Spam jak bumerang

Filtr we własnym zakresie

Oprócz list i analizatorów treści administratorzy mają do dyspozycji także inne sposoby walki ze spamem. W wielu firmach funkcjonuje specjalne konto pocztowe, na które użytkownicy przesyłają otrzymane wiadomości będące w ich mniemaniu spamem. Administrator co pewien czas analizuje je i na tej podstawie dodaje stosowne opcje filtrowania do serwera pocztowego, a najlepiej jeszcze do zapory sieciowej. Oczywiście, to pomoże głównie na spamerów korzystających ze stałych adresów IP, ale nie na wiele się zda wobec zawirusowanych komputerów z domen takich jak neostrada.pl czy tpnet.pl, ponieważ adresy IP są w nich przyznawane dynamicznie.

Aby sprawnie odfiltrować ruch z domen siejących spam przez komputery open proxy należy obok serwera pocztowego zainstalować pasywny analizator ruchu, taki jak p0f autorstwa Michała Zalewskiego. Jeśli p0f stwierdzi, że na port 25 serwera pocztowego łączy się komputer z systemem Windows, należy żądać uwierzytelnienia. Taka modyfikacja sprawdziła się bardzo dobrze w przypadku sieci tpnet.pl, gdzie wiele zawirusowanych komputerów rozsiewa potężne ilości spamu. Jeśli istnieje możliwość skorzystania z SSL do wysyłania poczty na innym porcie, można pozwolić sobie na bardzo drakońskie rozwiązanie - zablokowanie dostępu do portu 25 wszystkim komputerom z domeny tpnet.pl, a być może także innym.

Nie jest to, wbrew pozorom, wielce drakońskie, ponieważ poczta i tak jest przekazywana przez serwery, zaś każdy na poważnie korzystający z poczty ma już od dawna w kliencie ustawioną obsługę SSL. Pewną modyfikacją powyższej metody jest sprawdzanie czy w odwrotnym DNS występuje słowo DSL, cable, tpnet.pl, ppp, t1 i tak dalej. Jeśli występuje, to należy wymagać autoryzacji.

Druga opcja jest zdecydowanie korzystniejsza przy dużych serwerach, przesyłających znaczne ilości maili i obsługujących wiele kont. W pewnych przypadkach, warto zablokować takie połączenia już na zaporze sieciowej, szczególnie w przypadku masowych nadawców ze stałych adresów IP.

Same adresy IP nadawców nie zapewnią skutecznego filtrowania, zatem dołączono drugą listę, na której znajdują się komputery, które mogą służyć za pośredników do wysyłania poczty bez weryfikacji nadawcy, tzw. (open proxy). Są nimi komputery zawierające oprogramowanie wingate lub inne podobne, jak również zawirusowane komputery z systemem Windows. Lista ta zawiera także dane z dwóch uznawanych za bardzo wiarygodne i wybitnie skutecznych list: CBL (Composite Block List) oraz NJABL Open Proxy ISP. Dla dużych serwerów przewidziano aktualizację lokalnej kopii listy.

Co ciekawe, domena tpnet.pl jest na dziesiątym miejscu na świecie pod względem wysyłanego spamu. Przyczyna jest dość prozaiczna - słaby poziom zabezpieczeń systemów Microsoftu zainstalowanych w domowych komputerach, rzadko, jeśli w ogóle, aktualizowanych, bo zwykle nielegalnych. Z takich właśnie komputerów korzystają gangi spamerskie.

Postawić tamę

Podłączenie serwerów do systemu antyspamowego jest proste - wystarczy ustawić funkcjonalność DNS RBL własnego serwera poczty na właściwy serwer SBL+XBL. Dla ułatwienia, Spamhaus przygotował kombinowaną listę zawierającą dane z obu powyższych - wszystkie testy dokonuje się za pomocą jednego odpytania.

Skuteczność obu list jest dość wysoka - odpytanie listy kombinowanej pozwala odsiać średnio ok. 63 procent wszystkich wiadomości. Błędne zaklasyfikowanie poprawnej wiadomości jako spam zdarza się bardzo rzadko. Ponieważ jednak same nagłówki wiadomości nie dają możliwości odfiltrowania wszystkich śmieci, należy posłużyć się filtrami treści, takimi jak SpamAssassin.

Każda opcja wykorzystywana przez spamerów (na przykład kodowanie tytułu maila czy fakt wysyłania w konkretnym formacie udającym wiadomości tworzone przez oprogramowanie Microsoftu) podlega ocenie punktowej. Im więcej punktów, tym większe prawdopodobieństwo, że dany mail jest spamem. Prawidłowo ustawione czarne listy poparte dobrze skonfigurowanym SpamAssassinem lub podobnymi filtrami sprawiają, że do skrzynek przenika poniżej jednego procenta wszystkich śmieci, które były do nich adresowane.

Niepewne 1:0

"Zniknięcie" domeny spamhaus.org spowodowane jej potencjalnym administracyjnym zamknięciem, miałoby bardzo poważne skutki. Po pierwsze, lista nie byłaby dystrybuowana w normalnym trybie, zatem przez pewien czas ochrona antyspamowa byłaby znacznie mniej skuteczna. Filtry działające na zasadzie odpytania DNS wykorzystują jedynie analizę nagłówków wiadomości i wymagają niewielkiej mocy obliczeniowej. Gdy ta część ochrony przestałaby działać, śmieci zasypałyby analizatory treści, co spowodowałoby poważny wzrost obciążenia bramek pocztowych.

Na razie amerykański sąd federalny wstępnie uznał, że nie jest sądem właściwym do rozpatrywania sprawy ze względu na lokalizację pozwanego, co jednak nie kończy sprawy. Obawiać należy się nie przegranej w tej konkretnej sprawie, lecz lawiny pozwów na bazie potencjalnego precedensu, jeśli nie w Stanach Zjednoczonych, to w Wielkiej Brytanii. Dopóki nie zostaną wprowadzone zasadnicze zmiany w infrastrukturze poczty elektronicznej, jak opisywane na naszych łamach standardy w dziedzinie protokołów uwierzytelniania, trudno mówić o jakimkolwiek postępie.


TOP 200