Sık Sorulan Sorular
E-POSTA ALIM/GÖNDERİM KURALLARI VE UYGULANAN FİLTRELER
Genel Bilgi
Hacettepe Üniversitesi E-posta sistemi, bir taraftan kullanıcıları dışarıdan gelen virüs ve spam içerikli mesajlardan
mümkün olduğunca korumaya çalışırken, diğer yandan da bu korumanın mümkün olduğunca hızlı ve doğru olmasına gayret
etmektedir. Özellikle istenmeyen içerikli mesajlara karşı filtreleme yapmak son derece zor olmaktadır. Sistemlerimiz
etkin bir filtreleme yapabilmek için zaman zaman "false positive" adı verilen normal mesajların spam / virüs zannedilmesi
durumları ile de karşılaşabilmektedir. Bu nedenle, spam olduğundan şüphelenilen mesajlar silinmemekte ve konu satırının
başına "{Spam?}" ibaresi eklenerek kullanıcıya ulaştırılmaktadır. Bunun amacı, kullanıcının filtreleme yapmasını
kolaylaştırmaktır.
Sistemimiz birkaç aşamadan oluşan bir spam / virüs tarama sistemine sahiptir. İlk aşamada gelen mesajlar, mesajın
ve içerebileceği ek dosyaların kimi temel kurallara uygun olup olmadığı açısından kontrol edilir. Daha sonra mesaj ve eklentileri
günde 24 defa güncellenen bir virüs tarayıcı tarafından taranır. Virüssüz olduğu tespit edilen mesajlar birincil spam
testine tabi tutulur. Bu aşamada mesajın kaynak IP'si belirlenir ve gerçek zamanlı olarak dünyanın saygın bazı "Kara Liste
İsim Sunucuları"ndan sorgulaması yapılır. Bu sunucular, dünyada yayılan spam mesajların kaynak IP'lerini saklar ve dinamik
olarak güncellerler. Mesaj, kara listeye girmiş bir IP bloğundan geliyorsa bu kara liste sunucuları bunu tespit ederler. Mesaj,
bu kara liste sunucularından en az birine takılmışsa sistemimiz mesajı yine de sahibine iletir, ancak konu satırının başına
"{Spam?}" ibaresini ekler ve normal Inbox yerine "Junk E-Mail" adlı klasöre kopyalar. Son işlem, mesajın içerik açısından
spam'a benzeyip benzemediğinin testidir. Burada sunucuları çok yüklemeden bazı temel parmak izleri aranır. Mesaj spam olarak
kabul edilirse konusuna herhangi bir işaret eklenmez, ancak bu mesaj da kişinin "Junk E-Mail" klasörüne gönderilir.
Sistem, özellikle "kara liste sunucuları"nın bir IP yerine bir blok IP'yi kara listeye almalarından ötürü, çok nadir de olsa
spam olmayan mesajları da spam olarak işaretleyip Junk E-Mail klasörüne gönderebilmektedir. Bu, kişileri spam'dan mümkün
olduğunca koruyabilen bir sistemin doğal yan etkisidir. Bir virüs içerdiği kodun parmak izinden daha kolay tespit edilebilir,
ancak içerdiği konuya göre bilgisayarın bir mesajı spam olarak sınayabilmesi virüste olduğu kadar kolay değildir. Bu nedenle
özellikle postalarını POP3 protokolü ile Outlook vs. kullanarak kendi bilgisayarına alan kullanıcıların zaman zaman Web tabanlı
e-posta servislerimize bağlanıp Junk E-Mail kutularını kontrol etmesi, işe yaramayan postaları silmesi ve Çöp klasörünü
boşaltması gerekmektedir. Böylece kullanıcı, hem yanlışlıkla Junk klasörüne düşen mesajlarını görmüş olur, hem de kotasının
kolayca dolmasını engeller.
Aşağıda, üniversitemizin e-postalar üzerinde uyguladığı filtreleme kuralları ve bu kurallara takılan mesajlara nasıl davranıldığı
ile ilgili listeler verilmiştir.
E-Postalara Uygulanan Başlık Denetimleri
- E-Posta'yı gönderen SMTP sunucusu "giden.posta.hacettepe.edu.tr" değilse, gönderen adres "@hacettepe.edu.tr" formatında olamaz.
- Gelen e-postalara eklenmiş dosyaların isimleri virüs taşımaya müsait olan şu son eklerle bitemezler: .wmf, .ico, .ani, .cur, .hlp, .ceo, .cab, .reg, .chm, .cnf, .hta, .ins, .jse, .job,
.lnk, .ma[dfgmqrstvw], .pif, .scf, .sct, .shb, .shs, .vbe, .vbs, .wsc, .wsf, .wsh, .xnk, .cer, .its, .mau, .mda, .mdz, .prf,
.pst, .tmp, .vsmacros, .vss, .vst, .vsw, .ws, .com, .exe, .scr, .bat, .cmd, .cpl
- Gelen e-postalara eklenmiş dosyaların isimleri 150 karakterden daha uzun olamazlar.
