Om spam og virus

Spam og søppelpost gir en del tap-tap-situasjoner. For på den ene siden så ønsker brukere å motta minst mulig spam. På den andre siden ønsker brukere at all e-post de selv sender eller ønsker å motta skal kunne skli rett gjennom alle servere og mail-filtre uten forsinkelser. Så hender det at man som avsender eller mottaker finner at mail er blitt enten filtrert bort, forsinket eller avvist selv om den er aldri så uskyldig. Hva er årsakene til dette?

Før vi går nærmere inn på hva som er gjengangerproblemer så må vi nesten avklare en del omkring hva som kan bli en e-posts reise. Alternativene er:

  1. E-post avleveres problemfritt mellom avsenders konto og mottakers konto.
  2. E-post avvises av server hos mottaker og returneres avsender.
  3. E-post flagges som spam/søppel/virusbefengt på en hvilken som helst av de involverte serverne (også mulig at dette skjer hos avsender) og slettes.
  4. E-post flagges som mulig spam/søppel og overleveres mottaker med varsel om dette.
  5. E-post flagges som mulig spam/søppel/virus og legges i karantenekø på server (hos mottaker eller avsender) for manuell kontroll.

Alle avsendere ønsker vel at deres e-post skal behandles i hht. pkt. 1 ovenfor? Og noen blir ganske opprørt når de oppdager at e-posten ble behandlet i hht. et av punktene 2 - 5 ovenfor. Men man kan med svært enkle midler se til at man aldri havner i fellene 2-5. For å ikke gjøre denne fortellingen for lang skal vi her bare ta med noen svært enkle regler.

A. Det er ingen vits å prøve på nytt uten at man endrer e-posten
Når brukere oppdager at e-post ikke kommer frem, f.eks. ved at de mottar e-post som sier at deres e-post ligger i karantene-kø, så prøver de ofte sende samme e-post på nytt. Og på nytt. Enkelte prøver samme e-post et ti-talls ganger før de gir opp. Men er det en ting som er sikkert så er det dette: når serverne finner ut at det er feil i en e-post en gang så vil de komme til samme konklusjon uansett hvor mange ganger du prøver.
Ved å fortsette å sende samme e-post med potensiell spam-/virusmerking så forsterker man egentlig bare spam-problematikken. Serverne får mer å forholde seg til og personell som gjør manuell gjennomgang av karantene-kø for mer arbeid. Uten at noen vinner på dette.
Konklusjon: stoppes en e-post og du varsles om dette så er det uten verdi å prøve på nytt dersom du ikke finner/kjenner årsaken til at e-post ble stanset.

B. Styr unna de vanligste sikkerhetshullene
Alle datasystemer har sikkerhetshull. Noen er oftere benyttet som inngangsdører for spammere og hackere enn andre. Kunnskapen om disse sikkerhetshullene er bygd inn i anti-spam-systemer og e-post som passer inn i mønstrene for utnyttelse av disse sikkerhetshullene vil som oftest enten avvises eller legges i karantenekø. De vanligste er:

Vi vil beskrive denne feilen nærmere i nedenfor. For alle de som opplever at e-post havner i karantenekø så vil det være svært veridfullt å lese videre.

"Double extension"
I windows benyttes punktum som et skille mellom navn og filtype i alle filnavn. Filtypen (extension) brukes så for å bestemme hvilket program som benyttes når man "åpner" filen (dobbeltklikker eller høyreklikker).

Men i tillegg til extension så inneholder også alle dokumenter (filer) en beskrivelse som i mer detalj forteller om filtype. Her har nyere Windows-versjoner hentet funksjonalitet fra andre operativsystemer. Men man har glemt en liten bakdør som oppstår når filbeskrivelse og extension ikke stemmer overens. For hva skjer egentlig hvis en fil har navnet: dokument.exe.doc ?

Vel, slik brukeren leser filnavnet vil hun vel tro at dette er et Word-dokument og at det vil åpnes i MS Word dersom det høyreklikkes/dobbelklikkes. Men så er det kanskje et exe-dokument og dette ligger i filbeskrivelsen slik at høyreklikk/dobbelklikk gir at filens innhold åpnes som en applikasjon. Og da kan det være for sent å redde data på datamaskinen. For koden kan være ondsinnet og på svært kort tid har den skapt situasjoner på datamaskinen som brukeren aller helst ikke vil oppleve.

For å unngå at brukerne opplever slike kjedelige situasjoner vil alle e-poster med vedlegg der det ser ut som om man har forsøkt å skjule extension/filtype bli lagt i karantenekø. Dette inkluderer bl.a. alle e-poster med vedlegg der filnavn har mer enn ett punktum. Her vil vedlegg måtte kontrolleres manuelt før e-post videresendes. Og manuell klarering tar tid. I verste fall opp mot en uke.

En vanlig situasjon der brukere ender opp med slike filnavn er når man f.eks. lar dato bli en del av filnavn. Som f.eks. når man kaller filen leiekontrakt.09.2009.doc. Ser uskyldig ut, men havner altså i karantenekø.

En annen, nesten like vanlig situasjon er når filen gis ny extension av brukeren uten at denne er klar over at en annen extension allerede finnes. Dette høres jo nesten utrolig ut, men skyldes en liten særhet i nyere Windowsversjoner:

En svakhet i Windows Utforsker (engelsk)

Det er altså slik i nyere Windows-utgaver at Utforsker (Windows Explorer) viser filnavnene uten extension som standard. Derved kan brukeren lett komme i skade for å legge til en ny extension "oppå" den gamle, f.eks. når man lager pdf-versjon av et dokument. Enten som eksport fra et program eller når man lagrer et dokument på nytt. Så ender man kanskje opp med at vedlegget har navnet tegning.indd.pdf uten at man vet det. Og e-posten havner i karantenekø.

Vi skulle gjerne sett mindre av disse feilene. Men så lenge Microsoft ikke tetter sikkerhetshullet så vil spam-/antivirusprogramvare måtte ta forholdsregler for at brukerne ikke skal utsettes for ondsinnet kode. Sjekk derfor om du kjører standardinnstillinger som skjuler extension eller om du har slått på visning av fullt filnavn inklusive extension. I tilfelle du har slått på visning av fullt filnavn vil du enkelt kunne se om filnavnene dine blir mistenkelige eller ikke.

Lykke til.

← Tilbake

webhosters.no - en tjeneste fra Mediaverkstedet
Design nettsted: Fluidcube
Realisering nettsted: Z-it Productions