De afgelopen tijd hebben we een enorme toename gezien van spammails waar een link in staat. De mailtjes zijn zeer summier, de tekst ziet er ‘goed’ uit en de link spreekt niet echt boekdelen. Dat maakt het in beginsel lastiger om ze te controleren. Vaak krijgen we de vraag: “Maar waarom controleren jullie de content achter die link niet?” Dat zullen we hier uitleggen.
De afgelopen tijd was er een tsunami aan dit soort spammails; gemiddeld tussen 70.000 en 100.000 per dag! Veel van deze mails zijn afkomstig van domeinen die eindigen op bijvoorbeeld .icu,. xyz, .best of .online. . Dit zijn relatief nieuwe domeinen die zijn vrijgegeven door de Internet Assigned Numbers Authority (IANA). Een aantal aanbieders verkoopt ze tegen zeer goedkope tarieven. Daar maken spammers helaas maar wat graag gebruik van. Ze kopen ze met duizenden in, in de wetenschap dat ze niet zo lang gebruikt kunnen worden. Omdat ze ook met cryptogeld (Bitcoin) te koop zijn, is het lastig te achterhalen wie er achter deze domeinen zit.
Dat maak het voor spamfilters gelijk ook een stuk lastiger om de mails als spam te identificeren; er zijn weinig gegevens te achterhalen en omdat er zoveel domeinen in omloop zijn, is het lastig om ze te blokkeren. ‘Kun je dan niet alle e-mails afkomstig van elk .icu-domein standaard tegenhouden?’ Nee, want er kunnen ook legitieme afzenders zijn die een .icu-domein gebruiken. Dat zou betekenen dat die e-mails ook niet meer binnenkomen. Dat is dus te kort door de bocht.
Wat zit er achter de link?
Zoals gezegd, al deze spammails bevatten een link. De spammers hopen dat je op de link klikt, zodat ze hun ‘payload’, oftewel de website met reclame, een virus of ransomware kunnen afleveren. De content van een link staat alleen niet in de mail en is dus voor een spamfilter niet te scannen. Een logische vraag is dan ook: “Waarom ‘klikt’ Onlinespamfilter niet op de link om te kijken wat erachter zit?” Daar zijn meerdere redenen voor.
Eén link, meerdere bestemmingen
Misschien is het u opgevallen dat veel spam ’s nachts of ‘s ochtends heel vroeg verzonden wordt. Dat heeft een belangrijke reden en dat is niet per definitie het verschil in tijdzones. Veel mensen lezen pas ’s ochtends hun e-mail. Een spammer kan dus de mail versturen en zijn payload pas later (als het bericht reeds door het spamfilter is beoordeeld) actief maken. Zou u ’s nachts al op de link klikken, dan staat er iets heel anders achter. Of soms zelfs niets. Het is dus onmogelijk om te achterhalen wat de content achter een link is op het moment dat deze daadwerkelijk door de ontvanger wordt geopend.
‘U bent uitgeschreven!’
In heel veel e-mails staan links: Links om u uit te schrijven van een nieuwsbrief, om een email adres te registreren of een eenmalige download link naar een festival ticket. Als Onlinespamfilter geautomatiseerd op al deze links zou ‘klikken’, dan zou we u dus onbedoeld kunnen uitschrijven van een nieuwsbrief of een eenmalige ticket downloaden. Daar zit helemaal niemand op te wachten.
Onlinespamfilter beoordeelt e-mails op vele manieren
Dat zijn de belangrijkste redenen dat we niet op links ‘klikken’ in uw e-mails. Onlinespamfilter beoordeelt de mails op inhoud, kijkt naar de afzender, opbouw en heeft nog veel meer trucs om ervoor te zorgen dat spammail wordt tegen gehouden. Met de tsunami aan nieuwe mails van deze ‘wegwerp’ domeinen hebben we nog een aantal extra maatregelen ingevoerd, waaronder extra scherp naar dit soort domeinen wordt gekeken. Zo houden 99,99 procent van deze spam mails tegen.