previous up index search
Previous: 4.4.14.5 Программа Sendmail    UP: 4.4.14 Протокол электронной почты SMTP

4.4.14.6 SPAM

Семенов Ю.А. (ИТЭФ-МФТИ)
Yu. Semenov (ITEP-MIPT)

Cлово "спам" - это компьютерный жаргон. На самом деле, спам -- это такие консервы, вроде китайского колбасного фарша, популярного в годы застоя. Расшифровывается это слово, как SPiced hAM, перченая ветчина. Слово это придумано (и зарезервировано) корпорацией Hormel.

В начале 1970-х, английские анархисты Monty Python сочинили сюрреальный скетч о спаме. Действие происходит в кафе, в котором меню состоит из спама, яичницы с беконом из спама, спама с яичницей, и беконом из спама, яичницы со спамом и сосиской из спама, сосиски из спама, спама и помидоров со спамом... (тут официантку прерывает компания викингов, сидящих за соседним столиком. Викинги поют: спам, спам, спам! вкусный спа-а-ам!)

До 1994 года, Интернет был сетью сугубо не коммерческой, а пользователями Интернета были студенты и профессора университетов. С 1994-1995 доступ к Интернет был открыт человеку с улицы, то есть торговцу. Каналы информации UseNet, прежде заполненные научными дискуссиями, порнографией или пустым трепом, были украшены сотней сообщений под заголовком типа "make money fast". Такие сообщения стали называть спамом.

Начав с конференций UseNet, спамеры переключились на е-майл (электронную почту). Составив списки из миллионов адресов, спамеры рассылают коммерческую рекламу сомнительных продуктов, сайтов и полулегальных услуг. В последнее время, впрочем, распространённым продуктом рекламы являются программы для рассылки спама. Купив такую программу, желающие могут разослать по 90 миллионам адресов предложение купить у них какой-нибудь товар. Спам практически ничего не стоит для отправителя - временем и деньгами за него расплачивается сплошь и рядом жертва рассылки.

Согласно исследованиям GVU, только 9,2% пользователей читают спам сообщения. При этом данная цифра сформирована благодаря пользователям-новичкам, из тех кто провел в сети более 3 лет спам читают лишь 5,4 %.12% пользователей сети пишут возмущенные письма по обратному адресу, а 1,5 % пользователей производят вендетту (это могут быть "почтовые бомбы" в адрес злоумышленника, жалоба провайдеру и т.д.).

Спамерным атакам подвергаются не только корпоративные пользователи сети, но и владельцы домашних PC, имеющих выход в Internet. Этот факт существенно осложняет борьбу со спамом и вовлекает в неё не только самих пользователей, но и широкую общественность. В частности, 1 марта 1999 года Открытым Форумом Интернет-Сервис-Провайдеров был одобрен документ “Нормы пользования сетью” www.ofisp.org (Acceptable Use Policy), который регламентирует нормы работы в сети (в том числе накладывает ограничения на информационный шум (спам)) и обязателен для всех пользователей, а в июле минувшего года Палата Представителей США одобрила меры по борьбе со спамом. Согласно законопроекту, электронное послание должно иметь реальный обратный адрес для того, чтобы получатели спама могли заблокировать его отправителя, нарушение этого закона грозит злоумышленнику штрафом в размере до $150.000. Почему СПАМ это действительно плохо? С практической точки зрения эта проблема раскладывается на несколько компонент (RFC 2505):

