Previous: 4.4.14.5 Программа Sendmail    UP: 4.4.14 Протокол электронной почты SMTP

4.4.14.6 SPAM

Семенов Ю.А. (ИТЭФ-МФТИ)
Yu. Semenov (ITEP-MIPT)

Cлово "спам" - это компьютерный жаргон. На самом деле, спам -- это такие консервы, вроде китайского колбасного фарша, популярного в годы застоя. Расшифровывается это слово, как SPiced hAM, перченая ветчина. Слово это придумано (и зарезервировано) корпорацией Hormel.

В начале 1970-х, английские анархисты Monty Python сочинили сюрреальный скетч о спаме. Действие происходит в кафе, в котором меню состоит из спама, яичницы с беконом из спама, спама с яичницей, и беконом из спама, яичницы со спамом и сосиской из спама, сосиски из спама, спама и помидоров со спамом... (тут официантку прерывает компания викингов, сидящих за соседним столиком. Викинги поют: спам, спам, спам! вкусный спа-а-ам!)

До 1994 года, Интернет был сетью сугубо не коммерческой, а пользователями Интернета были студенты и профессора университетов. С 1994-1995 доступ к Интернет был открыт человеку с улицы, то есть торговцу. Каналы информации UseNet, прежде заполненные научными дискуссиями, порнографией или пустым трепом, были украшены сотней сообщений под заголовком типа "make money fast". Такие сообщения стали называть спамом.

Начав с конференций UseNet, спамеры переключились на е-майл (электронную почту). Составив списки из миллионов адресов, спамеры рассылают коммерческую рекламу сомнительных продуктов, сайтов и полулегальных услуг. В последнее время, впрочем, распространённым продуктом рекламы являются программы для рассылки спама. Купив такую программу, желающие могут разослать по 90 миллионам адресов предложение купить у них какой-нибудь товар. Спам практически ничего не стоит для отправителя - временем и деньгами за него расплачивается сплошь и рядом жертва рассылки.

Согласно исследованиям GVU, только 9,2% пользователей читают спам сообщения. При этом данная цифра сформирована благодаря пользователям-новичкам, из тех кто провел в сети более 3 лет спам читают лишь 5,4 %.12% пользователей сети пишут возмущенные письма по обратному адресу, а 1,5 % пользователей производят вендетту (это могут быть "почтовые бомбы" в адрес злоумышленника, жалоба провайдеру и т.д.).

Спамерным атакам подвергаются не только корпоративные пользователи сети, но и владельцы домашних PC, имеющих выход в Internet. Этот факт существенно осложняет борьбу со спамом и вовлекает в неё не только самих пользователей, но и широкую общественность. В частности, 1 марта 1999 года Открытым Форумом Интернет-Сервис-Провайдеров был одобрен документ “Нормы пользования сетью” www.ofisp.org (Acceptable Use Policy), который регламентирует нормы работы в сети (в том числе накладывает ограничения на информационный шум (спам)) и обязателен для всех пользователей, а в июле минувшего года Палата Представителей США одобрила меры по борьбе со спамом. Согласно законопроекту, электронное послание должно иметь реальный обратный адрес для того, чтобы получатели спама могли заблокировать его отправителя, нарушение этого закона грозит злоумышленнику штрафом в размере до $150.000. Почему СПАМ это действительно плохо? С практической точки зрения эта проблема раскладывается на несколько компонент (RFC 2505):

1. Объём, т.е. пользователи получают огромное количество спам-сообщений в свои почтовые ящики.
2. В 99% процентах случаев содержание таких писем не коррелирует с интересами адресатов.
3. Для получателей СПАМ стоит реальных денег. Например, те, кто имеют выход в сеть через модем и платят за время, проведенное в Интернет, вынуждены тратить деньги на фильтрацию полезных писем.
4. СПАМ также стоит денег и для тех, кто поддерживает и отвечает за корректную работу почтовых серверов. Предположим, что злоумышленник послал письмо объёмом 10 килобайт 10 000 пользователям на одну ЭВМ. Несложно подсчитать, сколько места займут все его сообщения, а именно 100 мегабайт. А что произойдёт, если спамер не один и отправляет не по одному письму?
5. Большинство спамеров идут на всевозможные уловки, чтоб адресат взглянул хоть краем глаза на их сообщение. Например, пишут письмо таким образом, чтоб получатель подумал, что его с кем-то перепутали, или же помечают письмо так, что якобы внутри него содержится информация запрашиваемая адресатом. Разумеется, о морали и этике здесь не может идти и речи.
6. 85% СПАМа содержат URL вредоносных сайтов.

