Spam jak bumerang

Problem spamu wydawał się do niedawna prawie rozwiązany, ale to jednak tylko złudzenie. Zjawisko narasta, a jego sprawcy są coraz bardziej zuchwali.

Problem spamu wydawał się do niedawna prawie rozwiązany, ale to jednak tylko złudzenie. Zjawisko narasta, a jego sprawcy są coraz bardziej zuchwali.

Powódź niezamawianej reklamy dostarczanej do naszych skrzynek mailowych nasila się z miesiąca na miesiąc. Organizacje powołane do walki z najpoważniejszą obok wirusów plagą Internetu coraz gorzej sobie radzą z działaniami spamerów. Niestety, wszystkie prognozy wskazują na to, że pomimo niewątpliwego postępu w dziedzinie narzędzi antyspamowych w przyszłości będzie już tylko gorzej.

Początkowo spamerzy rozsyłali znaczne ilości poczty elektronicznej, licząc na darmową lub bardzo tanią reklamę, co było możliwe dzięki istnieniu sporej liczby systemów umożliwiających swobodne wysyłanie poczty dowolnemu użytkownikowi Internetu (tzw. open relays). Problem był oczywisty i dość szybko został wyeliminowany - obecnie standardem jest stosowanie uwierzytelnienia przy przesyłaniu poczty przez serwer pocztowy poza domeny przezeń obsługiwane. Spam jednak nie zniknął.

Spamerzy zwietrzyli interes i na rynku pojawiły się wyspecjalizowane firmy, wysyłające olbrzymie ilości spamu z własnych domen. Takie firmy działają jak wielkie korporacje, bezlitośnie eksploatujące wszelkie niedostatki prawa. Ofiarą ataku z użyciem sali sądowej stała się niedawno jedna z najważniejszych organizacji antyspamowych - Spamhaus.

Organizacja wpisuje na te listy znanych spamerów, podejmując trud wyśledzenia ich, analizując strumień danych dostarczanych przez pułapki. Spamhaus nie przyjmuje indywidualnych zgłoszeń (tutaj lepszy jest spamcop.net). To projekt niekomercyjny działający z Wlk. Brytanii, ale obejmujący swoim działaniem cały świat, gdyż spamerzy nie znają granic.

Spamhaus pod ostrzałem

Spamhaus jest projektem, który bazuje na tzw. czarnych listach, dających możliwość zablokowania znacznej ilości spamu. Mechanizm ten jest na tyle skuteczny, że minimalnie uzupełniony kilkoma sprytnymi sztuczkami (takimi jak filtry analizy treści i powszechnie stosowane reguły adresów IP - o tym dalej) odsiewa co najmniej 99% spamu. Blokowanie działa bez względu na to, czy poczta została wysłana z domeny, czy też wysyłający podszył się pod nią, podając inny niż własny adres zwrotny. Taka definicja spamu jest zgodna z prawem Wlk. Brytanii.

Przyczyną ostatnich problemów projektu Spamhaus jest amerykańska firma e360insight, zajmująca się masowym wysyłaniem reklam pocztą elektroniczną. Według administratorów, właścicieli oraz prawników fundacji, znalazła się tam całkiem słusznie. Poszkodowany spamer przygotował pozew sądowy o odszkodowanie w wysokości 11 mln USD amerykańskich, gdyż ich zdaniem wpis na listę spamerów był niesłuszny i spowodował straty.

Oczywistą odpowiedzią Spamhaus była odmowa zapłaty oraz poddawania się jakiejkolwiek karze. Ze względu na lokalizację jest ona we właściwościach miejscowych odpowiednich sądów Wlk. Brytanii, które mają prawo karać spamerów, do których e360insight według lokalnego prawa jak najbardziej należy. Wiedząc, że szanse wygranej w brytyjskim sądzie są niewielkie, e360insight zaczęła równolegle działania na gruncie amerykańskim.

