sähköpostia roskapostiksi palvelimesta johtuvasta syystä tai spammia ei oteta vastaan Compuline Oy:n sähköpostipalvelimilla sijaitsevalle sähköpostitilille..

Palvelimilla on tehokas ja säädettävä roskapostisuodatus, joka hyödyntää saatavilla olevia listoja roskapostittajista (esim. https://www.spamhaus.org/ ja https://barracudacentral.org/).

Sähköpostipalvelimien roskapostisuodattimet perustuvat yleensä muunlaiseen analyysiin kuin sisällön analyysiin. Suodatus perustuu tyypillisesti listojen käyttöön, lähettävän postipalvelimen oikeaan konfigurointiin (SPF,DKIM,DMARC, jne.), lähettäjän yhteydenottotapaan tai muunlaiseen tekniseen analysointiin ennemminkin kuin sisällön analysointiin

Palvelimilla on domain -kohtainen roskapostisuodatin, jonka herkkyyttä voidaan säätää. Mikäli käyttäjä kokee, että liikaa asiatonta sähköpostia tupsahtaa postilaatikkoon, niin asetuksia kannattaa säätää tiukemmaksi.

Tällöin on tietysti vaarana, että joukkopostituksena tulevien mainosten (esimerkiksi uutuuselokuvien tai teatteriesityksien esittelyiden) lisäksi myös uutiskirjeet tai nettilehdet blokataan. Apuna on tällöin valkolista/mustalista (whitelist/blacklist) säätö.

Kannattaa kuitenkin muistaa, että sähköpostiasiakasohjelmat (esimerkiksi thunderbird) sisältävät erittäin hyvät oppivat otsikoiden ja lähettäjätietojen analysointiin perustuvat suodattimet.

Niiden avulla voidaan siirtää epämieluisan lähettäjän sähköpostit suoraan roskapostiin oli kysymyksessä sitten anoppi tai liian innokas myyjä. Voidaan  myös määritellä suodattimia, joissa posti siirretään asiasisällön perusteella haluttuun kansioon. Nämä ovat luonnollisesti lähes poikkeuksetta sähköpostitili-kohtaisia määrityksiä.

Seuraavassa on selitetty lyhyesti joitakin tekstissä esiintyneitä termejä.

SPF tietue

SPF, eli Sender Policy Framework, tietue mahdollistaa verkkotunnuksen omistajan määrittää, mitkä sähköpostipalvelimet saavat lähettää viestejä verkkotunnuksen nimissä.

Mikäli viestejä yritetään lähettää näiden määritettyjen palvelinten ulkopuolelta, voidaan todeta, ettei lähettäjällä ole oikeutta lähetykseen ja viesti merkitään hyvin todennäköisesti roskapostiksi.

https://en.wikipedia.org/wiki/Sender_Policy_Framework

DKIM tietue

DKIM, eli DomainKeys Identified Mail, perustuu palvelimen allekirjoittamaan salattuun varmenteeseen, jonka avulla viestin vastaanottava palvelin voi suorittaa kyselyn verkkotunnuksen nimipalvelimelta, onko lähettäjä oikea taho.

Samalla allekirjoituksella voidaan varmistua, ettei viestiä ole muutettu sen jälkeen, kun se on lähetetty alkuperäiseltä palvelimelta.

https://en.wikipedia.org/wiki/DomainKeys_Identified_Mail

DMARC tietue


DMARCin tehtävänä on kertoa vastaanottavalle palvelimelle, että viesti hyödyntää SPF ja / tai DKIM varmennuksia ja kertoa, mitä vastaanottajan tulee tehdä viestille, mikäli varmennukset eivät onnistu.

DMARCin ideana on siis helpottaa lähettävien ja vastaanottavien palvelinten keskustelua keskenään ja näin parantaa todentamista, hyödyntäen myös jo olemassa olevia SPF ja DKIM tietueita.

DMARC on saanut alkunsa mm. siksi, että monilla sähköpostien lähettäjillä voi olla suuria vaikeuksia hyödyntää SPF ja DKIM tietueita kattavasti. Lopputuloksena osa lähetetyistä sähköpostiviesteistä voi olla todennettuja ja osa ei. Iso osa lähettävistä verkkotunnuksista ei taas hyödynnä kumpaakaan tietueista oletuksena.

Vastaanottavat sähköpostipalvelimet joutuvat näin tasapainottelemaan, hyväksyvätkö vai hylkäävätkö ne todentamattomia viestejä, ja yhtenäistä käytäntöä ei ole. Näin ollen jokainen vastaanottava sähköpostipalvelin toimii puhtaasti omien sääntöjen ja tulkintojensa mukaisesti. Tästä syystä SPF ja DKIM tietueiden käyttö ei vielä yksistään takaa mitään.

https://en.wikipedia.org/wiki/DMARC


DNSSEC

DNSSEC on DNS-nimipalvelun laajennos, jolla varmistetaan nimipalvelimelta saatavien tietojen alkuperä ja eheys.

DNSSEC (Domain Name System Security Extensions) on palvelu, joka vahvistaa nimipalvelimien tietoturvaa. DNSSEC on eräänlainen vakuutus, joka takaa, että internetin käyttäjä pääsee juuri sille verkkosivulle, jolle tällä on aikomus mennä. DNSSEC:in avulla suojaudut nimipalvelinjärjestelmään kohdistuvilta hyökkäyksiltä.

DNSSEC varmistaa, että nimipalvelukyselyihin saadut vastaukset tulevat oikealta lähettäjältä eikä vastaustietoja ole muokattu. Kun DNSSEC-palvelu on käytössä, saadaan vastaukset nimipalvelukyselyihin digitaalisesti allekirjoitettuina.

Nimipalvelussa jokaiselle verkkotunnukselle on annettu oma ainutlaatuinen IP-osoite (esim. www. traficom.fi IP-osoite on 87.239.126.33). DNSSEC:in tekniikka varmistaa, että kyselyn lähettävä tietokone (esim. verkkoselain) näkee, tuleeko internetosoitteeseen nimipalvelun kautta saatu vastaus palvelimelta, joka on rekisteröity luotetuksi palvelimeksi. /Lähde: https://www.traficom.fi/fi/viestinta/fi-verkkotunnukset/nimipalvelun-tietoturvalaajennus-dnssec/

https://fi.wikipedia.org/wiki/DNSSEC

https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/dnssec-tietoturvalaajennuksen-kaytto-harppasi-suomessa-digitaalisten-palveluiden 


sisään Artikkeli
Onko webhotelli tietoturvariski?