Первое SPAM-сообщение было послано 3-го мая 1978 года. К 2009 году SPAM оставил более 90% общего трафика для среднестатистического клиента Интернет. В начале 2015 года доля SPAM в почтовом трафике варьируется в пределах от 87,1 до 90,2% (CHIP 3/2015, стр. 69).

Признаки SPAM

• Заголовки <Received> образуют последовательную цепочку, начиная от верхней части сообщения и заканчивая нижней частью.
• Любые заголовки <Received>, расположенные ниже заголовка <Date>, - поддельные.
• Следует обращать внимание на любой заголовок <Received>, в котором имена двух узлов не совпадают. Вероятно, почтовое сообщение было ретранслировано через первый узел (узел, имя которого заключено в круглые скобки, является действительным источником сообщения).
• Заголовок <Received>, имеющий старую дату, вероятнее всего, подделан.
• Поскольку почтовый протокол использует для передачи протокол ТСР, можно сравнить IP-адрес отправителя с IP-адресом имени отправителя, указанному в поле <From:>. Если они не совпадают, весьма вероятно, что это SPAM.
• Сетевая часть заголовка <From> должна согласоваться с последним заголовком <Received>.
• Домен заголовка <Message-Id> должен совпадать с доменом заголовка <From>.
• Следует проверить, нет ли в заголовках <Received> признаков того, что сообщение ретранслировано через посторонний узел.
• Убедитесь, что все перечисленные узлы действительно существуют в базе данных DNS
• Спамеры часто отклоняются от стандартного протокола (RFC-1912), что может быть также индикатором SPAM.
• Поле <From> не должно быть пустым.
• Обилие в тексте опечаток и прочих искажений может также указывать на нелегальную природу сообщения, так как программа рассылки может работать без контроля подтверждений, чтобы скрыть истинный адрес рассылки.

Профессионалы могут попытаться с помощью специального запроса проверить, какой тип операционной системы установлен на машине-отправителе. Если это, например, Windows-ХР, вероятно, эта машина входит в состав botnet и участвует в рассылке спам.

Можно попытаться создать отправителю почтовых сообщений нештатную ситуацию, например, послав отклик 451 (временная недоступность) Please try again later. Нормальный почтовый сервер прервется и обязательно повторит попытку позднее. Сервер рассылки SPAM обычно этого не делает.

Вообще тщательный контроль следованию SMTP-протоколу может быть указанием на добротность почтового сервера. Например, при установлении соединения получатель должен послать отклик 200 mail.example.com ESMTP Service ready. Машина-отправитель должна подождать этого отклика и не должна ничего посылать до этого. Если SPAM-фильтр задержит этот отклик, а отправитель начнет посылку сообщения, не дожидаясь отклика, получатель может решить, перед ним типичный спамер.

Распознать спам-сообщение можно и после его получения. Например, если для большого числа клиентов сети с одного и того же адреса пришли идентичные или почти идентичные сообщения, это может считаться признаком SPAM. Кроме того, отправитель спам-сообщения должен предоставит адресату какую-то контактную информацию (номер телефона, почтовый адрес или URL). Нужно свериться с репутационной базой данных и проверить, нет ли там этих координат. Иногда спамеры оформляют свои сообщения как ответ на запрос клиента локальной сети. Можно проверить, был ли такой запрос и, если такого запроса не было, пометить такое сообщение как SPAM.

Часто спамеры вводят в текст сообщений некоторые символы или слова, чтобы сообщения, направленные разным адресатам отличались. Таким образом они надеются обойти входной спам-фильтр. Но так как эти символы/слова вводит программа, они повторяются и сами могут стать признаками SPAM, которые сможет использовать фильтр.

Продвинутые фильтры используют статистический анализ сообщений (частота использования определенных слов и т.д.). Конечно, это не может дать 100%-ного распознавания, но в сочетании с другими критериями и методами может поднять эффективность фильтрации.

Дополнительная информация может быть найдена по адресу www.ferris.com.

