GFI Mail Essentials 14 Anti Spam Filters

 

İlk makalemizde sizler ile beraber GFI Mail Essentials ürünün temel özelliklerini , kurulum ve temel konfigürasyonlarını görmüştük . Şimdi ise Anti-Spam bölümünü detaylı inceleyebiliriz. İlk olarak Spam Razer bölümünden başlayalım .

Spam Razer ; maillerin içeriğinden , parmak izinden ve ününe göre ( reputation ) değerlendirip spam olup olmadığına karar veren bir mekanizmadır. Ayarları ise aşağıdaki gibidir ;

image001

İlk sekmede SpamRazer ın aktif mi yoksa pasif mi olacağını ayarlayabiliyoruz. Eğer aktif olacak hangi aralıklar ile güncel veri tabanını alacağını “Updates” sekmesinden yapılandırabiliyoruz. Standart ayarlara göre 30dk bir güncel bilgileri GFI sunucularından çekecek şekilde ayarlanmış olur istersek ellede anlık bilgi güncellemesi yapabiliriz. Yine buradaki iki kutucuk sayesinde update işlemi başarılı bir şekilde gerçekleşmesi veya hata vermesi durumunda bize mail atabilir.

image002

Bir sonraki bölüm ise Action bölümü . Burada spam olarak işaretlenen maillere hangi eylemin yapılacağını belirliyoruz. Bu mailleri silebilir , kullanıcıların mailboxlarına doğrudan iletebilir , kullanıcıların junk email klasörlerine gönderebilir veya mailbox içerisinde bir alt klasör oluşturup ( standart olarak spam ismindedir ) onun içine bu spam maillerin iletilmesini sağlayabiliriz. Bu durumlar için yine bir yöneticiye mail gönderebilir ve ayrıca bu mailleri belirlenen bir dizine de kayıt edebiliriz. Bunun yanında en alt bölümdeki kutucuklar yardımı ile gelen bu spam mail e “Tag the email with specific text” bölümünden belirli bir kelime ekleyebilir iz.

image003

En alttaki kutucuk ise email in neden bloklandığına dair bilginin subject kısmına eklenmesini sağlar.

image004

Son sekmede ise loglama ayarları ve mail’ in spam olarak işaretlenmesi sebebi ile iletilmediğine dair ( eğer seçenek olarak silmeyi seçerseniz , yani kullanıcıya mail ulaşmaz ise ) NDR mesajının üretilip üretilmeyeceğini seçebilirsiniz. Bence bu özelliği açın ki karşı taraf eğer RBL de ise veya bir şekilde spam listesine girmiş ise şirket mail trafiğindeki iletişim sorunlarının farkında olsunlar , ama tabiî ki bu sizin sisteme bir yük bindirecektir.

Bir sonraki bölüm olan Phishing yani kimlik avı bölümüne geçiyoruz

image005

İlk sekme yine bu özelliği kullanıp kullanmayacağımız ile ilgili olup hemen ikinci sekmeye geçiyorum ;

image006

Bu bölümde maillerin içerisinde aranacak kelimeleri görüyoruz. İsterseniz bunları değiştirebilirsiniz.

image007

Updates sekmesinde ise sistemin hangi aralıklar ile kendini güncelleyeceğini görebiliyor ve değiştirebiliyoruz.

image008

Action bölümünde yapabildiklerimiz ise SpamRazer bölümünde anlatılanlar ile aynıdır.

image009

Bu sekmede yine SpamRazer özelliği sırasında detaylandırıldığı gibidir.

Bir sonraki filtre olan Blacklist lere geliyoruz.

image010

Bu listeye tespit ettiğiniz spamcı mailleri elle ekleyebilir veya edindiğiniz listeleri import menüsü yardımı ile yine sisteme girebilirsiniz. Action ve others sekmeleri yine daha önce anlatıldığı gibi kullanılabilir.

Bir sonraki filtre ise DNS Backlist tir.

image011

DNS Based Blackhole List spam engellemede çok etkili bir yöntemdir. Her ne kadar bu listeler ücretli olsa da veri tabanlarını ücretsiz olarak açan pek çok dns listesi de bulmanız mümkün . ( RBL hakkında daha fazla bilgi almak için https://www.cozumpark.com/blogs/exchangeserver/archive/2008/03/28/spam-mail-ve-rbl-realtime-blackhole-list-aras-ndaki-li-ki.aspx makalesini inceleyebilirsiniz . )

Actions ve others sekmeleri yine aynı ayarlara sahiptir.