Ponieważ Spamhaus nie może ponieść żadnej odpowiedzialności przed amerykańskim sądem jako firma, amerykański sędzia podjął dość kontrowersyjną decyzję o zablokowaniu domeny spamhaus.org. Niestety może to zrobić, gdyż nadal instytucje w USA zarządzają odwzorowaniem nazw DNS na świecie. Fundacja może nadal działać pod inną nazwą, niemniej przez czas przestawienia serwerów na nowy adres list blokowania śmieci, można spodziewać się istnej powodzi spamu, który nie podlegałby filtrowaniu w trakcie tych zmian.

Nie utonąć w powodzi

Na podstawie podawanego przez Spamhaus zestawienia, jedynie 24% przesyłanej poczty elektronicznej jest rzeczywiście potrzebne. Reszta to śmieci. Odfiltrowanie tej powodzi jest poważnym zadaniem, do którego zaprzęga się zaawansowane mechanizmy. Filtrowanie ma kilka etapów.

Większość "zgrubnego" filtrowania odbywa się w wyniku porównania adresów IP nadawców z adresami zarejestrowanymi na liście Spamhaus Block List. Na liście tej notowane są zarówno adresy wykorzystywane przez gangi spamerskie, jak i instytucje je wspierające. Listę tę można wykorzystać do ochrony serwera pocztowego, odpytując ją automatycznie przy obróbce przychodzącej poczty. Można też skorzystać z lokalnej listy, synchronizowanej

cyklicznie z serwisem Spamhaus.

Druga opcja jest zdecydowanie korzystniejsza przy dużych serwerach, przesyłających znaczne ilości e-maili i obsługujących wiele kont. W pewnych przypadkach warto zablokować takie połączenia już na zaporze sieciowej, szczególnie gdy chodzi o masowych nadawców ze stałych adresów IP.

Same adresy IP nadawców nie zapewnią skutecznego filtrowania, zatem dołączono drugą listę, na której znajdują się komputery, mogące służyć za pośredników do wysyłania poczty bez weryfikacji nadawcy, tzw. open proxy. Są nimi komputery zawierające oprogramowanie wingate lub inne podobne, jak również zawirusowane komputery z systemem Windows. Lista ta zawiera także dane z dwóch uznawanych za bardzo wiarygodne i wybitnie skutecznych list: CBL (Composite Block List) oraz NJABL Open

Proxy ISP. Dla dużych serwerów przewidziano aktualizację lokalnej kopii listy.

Co ciekawe, domena tpnet.pl jest na dziesiątym miejscu na świecie pod względem wysyłanego spamu. Przyczyna jest dość prozaiczna - słaby poziom zabezpieczeń systemów Microsoftu zainstalowanych w domowych komputerach, rzadko, jeśli w ogóle, aktualizowanych, bo zwykle nielegalnych. Z takich właśnie komputerów korzystają gangi spamerskie.

Postawić tamę

Podłączenie serwerów do systemu antyspamowego jest proste (http://www.spamhaus.org/effective_filtering.html ) - wystarczy ustawić funkcjonalność DNS RBL własnego serwera poczty na właściwy serwer SBL+XBL. Dla ułatwienia, Spamhaus przygotował kombinowaną listę zawierającą dane z obu powyższych - wszystkie testy dokonuje się za pomocą jednego odpytania.

Skuteczność obu list jest dość wysoka - odpytanie listy kombinowanej pozwala odsiać średnio ok. 63% wszystkich wiadomości. Błędne zaklasyfikowanie poprawnej wiadomości jako spam zdarza się bardzo rzadko. Ponieważ jednak same nagłówki wiadomości nie dają możliwości odfiltrowania wszystkich śmieci, należy posłużyć się filtrami treści, takimi jak SpamAssassin.

