Powódź spamu przybiera na sile. Dlatego coraz więcej firm i instytucji angażuje się w badania tego zjawiska i opracowanie technologii pozwalających na ukrócenie tej plagi. Niektóre niestandardowe pomysły mogą być interesujące i użyteczne.

Obecnie źródłem spamu są prawie wyłącznie przejęte komputery domowe lub firmowe, na których włamywacze zainstalowali odpowiednie oprogramowanie, które umożliwia wysyłanie olbrzymich ilości wiadomości e-mail. Komputery te mają jedną wspólną cechę - są podłączone do Internetu przez różnych dostawców, z których wielu korzysta z dynamicznych adresów IP, a do wysyłania wiadomości oprogramowanie spamerskie wykorzystuje własny motor SMTP.

Podstawowa technika spamerów

Standardowy proces wysyłania wiadomości za pomocą klienta pocztowego wygląda następująco. W narzędziach edycji programu pocztowego (np. Outlook lub Mozilla Thunderbird) użytkownik pisze wiadomość, a następnie wydaje polecenie wysłania jej do adresata. Program pocztowy łączy się z serwerem i przekazuje mu wiadomość. Obecnie serwery nie pozwalają już na przekazywanie komukolwiek wiadomości e-mail bez autoryzacji, zatem przy połączeniu należy podać login i hasło. Połączenie odbywa się na porcie 25 albo 465 jeśli stosuje się szyfrowanie połączenia za pomocą SSL i jest kierowane do serwera poczty obsługującego daną domenę lub grupę kont.

Następnie serwer poczty elektronicznej odbiera wiadomość od nadawcy i analizuje adres. Jeśli znajduje się on poza domeną obsługiwaną przez dany serwer, to dokonuje przekazania wiadomości. Odbywa się to na standardowym porcie usługi SMTP (port 25). Warto zauważyć, że adres IP serwera nadającego wiadomość do odbiorcy jest adresem statycznym posiadającym odpowiednie wpisy w usłudze DNS. W końcu serwer odbierający wiadomość przyjmuje ją i przekazuje do skrzynki dla odbiorcy.

Spamerzy korzystają obecnie z własnego motoru SMTP, który modyfikuje standardowy proces i generacja poczty ze spamem odbywa się inaczej:

1. Oprogramowanie zainstalowane na przejętym komputerze łączy się na porcie 25 z serwerem poczty elektronicznej obsługującym daną domenę.
2. Wiadomość zostaje przekazana bezpośrednio serwerowi obsługującemu domenę odbiorcy. Adres IP nadawcy wcale nie musi być statyczny, może być zmienny, tak jak w usłudze Neostrada i nie posiada odpowiednich wpisów w usłudze DNS.

Kluczowymi elementami utrudniającymi filtrowanie spamu wysyłanego przy wykorzystaniu takiej techniki jest dynamiczny adres IP nadawcy i braku wpisu DNS w domenie obsługującej nadawcę.

Dobre zalecenia

Organizacja Messaging Anti-Abuse Working Grouphttp://www.maawg.org przygotowała zestaw zaleceń dotyczących eliminacji spamu wysyłanego przez botnety. Opublikowała ona dwa dokumenty dotyczące wzajemnego informowania o przestrzeniach adresowych danego operatora wykorzystywanych jako dynamiczne adresy klientów (MAAWG Methods for Sharing Dynamic IP Address Space Information with Others) oraz prezentujący zasady konstrukcji przekazywania poczty w taki sposób, aby można było odróżnić ruch generowany przez spamerów. Warto zauważyć, że administratorzy niektórych serwerów wypracowali własne reguły blokowania wiadomości e-mail przychodzących z dynamicznych adresów, ale dotychczas nie było wspólnych uzgodnionych reguł, które mogłyby pomóc operatorom.

Zasady dotyczące konfiguracji serwerów i przekazywania wiadomości mają na celu zmniejszenie ilości fałszywych blokad. Wielu dostawców oferuje stałe albo tymczasowe adresy e-mail, z których wiadomości są przekazywane do skrzynek klientów. Adresy te w miarę działania będą zalewane coraz większą powodzią spamu, powodując mylne wrażenie, że usługa przekazywania wiadomości jest rzeczywistym źródłem spamu i należy ją zablokować. Wspomniany dokument organizacji MAAWG jest adresowany do dostawców usług internetowych i zawiera opis konfiguracji serwerów pocztowych tak, aby serwer wysyłający był odseparowany od przekazującego. Dodatkowo zapisane są praktyki dotyczące usługi wysyłania wiadomości przez sieć Web, a także rozpoznawanie przestrzeni adresowych przeznaczonych do przekazywania wiadomości.

Co może zrobić administrator IT

Skuteczność ochrony antyspamowej serwera można podwyższyć za pomocą kilku metod. Większość serwerów poczty pracuje w środowiskach typu UNIX, takich jak Linux lub BSD, warto więc skorzystać z mechanizmów zabezpieczeń możliwych do wykorzystania w tych systemach. Najczęściej stosowanym jest ustawienie opcji ochrony tak, aby odrzucane były połączenia kierowane na port 25 danego serwera poczty, jeśli we wpisach w odwrotnym DNS maszyny łączącej się z nim znajduje się któreś ze słów "dsl", "internetdsl", "dial", "cable", "neostrada", "neoplus", "chello" czy pochodne cyfrowych adresów IP (np. "IP-208-24-24-24.provider.com"). Niestety ograniczenia tego typu powodują problemy z odbiorem maili z firm lub instytucji, które nie potrafiły lub nie chciały zadbać o prawidłowe wpisy DNS.

Inną z metod, czasem stosowanych przez zdesperowanych administratorów, jest blokowanie całych klas adresowych z krajów znanych z wysyłania spamu. Poważnym problemem jest wtedy odbieranie maili z prawdziwych, legalnych serwerów poczty elektronicznej z tych krajów. Znacznie lepszym sposobem jest odpowiednia konfiguracja narzędzia Spamassassin, który posiada reguły przeznaczone dla dynamicznych adresów i umożliwia tagowanie wiadomości z określonych krajów.