image012

Bir sonraki bölüm ise URI Realtime Blocklist’tir.Bu özellik sayesine mail içerisindeki spam URL lerini tespit etme şansına sahip olabiliyoruz. Yine bu bölüme ücretsiz veya ücretli URL ler ekleyerek gelen maillerin bu siteler üzerindeki veri tabanları ile kontrol edilmesini sağlayabiliriz.

image013

Bir sonraki filtre ise Sender Policy Framework (SPF ) filtresidir. Gelen mail için gönderici mail server ın SPF kayıtlarının olup olmamasına göre spam damgası yiyecek olan maillerin hangi kıstaslara göre filtreleneceğini belirleyebiliyoruz. ( SPF için daha fazla bilgi makalede yer almaktadır ; https://www.cozumpark.com/blogs/exchangeserver/archive/2008/04/29/ms-exchange-server-sender-policy-framework-spf.aspx )

image014

Exceptions bölümünde ise SPF filtresine takılmasını istemediğiniz mail server ip adresi veya kullanıcı mail adresini ekleyebilirsiniz.

image015

Bir sonraki filtre ise Header Checking tir. Bu filtre maillerin başlıklarındaki ( Header ) özel alanları kontrol eder . Bunu yaparken SMTP ve MIME alanlarını kontrol eder . SMTP için alanları gönderen server belirlerken MIME alanlarını ise mail istemcisi belirler.

İlk seçenek gelen email headerında eğer MIME FROM boş ise spam olarak işaretlenecektir.

İkinci seçenekte ise email headerında eğer MIME FROM bozuk ise yine aynı şekilde değerlendirilecektir. ( yani RFC standardından farklı bir MIME var ise )

Yine hemen alt bölümde bir maildeki maksimum alıcı sayısını belirleyebiliriz.

Bir al kutucuk ise ; eğer mail içerisinde SMTP TO bölümü ile MIME TO bölümündeki mail adresi farklı ise spam olarak işaretleyebiliriz. Çünkü genelde spam maillerde SMTP TO bölümündeki adres ile MIME TO bölümündeki adres eşleşmez veya MIME TO bölümü boştur.

Bu özellik pek çok spam ı engellemek için tek başına bile yeterli iken bazı serverların gönderdiği normal maillerde sorun teşkil edebilir ( yani MIME TO kısmında boş olan veya olmayan mail serverların gönderdiği mailler için ancak bunları da whitelist e ekleyerek çözebilirsiniz )

Son bölümde ise mail eğer belirtilen değerden ( 512 bytes ) daha büyük boyutta uzak imaj içeriyorsa yine spam olarak işlem görecektir.Bu da sadece imaj yolu ile yapılan spamları engellemek için kullanılır.

image016

Header Checking özelliğinin ikinci sekmesinde ise yukarıdaki ayarları görüyoruz.

İlk seçenekte MIME FROM kısmındaki domain için DNS doğrulaması yapılıp yapılmayacağını belirleyebiliriz. Bu sayede gönderen domain in dünya üzerinde kayıtlı bir domain olduğunu doğrulayabiliriz. Ama unutmayın ki dns doğrulaması olan pek çok domain spam mail gönderebilmektedir. Bu kontrol olmayan domain lerden mail gelmesini engelleyecektir.

Bir alttaki kutucukta ise MIME FROM kısmında kullanılabilecek maksimum adres sayısını belirtebiliyoruz. Spam göndericileri genellikle reply-to: adresleri için otomatik araçlar kullanırlar . Ve reply-to adresinin eşsiz olması için 3 veya daha fazla kullanırlar bu nedenle bizde 4 ten fazlasına izin vermiyoruz.

Bir alt kutucukta ise email konu kısmında alıcı mail adreslerinin olup olmadığının kontrolü yapılır , çünkü genellikle spam mail gönderenler alıcı mail adresinin ilk bölümünü mail konu kısmında barındırır.

Örneğin sales@cozumpark.com mail adresine your email to sales mail i gönderilmesi halinde spam olarak işaretlenecektir , bu nedenle bu vb durumların önüne geçmek için Except bölümünü kullanabilirsiniz.

Bir sonraki kutucukta ise maillerin body ve Header bölümlerini kontrol ediyoruz. Buradaki kontrolün amacı hex/octal encoded IP adresleri (https://0072389472/hello.com) veya kullanıcı adı şifre kombinasyonlarını içeren (www.citibank.com@scammer.com) URL adresleridir. Örneğin aşağıdaki iki URL o mailin spam olarak işaretlenmesi için yeterlidir.

https://12312

www.microsoft.com:hello%01@123123

Bir sonraki kutucuk ise mail içerisinde gömülü olan bir gif imajının olup olmadığının kontrolü yapar. Genellikle gömülü olan imajlar kandırma amacı ile kullanılır.

