Защита от спама

    Рассылки  с модемных пулов

    Как только рассылки через открытые релеи перестали быть эффективными, спамеры стали применять рассылку с dialup-подключений, используя следующие возможности:

• как правило, почтовый сервер провайдера принимает  почту от своих клиентов и пересылает ее дальше;
• dialup-подключение получает динамический (меняющийся после каждого нового соединения) IP-адрес, таким образом, спамер может рассылать почту с множества IP-адресов.

     В качестве ответной меры провайдеры стали  вводить лимиты на число писем, посланных  от одного пользователя, появились  списки dialup-адресов и блокировка приема почты с «чужих» модемных пулов.

     Рассылки  с proxy-серверов

     В начале 2000-х годов одновременно с  распространением высокоскоростных подключений (ADSL, Cable) спамеры стали использовать уязвимости в клиентском оборудовании. Многие ADSL-модемы имели встроенный SOCKS-сервер или HTTP proxy (программное обеспечение, позволяющее осуществлять разделение интернет-канала между многими компьютерами), причем доступ к ним дозволялся со всего мира без паролей и контроля доступа (для упрощения настройки конечным пользователем). Таким образом, можно было произвести любое действие (в том числе и рассылку спама) с IP-адреса ADSL-пользователя. Так как таких пользователей по всему миру — миллионы, то проблема была частично решена только усилиями производителей оборудования — открытые всему миру «посредники» последние годы в состав оборудования не входят.

    Взлом пользовательских машин

    В настоящее время основная масса  рассылок производится с пользовательских компьютеров, на которые тем или  иным способом установлено «троянское» программное обеспечение, позволяющее спамерам (и прочим недобросовестным людям) осуществлять доступ к пользовательским машинам без ведома и контроля пользователя. Для взлома пользовательских машин используются следующие методы:

• троянские программы, распространяемые вместе с пиратским ПО по файлообменным сетям (Kazaa, eDonkey и пр.);
• использование уязвимостей в различных версиях Windows и широко распространенного ПО (в первую очередь MSIE и MS Outlook) для установки бэкдоров на пользовательских компьютерах;
• email-черви последних поколений, также используемые для установки бэкдоров.

     По  самым скромным оценкам троянские  программы установлены на нескольких миллионах машин по всему миру. На сегодняшний день эти программы  достаточно хитроумны — они могут обновлять свои версии, получать инструкции с заранее подготовленных сайтов или каналов IRC, рассылать спам, осуществлять DDoS-атаки и т. п.

     Эволюция  содержания писем

     Появление средств обнаружения спама, основанных на анализе содержания письма (контентный анализ), привело к эволюции содержания спамерских писем — их готовят таким образом, чтобы автоматический анализ был затруднен. Как и в случае изменения методов рассылки, спамеры вынуждены бороться с антиспам-средствами.

     Простые текстовые и HTML-письма

     Первые  спам-сообщения были одинаковыми  — всем получателям рассылался один и тот же текст. Такие сообщения  тривиально фильтруются (например, по частоте повторения одинаковых писем).

     Персонализированные сообщения

     Следующим шагом было добавление персонализации (например, «Hello, joe!» — в начале письма на адрес joe@user.com), что сделало  все сообщения разными. Теперь для  их фильтрации нужно было выискивать неизменяющуюся строчку и заносить ее в список правил фильтра. В качестве метода борьбы были предложены нечеткие сигнатуры — устойчивые к небольшим изменениям текста и статистические обучаемые методы фильтрации (Байесовская фильтрация и т. п.).

     Внесение  случайных текстов, «шума», невидимых  текстов

     В начало или конец письма спамер может поместить отрывок из классического текста или просто случайный набор слов. В HTML-сообщение можно внести «невидимый» текст (очень мелким шрифтом или цветом, совпадающим с цветом фона). Эти добавления затрудняют работу нечетких сигнатур и статистических методов. В качестве ответной меры появился поиск цитат, устойчивый к дополнениям текстов, детальный разбор HTML и другие методы углубленного анализа содержания письма. Во многих случаях можно определить сам факт использования «спамерского трюка» и отклассифицировать сообщение как спам, не анализируя его текст в деталях.

