Spam - praxe a obrana

Máme zde nový týden a to je ideální čas pro dokončení našeho povídání o spamu, které jsme minule začali. Hurá na to!

Spam v praxi a obrana

Vaše emailové adresy se do spárů spammerů dostávají pomocí tzv. robotů, kteří se umisťují na webové stránky a sbírají bez vašeho vědomí vámi zadávané emailové adresy. Roboti neřeší typ a tvar zdrojového kódu a tak sbírají vše co vypadá jako emailová adresa (vše co obsahuje písmena, číslice a hlavně zavináč – @). Proto pokud je to možné, tak se doporučuje nahradit typický tvar emailu tímto tvarem : jméno (zavináč) doména.cz.

Další způsob jak je možné zabránit spamu v našich schránkách je zvážení zda je opravdu nutné svěřovat emailovou adresu všem subjektům… Nikdy si nemůžeme být jistí, že právě náš email nebude zneužit třetí stranou. Pro registrace na e-shopy, diskuzní fóra, chaty, atd je lepší mít zřízený speciální email jen pro tyto účely.

V posledních letech narůstá počet odcizených emailových adres pomocí virových nákaz. Proti této formě odcizení je potřeba znát základy bezpečnosti (vybavit PC antivirem, firewallem, mít záplatovaný operační systém a hlavně se chovat ostražitě). Více o virech na www.viry.cz.

Pokud už vám přesto nějaká nevyžádaná pošta přijde, rozhodně se nedoporučuje klikat na jakýkoliv odkaz uvedený ve spamu, neboť tím jen potvrdíte spammerovi to, že váš email je funkční a vyplatí se posílat vám další a další spam.

Další možností je sledování odpovědí vzdálených SMTP (Simple Mail Transfer Protocol) serverů. Tato metoda je prováděna útokem na SMTP servery prostřednictvím tvz. Slovníkových útoků (textový soubor se seznamem slov, které se tvoří složením z obvyklých jmen a příjmení, oblíbených názvů a přezdívek). Jako účinné opatření proti této formě je dobré doplnit například adresu jirinovak@tojemujmail.cz na tvar xjirinovak@tojemujmail.cz.

Poslední dobou jsou hodně populární tzv. Hoaxy (poplašné a řetězové emaily a zprávy). Pokud dostanete do své schránky hoax, upozorněte odesílatele, že se jedná o „pitomost“ a rozhodně nešiřte zprávu dál. Více o hoaxech naleznete na webu www.hoax.cz.

Omezení rozesílání spamu

Naprostá většina spamu je rozesílána z počítačů napadených viry a červy (souhrnně mallware). Tyto nákazy otevírají v PC zadní vrátka (backdoor) a stávají se tzv. zombie ⇒ počítač je pod vlivem škodlivého kódu (potažmo spammera) a je připraveno na rozesílání spamu. Ochranou proti napadení je aktualizovaný antivirový program.

Další možnost jak ztížit rozesílání spamu je neprovozovat SMTP server jako tzv. open relay. SMTP server, který funguje jako open relay, převezme k dopravě jakýkoli dopis bez ohledu na odesílatele i adresáta. Open relay usnadňuje rozesílání spamu tím, že umožňuje přijmout dopis (spam) odkudkoli a dopravit jej kamkoli, často je jeden dopis adresován na stovky cílových adres. Tím jednak snižuje zátěž na straně spammerova rozesílacího robota, jednak se průchodem přes open relay zamaskuje IP adresa, odkud dopis přišel, což silně ztěžuje filtraci spamu na straně cílového SMTP serveru.

SMTP server by měl být konfigurován tak, aby nepřebíral k doručení emaily, které přicházejí z vnějšku domény (domén) a nemají adresáta uvnitř domény, kterou server pokládá za „vlastní“. Příklad: SMTP server pro doménu firma.cz propustí pouze emaily, které v doméně firma.cz začínají nebo končí.

Konkrétní metody boje

Filtrování při „dopravě“ e-mailu

Blacklisting

Blacklisting (černé listiny) je forma, která rozhoduje zda doručený email je spam nebo ne podle adresy odesílatele (zde ale pozor na možné zfalšování adresy), IP adresy ze které email došel na SMTP server. Blacklisty jež obsahují seznam IP adres, které jsou odesílateli spamu se zjišťují nejčastěji podle systému DNS (Domain Name System). Pokud blacklist nalezne podle pravidel email, který je spamem, následuje buď odmítnutí doručení nebo je email stáhnut, ale označen jako spam.

