Een spam-filter dat alleen het verkeerde tegenhield

De situatie

De spam-filter draaide standaard, met de standaard-instellingen, met een quarantaine die elke dag 80 mails opslokte. Niemand keek elke dag in die quarantaine. Tegelijk was de filter blijkbaar te soepel: dingen die overduidelijk phishing waren passeerden de eerste check.

Dit gebeurt bij meer kantoren dan je zou denken, meestal omdat de instellingen ooit door een leverancier "default" zijn gezet en daarna nooit meer aangeraakt.

Wat we deden

Twee dingen, in deze volgorde:

1. Inkomende-regels strenger gezet voor phishing-patronen die nu massaal doorkwamen (typische SPF/DKIM/DMARC-mismatches, look-alike domeinen, "factuur in bijlage" zonder voorgaande relatie). Per regel logging. 2. Quarantaine-rapport dagelijks gemaild naar één persoon met simpele "release of laten staan"-knoppen. Niet meer 80 mails te beoordelen, dankzij stap 1 ging dat naar 5-10 per dag.

Na twee weken evaluatie wat we hebben geblokkeerd dat we niet wilden, en de regels bijgesteld.

Wat het opleverde

Na een maand:

- Phishing-mails in de inbox: van ~3 per maand naar nul. - Echte mails in quarantaine: van ~10 per week naar 0-1 per week. - Tijd kwijt aan quarantaine-controle: van "niemand" naar 5 minuten per dag voor één persoon. - Eén factuur die op tijd betaald werd omdat 'ie niet meer wegviel.

Geen extra software gekocht.

Wat dit niet was

Geen tweede spam-filter erbovenop. Geen training voor de hele organisatie over phishing (komt later, op kalibratie van management). Wel: de bestaande tool gebruiken zoals 'ie bedoeld was.