Честный спам

Все знают, что в последнее время Интернетом стало пользоваться, с одной стороны, значительно проще и удобнее — появилось множество самых разных сервисов, интерфейсы сайтов становятся удобнее и умнее, соединения с Сетью — быстрее и надежнее, а с другой — намного опаснее и сложнее — количество всевозможных червей, троянов, сканеров и спама переваливает за все мыслимые пределы. Например, анализ логов на сервере listsoft.ru показал, что при отключенной защите за сутки ко мне в ящик сваливалось бы около тысячи разных червей, примерно столько же писем от спамеров и всего 150-200 «нормальных» писем, включая рассылки.

В наше время значительную часть спама составляют сообщения о недоставке якобы отправленных вами сообщений Что характерно, в дополнение ко всему этому добру пришло бы еще и более тысячи сообщений об обнаруженных в моих письмах вирусах и о не доставленных моих сообщениях. Думаю, излишне упоминать, что ни вирусов, ни сообщений незнакомым людям я не посылаю... Что же происходит?

 

 

А все просто. Как известно, протокол SMTP, использующийся для передачи электронной почты, является весьма незащищенным и позволяет любому пользователю указать любой обратный адрес — хоть Билла Гейтса, хоть Васи Пупкина. А машина-получатель, если вдруг обнаружит какую-то ошибку в письме, честно сообщит тому, кого она считает отправителем о произошедшей ошибке. И будет несчастный Билл уведомлен о том, что его письмо не было доставлено Васе Пупкину по такой-то и такой-то причине.

Уведомления о перехваченных в дороге вирусах, как правило, попадают совсем не к тем людям, кто эти вирусы рассылает! Удивительно то, что люди, хорошо знающие об этой проблеме, никак на нее не реагируют. Если почитать описания различных червей, то антивирусные компании честно пишут, что, мол, этот вредный нехороший вирус читает адресную книгу зараженной машины и подделывает обратные адреса. И эти же самые антивирусные компании выпускают продукты, которые, получив зараженное письмо, отправляют сообщение о перехваченном вирусе не только администратору машины-получателя, но и отправителю! Который, как они сами признают, является ни о чем не подозревающим и не сделавшим никому ничего плохого человеком.

Администраторы почтовых систем должны настраивать свои системы в соответствии с требованиями времени Хотя, если быть более честным, то виноваты в подобном поведении почтовых систем не столько производители антивирусов, сколько администраторы почтовых серверов — ведь именно они настраивают систему! Но они почему-то продолжают использовать настройки прошлого века — тогда спам и черви еще встречались сравнительно редко, и уведомление отправителя об ошибке в адресе или заражении его машины было хорошим тоном...

Проверка писем при приеме может значительно облегчить жизнь В наше время значительно правильнее будет несколько изменить поведение своей почтовой системы. Самый простой выход — это при получении вируса просто убивать такое письмо, ничего никому не говоря или, возможно, сообщая администратору системы-получателя. При большом желании можно и само письмо сохранить «для последующего изучения». Еще лучше — проверять имя найденного вируса, и если оно содержит слово «worm», то письмо убивать втихую, а вот если это «обычный вирус», то сообщить отправителю и администратору. Также можно еще на стадии приемки письма проверять наличие аттачментов с расширениями vbs, pif, bat, com и подобными и отказываться от получения подобного письма с кодом 5x и внятным пояснением, что подобные аттачменты не пропускаются.

Не надо забывать, что черви рассылают себя самостоятельно, и один заразившийся компьютер в корпоративной сети может скомпрометировать всю сеть Кроме того, очень полезно будет включить антивирусную проверку исходящих писем от «своих» пользователей (которая на многих серверах по умолчанию отключена) — это поможет предупредить их, если они каким-то образом умудрятся заразить свой компьютер и сами станут разносчиками заразы...