Każda opcja wykorzystywana przez spamerów (np. kodowanie tytułu e-maila czy fakt wysyłania w konkretnym formacie udającym wiadomości tworzone przez oprogramowanie Microsoftu) podlega ocenie punktowej. Im więcej punktów, tym większe prawdopodobieństwo, że dany e-mail jest spamem. Prawidłowo ustawione czarne listy poparte dobrze skonfigurowanym SpamAssassinem lub podobnymi filtrami sprawiają, że do skrzynek przenika poniżej jednego procenta wszystkich śmieci, które były do nich adresowane.

Niepewne 1:0

"Zniknięcie" domeny spamhaus.org, spowodowane jej potencjalnym administracyjnym zamknięciem, miałoby bardzo poważne skutki. Po pierwsze, lista nie byłaby dystrybuowana w normalnym trybie, zatem przez pewien czas ochrona antyspamowa byłaby znacznie mniej skuteczna. Filtry działające na zasadzie odpytania DNS wykorzystują jedynie analizę nagłówków wiadomości i wymagają niewielkiej mocy obliczeniowej. Gdy ta część ochrony przestałaby działać, śmieci zasypałyby analizatory treści, co spowodowałoby poważny wzrost obciążenia bramek pocztowych.

Na razie amerykański sąd federalny wstępnie uznał, że nie jest sądem właściwym do rozpatrywania sprawy ze względu na lokalizację pozwanego, co jednak nie kończy sprawy. Obawiać należy się nie przegranej w tej konkretnej sprawie, lecz lawiny pozwów na bazie potencjalnego precedensu, jeśli nie w Stanach Zjednoczonych, to w Wlk. Brytanii. Dopóki nie zostaną wprowadzone zasadnicze zmiany w infrastrukturze poczty elektronicznej, jak opisywane na naszych łamach standardy w dziedzinie protokołów uwierzytelniania, dopóty trudno mówić o jakimkolwiek postępie.

Filtr we własnym zakresie

Oprócz list i analizatorów treści administratorzy mają do dyspozycji także inne sposoby walki ze spamem. W wielu firmach funkcjonuje specjalne konto pocztowe, na które użytkownicy przesyłają otrzymane wiadomości będące w ich mniemaniu spamem. Administrator co pewien czas analizuje je i na tej podstawie dodaje stosowne opcje filtrowania do serwera pocztowego, a najlepiej jeszcze do zapory sieciowej. Oczywiście, to wpłynie głównie na spamerów korzystających ze stałych adresów IP, ale nie na wiele się zda wobec zawirusowanych komputerów z domen, takich jak neostrada.pl czy tpnet.pl, ponieważ adresy IP są w nich przyznawane dynamicznie.

Aby sprawnie odfiltrować ruch z domen siejących spam przez komputery open proxy, należy obok serwera pocztowego zainstalować pasywny analizator ruchu, taki jak p0f autorstwa Michała Zalewskiego. Jeśli p0f stwierdzi, że na port 25 serwera pocztowego łączy się komputer z systemem Windows, należy żądać uwierzytelnienia. Taka modyfikacja sprawdziła się bardzo dobrze w przypadku sieci tpnet.pl, gdzie wiele zawirusowanych komputerów rozsiewa potężne ilości spamu. Jeśli istnieje możliwość skorzystania z SSL do wysyłania poczty na innym porcie, można pozwolić sobie na bardzo drakońskie rozwiązanie - zablokowanie dostępu do portu 25 wszystkim komputerom z domeny tpnet.pl, a być może także innym.

Nie jest to, wbrew pozorom, wielce drakońskie, ponieważ poczta i tak jest przekazywana przez serwery, zaś każdy na poważnie korzystający z poczty ma już od dawna w kliencie ustawioną obsługę SSL. Pewną modyfikacją powyższej metody jest sprawdzanie, czy w odwrotnym DNS występuje słowo DSL, cable, tpnet.pl, ppp, t1 i tak dalej. Jeśli występuje, to należy wymagać autoryzacji.