Hacettepe Üniversitesi E-posta sistemi, bir taraftan kullanıcıları dışarıdan gelen virüs ve spam içerikli mesajlardan mümkün olduğunca korumaya çalışırken, diğer yandan da bu korumanın mümkün olduğunca hızlı ve doğru olmasına gayret etmektedir. Özellikle istenmeyen içerikli mesajlara karşı filtreleme yapmak son derece zor olmaktadır. Sistemlerimiz etkin bir filtreleme yapabilmek için zaman zaman "false positive" adı verilen normal mesajların spam / virüs zannedilmesi durumları ile de karşılaşabilmektedir. Bu nedenle, spam olduğundan şüphelenilen mesajlar silinmemekte ve konu satırının başına "{Spam?}" ibaresi eklenerek kullanıcıya ulaştırılmaktadır. Bunun amacı, kullanıcının filtreleme yapmasını kolaylaştırmaktır.

Sistemimiz birkaç aşamadan oluşan bir spam / virüs tarama sistemine sahiptir. İlk aşamada gelen mesajlar, mesajın ve içerebileceği ek dosyaların kimi temel kurallara uygun olup olmadığı açısından kontrol edilir. Daha sonra mesaj ve eklentileri günde 24 defa güncellenen bir virüs tarayıcı tarafından taranır. Virüssüz olduğu tespit edilen mesajlar birincil spam testine tabi tutulur. Bu aşamada mesajın kaynak IP'si belirlenir ve gerçek zamanlı olarak dünyanın saygın bazı "Kara Liste İsim Sunucuları"ndan sorgulaması yapılır. Bu sunucular, dünyada yayılan spam mesajların kaynak IP'lerini saklar ve dinamik olarak güncellerler. Mesaj, kara listeye girmiş bir IP bloğundan geliyorsa bu kara liste sunucuları bunu tespit ederler. Mesaj, bu kara liste sunucularından en az birine takılmışsa sistemimiz mesajı yine de sahibine iletir, ancak konu satırının başına "{Spam?}" ibaresini ekler ve normal Inbox yerine "Junk E-Mail" adlı klasöre kopyalar. Son işlem, mesajın içerik açısından spam'a benzeyip benzemediğinin testidir. Burada sunucuları çok yüklemeden bazı temel parmak izleri aranır. Mesaj spam olarak kabul edilirse konusuna herhangi bir işaret eklenmez, ancak bu mesaj da kişinin "Junk E-Mail" klasörüne gönderilir.

Sistem, özellikle "kara liste sunucuları"nın bir IP yerine bir blok IP'yi kara listeye almalarından ötürü, çok nadir de olsa spam olmayan mesajları da spam olarak işaretleyip Junk E-Mail klasörüne gönderebilmektedir. Bu, kişileri spam'dan mümkün olduğunca koruyabilen bir sistemin doğal yan etkisidir. Bir virüs içerdiği kodun parmak izinden daha kolay tespit edilebilir, ancak içerdiği konuya göre bilgisayarın bir mesajı spam olarak sınayabilmesi virüste olduğu kadar kolay değildir. Bu nedenle özellikle postalarını POP3 protokolü ile Outlook vs. kullanarak kendi bilgisayarına alan kullanıcıların zaman zaman Web tabanlı e-posta servislerimize bağlanıp Junk E-Mail kutularını kontrol etmesi, işe yaramayan postaları silmesi ve Çöp klasörünü boşaltması gerekmektedir. Böylece kullanıcı, hem yanlışlıkla Junk klasörüne düşen mesajlarını görmüş olur, hem de kotasının kolayca dolmasını engeller.

Aşağıda, üniversitemizin e-postalar üzerinde uyguladığı filtreleme kuralları ve bu kurallara takılan mesajlara nasıl davranıldığı ile ilgili listeler verilmiştir.

E-Postalara Uygulanan Başlık Denetimleri

• E-Posta'yı gönderen SMTP sunucusu "giden.posta.hacettepe.edu.tr" değilse, gönderen adres "@hacettepe.edu.tr" formatında olamaz.
• Gelen e-postalara eklenmiş dosyaların isimleri virüs taşımaya müsait olan şu son eklerle bitemezler: .wmf, .ico, .ani, .cur, .hlp, .ceo, .cab, .reg, .chm, .cnf, .hta, .ins, .jse, .job, .lnk, .ma[dfgmqrstvw], .pif, .scf, .sct, .shb, .shs, .vbe, .vbs, .wsc, .wsf, .wsh, .xnk, .cer, .its, .mau, .mda, .mdz, .prf, .pst, .tmp, .vsmacros, .vss, .vst, .vsw, .ws, .com, .exe, .scr, .bat, .cmd, .cpl
• Gelen e-postalara eklenmiş dosyaların isimleri 150 karakterden daha uzun olamazlar.
• Gelen e-postalara eklenmiş dosyaların isimlerinde 10 ya da daha fazla ardışık boşluk karakteri bulunamaz.
• Gelen e-postalara eklenmiş dosyaların isimlerinin birden fazla farklı son eki bulunamaz (örn. dosya.txt.doc gibi). Ancak aynı son ek kendini tekrar edebilir (örn. dosya.zip.zip gibi).
• Gelen e-postalara eklenmiş dosyalar çalıştırılabilir (executable), kendini açan (self extracting) ve windows registry dosyaları olamazlar.

