DR drukner i spam-mails

DR kæmper en hård kamp mod spam-mails. I denne måned har organisationen foreløbigt modtaget næsten 1.5 millioner af slagsen, og filteret kan ikke strammes mere, lyder det fra teknologi-sikkerhedschefen.

90 procent af de mails, Danmarks Radio modtager, er spam-mails. Og alene i august måned har den statsejede medievirksomhed foreløbigt modtaget 1.410.945 af de irriterende mails. Det fremgår af en artikel i DR's interne nyhedsbrev DRåben.

I nyhedsbrevet beklager studievært på P4 Monica Krog-Meyer sig over, at de forkætrede mails jævnligt havner i hendes indbakke:

»Jeg undrer mig over, at der kommer SÅ meget spam-mail i min direkte mailboks, og jeg forstår ikke, hvordan det kan lade sig gøre. Jeg troede, at vi havde skrappe værn mod den slags.«

Men trods spam-filter finder de mange mails altså alligevel vej til DR's medarbejdere. Og det har teknologisikkerhedschef i DR Carsten Stenstrøm en forklaring på. I nyhedsbrevet siger han:

»Problemet er, at hvis vi sætter overliggeren meget højere, end den er nu, risikerer vi, at der er for mange ?rigtige mails?, der bliver fanget i filteret.«

Nogle af de rigtige mails bliver blandt andet fanget, fordi de kommer fra lande som Korea og Brasilien. Men ifølge teknologsikkerhedschefen er der en mulig løsning på vej.

»Vi overvåger hele tiden det her for at ligge på et fornuftigt niveau, og vi er ved at vurdere en løsning, hvor medarbejderen selv kan gå ind og frigive valide mails. På den måde vil vi i højere grad kunne holde spam-mails ude,« lyder det fra Carsten Stenstrøm ifølge DRåben.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin R. Ehmsen

Jeg er gået fra over 200 spam-mails om dagen i min spam-folder til under 1 i gennemsnit, ved at sætte greylisting op på mit domæne.
Jeg har endnu ikke hørt fra folk som har haft problemer med at komme igennem, så foreløbigt er det uden tab af rigtige mails (det er ca. 200 dage siden at jeg startede).

Det kunne være DR skulle prøve det, eller gør de det allerede?

Lars Michael Sørensen

Som periodevis DR medarbejder har jeg lidt svært ved at genkende de enorme mængder spam, der skulle trænge sig på i indbakken.

Men tallet passer sikkert fint nok, og det kommer naturligvis også an på, hvad man bruger sin email-adresse til.

Jeg har ihvertfald meget lidt spam.

Og endnu mindre i mine andre indbakker, der er hostet af Google. De har nemlig et filter, som vil noget!

Klaus Elmquist Nielsen

I min verden ville det være en løsning hvis kom igang med en SMTP2 ;)

Vil det forhindre spam afsendelse fra overtagne maskiner? Jeg syntes klart at bedre og mere sikre protokoller på internetet er en rigtig god ide. Men man skal se på hele sikkerhedsbilledet, og så længe der er overtagne maskiner får man ikke løst spam problemet.

Jens Mikkelsen

Jeg kunne jo tænke mig, at går man går ud og fortæller, at man har problemer med spam i DR, så også fortæller hvilke systemer, man rent faktisk bruger, så vi andre kunne tage ved lære.

Jeg har indtrykket af, at DR har nogle rimeligt seriøse it-mennesker ansat og sikkert også nogle fornuftige budgetter og en størrelse, der gjorde det relevant at sende erfaringer videre.

På mit arbejde på et universitet har vi på nogle områder anvendt et egenudviklet greylistingfilter med stor succes. Det er ikke superperfekt, men suppleret med andre features fx OutLook/Exchanges interne spam-håndtering synes jeg, at man får en rimelig løsning på problemet.

