Bezpłatne rozwiązania antyspamowe

Czarne, białe i szare listy adresów poczty elektronicznej odgrywają istotną rolę w walce ze zjawiskiem spamu. Udzielamy kilku rad, jak można ich efektywnie używać.

Czarne, białe i szare listy adresów poczty elektronicznej odgrywają istotną rolę w walce ze zjawiskiem spamu. Udzielamy kilku rad, jak można ich efektywnie używać.

W błogich czasach początków Internetu połączenia SMTP były czyste jak strumienie górskie, a filtry pocztowe stosowano okazjonalnie. Teraz woda zrobiła się mętna, więc filtry są absolutnie niezbędne. Ale jakie filtry? Ze względu na olbrzymi wolumen poczty elektronicznej, jaki dociera codziennie do firmowych serwerów, utrzymywanie oraz uzupełnianie własnych białych i czarnych list nadawców poczty elektronicznej jest kłopotliwe i zazwyczaj stosowane w "ostrych stanach zapalnych". Subskrypcja usług, takich jak te świadczone przez Postini, może łagodzić problem, ale tylko częściowo.

Alternatywą są bezpłatne czarne listy DNS, takie jak spamhaus.org czy spamcop.net, zapewniające interaktywną usługę, która umożliwia pocztowym serwerom odbierającym porównanie adresu IP serwera dostarczającego z listą znanych serwerów spamujących za pomocą prostej kwerendy DNS - jeżeli zwrotna odpowiedź jest pozytywna, poczta jest odrzucana.

Wiele organizacji wykorzystuje także białe listy, które są po prostu listami domen lub adresów IP, spod których dostarczana poczta jest zawsze odbierana. Zazwyczaj jest to lista domen tych organizacji, które są bliskimi partnerami biznesowymi oraz pomocnicza lista adresów i domen, które mogą być przechwytywane przez filtry antyspamowe, ale są legalne.

Trzecią formą ochrony opartej na listach są tzw. szare listy. Listy takie częściowo zachodzą na czarne i białe listy, używając kodu interpretacyjnego i flagi stanu SMTP do tworzenia dynamicznych czarnych i białych list.

Wszystkie te trzy podejścia znajdują dzisiaj zastosowanie w walce ze spamem, ale wymagają one staranności i przedsięwzięcia pewnych środków ostrożności, aby zapewnić skuteczną ochronę niesłusznie posądzonym, zwłaszcza gdy trafią na czarną listę.

Kontrowersyjne listy

Bezpłatne rozwiązania antyspamowe

Bezpłatne czarne listy DNS, takie jak spamhaus.org czy spamcop.net, zapewniają interaktywną usługę, która umożliwia pocztowym serwerom odbierającym porównanie adresu IP serwera dostarczającego z listą znanych serwerów spamujących.

Czarne listy DNS wzbudzają wiele kontrowersji. Dostatecznie duża liczba subskrybentów może zapełnić czarną listę DNS taką liczbą pozycji, jaka w praktyce uczyni pocztę elektroniczną bezużyteczną. Oczywiście jest to możliwość teoretyczna, ale nie jest niczym niezwykłym znalezienie na czarnej liście DNS pozycji, która w rzeczywistości nie powinna się tam znaleźć.

Przyczyny tego stanu rzeczy są różne. Bezpośrednie przekazywanie adresów IP do czarnych list DNS może w rezultacie spowodować, że nie tylko ten właśnie IP, ale cały blok adresów sieciowych (netblock - pewien zakres adresów IP przypisanych jednemu właścicielowi) pojawi się na liście. Współdzielony hosting cierpi na pewien wariant tego problemu - jeden naruszający reguły użytkownik może spowodować zablokowanie wielu innych, wykorzystujących ten sam adres IP. W innych przypadkach użytkownik końcowy dużego ISP może zdecydować się na oznakowanie legalnych list mailingowych jako spam zamiast anulować subskrypcję tych list, tak więc serwer wysyłający, co najmniej tego ISP, może znaleźć się na czarnej liście.