Yukarıdaki eklenti kurallarına uymayan e-postaların gönderenlerine bir uyarı mesajı gönderilerek mesajlarının red edildiği bildirilir. Ancak mesaj, alıcıya eklentisinden arındırılmış olarak ve bu konuda bir uyarı eklenerek iletilir. İletinin konu satırının başına da "{filename?}" ibaresi eklenir. Yukarıdaki ilk kurala uymayan e-postanın konu satırına "{Spam?}" ibaresi konulur ve mesaj kişinin "Junk E-Mail" klasörüne yönlendirilir.

Bunun yanında html kodu ile zenginleştirilmiş e-postaların içine bazı zararlı kodların da yerleştirilmesi mümkündür. Sistemimiz iframe, javascript vb. kodları mesaj içinden ayıklar ve mesaj konusunun başına "{Disarmed}" ibaresini yerleştirerek kullanıcıya gönderir.

E-Postalara Uygulanan Virüs Taraması

E-Postalar ve eklentileri yukarıdaki kurallardan geçtikten sonra virüs taramasından geçirilirler. Şu anda kullanılmakta olan virüs tarayıcı yazılımı "Symantec Messaging Gateway"dir. Yazılımın virüs veritabanı her saat güncellenmektedir. Tarayıcı, Aralık 2011-Ocak 2012 arasında gelen ve giden olmak üzere yaklaşık 1 milyon e-posta taranarak yakalanan 1500'ün üzerindeki virüslü e-postada %99 başarı ile çalışmaktadır.

Eklenti olarak gelen dosyalar zip vb. şekillerde arşivlenmişse, virüs tarayıcı sistemimiz bunların da içini taramaktadır. Şifrelenmiş zip gibi dosya eklentilerini tarayıcının açması mümkün olmadığından bu dosyaların geçmesine izin verilmemektedir.

Virüslü eklentisi olduğu tespit edilen e-posta, bu eklentisinden arındırılıp bir uyarı ile alıcısına iletilmektedir. Virüslü dosya ise sistemimizde 1 hafta süre ile karantina deposunda tutulmaktadır. Virüslü dosyaları yollayanların adresleri genellikle sahte olduğu tespitiyle sistemimiz ekstra trafik oluşturmamak için virüslü dosyanın göndericisine bir uyarı mesajı göndermemektedir.

E-Postalara Uygulanan SPAM Taraması: Kara Listeler

Yukarıda anlatılan kara liste uygulamasında şu an için aşağıdaki DNSBL (Domain Name Service Black List)'ler arasından seçilenler kullanılmaktadır:

• ORDB-RBL, SBL+XBL, CBL, SPAMCOP, NJABL, UCEPROTECT-L2, SPAMHAUS, SORBS, DSBL, RSL, NOMOREFUNN

  Seçilen buketler sistemin performans verilerine ve alınan yanlış alarm oranlarına göre zaman zaman değiştirilmektedir.

  Yukarıdaki kara liste sunucularında gönderen IP'leri listelenmiş e-postalar spam olarak kabul edilmekte ve kişinin Junk E-Mail klasörüne yönlendirilmektedirler.

  E-Postalara Uygulanan SPAM Taraması: SpamAssassin

  Son aşamada dünyaca ünlü spam tarama yazılımı olan SpamAssassin kullanılmaktadır. Sistem performansına göre zaman zaman Bayesian değerlendirme açılıp kapatılabilmektedir. Yapı, mesajın içeriğinin tekrarına, mesajın dağıtılma sıklığına, ne kadar çok alıcıya ulaştığına ve diğer kriterlere göre mesajı spam olarak değerlendirmeye karar vermektedir.

  SpamAssassin'in spam olarak değerlendirdiği mesajlar doğrudan doğruya kişinin Junk E-Mail klasörüne yönlendirilmektedirler.

  E-Postalara Uygulanmayan Taramalar

  • Sistemimizde şu an için elle yerel olarak belirlenen herhangi bir "blacklisting" kuralı uygulamamaktadır.
  • Gelen e-postalar'ın içeriğinde özel olarak belirlenen bir anahtar sözcük ya da söz dizimi araması yapılmamaktadır.
  • Gelen e-postalarda yapılan SpamAssassin kontrolleri tekst tabanlıdır. Sistemde yoğun yük olması nedeniyle gelen grafik içerikli eklentilerin üzerinde OCR vb. kontroller yapılamamaktadır.