Spam jak bumerang

Powódź niezamawianej reklamy dostarczanej do naszych skrzynek mailowych nasila się z miesiąca na miesiąc. Organizacje powołane do walki z najpoważniejszą obok wirusów plagą Internetu coraz gorzej dają sobie radę z działaniami spamerów. Niestety wszystkie prognozy wskazują na to, że pomimo niewątpliwego postępu w dziedzinie narzędzi antyspamowych, w przyszłości będzie już tylko gorzej.

Druga opcja jest zdecydowanie korzystniejsza przy dużych serwerach, przesyłających znaczne ilości maili i obsługujących wiele kont. W pewnych przypadkach, warto zablokować takie połączenia już na zaporze sieciowej, szczególnie w przypadku masowych nadawców ze stałych adresów IP.

Same adresy IP nadawców nie zapewnią skutecznego filtrowania, zatem dołączono drugą listę, na której znajdują się komputery, które mogą służyć za pośredników do wysyłania poczty bez weryfikacji nadawcy, tzw. (open proxy). Są nimi komputery zawierające oprogramowanie wingate lub inne podobne, jak również zawirusowane komputery z systemem Windows. Lista ta zawiera także dane z dwóch uznawanych za bardzo wiarygodne i wybitnie skutecznych list: CBL (Composite Block List) oraz NJABL Open Proxy ISP. Dla dużych serwerów przewidziano aktualizację lokalnej kopii listy.

Co ciekawe, domena tpnet.pl jest na dziesiątym miejscu na świecie pod względem wysyłanego spamu. Przyczyna jest dość prozaiczna - słaby poziom zabezpieczeń systemów Microsoftu zainstalowanych w domowych komputerach, rzadko, jeśli w ogóle, aktualizowanych, bo zwykle nielegalnych. Z takich właśnie komputerów korzystają gangi spamerskie.

Postawić tamę

Podłączenie serwerów do systemu antyspamowego jest proste - wystarczy ustawić funkcjonalność DNS RBL własnego serwera poczty na właściwy serwer SBL+XBL. Dla ułatwienia, Spamhaus przygotował kombinowaną listę zawierającą dane z obu powyższych - wszystkie testy dokonuje się za pomocą jednego odpytania.

Skuteczność obu list jest dość wysoka - odpytanie listy kombinowanej pozwala odsiać średnio ok. 63 procent wszystkich wiadomości. Błędne zaklasyfikowanie poprawnej wiadomości jako spam zdarza się bardzo rzadko. Ponieważ jednak same nagłówki wiadomości nie dają możliwości odfiltrowania wszystkich śmieci, należy posłużyć się filtrami treści, takimi jak SpamAssassin.

Każda opcja wykorzystywana przez spamerów (na przykład kodowanie tytułu maila czy fakt wysyłania w konkretnym formacie udającym wiadomości tworzone przez oprogramowanie Microsoftu) podlega ocenie punktowej. Im więcej punktów, tym większe prawdopodobieństwo, że dany mail jest spamem. Prawidłowo ustawione czarne listy poparte dobrze skonfigurowanym SpamAssassinem lub podobnymi filtrami sprawiają, że do skrzynek przenika poniżej jednego procenta wszystkich śmieci, które były do nich adresowane.

Niepewne 1:0

"Zniknięcie" domeny spamhaus.org spowodowane jej potencjalnym administracyjnym zamknięciem, miałoby bardzo poważne skutki. Po pierwsze, lista nie byłaby dystrybuowana w normalnym trybie, zatem przez pewien czas ochrona antyspamowa byłaby znacznie mniej skuteczna. Filtry działające na zasadzie odpytania DNS wykorzystują jedynie analizę nagłówków wiadomości i wymagają niewielkiej mocy obliczeniowej. Gdy ta część ochrony przestałaby działać, śmieci zasypałyby analizatory treści, co spowodowałoby poważny wzrost obciążenia bramek pocztowych.

Na razie amerykański sąd federalny wstępnie uznał, że nie jest sądem właściwym do rozpatrywania sprawy ze względu na lokalizację pozwanego, co jednak nie kończy sprawy. Obawiać należy się nie przegranej w tej konkretnej sprawie, lecz lawiny pozwów na bazie potencjalnego precedensu, jeśli nie w Stanach Zjednoczonych, to w Wielkiej Brytanii. Dopóki nie zostaną wprowadzone zasadnicze zmiany w infrastrukturze poczty elektronicznej, jak opisywane na naszych łamach standardy w dziedzinie protokołów uwierzytelniania, trudno mówić o jakimkolwiek postępie.