Et andet system, jeg er stødt på, som eftersigende virker rigtigt godt, er IronPort, hvor de selv påstår, at de laver meget få fejl. Deres statistikker skulle være baseret på, at de mener, de håndterer ca 35% af alt verdens mail. Jeg har set systemet i drift på Gøteborgs Universitet, hvor de er meget tilfredse.

Thomas Lønskov Luther

Vi har på mit arbejde fået en IronPort, og det er dælme noget der bare virker, spam forsvandt den dag vi satte den ind foran vores mail-server og der har til dato ikke været problemer med mail der er blevet væk (vi hoster mail for en del forskellige kunder).

Før vi fik ironport fik vi hver især nok mellem 100 og 300 spam mails om dagen, nu slipper der måske 2-3 om ugen igennem ironport. Desuden er der ikke det samme vedligehold som på spamassassin, den passer mere eller mindre sig selv.

Løsningen er forholdsvis dyr, men begynder man at regne tabt arbejdstid med i det, så kan det måske hurtigt betale sig. Specielt hvis der er mange i virksomheden for hvem en computer blot er et værktøj, så kan mange spam mails være stor kilde til frustrationer og dermed ekstra meget spildtid, endvidere risikoen for at der er nogen der hopper på limpinden og vupti, mister en arbejdsdag pga. computeren er gone fubar.

John Skovgaard

Domain Reputation fra BorderWare (http://bsn.borderware.com) er helt klar den mest effektive måde at stoppe spam på.
Da BSN ikke kun kigger på afsenderes IP adresse, men domain og afsender informaion.
Ingen andre løsninger har denne funktion.

Ved at tjekke dr.dk, så vil man også se et klart billede af hvordan og hvem som udnytter dr.dk´s images rundt omkring i verden. (http://bsn.borderware.com/domain_lookup.php?d=dr.dk&ip=)

Jeg er selv tilhænger af, at medarbejder skal går ind og vurdere hvad der er spam og ikke spam, men det giver ingen menning hvis medarbejder oplever at de skal gøre dette hver dag eller hele tiden. Det skal måske være en promile af de "grå" mails som man skal vudere.
Jeg gør selv dette max. 1-2 gange om måneden.

Dette skyldes, at en af BorderWare vigtigste funktioner er, at lærer af kundens adfærd, ved at analysere kunden udegående mails, som udgangspunkt er i orden.
Ved at samligne inde- og udegående mails, vil dette give et billede af hvad der er normalt og ikke normalt, hvilke i sidste ende giver mindre grå-mails.

John Skovgaard

De minder langt fra om hinanden.

Hvis du samligner dr.dk med senderbase.org og bsn.borderware.com...så kan du se at Senderbase stort set intet information har på dr.dk ((http://www.senderbase.org/senderbase_queries/detaildomain?search_string=...)

Hvor på med BSN (http://bsn.borderware.com/domain_lookup.php?d=dr.dk&ip=) kan finde en masse informationer om deres ip-adresser der er tilnkyttet til dem, ydermere, hvilke domains/ipadresser som udnytter dr.dk.

Anders Rosendal

Jeg synes også det lyder ret vildt. Jeg bruger spamassassin, og den luger mere en 98% spam fra. Det er jeg meget tilfreds med, og har heller ikke hørt fra folk der ikke kunne skrive til mig.

Jeg tror på dig ;-)

Hvilket præcis er problemet med at være for hård med sit spam-filter.

Personligt kan jeg godt lide metoden hvor man automatisk sletter mail fra usa, kina og andre spammer lande indtil de laver nogle regler der virker.
Det virker ret godt skal jeg sige. Men nok ikke en løsning for alle :-)

John Skovgaard

Jeg vil anbefale at læse og især de sidste 2 afsnit igennem fra dette link: http://www.borderware.com/technologies/reputation-services.php

En af de særlige grunden til at løsningen er så effektiv er at samtlige boxe er koble sammen og dele "Bad, Suspect og Good" på domains/ip-adresserne mellem hinanden, hvor så vidt jeg ved senderbase.org kun står nogle centrale steder rundt omkring i verden (men hovedvægten i USA).
Dvs. du vil få et langt mere lokalt og "real-time" værktøj til at stoppe spam.