  1. Объём, т.е. пользователи получают огромное количество спам-сообщений в свои почтовые ящики.
  2. В 99% процентах случаев содержание таких писем не коррелирует с интересами адресатов.
  3. Для получателей СПАМ стоит реальных денег. Например, те, кто имеют выход в сеть через модем и платят за время, проведенное в Интернет, вынуждены тратить деньги на фильтрацию полезных писем.
  4. СПАМ также стоит денег и для тех, кто поддерживает и отвечает за корректную работу почтовых серверов. Предположим, что злоумышленник послал письмо объёмом 10 килобайт 10 000 пользователям на одну ЭВМ. Несложно подсчитать, сколько места займут все его сообщения, а именно 100 мегабайт. А что произойдёт, если спамер не один и отправляет не по одному письму?
  5. Большинство спамеров идут на всевозможные уловки, чтоб адресат взглянул хоть краем глаза на их сообщение. Например, пишут письмо таким образом, чтоб получатель подумал, что его с кем-то перепутали, или же помечают письмо так, что якобы внутри него содержится информация запрашиваемая адресатом. Разумеется, о морали и этике здесь не может идти и речи.
  6. 85% СПАМа содержат URL вредоносных сайтов.

Первое SPAM-сообщение было послано 3-го мая 1978 года. К 2009 году SPAM оставил более 90% общего трафика для среднестатистического клиента Интернет. В начале 2015 года доля SPAM в почтовом трафике варьируется в пределах от 87,1 до 90,2% (CHIP 3/2015, стр. 69).

Признаки SPAM

Профессионалы могут попытаться с помощью специального запроса проверить, какой тип операционной системы установлен на машине-отправителе. Если это, например, Windows-ХР, вероятно, эта машина входит в состав botnet и участвует в рассылке спам.

Можно попытаться создать отправителю почтовых сообщений нештатную ситуацию, например, послав отклик 451 (временная недоступность) Please try again later. Нормальный почтовый сервер прервется и обязательно повторит попытку позднее. Сервер рассылки SPAM обычно этого не делает.

Вообще тщательный контроль следованию SMTP-протоколу может быть указанием на добротность почтового сервера. Например, при установлении соединения получатель должен послать отклик 200 mail.example.com ESMTP Service ready. Машина-отправитель должна подождать этого отклика и не должна ничего посылать до этого. Если SPAM-фильтр задержит этот отклик, а отправитель начнет посылку сообщения, не дожидаясь отклика, получатель может решить, перед ним типичный спамер.

Распознать спам-сообщение можно и после его получения. Например, если для большого числа клиентов сети с одного и того же адреса пришли идентичные или почти идентичные сообщения, это может считаться признаком SPAM. Кроме того, отправитель спам-сообщения должен предоставит адресату какую-то контактную информацию (номер телефона, почтовый адрес или URL). Нужно свериться с репутационной базой данных и проверить, нет ли там этих координат. Иногда спамеры оформляют свои сообщения как ответ на запрос клиента локальной сети. Можно проверить, был ли такой запрос и, если такого запроса не было, пометить такое сообщение как SPAM.

Часто спамеры вводят в текст сообщений некоторые символы или слова, чтобы сообщения, направленные разным адресатам отличались. Таким образом они надеются обойти входной спам-фильтр. Но так как эти символы/слова вводит программа, они повторяются и сами могут стать признаками SPAM, которые сможет использовать фильтр.

Продвинутые фильтры используют статистический анализ сообщений (частота использования определенных слов и т.д.). Конечно, это не может дать 100%-ного распознавания, но в сочетании с другими критериями и методами может поднять эффективность фильтрации.

Дополнительная информация может быть найдена по адресу www.ferris.com.

Целью SPAM может быть (смотри Spam, Spammers, and Spam Control):

Большая часть SPAM рассылается с помощью взломанных машин-зомби, но могут использоваться прокси и почтовые ретрансляторы, как это показано на рис. 1.

Рис. 1. Обход фильтра SPAM

Спамеры используют множество разнообразных приемов, чтобы SPAM-фильтры их не распознали. Это и замена обычного или HTML-текста рисунком, размещение SPAM-сообщения внутри произвольного изменяемого текста, напечатанного супермелкими буквами и т.д. и т.д.

