Kävi ilmi, ettei Saunalahti suostu välittämään postia tietyissä tilanteissa. Ylläpito on myöntänyt asian webikeskustelussa, ja pitää sitä jopa asianmukaisena.

Ongelma esiintyy tilanteessa, jossa käyttäjällä on osoite sähköpostijärjestelmään example.com, olkoon hänen osoitteensa vaikka käyttäjä@example.com. Käyttäjällä on myös osoite domainissa saunalahti.fi (tai nic.fi). Osoite käyttäjä@example.com on ohjattu tähän Saunalahden osoitteeseen. Näinpä example.com-osoitteeseen lähetetty viesti näyttää Saunalahden näkökulmasta tulevan example.comin postipalvelimelta, vaikkapa palvelimelta host.example.com, koska viestin täytyy väistämättä kulkea sitä kautta.

Nyt, jos lähettäjä lähettää postia osoitteella, joka päättyy esimerkiksi @yahoo.com tai @gmail.com, Saunalahti toteaa, että koska posti onkin tulossa palvelimelta host.example.com eikä suinkaan Yahoon tai Gmailin palvelimelta, saa example.comin palvelin Saunalahden postipalvelimelta virheilmoituksen "Client host rejected: You're not allowed to send mail with this sender domain", jonka tämän pitää välittää edelleen alkuperäiselle lähettäjälle. Viestiä ei toimiteta perille.

Saunalahti ajattelee, että vain Yahoon ja Gmailin palvelimilta voi legitiimisti tulla @yahoo.com tai @gmail.com -postia. "Spammerit ovat jo pitkään käyttäneet sendereinä roskaposteissaan @yahoo.com osoitteita joita ei ole lähetetty Yahoon kautta." Perustelu voidaan lukea vaikka näin: Koska spämmerit toimivat näin, estämme kaikkia muitakin toimimasta näin, ja vähät välitämme standardeista ja postinvälityksen toimivuudesta.

Tilanteesta aiheutuu ongelmia kaikille käyttäjille, joilla on sama tilanne kuin tässä esimerkkikäyttäjällämme. Kaikkien forwardoitujen postien välitys on rikki. Kun tilanteesta on aiheutunut ongelmia edelleenohjauspalvelujen, kuten iki.fi:n kanssa, Saunalahti on whitelistannut näiden postipalvelimia tapaus tapaukselta. Mutta voitte kuvitella, ettei kaikkia edelleenohjauspalveluja osata whitelistata. Ja entäs jos näiden postipalvelinten IP-osoitteet muuttuvat?

Tämä on esimerkki siitä, mitä ylireagointi roskapostiin voi saada aikaiseksi ammattitaidottoman ylläpidon kanssa. Kehotan kaikkia Saunalahden asiakkaita antamaan palautetta rikkinäisestä käytännöstä ja äänestämään lompakollaan.

Note to self:

Nyt näyttäisivät spämmerit löytäneen uuden tavan tuottaa ylläpitäjille harmaita hiuksia. Ilmeisesti lähettävät clientit eivät osaa katkaista yhteyksiä, ja niinpä vastaanottaville koneille jää tuhansia "cmd read"-tilassa olevia sendmaileja roikkumaan. Tämä taas lisää muistin kulumista ja mikä aikanaan johtaa swappaukseen, loadien nousuun ja siihen, että sendmail ei ota vastaan uusia viestejä. Ilmiö on maailmanlaajuinen ja taas jonkun botnetin aiheuttama.

Kokeiltiin laskea Timeout.command 1h -> 15m, jos vaikka sendmail katkaisisi yhteyden nopeammin. Sendmailin ohjeista on apua.

Kandityötä tehdessäni perehdyin jonkun verran viimeisimpään tilanteeseen siitä, kuinka paljon yliopistolle tulevasta sähköpostista on spämmiä. Havaintoni oli huima: viime aikoina on pelkästään SMTP-vaiheessa torjuttu noin 3–4 miljoonaa lähetysyritystä vuorokaudessa. Läpi päässeestä postiliikenteestä vielä noin puolet on tunnistettu spämmiksi.

Tämä tarkoittaa, että heinäkuun alusta lähtien roskapostin osuus on ollut yli 95, jopa yli 96 prosenttia. Osittain se tietysti selittyy lomilla: oikeata postia on vain vähän. Mutta myös absoluuttiset määrät huimaavat päätä. Näissä tilastoissa olen laskenut yhden (tyypillisesti DNS-listojen avulla) blokatun yhteyden yhdeksi viestiksi, vaikka sen aikana voitaisiinkin välittää monta viestiä ja ennen kaikkea monelle eri vastaanottajalle.

Samalla olen opetellut vapaan tilasto-ohjelmisto R:n käyttöä. Se on aika kinkkistä, mutta nyt luulen jo vähän oppineeni lukemaan sen manuaaleja. Kas tässä:

Näyttäisi ainoat ja parhaat URI-mustalistat olevan botnet-hyökkäyksen kohteena, kävi ilmi SpamAssassinin postituslistalta.

Eräs kirjoittaja totesi osuvasti:

Forget national id cards. How about a license to operate a computer? Everyone running unpatched, unfirewalled windows, please shutdown now.

Vaikka onkin niin, että sisältöperustainen spämmin torjunta ei ole oikeastaan kovin viisasta (vaikkakin välttämätöntä), ei voi muuta sanoa, kuin että kyseiset listat torjuvat spämmiä erittäin tehokkaasti hyvin vähin väärin positiivisin, ja niiden pitkäaikainen toimimattomuus olisi erittäin haitallista. Nyt varmaankin spämmääjät rynnivät perustamaan uusia domaineja, joita ne sitten sisällyttävät spämmeihinsä.

Panokset kovenevat. Mitähän seuraavaksi.