← Сентябрь 2004 → | ||||||
2
|
3
|
4
|
5
|
|||
---|---|---|---|---|---|---|
6
|
7
|
9
|
10
|
11
|
12
|
|
13
|
14
|
16
|
17
|
18
|
19
|
|
20
|
21
|
23
|
24
|
25
|
26
|
|
27
|
28
|
30
|
За последние 60 дней ни разу не выходила
Сайт рассылки:
http://www.securelist.com
Открыта:
09-06-2003
Статистика
-1 за неделю
Электронный журнал "Спамтест". Все о борьбе со спамом
Информационный Канал Subscribe.Ru |
Письма неделиСамое необычное предложение "Привет"
Самые массовые По количеству разосланных экземпляров, а также по количеству повторов (одинаковых сообщений в одном и том же ящике) письма недели - лидируют письма "Английзский с преподавателями из С Ш А" и "вам доставлено сообщение". Эти письма вы найдете на сайте Спамтест. "вам доставлено сообщение" Это типичное объявление из сферы недвижимости "молодая семья снимет квартиру без посредников...". Мы часто встречаем такие бумажные объявления, расклеенные на столбах и остановках. Так же как и в случае бумажных объявлений, это письмо - фальшивка, за которой скрывается тот самый "посредник" или агентство по недвижимости. На сайте Спамтест приведены несколько экземпляров письма. Молодые пары везде указаны разные, а телефон один и тот же, да и стиль вполне узнаваем.
Технология SPF - внедрять или подождать?В последние месяцы технология SPF (Sender Policy Framework) получила мощную публичную поддержку во многих изданиях. Вероятно, наиболее существенную роль в этом сыграла поддержка стандарта SPF/SenderID компанией Microsoft - в результате многие западные игроки интернет-рынка поспешили "засветиться" вместе с Микрософтом.
В большинстве публикаций верификация отправителя с помощью SPF преподносится как "серебряная пуля" - как технология, способная решить проблему спама раз и навсегда. На самом деле это не совсем верно, или даже совсем неверно, поскольку SPF, решая одни проблемы, создает другие (это вообще свойство любых новых технологий).
Наличие серьезных проблем в применении стандарта SPF при практическом отсутствии критических публикаций вынудило автора написать статью "Технология SPF - за и против". В этой статье много внимания было уделено как проблемам SPF, так и рекомендациям по относительно безболезненному их решению.
Вышеуказанная статья вызвала бурные отклики, на которые нужно ответить. Кроме того, автором были накоплены дополнительные данные о применимости SPF в сегодняшних условиях. Все это требует повторного обращения к данной теме. Таким образом, настоящую статью следует рассматривать как дополнение (или как продолжение дискуссии) к предыдущей статье.
Чтобы не заставлять читателя перечитывать предыдущий текст, необходимо здесь (максимально кратко) изложить самые общие сведения об SPF:
При использовании SPF в качестве антиспам-средства результат анализа SPF-политики можно использовать несколькими способами:
Первый способ, очевидно, будет применяться в простых антиспам-системах, возможно, по очереди с другими жесткими методами (например, сначала проверяем по RBL, если письмо не отвергнуто, - по SPF, потом по Байесу; другими словами, все используемые антиспам-методы независимы друг от друга). Далее этот случай рассматривается в разделе "SPF как независимое антиспам-средство".
Второй способ заключается в том, что сначала производится получение данных от всех используемых антиспам-методик, а затем - их комплексный учет (например, как в известном антиспам-фильтре SpamAssassin - каждое правило дает сколько-то "очков", решение о статусе письма принимается по сумме очков).
Такое поведение характерно для сложных антиспам-систем, применяемых в первую очередь в крупных почтовых сервисах и у провайдеров (ISP). В таких организациях антиспам-система критична для бизнеса, и на ее настройку можно потратить значительные ресурсы. Этот случай рассмотрен ниже, в разделе "Использование SPF совместно с другими антиспам-средствами".