    Графические письма

    Рекламное сообщение можно прислать пользователю в виде графического файла — что  крайне затруднит автоматический анализ. В качестве ответной меры появляются способы анализа изображений, выделяющие из них текст.

    Перефразировка  текстов

    Одно  и то же рекламное сообщение составляется во множестве вариантов одного и  того же текста. Каждое отдельное письмо выглядит как обычный связный  текст, и только имея много копий сообщения, можно установить факт перефразировки. Таким образом, эффективно настроить фильтры можно только после получения существенной части рассылки.

    На  сегодняшний день широко используются три последних метода — далеко не все антиспам-средства могут с ними нормально бороться, что дает возможность доставлять спам тем пользователям, которые используют недостаточно продвинутые средства фильтрации.

Как уменьшить поток  спама?

    Проблемы  с рекламными рассылками (спамом) у  частного пользователя начинаются в  тот момент, когда его email-адрес попадает в базу данных к спамерам. Выполнение приводимых ниже рекомендаций специалистов помогут максимально отдалить этот момент.

    Откуда  спамеры узнают Ваш адрес

    Спамеры находят email-адреса своих жертв различными способами:

• сканируя  веб-сайты;
• сканируя доски объявлений, форумы, чаты, Usenet News и так далее;
• подбирая «легкие» адреса (jonh@, mary@, alex@, info@, sales@, support@) по словарю имен и частых слов;
• подбирая «короткие» адреса (aa@, an@, bb@, abc@) простым перебором.

    Исходя  из этого, частному пользователю можно  порекомендовать следующие меры:

• Заведите себе два адреса — частный, для переписки (приватный и малоизвестный, который вы никогда не публикуете в общедоступных источниках), и публичный — для публичной деятельности (форумов, чатов и так далее).
• Адрес для переписки никогда не должен публиковаться в открытом доступе.
• Адрес для переписки не должен быть легким в запоминании или «красивым». Ваше имя или красивое слово — не подходят. Vasily.M.Pupkin-IV — подходит вполне. Чем длиннее адрес и чем менее он удобочитаем — тем лучше.
• Если нужно сообщить свой приватный адрес (в конференции, на сайте) — делайте это способом, непригодным для автоматического прочтения сборщиком адресов. «Ivan-точка-Susanin-собака-mail-точка-ру» — хороший способ. «Ivan.Susanin at mail.ru» — гораздо хуже, Ivan.Susanin@mail.ru — никуда не годится. Если речь идет о публикации на сайте, можно опубликовать адрес в виде картинки.
• Адрес для публикации нужно заранее считать временным. Не стоит его жалеть — вы всегда можете завести новый. Как правило, спам начинает приходить на него через несколько дней после публикации. Поскольку этот адрес могут использовать не только спамеры (туда будет приходить и нормальная почта), стоит его периодически просматривать. Вы можете читать почту, приходящую на него, раз в неделю или раз в месяц.

  Регистрации на сайтах

    Некоторые интернет-магазины, конференции, форумы и т. п. требуют регистрации с указанием работающей электронной почты. Иногда переданные таким образом адреса попадают к спамерам. Далеко не всегда это злой умысел, но пользователям от этого не легче. Поэтому при регистрациях всегда указывайте публичный адрес. Он все равно может считаться потерянным. Можно на каждую регистрацию заводить новый адрес на бесплатных почтах — тогда вы будете знать, кто из магазинов и форумов «продал» ваш адрес спамерам.

    Спам  все равно приходит. Что делать?