Целью SPAM может быть (смотри Spam, Spammers, and Spam Control):

• Легальная реклама товаров и услуг. В России это возможно, так как за SPAM рекламодатель ответственности не несет, а такой вид рекламы дешев и может быть целевым.
• Реклама фальсифицированных товаров, например, часов, фармацевтических товаров, парфюмерии, кроссовок и т.д.
• Порнография и проституция
• Спекуляции на бирже, когда продавцы и покупатели акций договариваются и создают иллюзию активной продажи акций, поднимая таким образом их цену (Pump & Dump)
• Phishing (разновидность мошенничества)
• Рассылка троянских коней или других видов вредоносных кодов с целью формирования botnet.
• Рассылка политических пропагандистских или провокационных материалов

Большая часть SPAM рассылается с помощью взломанных машин-зомби, но могут использоваться прокси и почтовые ретрансляторы, как это показано на рис. 1.

Рис. 1. Обход фильтра SPAM

Спамеры используют множество разнообразных приемов, чтобы SPAM-фильтры их не распознали. Это и замена обычного или HTML-текста рисунком, размещение SPAM-сообщения внутри произвольного изменяемого текста, напечатанного супермелкими буквами и т.д. и т.д.

Некоторые методы фильтрации SPAM используют специальные "черные" списки машин, вовлеченных в такую рассылку. В такой список может попасть и машина, владелец которой об этом может и не подозревать (просто его ЭВМ была взломана ранее). Хозяин такой машины может столкнуться с проблемой недоставки своих сообщений (некоторые почтовые серверы будут считать их спамом). Если такая машина была ранее использована хакером для попыток взлома других машин, ее IP-адрес может быть включен в ACL или репутационный список. В этом случае доставка может блокироваться маршрутизатором или сетевым шлюзом. Так что пользователям имеет смысл следить за состоянием своей машины (например, использовать встроенный Firewall, который может детектировать попытки несанкционированного выхода машины в Интернет), иначе не избежать побочных неприятных эффектов. Обычно SPAM-фильтры производят оценку вероятности того, что конкретное сообщение является спамом по совокупности параметров.

В последнее время фильтрацией SPAM начали заниматься сервис-провайдеры, предоставляя этот вид услуг как SaaS.

Следует, впрочем, понимать, что спамеры внимательно изучают принципы построения SPAM-фильтров и предпринимают контрмеры. Botnet с числом машин 600.000 позволяет рассылать до 40 миллиардов SPAM-сообщений в сутки (см. Michael Kassner. "Is the Infamous Waledac botnet out of the picture or not?". 2009.). Пока наиболее эффективным средством борьбы со SPAM является блокировка доменов, участвующих в рассылке таких сообщений (см. Botnets: Web-hosting site closed down and spam drops 50 percent, а также The top 10 SPAM botnets: new and improved). 80% всего объема SPAM приходится на эти десять botnet. Эти сети посылают до 135 миллиардов SPAM-сообщений в день.

• Избегайте использования слов и выражений, которые запускают систему защиты против спама. Смотри списки ключевых слов, например, Ключевые слова и выражения - признаки SPAM (например, все исключительно натуральное, подарочный сертификат, бесплатный, бесплатное участие, бесплатный хостинг и т.д. и т.п.)
• Минимизируйте использование цветных шрифтов
• Предпочтительно используйте простой текст, а не HTML
• Не используйте без нужды приложения, лучше вставлять их в текст письма.
• Ни в коем случае не рассылайте SPAM, даже в качестве исключения. Например, не переадресуйте заинтересовавшее вас SPAM-сообщение своим друзьям или знакомым
• Не используйте слово test в поле subject, многие фильтры выбрасывают такие сообщения.
• Строка subject должна быть по возможности оригинальной
• При необходимости реализовать циркулярное уведомление о распродаже оборудования или о предстоящей конференции по возможности проконсультируйтесь с профессиональным специалистом по маркетингу.
• Используйте подписные листы с осторожностью, чтобы исключить попадания вашего почтового сервера в репутационный список.

Проверка попадания компьютеров в "черные" списки осуществляется по адресу http://mxtoolbox.com, далее можно перейти к списку, кликнув blacklists, после этого вводится имя почтового сервера или домена <server or Domain>. Проверка происходит для совокупности известных "черных" списков.