Независимо от способа использования политик SPF, эффективность технологии SPF будет определяться распространенностью самой технологии, и "средней" по Интернету SPF-политикой.
Определить эти параметры можно только экспериментальным путем - анализируя доступные потоки почты.
Автор проанализировал SPF-статусы у 20464 спам-сообщений и 990 не-спам сообщений, пришедших к нему в течение 5 недель летом 2004 года. Обе выборки были просмотрены вручную, с тем, чтобы в выборке спама не было нормальных сообщений и наоборот .
Было получено следующее распределение статусов SPF:
Таблица 1
Из этих данных следуют два интересных вывода:
Конечно, автор отдает себе отчет, что выборка личной почты может быть смещенной (ниже приводятся данные по второй, довольно представительной выборке из нескольких миллионов сообщений на публичном почтовом сервисе).
Автор имел возможность проанализировать SPF-статус 8 миллионов E-mail сообщений, полученных на одном из крупных почтовых сервисов в течение нескольких дней августа. Из рассмотрения были исключены сообщения от пользователей системы, рассматривался только поток из внешнего мира.
Согласно полученным данным, SPF-статус отличный от none (none означает, что SPF не поддержан на стороне отправителя) для данного потока почты имеют на сегодня 8.35% всех сообщений. Все прочие SPF-статусы распределились таким образом:
Таблица 2
Как видно из таблицы, интересный с точки зрения борьбы со спамом статус (pass или fail) имеют 3.8% всех сообщений.
Это и есть оценка сверху эффективности SPF в качестве антиспам-решения на сегодняшний день. Каким бы способом не учитывалась политика SPF в антиспам-средствах, только одно сообщение из 26 имеет сколько-нибудь "интересный" статус.
Рассматривая использование SPF в качестве источника дополнительных данных для комплексной антиспам-фильтрации, необходимо учитывать современный уровень технологий фильтрации спама - без использования SPF.
Вот каковы в настоящее время средние параметры подобных систем:
Как говорилось выше, при использовании SPF совместно с другими способами фильтрации спама польза от заключения фильтра, основанного на проверке политики SPF, будет крайне небольшой - поскольку значимый SPF-статус имеют всего несколько процентов сообщений. Из показателей "обычных" фильтров видно, что при этом большая часть спама может быть определена и без использования SPF-данных.
Следовательно, нам интересны только те случаи, когда SPF-статус письма и результат анализа по другим признакам противоречат друг другу - тогда вклад от SPF может оказаться существенным для изменения классификации сообщения.
В таблице приведены данные классификации рассматриваемой подборки из 8 млн. сообщений, проверенных фильтром Spamtest, и их SPF-статусы. В таблице 3 приведены данные только по тем письмам, которые имеют статус по SPF, отличный от нейтрального статуса (т.е. neutral, none или ошибка). Доли показаны относительно всего потока почты.
Таблица 3
Жирным шрифтом в таблице выделены те случаи, когда статус по SPF и статус, полученный анализом других признаков письма, противоречат друг другу.
Как мы видим, SPF может помочь антиспам-фильтру "поймать" спамерское письмо менее чем в 1% всех случаев - это и есть оценка сверху эффективности SPF как добавки к имеющемуся антиспаму.
Впрочем, с тем же успехом SPF может, наоборот, помешать анализу. Как показано выше, ложный (с точки зрения классификации спам/нормальная почта) статус Pass был получен для 0.42% спам-сообщений, и ровно эту величину мы видим в таблице 3 (0.277 + 0.161%).
С точки зрения улучшения качества антиспам-системы, интереснее всего сочетание Not Spam/SPF fail и Not Spam/SPF softfail в таблице 3. В эти категории попадают:
Какой-либо дополнительной информации, позволяющей разделить эти два случая, SPF нам не дает. Другими словами, принять решение о статусе письма антиспам-фильтр должен на основании других данных - как и в случае отсутствия SPF у отправителя.
