MailXpert

De Tedoc E-mail cloud hebben we in 2008 ontwikkeld en getest en in 2009 met succes in gebruik genomen.

Omdat onze mailcloud zo goed werkt, besparen we enorm op server resources en dataverkeer. Daar profiteren onze klanten dan ook weer van.

Onze cloud is verdeeld over verschillende datacentra in meerdere landen (minstens 3) en bestaat uit een aantal redundante en load-balanced uitgevoerde servers met elk een eigen taak:

Filtering MTA’s (MTA=Mail Transfer Agent; neemt de mail in ontvangst of weigert het, waarna het wordt gefiltert op virussen, spam, etc).
Filtering MDA’s (MDA=Mail Delivery Agent; zorgt voor het verwerken van de gefilterde mail: afleveren bij POP of relayen).
POP-servers (POP=Post Office Protocol; zorgt voor het bewaren van de mail in een mailbox en voor de mogelijkheid om deze te lezen).
SMTP servers (SMTP = Simple Mail Transfer Protocol; verzorgt het versturen van de mail over het internet).
De kans dat het mailsysteem offline gaat of overbelast raakt is hierdoor nihil.

Voordeel van het werken met een aparte MTA en MDA (ontvangen en verzenden) is dat een ontvangende mailserver nooit op een blacklist terecht kan komen van een spamfilter.
Helaas hebben we ook nog te maken met oude systemen (van vóór 2009) waarbij dat onderscheid er nog niet was.

MailXpert
Meer dan 90 procent van alle E-mailverkeer bestaat uit spam.
Het gedrag van spammers is voorspelbaar
De gebruikte technieken
De oude systemen
MailXpert

Onze Highly Available en Clean E-mail service (MailXpert) is het resultaat van jarenlange ervaring en finetuning.

Zonder technisch te worden kunnen we stellen dat uw E-mail bij ons in vertrouwde handen is. Er worden diverse technieken gebruikt, zowel in-house ontwikkeld als extern, om mail te filteren op spam en virussen.

Niet alleen het filteren is belangrijk; de beschikbaarheid is minstens zo belangrijk. Bij verreweg de meeste collega-hosters wordt mail op dezelfde server behandeld als alle andere hosting diensten. Dus uw website kan vertraagd worden door de mailserver en vice-versa. Niet bij Tedoc natuurlijk. Dit levert een aantal flinke voordelen, die hieronder nader worden verklaard voor de geïnteresseerde.

En dat alles zit natuurlijk standaard in al onze hosting pakketten.

Meer dan 90 procent van alle E-mailverkeer bestaat uit spam.

Tedoc had aanvankelijk gekozen voor oplossingen van IronPort en Barracuda in de strijd tegen ongewenste e-mail, vanwege de goede reputatie van die diensten.

Maar omdat er ook via die (peperdure) systemen toch nog onacceptabel veel spam binnen kwam, én omdat heel veel mailservers ten onrechte in hun blacklists zitten, zijn we in 2009 de ontwikkeling gestart van een filtering cluster wat is gebaseerd op open-source systemen.

Dergelijke systemen blijken in de praktijk vaak betrouwbaarder dan betaalde systemen, omdat ze worden onderhouden door een wereldwijde community van gebruikers en niet door 1 hardwareleverancier met min of meer een monopoliepositie en allerlei bijbedoelingen om steeds meer te verdienen.

Uit het onderzoek bleek tevens dat het filteren met dit systeem ook nog eens veel beter ging. Minder “false positives” en meer controle over het geheel.
En last but not least: het spaart forse bedragen aan licensies. En er zijn geen onverwachte kostenposten.

Dit filtersysteem draait onder de noemer van ons project “Domeinenreus”.
Het domeinenreus filter cluster bestaat uit een aantal load-balanced servers die middels database replication met elkaar contact houden en onderling data uitwisselen.

Het gedrag van spammers is voorspelbaar

Zonder technisch in details te treden, is de werking van ons filter cluster als volgt:

Onze trukendoos treedt al in werking, nog voordat er daadwerkelijk een mail wordt afgeleverd. Hoe we dat doen, dat houden we voor onszelf.
Zodra een mailserver een E-mail wil afleveren, wordt zijn gedrag gecontroleerd.
Het blijkt namelijk dat spammers en virussen een bepaald gedrag vertonen, wat vrij eenvoudig is te checken.
Indien het gedrag OK is, dan wordt gecheckt of de verzender ook op een blacklist staat.
Als hij niet op een blacklist voor komt, dan wordt reputatiecheck gedaan van zijn IP-nummer en tenslotte wordt nog een zgn “Greylisting” proef uitgevoerd.

Hiermee wordt ruim 98% van ongewenst e-mailverkeer al tegen gehouden.

Pas daarna mag een bericht door en wordt hij afgeleverd bij het virus filter, waarna hij tenslotte nog langs het spamfilter moet.
In het spamfilter worden ook weer diverse checks uitgevoerd op o.a. de inhoud en de tekst.

Afhankelijk van de spamfilter tests, wordt aan een E-mail een spam-score toegekend.
Een te hoge score betekent het verwijderen van een E-mail.
Een score in een bepaald grensgebied betekent “quarantaine”
Een score in een bepaald grensgebied onder de quarantaine-grens betekent: markern met het bekende  ***SPAM*** in het subject van de mailheader.

Pas daarna wordt een bericht afgeleverd bij de POP-server (de mailbox)

De gebruikte technieken

Door ons gebruikte technieken:
– firewall.
– fail2ban.
– Dead MX.
– HELO-checks.
– Header checks.
– Sender address blacklisting.
– Grey-listing.
– Existing-domain / existing mailboxes filtering.
– RBL checks (spamcop, spamhaus, abuseat).
– enkele technieken die we liever voor onszelf houden.

Bovenstaande technieken vangen reeds 98% van de virussen en spam af. Daarna nog enkele resource-intensive technieken:

– Spamassassin (zelflerend en auto updatend).
– Clam Antivirus (auto updatend).
– Razor, Pyzor en DCC reputation based filtering (werkt met checksums) (tevens: participatie in een groot netwerk).
– SPF-checks.
– DKIM.

Uiteraard wordt alles gelogged en in statistieken vastgelegd om manueel trends te kunnen herkennen.

De oude systemen

Alle systemen die wij vóór 2012 in gebruik hebben genomen (en dat zijn er nogal wat) maken nog gebruik van het systeem waarbij  geen onderscheid is tussen verzendende en ontvangende mailservers (zoals bij 95% van alle webhosting).
Hierdoor kan het zijn dat een klant per ongeluk slachtoffer is van een website hack, of een mailbox hack op zijn pc, etc. Hij heeft dan spam verzonden (nooit met opzet), waardoor een server op blacklists kan komen te staan van Outlook, Spamhaus, etcetera.
Het probleem wat dan ontstaat is dat ook geen mail meer ontvangen kan worden door alle gebruikers van betreffende server = een GROOT probleem.

Menu