Son kutucuk ise mail içerisindeki ekleri kontrol edebiliyoruz ancak bu tam anlamı ile bir eklenti kontrolü değil sadece bilinen ekler için spam kontrolü denebilir. Yani GFI tarafından tespit edilen ve bilinen spam mail için kullanılan ekler için kontrol mekanizmamsı diyebiliriz.

image017

Bu bölümde ise istemediğimiz dildeki ( karakter setleri )maillerin spam olarak işaretlenmesini sağlayabiliriz.

Bundan sonraki iki sekme ise yine daha önce anlatıldığı gibi kullanılabilir.

Bir diğer spam filtresi  ise Keyword Filter dır.

image018

Emaillerin body bölümünde ilgili kelimelerin geçmesi halinde Actions bölümünde belirleyeceğiniz şekilde mail e işlemler uygulanıyor ( yani spam mail olarak işaretlenir ve yine diğer filtrelerde olduğu gibi bu mailde Actions bölümündeki ayarlarınıza göre kullanıcıya iletilecek , silinecek , kullanıcı junk klasörü veya subfolder a gönderilecektir. Yine eş zamanlı olarak istersek bir klasörde saklanacağı gibi bu konu hakkında bilgiyi yönetici mail’ine de gönderebiliriz. Bu diğer tüm filtrelerde aynı şekilde çalışmaktadır.

Kelime arama özelliğinde bir detay bulunmaktadır. Örneğin siz aranacak kelime olarak                “Bedava Ürünler” şeklinde bir kelime seti girerseniz burada içerisinde “Bedava” geçen mi yoksa tamamen yazdığım şekilde “Bedava Ürünler” geçen mi ? Bu sorunun cevabı “Condition” bölümünde belirlenebilir . Bu bölüm sayesinde IF, AND, AND NOT, OR, OR NOT şeklinde tanımlamalar yapmamız mümkündür.

Son filtremiz ise Bayesian Filter dır. Bayesian Filter GFI ME ürünü tarafından kullanılan bir anti-spam teknolojisidir. Bu filtre spam maillere karşı günümüzde kullanılan en güncel yapay zeka teknolojisidir.

Bu teknolojinin temeli  olan olaylardan yola çıkarak olası olayları tespit etmektir. Yani gerçekleşen spam maillerden topladığı verileri gelecek spam mailleri engellemek için kullanır. Eğer bir kelime spam maillerde çok fazla ortaya çıkıyor ise bu kelimenin geçtiği maillerin spam kabul edilmesi makul gözlemlenir.

Bayesian filtresi kullanmadan önce mutlaka kelimelerden ve jetonlardan ( $ işareti , ip adresleri , domain isimleri vb ) oluşan bir Database oluşturmamız gerekmektedir. Buradan geçerli ve spam mailler için örnekler çıkarabiliriz.

image019

Yukarıda HAM olarak isimlendirilen legal mailler iken diğeri SPAM mailleri temsil eder ve buradan yapılan hesaplamalara göre Bayesian DB si oluşur .

Olasılık her bir kelime ve token için hesaplanır ve bu hesaplama bir kelimenin veya token ın legal veya spam mailde ne kadar sık görüldüğü şeklindedir.

Örneğin sigorta kelimesi 3000 spam mailden 400 ünde ve 300 legal mail in 5 inde gözlemleniyor ise buradaki kelimeyi içeren mail in spam olma olasılık değeri 0.8889 dur.

Formül ;

[400/3000] / [5/300 +400/3000]

Bazı özel kelimelerin şirketiniz için spam olma olasılığı olmayacağından emin olmak için özel HAM veri tabanı oluşturmanız işlerinizi kolaylaştıracaktır.

Örneğin bir sigorta şirketi olarak gelen giden maillerdeki sigorta kelimesinin spam olarak algılanması işlerinizi aksatacaktır.  Aynı şekilde kişisel bir SPAM veri tabanıda oluşturmanız mümkün.

Bu teknoloji hakkında daha fazla bilgi için aşağıdaki makaleyi okuyabilirsiniz

https://kbase.gfi.com/showarticle.asp?id=KBID001813

image020

image021

Güncellemeleri hangi aralıklar ile yapacağını belirleyebiliyoruz ve yine aynı olan Actions , other menüsü bulunmaktadır.

Bu son bölüm ilede Anti-Spam Filters sekmesinin anlatımını tamamlamış oluyoruz. Ürünün geri kalan özelliklerini görmeye ise bir sonraki makalemde devam edeceğiz.

Hakan UZUNER