Стоит также настроить поведение своей системы при обнаружении спама (о том, что желательно установить какую-нибудь антиспамную программу, думаю, можно не говорить). Сложность заключается в том, что обнаружение спама — процесс вероятностный, и большинство антиспамных программ могут только с большей или меньшей уверенностью классифицировать письмо как спам — именно поэтому администраторы часто не рискуют автоматически удалять спам — ведь исключить ошибочное срабатывание фильтра нельзя, а за не доставленное сообщение пользователь может сильно обидеться...

Пусть пользователи сами решают, насколько сильно им мешает спам Но кто же мешает реализовать схему профилей, которые пользователь сможет выбирать? Скажем, наиболее безопасный профиль будет добавлять к заголовкам и теме сообщения пометки, что письмо оценено как спам — это позволит пользователю легко отфильтровать такие письма и просмотреть их в свободное время. Более агрессивный фильтр будет удалять письма с высокой вероятностью спама (например, больше 10 баллов по классификации SpamAssassin'а) и помечать остальные. Следующий по агрессивности профиль снизит планку удаления до 7 или даже стандартных 5 баллов... А уж если агрессивные профили начнут вести списки отвергнутых писем и раз в сутки присылать пользователю дайджест убитых сообщений с указанием отправителя и темы письма, то все проблемы вообще отпадут: если вдруг какое-то нужное письмо будет ошибочно убито фильтром, то пользователь сможет связаться с отправителем и попросить его переслать письмо еще раз, возможно, несколько изменив текст, чтобы письмо не было удалено снова.

Использование «серых списков» позволяет очень заметно (на 50 и более процентов!) уменьшить количество спама! А для того чтобы еще лучше почистить ящики, очень полезно задействовать технологию «серых списков» — greylisting. Суть ее в том, что для каждого письма проверяется триплет "тема письма — IP отправителя — адрес получателя", и если он уникален (раньше такие письма не приходили), то система передает код ошибки 4х (временная ошибка) и прерывает соединение. Любой «честный» почтовый агент распознает подобные ошибки и через несколько минут (как правило 5 или 10) повторяет попытку отправления письма, а вот большинство спаммерских программ — нет. Таким образом, «честное» письмо будет получено после повторной отправки (то есть со сравнительно небольшой задержкой), а вот спамеры, возможно, исключат ваш адрес из своих списков, как ошибочный (должны же они иногда чистить свои базы).

Не создавайте лишний спам! Причем greylisting стоит использовать в качестве одной из первых проверок, то есть таким образом, чтобы он срабатывал даже в том случае, когда пользователь, для которого письмо предназначено, отсутствует. Дело в том, что стандартное поведение системы, если пользователь не найден — уведомление об этом. А спамеры, использующие подбор адресов, как правило, и обратный адрес подделывают. И ваша система начнет рассылать невинным Пупкиным письма о том, что отправленное ими письмо не нашло своего адресата... Если же письмо сначала попадет в «серый список», и только потом (при повторной попытке передачи) система сообщит, что пользователь не найден, то вероятность замусоривания Сети значительно снизится, а честные пользователи, опечатавшиеся в адресе, по-прежнему получат сообщение о допущенной ошибке.

Читайте доки — они рулез! Реализуются все вышеописанные методы достаточно легко, и при желании вы сможете найти множество примеров настроек для практически любой почтовой системы. В частности, очень неплохо себя зарекомендовала связка Exim (c подключенным exiscan), SpamAssassin и «Антивирус Касперского» (при желании можно использовать и какой-то из бесплатных антивирусов).

Возвращаясь к началу этой заметки, можно увидеть, что примерно треть спама — это как раз всевозможные сообщения об ошибках, которые не имеют никакого отношения к тому, кому они приходят. Так, может быть, стоит потратить пару часов на настройку своей системы для того, чтобы облегчить жизнь окружающим (да и себе заодно)?

Ссылки по теме

• SpamAssassin
• «Антивирус Касперского»
• Exim

Статья получена: hostinfo.ru

загрузка...