|
|
 |
Безопасность: Спам и борьба с ним
Что такое "спам"?
SPAM, иначе UCE (Unsolicited Commercial E-mail) - это почта, которую
пользователь не хотел получать, но все же получил. Обычно
это письма, содержащие рекламные предложения, рекламу сайтов
и т.п. Почему это плохо? Потому, что послать письмо
на миллион адресов для отправителя не стоит ничего (практически),
оплату производят получатели письма, провайдеры и другие организации.
В случае рассылки рекламы стандартной почтой, рекламодатель оплачивает
все расходы по отправлению и доставке корреспонденции,
за исключением, пожалуй, только расходов, которые несем мы все по
вытаскиванию этой рекламы из наших почтовых ящиков и отправлению в мусорное
ведро. В случае с рассылкой рекламы в Internet все расходы по
отправке, передаче и доставке отплачивает кто угодно, но только
не отправитель. Вы платите деньги за время соединения, мы платим
деньги за трафик, переданный в нашу сеть. И если не бороться со
спамом, то скоро мы будем проводить целые дни, разгребая наши почтовые ящики и
пытаясь найти свою почту среди кучи писем с предложением купить
что-то чрезвычайно необходимое в Америке, с предложением отправить
куда-то 5 долларов, чтобы заработать 100000
и т.д.
Откуда спаммеры узнают Ваш адрес
Существует много вариантов попадания Вашего адреса в руки спаммеров.
Например, можно сделать специальную программу, которая будет собирать список
адресов всех людей, кто пишет в телеконференции. Или делается
web-сервер, на котором устраивается какой-нибудь конкурс. Для
участия в нем Вы должны оставить свой e-mail адрес для связи. И
много разных других способов.
После этого собирается список адресов и
продается фирмам, которые занимаются массовой коммерческой рассылкой по
Internet. Нередко можно встретить объявления в Internet о продаже базы с
1 000 000 e-mail адресов.
Администраторы сетей, входящих в Internet, давно стремятся к тому, чтобы
минимизировать затраты, вызываемые спамом. Методы, применяемые ими, различны.
Рассмотрим эти методы.
Взаимодействие с администраторами других сетей
В заголовке любого электронного письма есть строки, показывающие, через какие
почтовые серверы прошло письмо, прежде чем оно попало в почтовый ящик
получателя. Спаммеры часто подделывают эту техническую информацию, однако,
как минимум, выяснить, откуда письмо пришло на сервер получателя,
возможно, т.к. почтовый сервер получателя письма фиксирует
IP-адрес, с которого производилась отправка
почты.
Глобальным распределением адресного пространства занимаются три
организации — ARIN (обе Америки
и Южная Африка), APNIC (Азиатско-Тихоокеанский регион) и RIPE (Европа и окружающие регионы). В
каждой из этих организаций есть whois-серверы, которые
по указанному IP-адресу могут показать владельца блока
IP-адресов. Как правило, владельцы — это организации,
у которых есть контактные лица по различным вопросам.
Выяснив
по IP-адресу адреса e-mail контактных лиц, можно
написать жалобу на спам из данной сети.
Блокировка приема почты
Если же контактные лица сети не вступают в переписку, или
их почтовые ящики недоступны, а спам из их сети продолжает идти,
применяется блокирование приема почты из данной сети. Как правило, мера
эта вынужденная, и применяется только, когда вариантов воздействия
больше нет.
Еще блокирование приема почты с конкретных
IP-адресов применяется для так называемых "open relay".
Open relay — это почтовый сервер, который принимает почту
от кого угодно и передает ее кому угодно. Такой сервер может быть
легко использован для DOS-атаки.
Фильтрация писем по содержанию
Здесь широкое поле для деятельности администраторов. Сразу поясним, что речь
не идет о перлюстрации почты. Фильтрация производится автоматически, без
участия человека. Администратор всего лишь настраивает систему
фильтров.
Иногда программное обеспечение, используемое спаммерами, выдает в
начале SMTP-сессии строку типа HELO localhost.
Согласно стандарту RFC-2821 в строке
HELO должно содержаться полное доменное имя сервера. Это первый признак
для фильтрации письма.
Следующей строкой в SMTP-сессии идет
MAIL FROM: address@domain.tld. В этом случае домен
domain.tld должен существовать и у него должен быть сервер, готовый принять
почту на пользователей, имеющих адрес в этом домене.
Дальше
посылается текст письма. Здесь тоже производятся проверки. Некоторые почтовые
программы опознаются по строке X-Mailer. Например, Advanced Mail
Sender пишет X-Mailer: Advanced Mass Sender, и по
этой строке можно отфильтровать спам, рассылаемый с помощью этой
программы.
Использование "черных списков"
Черные списки спаммеров используются достаточно широко. Российские
антиспамеры пришли к выводу, что оптимальной для использования является модель
распределенного черного списка. Distributed Realtime Blocking List (DRBL) применяется многими провайдерами.
Гибкость системы обеспечивается желанием администраторов сетей обмениваться
информацией о спаммерских сетях.
Использование ресурсов сети
Обмен информацией о спаммерских ресурсах проводится во многих
местах Сети: в группе новостей news.admin.net-abuse.email (NANAE),
на сайтах relays.osirusoft.com,
spews.org. Среди российских ресурсов стоит
выделить сайт antispam.ru, и список
рассылки http://www.ofisp.org/antispam.html.
Выводы
К сожалению, весь процесс противодействия спаммерам основывается
на субъективном мнении администратора сети, принимающего решение о
блокировке. Ведь в результате блокирования может не дойти
до получателя нужная корреспонденция. Поэтому мы стараемся дать
пользователю возможность решить, хочет ли он блокировать спам. У наших
пользователей есть достаточно широкие возможности блокировать незатребованную
почту путем настройки персональных фильтров
Communigate Pro.
Инструменты конечного пользователя
Один из инструментов, помогающим бороться со спамом конечным
пользователям, является SpamCop. Работа
с ним выглядит так. Пользователь регистрируется, и получает
определенный адрес e-mail, на который нужно пересылать в исходном виде
спам, который приходит этому пользователю. Обратите внимание! Пересылать
нужно именно исходный текст письма, со всеми вложениями (в TheBat! исходный
текст доступен при помощи клавиши F9). Через некоторое время (обычно —
до 10 минут) пользователю приходит письмо от SpamCop,
предлагающая переход по ссылке. Пользователь открывает по ссылке страницу, на
которой SpamCop анализирует все письмо, находит подделанные заголовки,
сопоставляет IP-адресам серверов e-mail адреса
контактных лиц, и в итоге предлагает отправить различным администраторам
(например, администратору сети, откуда пришло письмо, администратору домена,
который использовался для e-mail адреса отправителя
и т.п.) отчет с просьбой принять меры к спаммерам и
подробными данными о спам-рассылке. Пользователь одним нажатием кнопки
в браузере отправляет столько отчетов, сколько нужно для решения проблемы.
Служба Abuse в East Telecom
Если пользователь не может сам разобраться в пришедшем спаме, он может
написать письмо в abuse-службу по адресу abuse@east.ru. Специалисты East Telecom
постараются помочь ему.
Пожалуйста, заметьте: вышеприведенный абзац относится только
к клиентам East Telecom! Не нужно писать нам, если спам не исходил из нашей
сети или не пришел в нашу сеть. Мы не сможем Вам помочь.
sergey miassoedov,
sergey@office.east.ru
|