Same listy różnią się tym, na czym się skupiają i zakresem działania. Największe, sorbs.net, spamhaus.org i spamcop.net, używają generalnych znamion spamu przy określeniu statusu hosta. Rfc-ignorant.org idzie krok dalej i rejestruje serwery pocztowe naruszające zalecenia RFC 821 i 2821, rządzące komunikacją SMTP. Niestety, istnieje sporo legalnych serwerów pocztowych, które naruszają te zalecenia z powodu różnych niedoróbek i niedoskonałych implementacji i każdy, kto używa takich serwerów, zostanie prawdopodobnie wymieniony na liście rfc-origin.org, nawet jeżeli nie jest spamerem. Z pewnością takie ośrodki powinny używać serwerów pracujących zgodnie z tymi zaleceniami, ale przypisanie ich czarnym listom DNS może przeszkadzać w skądinąd całkiem legalnej komunikacji.

Bezpłatne rozwiązania antyspamowe

Największe listy używają generalnych znamion spamu przy określeniu statusu hosta. Rfc-ignorant.org idzie krok dalej i rejestruje serwery pocztowe naruszające zalecenia RFC 821 i 2821, rządzące komunikacją SMTP.

Jednak najbardziej popularne czarne listy DNS dopracowały swoje usługi przez ostanich kilka lat i oferują znacząco bardzie dokładne rezultaty niż we wcześniejszych wydaniach. W praktyce usługi takie jak spamhaus.org czy sorbs.net oferują dostęp do bezpłatnych list, które zawierają nie tylko netblocks spamerów, ale także dynamiczne netblocks IP używane przez operatorów w domowych połączeniach szerokopasmowych, hostów, na których pracują otwarte proxy, często mogące kooperować w wysyłaniu spamu, oraz listy hostów zidentyfikowanych jak zombie, spamujących w ramach botnetów.

Jak popularne są takie czarne listy? Sieć spamhaus.org otrzymuje od 80 do 100 tys. zapytań na sekundę, nie licząc dużych jednostek, nieużywających publicznych serwerów, które mają odpowiednie porozumienia, pozwalające na ściąganie bazy danych czarnych list DNS na lokalne serwery według ustalonego harmonogramu, co znacząco zmniejsza liczbę kwerend do serwerów publicznych.

Problem niesłusznie posądzonego

Co z problemem fałszywych rozpoznań? Szerokie rozpowszechnienie czarnych list DNS sprawia, że fałszywe rozpoznania są stałym zagrożeniem, ale stale rosnący problem spamu spycha te obawy na dalszy plan, ponieważ korzyści znacznie przewyższają negatywy.

Kiedy serwer znajdzie się na czarnej liście, administrator takiego ośrodka zazwyczaj o tym nie wie - do czasu, kiedy odrzucona poczta zacznie wracać do użytkownika. W większości przypadków wracająca wiadomość zawiera informacje o powodach zablokowania i przez kogo zostało to uczynione. W wiadomości ostrzegawczej zawarty jest zazwyczaj URL, pod którym można znaleźć instrukcję jak można zażądać usunięcia z czarnej listy. Na przykład spamhaus.org przywraca ok. 500 tys. pozycji dziennie.

Każda czarna lista DNS używa własnej metody gromadzenia i utrzymywania swojej bazy danych. Wiele z nich stosuje przynęty, które istnieją wyłącznie po to, aby automatycznie katalogować ataki z sieci zombie, dodając adresy źródłowe IP do bazy danych po ich wykryciu. Są także używane serwery SMTP - pułapki. Nie zawierają one rzeczywistych skrzynek pocztowych, ale po prostu absorbują pocztę adresowaną do nieistniejących użytkowników w celu identyfikowania sieci i systemów spamujących.

