Sinds 4 juni komt er aanzienlijk minder spam binnen. Hebben we eindelijk de holy grail gevonden? Dat helaas niet, maar het is wel een mooie en vooral hele eenvoudige methode om spammers om de tuin te leiden.

Het principe is simpel: veel spammers gebruiken het hoogste MX record (dus de laagste prioriteit mailserver) om hun troep af te leveren, vanuit het idee dat deze vaak minder goed beveiligd is tegen spam dan de primaire mailserver. Daarnaast hebben veel primaire mailservers een “vertrouwensrelatie” met hun fallback servers, waardoor de kans dat de spam uiteindelijk in een mailbox vleit een stuk groter is. Een andere eigenschap van typisch spammer-gedrag, is dat men de spammail verstuurt en niet afwacht op een akkoord of foutmelding van de ontvangende server. En als men al wacht op een eventuele foutmelding, wordt deze genegeerd.

Oplossing: voor alle bij ons gehoste domeinen hebben we een extra MX record toegevoegd met hoge prioriteit: 600 smtp-niet-gebruiken.byte.nl. Op deze server draait een “fake” mailserver, die braaf luistert en inkomende mail in eerste instantie opvangt, maar nooit een “OK, ik heb het ontvangen” bericht teruggeeft. Officiele mailservers zullen bij het uitblijven van zo’n status concluderen dat het bericht niet is verzonden (misschien was de verbinding verbroken?) en het nogmaals proberen, zo mogelijk bij een andere MX.

Samengevat: onze fake mailserver houdt spammers zoet en zorgt ervoor dat er minder spammail op de echte mailservers terecht komt. Dat maakt het scannen op spam bovendien een stuk goedkoper.

Een mogelijke vervolgstap voor in de toekomst: het blijkt dat sommige spammers niet per se de hoogste MX pakken, maar zomaar een willekeurige. Door het toevoegen van een groot aantal niet-werkende MX records, is de kans dat een spammer toevallig de juiste kiest, een stuk kleiner en kun je het inkomende spam verkeer verder decimeren.