    Если  спама приходит немного и с  ним еще можно мириться, то следует  придерживаться простых правил:

• Никогда не отвечайте спамеру. Возможно, ничего плохого не произойдет. Но может случиться и так, что ваш ответ прочитает «робот» и пометит ваш адрес как «живой» — в результате спама будет приходить еще больше.
• Не пытайтесь воспользоваться ссылкой «отписаться», если вы не уверены, что она сработает. Возможно, вас действительно отпишет данный конкретный рассыльщик. Но при этом ваш адрес могут пометить как действующий... и спама станет больше. Узнать, что случится, можно, только попробовав. Но хотите ли вы этого?

    Если  мириться со спамом уже никак нельзя:

    Смените свой «частный» адрес. На некоторое  время это поможет.

    Я никому не давал адрес, кроме самых близких  знакомых, но на него приходит спам

    К сожалению, ваш адрес мог быть украден из адресной книги вашего знакомого почтовым вирусом (который  рассылается по адресной книге). Какого-либо разумного способа уберечься от этого не существует — даже если у всех знакомых есть антивирусная программа, у нее должны быть обновленные базы данных и т. д.

    Мне нужен адрес, куда всякий желающий мог  бы написать!

    Если  вы хотите все-таки иметь общеизвестный  и общедоступный адрес, приготовьтесь  получать туда сотни спам-сообщений  в сутки. Если не повезет — то тысячи в сутки. Если от такого адреса вы не хотите отказываться, то остается последний совет: используйте антиспам-фильтр — или на сервере, выбрав провайдера с услугой фильтрации спама, или у себя на компьютере, выбрав средство, подходящее для вашего почтового клиента. Современные фильтры обладают достаточно высоким качеством (процент фильтруемого спама у хороших и хорошо настроенных фильтров достигает 95-99%), и их использование резко снизит остроту проблемы.

Что такое Fortinet

    Сравнительно  недавно появилась новая технология защиты информационной безопасности, в том числе и защиты от спама, так называемая Fortinet. Компания Fortinet предлагает потребителям поистине выдающееся изделие. Во-первых, это миниатюрное устройство (по размерам оно не больше домашнего маршрутизатора). Такая компактность достигается в первую очередь благодаря тому, что, в отличие от конкурирующих продуктов, модель выполняет свои функции с помощью специализированных ИС, а не жестких дисков. Во-вторых, FortiGate 60 дешевле многих подобных устройств.

    Настройка как устройства в целом, так и  почти всех его компонентов довольно проста, но конфигурирование средств фильтрации спама FortiMail может отнять у Вас довольно много времени. Кроме того, изделие не отличается гибкостью, свойственной его конкурентам; в первую очередь имеется в виду отсутствие карантина для присоединяемых и других файлов.

    Специалисты Fortinet отказались от анализа формата  и других характеристик входящей и исходящей почты, который позволил бы идентифицировать контент как  спам. Вместо этого в модели FortiGate реализовано несколько механизмов ручной фильтрации, в том числе блокировка контента и «черный» список.

    С помощью инструмента блокировки контента администраторы могут вручную  создавать фильтры по ключевым словам, например, по словам Viagra или mortgage (ипотека). Эти слова активизируют фильтры, и соответствующие сообщения электронной почты помечаются идентификаторами в строке «Тема». Можно использовать также список блокируемых источников. Заголовки сообщений электронной почты сопоставляются с заранее заданными строками, и на основании данных об отправителе или домене выявляется спам. К сожалению, настройка этих средств довольно трудоемка, да и по эффективности борьбы со многими типами существующего сегодня спама эти методы намного уступают другим подходам.

    Не  остаются в стороне и отечественные  интернет-компании. Rambler совсем недавно  объявил о своем решении подавать в суд на самых злостных спамеров, а также продвигать на законодательном  уровне законы по борьбе со спамом. На самой популярной бесплатной почтовой службе Mail.ru уже месяц как в тестовом режиме работает система интеллектуальных антиспамовых фильтров, разработанных "Лабораторией Касперского". Компания Ашманов и Партнеры создали замечательный бесплатный сервис  www.spamtest.ru.