Filtering e-mailverkeer

DICT voorziet uitgebreide filtering van het e-mailverkeer, met als doel ongewenste en gevaarlijke mails uit je inbox te houden. Om de gebruiker beter toe te laten zelf te controleren wat er tegengehouden wordt en de mogelijkheid te bieden om eventuele false positives alsnog snel op te vissen, gaan we de ongewenste mail laten doorstromen naar de hiertoe voorziene "Ongewenste E-Mail" folder van je mailbox. Zo kan je zelf goed nagaan wat er gefilterd wordt. Wees echter zeer terughoudend bij het openen van mail in de Ongewenste E-Mail folder en consulteer enkel mail die je duidelijk herkent en reeds verwachtte.


Scanning en filtering

De UGent voorziet scanning en filtering van binnenkomende mail. Omdat e-mail geen garanties biedt over de identiteit van de afzender, is het eenvoudig om (afzenders van) mails te vervalsen en op die manier malafide inhoud te verspreiden. Dit maakt e-mail een favoriet medium voor hackers, phishers of andere individuen met slechte bedoelingen. Veel ernstige veiligheidsincidenten starten helaas met het openen van ogenschijnlijk legitieme links of attachments in betrouwbaar lijkende mails, of het volgen van instructies van gekende (maar vervalste) correspondenten. Dit maakt dat de UGent de nodige maatregelen moet treffen om dit soort mailverkeer maximaal te weren.

Een eerste filtering bestaat uit het markeren van gekende ongewenste mails, of gekende verzenders van ongewenste mails. De "vingerafdruk" van dergelijke mails of de IP-adressen van afzenders worden automatisch over het internet gedeeld, waardoor we mails of afzenders die reeds door anderen als onbetrouwbaar gemarkeerd worden, meteen kunnen klasseren.

Voor sommige publieke mailproviders zoals Gmail en Yahoo is deze aanpak onvoldoende. Beide platformen bieden aan iedereen de mogelijkheid om (anoniem) een mailadres aan te maken, en ze worden dan ook flink gebezigd door actoren met slechte bedoelingen, die op deze manier snel de mailadressen die ze voor hun activiteiten gebruiken, kunnen variƫren. Het markeren van gans Gmail of Yahoo is natuurlijk geen optie en de variaties maken het gebruik van "vingerafdrukken" ook minder doeltreffend, dus hier werken we op basis van de inhoud van de mail. Dankzij statistische analyse (bayesian inference) kunnen we aan de hand van de gebruikte woordenschat in de mail alsnog behoorlijk nauwkeurig ongewenste mail identificeren.


Virusscanner en maatregelen tegen spoofing

Attachments gaan uiteraard door een virusscanner, die ook werkt op een steeds actueel gehouden database van gekende malware. Maar ook dat is niet voldoende wegens de vele nieuwe varianten die dagelijks opduiken. Daarom worden alle attachments en de meeste links (waarachter ook malware kan schuilen) nog eens geopend in een veilige, virtuele omgeving, om te detecteren wat ze aanrichten eens geopend. Op deze manier kan zelfs nieuwe en onbekende malware gedetecteerd worden alvorens deze in een mailbox terecht komt.

Tot slot gaan we alsnog "spoofing", het vervalsen van afzenders, tegen door gebruik te maken van mechanismes (SPF, DKIM, DMARC). Bedrijven en instellingen kunnen aangeven welke e-mail systemen betrouwbaar zijn voor mails met hun domeinnaam als afzender. E-mails die van elders afkomstig zijn, of niet over een geldige "stempel" van de mailbeheerder beschikken, gaan we eveneens als verdacht markeren. Niet alle e-maildomeinen gebruiken dit systeem, maar waar mogelijk gebruiken we ook dit mechanisme, en ook voor het ugent.be domein zetten we dit in om te vermijden dat gelijk wie zich kan voordoen als een UGent gebruiker.


Check je "ongewenste mail"-folder

Alle verdachte of ongewenste mail plaatsen we in de "Ongewenste e-mail" folder van je mailbox, enkel mail waarvan we met zekerheid vaststellen dat deze gevaarlijk (virus, ransomware) is, houden we achter. Het is dus zeker nuttig om op tijd en stond die ongewenste mail-folder te overlopen, want geen enkel filtering mechanisme is 100% foutloos - maar benader alles wat je hierin aantreft met de allergrootste voorzichtigheid. Zie je vreemde of onverwachte meldingen in deze folder, dan mag je er van uitgaan dat ze vals zijn! Consulteer enkel mail die je duidelijk herkent en reeds verwachtte en houd rekening met het feit dat malware kan gepresenteerd worden in mails van gekende correspondenten of zelfs in mailconversaties waar je reeds in betrokken was.


top