Некоторые методы фильтрации SPAM используют специальные "черные" списки машин, вовлеченных в такую рассылку. В такой список может попасть и машина, владелец которой об этом может и не подозревать (просто его ЭВМ была взломана ранее). Хозяин такой машины может столкнуться с проблемой недоставки своих сообщений (некоторые почтовые серверы будут считать их спамом). Если такая машина была ранее использована хакером для попыток взлома других машин, ее IP-адрес может быть включен в ACL или репутационный список. В этом случае доставка может блокироваться маршрутизатором или сетевым шлюзом. Так что пользователям имеет смысл следить за состоянием своей машины (например, использовать встроенный Firewall, который может детектировать попытки несанкционированного выхода машины в Интернет), иначе не избежать побочных неприятных эффектов. Обычно SPAM-фильтры производят оценку вероятности того, что конкретное сообщение является спамом по совокупности параметров.

В последнее время фильтрацией SPAM начали заниматься сервис-провайдеры, предоставляя этот вид услуг как SaaS.

Следует, впрочем, понимать, что спамеры внимательно изучают принципы построения SPAM-фильтров и предпринимают контрмеры. Botnet с числом машин 600.000 позволяет рассылать до 40 миллиардов SPAM-сообщений в сутки (см. Michael Kassner. "Is the Infamous Waledac botnet out of the picture or not?". 2009.). Пока наиболее эффективным средством борьбы со SPAM является блокировка доменов, участвующих в рассылке таких сообщений (см. Botnets: Web-hosting site closed down and spam drops 50 percent, а также The top 10 SPAM botnets: new and improved). 80% всего объема SPAM приходится на эти десять botnet. Эти сети посылают до 135 миллиардов SPAM-сообщений в день.

Новой разновидностью SPAM стала рассылка голосовой рекламы посредством VoIP - SPIT (SPAM over Internet Telephony), а также с помощью IM.

В последнее время появилось достаточное число коммерческих и общедоступных программ фильтрации SPAM. Разработаны и поступили в продажу и аппаратные средства противодействия, которые среди прочего существенно снижают загрузку локального DNS.

Учитывая доходность рассылки SPAM, вряд ли удастся победить это явление чисто аппаратно-программными способами. Здесь нужны юридические меры, которые сделают этот бизнес более рискованным. Рискованность должна перекрывать возможность получения дохода от нелегальной рассылки.

Утешать может только то, что доля SPAM в потоке почтовых сообщений уже сильно увеличиться не может - его доля уже сегодня превышает 90%.


Часто бывает трудно провести границу между SPAM и обычным почтовым сообщением. Согласно исследовательскому обзору Osterman (http://titus.com/resources/index.php?resourceid=101&tabno=4), средний пользователь посылает 44 почтовых сообщений в день и получает 123. За год организация с 1500 сотрудниками генерирует почти 70 миллионов сообщений.

В настоящее время базы данных фильтрации SPAM содержат более 40 миллионов сигнатур. Большая часть спама (80%) имеет формат HTML и только 10-15% - чистый текст. Большая часть спама (>90%) является URL-spam - сообщения, содержащие URL, на которых получатель должен кликнуть, чтобы прочесть содержимое SPAM

Массовое использование антиспам-фильтров и все более жесткие критерии отбрасывания порождают еще одну проблему. Возможность потери почтовых сообщений, из-за того что они приняты промежуточным фильтром за SPAM, а также репутационные потери из-за того что вашу организацию или вас самих по ошибке занесли в списки распространителей SPAM.

В этой связи все пользователи электронной почты должны знать, что нужно делать, чтобы ваши сообщения по ошибке не приняли за SPAM. Нужно иметь в виду, что в мире формируются репутационные списки, и, если вы или ваше организация туда попадет, ущерб может быть значительным. Выши сообщения могут объявляться спамом вне зависимости от их содержания и выбрасываться. Ниже представлен перечень рекомендаций.


Previous: 4.4.14.5 Программа Sendmail    UP: 4.4.14 Протокол электронной почты SMTP