Graylisting

Greylisting (šedé listiny) funguje na stejném principu jako blacklisting, ale s tím rozdílem, že greylisting pracuje dynamicky. SMTP server, který provozuje greylisting, udržuje databázi, kde pro trojici (IP adresa, odesílatel, příjemce) je uvedeno, zda dopis s těmito atributy má být převzat k dopravě, nebo zda jeho převzetí má být dočasně odmítnuto. První dopis je odmítnut a je zaznamenán čas, kdy k tomu došlo. Po určitou dobu (typicky několik desítek minut) pak jsou dopisy s týmiž atributy odmítány. Po uplynutí této doby, pokud se původní SMTP server stále pokouší o odeslání dopisu, je záznam v databázi potvrzen a dopisy jsou naopak přijímány a dopravovány bez zdržení. Po další době (typicky několik málo týdnů) je záznam z databáze odstraněn, takže příští dopis bude opět pozdržen. K odstranění záznamu z databáze dojde také v případě, že v příslušném intervalu, kdy byly dopisy odmítány, se nepokusí původní SMTP server o znovudoručení.

Tato metoda využívá faktu, že protokol SMTP rozlišuje chyby trvalé, jejichž číselný kód začíná číslicí 5, a chyby dočasné s kódem začínajícím číslicí 4. V případě dočasné chyby má odesílající SMTP server dopis uložit do fronty a pokusy o odeslání opakovat (typicky po několika málo desítkách minut). Robot rozesílající spam však často chyby neošetřuje a snaží se všechny dopisy rozeslat co nejrychleji, neboť je možné, že před případným dalším (nebo novým) pokusem o rozeslání, již bude spammerova IP adresa zveřejněna v některém blacklistu. Proto k druhému pokusu již nedojde.

Greylisting se zpravidla používá jako předstupeň před filtrováním podle obsahu a výrazně zvyšuje jeho účinnost. Nevýhodou greylistingu je občasné zdržení dopisu a možnost, že dopisy mohou dojít v jiném pořadí než byly odeslány. Další nevýhodou je, že některé odesílající SMTP servery jsou chybné a neimplementují frontu dopisů k odeslání.

Filtrování podle obsahu emailu

Výše zmíněné metody bohužel nedosahují potřebné účinnosti a tak je třeba kombinovat metody. Je to z toho důvodu, že každý uživatel považuje za spam něco jiného a tak musí být i konečná filtrace značně individuální a předešlé metody se hodí hlavně pro odstranění těch nejznámějších a nejagresivnějších metod spamingu.

Filtry založené na pravidlech

Tyto filtry vyhledávají v emailech slovní spojení nebo samotná slova, která jsou pro spam typická (např. Viagra, winner, atd.), také se vyhledávají chyby, které mají některé spamy. Tím je například odeslání emailu v budoucnosti, nepovolené znaky v hlavičce zprávy, špatně označený MIME-typ zprávy a jiné. Pokud filtr rozpozná spam, udělí mu bodové hodnocení. Tato hodnocení se sčítají a pokud dosáhne určitého počtu bodů, email je považován za spam a nakládá se s ním podle nadefinovaných pravidel. Nicméně je potřeba pravidla aktualizovat a přizpůsobovat praktikám spammerů.

Filtry založené na schopnosti učení se (bayesovské filtry)

Bayesovské filtry využívají prvky z A.I. (umělá inteligence). Tyto filtry mají „učící režim“ ve kterém jsou filtru předkládány emaily označené jako spam (nežádoucí) a ham (povolené). Filtr si z předložených emailů vyextrahuje text a strukturu zpráv a ukládá si je do databáze. Filtr pak podle vytvořené databáze kontroluje každý nový příchozí email a podle statistických údajů v databázi rozhodne, zda zpráva je spam či nikoliv. Nejčastěji se pro výpočet pravděpodobnosti používá vzorec, který navrhl matematik Bayes. Výhodou těchto filtrů je, že je může „učit“ i počítačový laik a každý uživatel si může nadefinovat co je spam a co už ne. Proto jsou také tyto filtry nejúčinnější. Přesto se bayesovské filtry používají i na serverech, kde učení probíhá pro všechny uživatele serveru společně.

Tímto tedy alespoň prozatím ukončuji pojednání o spamu a jeho problematice a někdy v budoucnu se rozhodně můžete těšit i na jednotlivé programy pro boj proti otravné nevyžádané poště. Zůstaňte s námi.

Děkuji webu www.spammer.cz a Igoru Hákovi, že svolil mé texty publikovat i zde.