- Gelen e-postalara eklenmiş dosyaların isimlerinde 10 ya da daha fazla ardışık boşluk karakteri bulunamaz.
- Gelen e-postalara eklenmiş dosyaların isimlerinin birden fazla farklı son eki bulunamaz (örn. dosya.txt.doc gibi). Ancak
aynı son ek kendini tekrar edebilir (örn. dosya.zip.zip gibi).
- Gelen e-postalara eklenmiş dosyalar çalıştırılabilir (executable), kendini açan (self extracting) ve windows registry dosyaları
olamazlar.
Yukarıdaki eklenti kurallarına uymayan e-postaların gönderenlerine bir uyarı mesajı gönderilerek mesajlarının red edildiği bildirilir.
Ancak mesaj, alıcıya eklentisinden arındırılmış olarak ve bu konuda bir uyarı eklenerek iletilir. İletinin konu satırının
başına da "{filename?}" ibaresi eklenir. Yukarıdaki ilk kurala uymayan e-postanın konu satırına "{Spam?}" ibaresi konulur ve
mesaj kişinin "Junk E-Mail" klasörüne yönlendirilir.
Bunun yanında html kodu ile zenginleştirilmiş e-postaların içine bazı zararlı kodların da yerleştirilmesi mümkündür. Sistemimiz
iframe, javascript vb. kodları mesaj içinden ayıklar ve mesaj konusunun başına "{Disarmed}" ibaresini yerleştirerek kullanıcıya
gönderir.
E-Postalara Uygulanan Virüs Taraması
E-Postalar ve eklentileri yukarıdaki kurallardan geçtikten sonra virüs taramasından geçirilirler. Şu anda kullanılmakta
olan virüs tarayıcı yazılımı "Clam AV"dir. Yazılımın virüs veritabanı her saat güncellenmektedir. Tarayıcı, Kasım 2006
itibarıyla 77000'in üzerinde virüs ve varyantını tanıyabilmektedir.
Eklenti olarak gelen dosyalar zip vb. şekillerde arşivlenmişse, virüs tarayıcı sistemimiz bunların da içini taramaktadır.
Şifrelenmiş zip gibi dosya eklentilerini tarayıcının açması mümkün olmadığından bu dosyaların geçmesine izin verilmemektedir.
Virüslü eklentisi olduğu tespit edilen e-posta, bu eklentisinden arındırılıp bir uyarı ile alıcısına iletilmektedir. Virüslü
dosya ise sistemimizde 1 hafta süre ile karantina deposunda tutulmaktadır. Virüslü dosyaları yollayanların adresleri genellikle
sahte olduğu tespitiyle sistemimiz ekstra trafik oluşturmamak için virüslü dosyanın göndericisine bir uyarı mesajı
göndermemektedir.
E-Postalara Uygulanan SPAM Taraması: Kara Listeler
Yukarıda anlatılan kara liste uygulamasında şu an için aşağıdaki DNSBL (Domain Name Service Black List)'ler arasından
seçilenler kullanılmaktadır:
ORDB-RBL, SBL+XBL, CBL, SPAMCOP, NJABL, UCEPROTECT-L2, SPAMHAUS, SORBS, DSBL, RSL, NOMOREFUNN
Seçilen buketler sistemin performans verilerine ve alınan yanlış alarm oranlarına göre zaman zaman değiştirilmektedir.
Yukarıdaki kara liste sunucularında gönderen IP'leri listelenmiş e-postalar spam olarak kabul edilmekte ve kişinin Junk E-Mail
klasörüne yönlendirilmektedirler.
E-Postalara Uygulanan SPAM Taraması: SpamAssassin
Son aşamada dünyaca ünlü spam tarama yazılımı olan SpamAssassin kullanılmaktadır. Sistem performansına göre zaman zaman
Bayesian değerlendirme açılıp kapatılabilmektedir. Yapı, mesajın içeriğinin tekrarına, mesajın dağıtılma sıklığına,
ne kadar çok alıcıya ulaştığına ve diğer kriterlere göre mesajı spam olarak değerlendirmeye karar vermektedir.
SpamAssassin'in spam olarak değerlendirdiği mesajlar doğrudan doğruya kişinin Junk E-Mail klasörüne yönlendirilmektedirler.
E-Postalara Uygulanmayan Taramalar
- Sistemimizde şu an için elle yerel olarak belirlenen herhangi bir "blacklisting" kuralı uygulamamaktadır.
- Gelen e-postalar'ın içeriğinde özel olarak belirlenen bir anahtar sözcük ya da söz dizimi araması yapılmamaktadır.
- Gelen e-postalarda yapılan SpamAssassin kontrolleri tekst tabanlıdır. Sistemde yoğun yük olması nedeniyle gelen
grafik içerikli eklentilerin üzerinde OCR vb. kontroller yapılamamaktadır.