Chociaż zagrożenia, jakie stwarzają otwarte retransmitery poczty (open relay - serwery pocztowe, które mogą służyć dowolnym innym komputerom za przekaźnik poczty elektronicznej, kierujący ją pod inne adresy pocztowe) w Internecie nie są dzisiaj już tak powszechne, to ciągle istnieją. Poszczególne ośrodki czarnych list DNS skanują serwery pocztowe w Internecie, wciągając na czarne listy wykryte serwery open relay. Jeszcze nie tak dawno wiele komercyjnych serwerów SMTP było dostarczanych z domyślnym ustawieniem "open relay". Dzisiaj nie jest to już nawet opcja.

Płynna szara strefa

Bezpłatne rozwiązania antyspamowe

Sieć spamhaus.org otrzymuje od 80 do 100 tys. zapytań na sekundę, nie licząc dużych jednostek, nieużywających publicznych serwerów.

Szare listy są szczególnie skuteczne w krzyżowaniu szyków botnetom odpowiedzialnym za większość spamu. Pomysł polega tu na wykorzystaniu kodu błędu SMTP, który wysyłany jest do serwera nadającego w celu zakomunikowania mu, aby wstrzymał się kilka minut z dostarczeniem wiadomości, którą właśnie próbuje dostarczyć.

Zazwyczaj taki kod błędu jest wysyłany przez serwer odbierający przeciążany zleceniami, który nie może już obsługiwać w tym momencie dalszych wiadomości. Szare listy wykorzystują tu fakt, że większość spamujących serwerów i botnetów próbuje dostarczyć przesyłkę jedynie raz, ignorując wymagania RCP stanowiące o konieczności powtórzenia próby dostarczenia wiadomości po określonym czasie. Dla takich serwerów podejmowanie próby powtórzenia każdej przesyłki jest po prostu nieopłacalne, ponieważ może znacząco obniżyć ich wydajność w zakresie wolumenu spamu dostarczanego w określonym czasie.

Tak więc każda wiadomość wchodząca na filtr szarych list jest początkowo odrzucana z kodem błędu "Please try again later". Jeżeli odległy serwer ponownie wyśle tę wiadomość, np. po 10 minutach, to przechodzi ona dalej przez filtr, tak jak wszystkie następne wiadomości zawierające w nagłówku tę samą domenę źródłową.

Szare listy cieszą się coraz większą popularnością. Ta metoda blokowania spamu może znacząco zredukować problem, ale także opóźnia każdą przesyłkę dopóty, dopóki serwer jej nie powtórzy. Takie opóźnienie jest konieczne do oddzielenia ziarna od plew, ale trzeba też pamiętać, że część legalnych nadawców poczty, a także ich ISP, ma źle skonfigurowane serwery pocztowe, co wymaga z kolei budowania własnych białych list, aby odbierać od nich pocztę.

Pomimo to szare listy wspólnie z subskrypcją jednej lub więcej czarnych list DNS plus filtrowanie spamu i wirusów, to dzisiaj klucz do relatywnie czystego przepływu poczty. Obecnie to reguła dla serwerów SMTP. Zawsze jest ryzyko utracenia przesyłki pocztowej, ale jeszcze nie ma alternatywy pozbycia się zabójczej liczby niechcianych przesyłek.

W poszukiwaniu skutecznych metod likwidowania spamu

Bezpłatne rozwiązania antyspamowe

Jak działa Sender Framework (SPF)?

Próbą rozwiązania problemu niechcianych przesyłek jest uwierzytelnianie adresów poczty elektronicznej. Jedną z takich propozycji jest SPF (Sender Policy Framework). SPF jest w istocie zwrotną weryfikacją wykonywaną w odniesieniu do każdej przesyłki pocztowej.

Tak jak każdy internetowy serwer pocztowy potrzebuje rekordu wejściowego MX DNS, SPF wymaga, aby każdy serwer utrzymywał również rekord wyjściowy MX lub raczej zapis w domenowych rekordach DNS, który weryfikuje, czy ten właśnie serwer jest odpowiedzialny za wysyłaną pocztę. Jeżeli serwer używający SPF stwierdzi, że serwer nadający nie ma takiego rekordu w domenowej DNS, wtedy poczta jest albo odbijana, albo co najmniej oznakowywana jako potencjalny spam. Na przykład, jeżeli wiadomość jest odbierana od kogoś, kto deklaruje się jako aol.com, ale serwer nadający nie istnieje w ramach SPF dla aol.com, wtedy wiadomość jest prawdopodobnie falsyfikatem.

