Czarna lista groźna dla firmy

Co wychodzi z firmy?

W interesie każdego z dostawców Internetu powinna być ochrona przed incydentami, które mogłyby doprowadzić do wprowadzenia adresów IP klientów na czarną listę. Stąd wynika, że filtrowanie poczty wychodzącej na poziomie usługodawcy lub serwera pocztowego w firmie jest równie ważne co ochrona przed zalewem spamu z zewnątrz. Metody filtrowania poczty wychodzącej są jednak nieco inne niż dla poczty przychodzącej - nie można użyć gotowych list, gdyż oceniane są adresy firmowe, czasami z podsieci prywatnej. Można natomiast skorzystać z lokalnej reputacji, obserwując adresy IP i utrzymując statystyki. W przypadku zmiany profilu lub przekroczenia pewnych ograniczeń, adres trafia na lokalną czarną listę.

Technika ta daje się zastosować nawet w sieciach operatorskich. Jej zaletą jest szybkość reakcji na nowe infekcje, obsługa prywatnych przestrzeni adresowych, ochrona zanim spam zostanie wysłany do Internetu oraz działanie także na kierowane wiadomości, które nigdy nie trafią do pułapek spamowych. Rozwiązania takie posiada w swojej ofercie firma Fortinet. Lokalną reputację można osiągnąć także w urządzeniach ISMA firmy Trend Micro.

Jak to działa w praktyce?

W pierwszej kolejności serwer pocztowy otrzymuje informacje o tym, od kogo wiadomość pochodzi (mail from:) i do kogo należy ją przesłać (rcpt to:) - te informacje nazywane są kopertą. Następnie, w treści wiadomości występuje druga para adresów (From: i To:), która jest widoczna w wiadomości e-mail przeglądanej przez użytkownika. Serwer podejmuje decyzję o adresowaniu wiadomości na podstawie koperty, co wykorzystują spamerzy i niektóre agencje reklamowe.

Skuteczne filtrowanie spamu odbywa się na podstawie adresów IP, analizy podawanych adresów pocztowych oraz walidacji treści. Dokonuje się także kontroli nagłówków, na przykład brak nagłówków "Received from" oraz informacji o kliencie pocztowym oznacza bezpośrednie przekazanie wiadomości (czyli najprawdopodobniej jest to spam).

Reguły te należy połączyć z analizą treści. Jest to zasobochłonna technika, ale dzięki prowadzeniu zewnętrznych list linków można wychwycić adresy URL reklamowane w wiadomościach spamowych. Blokowanie na podstawie adresów rozgłaszanych w wiadomościach-śmieciach (tzw. spamvertised) jest dość skuteczne.

Ciekawą techniką, skuteczną wobec botnetów, jest greylisting - serwer odrzuca pierwszą wiadomość z danego adresu nadawcy z komunikatem zajętości (temporary busy). Prawdziwy serwer wyśle wiadomość ponownie za chwilę, a spamer pominie adres, gdyż zależy mu na wysłaniu jak największej ilości wiadomości.


TOP 200