Carsten Stenstrøm

Vi er meget glade for interessen og den positive holdning til at hjælpe DR med at bekæmpe spam.

Der er dog tale om en misforståelse af en intern debat omkring spam.

DR modtager IKKE meget spam. Det stoppes meget effektivt af vores antispam-løsning og samarbejdspartner. Så vi drukner ikke i spammails.

En løsning som vi iøvrigt er meget tilfredse med.

En gang imellem ændres spammernes teknik, og det betyder, at der ind imellem kommer enkelte spammails igennem, indtil hullet er lukket.

DR har dog også et ønske om at få så få falske positive som muligt, hvilket betyder, at vi sætter grænsen meget tæt hele tiden.

Vi har en tæt gensidig dialog med vor leverandør, som sikrer, at vi hele tiden har den optimale trimning af forsvaret.

mvh.
Carsten Stenstrøm
Teknologisikkerhedschef, DR

Thomas Lønskov Luther

En af de særlige grunden til at løsningen er så effektiv er at samtlige boxe er koble sammen og dele "Bad, Suspect og Good" på domains/ip-adresserne mellem hinanden, hvor så vidt jeg ved senderbase.org kun står nogle centrale steder rundt omkring i verden (men hovedvægten i USA).
Dvs. du vil få et langt mere lokalt og "real-time" værktøj til at stoppe spam.

Uden at kende til hit-rate ved borderware, så kan jeg kun sige at senderbase hvert fald hitter ganske godt, og vi har til dato ikke haft problemer med falske positiver.

At det kun skulle være lokaliseret omkring USA har jeg også lidt svært ved at tænke mig til. At Senderbase (Ironport) har udstyr stående ved 8 af de 10 største ISP'er må nødvendigvis også give hvert fald lidt distribueret netværk, der er hvert fald også flere kunder her i Danmark alene der har Ironports.

Men at der er to umiddelbart konkurrende teknologier er jo positivt, det øger konkurrencen og dermed også viljen mellem selskaberne til at forbedre deres produkt. Googler man Ironport og Borderware, så er der umiddelbart mange sammenfald mellem de to firmaer og de ser endda ud til at have udveklset management-folk nogle gange ;-)

Thomas Lønskov Luther

Hej Carsten

Tak for indlægget, og jeg håber at der er en Version2 journalist der sidder lidt med en underlig fornemmelse nu... for artiklen er klart skrevet som om at I får 1.5mio spam på 14 dage der bliver leveret til inbox'e rundt om i virksomheden, og som jeg læser dit indlæg så er det klart ikke tilfældet.

Version2: Vil I ikke godt holde op med det her ekstrablads-journalistik! Istedet for at skrive en artikel som i bund og grund handler om at DR har et effektivt spamfilter og at der er meget spam på internettet (det er jo ikke en nyhed!) så havde det været meget mere interessant at se på den løsning som DR har valgt, og hvorfor den virker så effektivt. Meget gerne med en faglig analyse af andre muligheder (fx. borderware, ironport mv mv).

Jeg ville ønske v2.dk var meget mere end bare et nyhedssite, men istedet et sted hvor der kunne findes faglige artikler indenfor IT området.

Stig Johansen

den løsning som DR har valgt, og hvorfor den virker så effektivt.

En dig fortæller om løsningen:
~> dig -t MX dr.dk

;; ANSWER SECTION:
dr.dk. 300 IN MX 10 scanner1.virus112.com.
dr.dk. 300 IN MX 20 scanner2.virus112.com.
dr.dk. 300 IN MX 30 scanner3.virus112.dk.

Dvs. Virus112.
Hvorfor den er effektiv får du nok ikke at vide.
Det er en salgs/konkurrenceparameter (Kender en sælger fra Virus112).

Log ind eller Opret konto for at kommentere