Inną opcją jest bezpieczny SMTP, używający certyfikatów x.509. Metoda ta zakłada, że każdy legalny serwer w Internecie ma przydzielony certyfikat identyfikujący. Jedynie serwery z ważnym certyfikatem powinny być dopuszczane do wysyłania poczty do innych serwerów. I znowu rozwiązanie takie wymaga, aby większość serwerów pocztowych operujących dzisiaj miała przydzielone certyfikaty i była skonfigurowana do odrzucania niecertyfikowanych przesyłek lub, co najmniej, przekazywania ich do zaaprobowania.

Żadne rozwiązanie prawdopodobnie nie pojawi się szybko. Aczkolwiek SPF zdobywa ostatnio coraz większą popularność. Jednak do czasu, gdy główne produkty MTA (Mail Transfer Agent) - te open source i komercyjne - nie zaczną współpracować w ramach pojedynczego standardu, poczta może być błędnie klasyfikowana i tracona.

Spamerzy kontra czarne listy

Chociaż główne ośrodki czarnych list DNS oferują swoje usługi bezpłatnie dla większości użytkowników, to jednak ponoszą pewne koszty ich utrzymywania. W miarę jak rośnie popularność i efektywność czarnych list DNS, maleje strumień zysków operatorów botnetów, hurtowych spamerów, jak również ich klientów. Dlatego większość ośrodków czarnych list DNS musi angażować się w walkę, wykraczającą daleko poza proste radzenie sobie ze spamem.

Z chwilą gdy usługi takie jak sorbs.net zaczęły skanować otwarte proxy tworzone przez szkodliwe oprogramowanie, jego twórcy zaczęli oszukiwać skanery podstawiając im fałszywe dane, co zmuszało je do powtarzania skanowania. Obniżyło to znacznie efektywność skanerów i zmusiło do ich przekodowania.

Ta wojna nie może też obyć się bez szpiegów i podwójnych agentów. Zdarzyło się, że anonimowy nadawca przesłał ostrzeżenie do sorbs.net informujące, iż pewne złośliwe oprogramowanie może się samo automatycznie odinstalować, jeżeli do jednego z portów, na którym ono nasłuchuje, zostanie wysłana specyficzna 24-bajtowa sekwencja. Po tej informacji skanowanie sorbs.net zostało odpowiednio zmodyfikowane, aby mogło wysyłać taką sekwencję, i skutecznie zidentyfikowało i wyczyściło tysiące zainfekowanych hostów.

Czarne listy DNS używają różnych metod do tworzenia swoich baz danych, a spamerzy i twórcy botnetów starają się identyfikować te metody, aby skutecznie się wymykać. Niektóre programy złośliwe są napisane w taki sposób, aby odmawiały połączeń z ośrodkami czarnych list DNS w celu uniknięcia skanowania. Inne techniki zakładają wykorzystywanie "czarnych list czarnych list", czyli list serwerów używanych do tworzenia czarnych list DNS spamerów, aby unikać takich pułapek.

Oprócz takiej zabawy w kotka i myszkę spamerzy i operatorzy botnetów wykorzystują także ataki DDoS wyprowadzane na duże ośrodki czarnych list DNS - problem, który dotknął nie tak znowu dawno spamhaus.org, zmuszając ją do wprowadzenia i ciągłego utrzymywania środków zapobiegających atakom tego typu.

Każda ze stron wymyśla coraz lepsze metody walki. Być może skuteczność botnetów zmniejszy się w wyniku stosowania efektywnej ochrony zapowiedzianej np. w Windows Vista. Dopóki to nie nastąpi, dopóty wojna będzie trwać.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200