Вместе с тем, SPF обладает несомненной пользой как способ обратной связи между антиспам-фильтром и отправителями не-спам сообщений (включая сюда подписные массовые рассылки). В частности, при детектировании сообщений по частотности (повторяемости) подписные неанонимные рассылки (не спам) и спам-сообщения воспринимаются антиспам-системой одинаково. Использование SPF как "белого списка" поможет такие случаи различить. Впрочем, не следует забывать, что этот механизм будет доступен всем, в том числе и спамерам (и для рассылки спама уже используется).
Проблема пересылок почты является наиболее серьезным препятствием на пути внедрения SPF. Суть ее заключается в том, что при пересылке почты через "посредников", третье (и далее) звено пересылки получают сообщение вовсе не с тех адресов, которые разрешены SPF-политикой отправителя. При этом отправитель, как правило, не знает, через каких посредников пройдет его письмо, и не может добавить их список к своей SPF-политике.
В качестве посредников могут выступать:
Во всех этих случаях в проверке SPF участвует адрес (домен) отправителя и IP-адрес пересыльщика. В результате, если в SPF-политике отправителя указано ': список... -all', то это будет истолковано как прямое пожелание отправителя не принимать пересылаемые письма. Как правило, на самом деле отправитель желает чего-то другого и просто не принимает во внимание проблему пересылок.
Для решения проблемы пересылок предложены такие решения:
Все три способа требуют модификации программного обеспечения почтовых серверов везде, где может происходить пересылка. То есть практически везде.
Следует также заметить, что простой подменой отправителя проблему решить нельзя: сохранение адреса исходного отправителя часто необходимо. В процессе пересылки сохранение адреса отправителя используется, например, для доставки почтовых квитанций (о недоставке или о доставке).
Таким образом, простая подмена адреса отправителя на транзитном сервере не годится, нужен более сложный механизм, чтобы обеспечить доставку квитанций обратно вдоль всего пути, но не открыть при этом "открытый релей" на исходного отправителя.
Модификация SMTP-протокола является более разумным решением. Проблема в том, что имеющиеся предложения пока являются только предварительными версиями описаний. Реализаций нет.
Извлечение необходимых данных из заголовков письма не требует изобретения новых сущностей, но означает, что письмо нужно сначала принять, потом определить транзитного отправителя, а потом - принять решение о приеме письма.
Резюмируя: на сегодняшний день не существует легкого решения проблемы совместимости SPF и легальных пересылок почты. Предлагаемые решения далеки от совершенства, вероятность их массового внедрения за короткое время представляется невероятной.
Тот факт, что из-за SPF сегодня происходит недоставка почты, глупо подвергать сомнению - это происходит, и прецеденты автору известны.
Проблема пересылок является наиболее болезненной для технологии SPF и сторонников ее внедрения, наибольшее число откликов на первую статью касалось именно этой проблемы. В целом возражения сводятся к следующим положениям:
Отвечаю по порядку:
Несмотря на все описанные выше ужасы, решение, пригодное для массового внедрения отправителями, имеется. Оно заключается в публикации мягкой SPF-политики по умолчанию (т.е. политика должна заканчиваться на ?all или ~all). Судя по всему, так сейчас все и делают - доля статусов softfail и neutral втрое выше, чем у fail (табл. 2). Проблема только в том, что это резко снижает эффективность SPF.
Второе решение заключается в широком использовании exists - но на сегодня для этого нет готовых решений, придется программировать самостоятельно. Exists, впрочем, создает свои проблемы (см. раздел 5.2).
Мнение автора: имеющиеся проблемы с пересылаемой почтой приведут к массовому внедрению более мягких SPF-политик, чем это могло бы быть сделано. Авторам технологии SPF следовало бы решить проблему заранее (или выбрать другую технологию), а сегодняшняя ситуация приведет к тому, что SPF будет куда менее полезной для борьбы со спамом, чем это было бы возможно.
Суть проблемы "политики по умолчанию" заключается в следующем:
Сама по себе идея умолчаний - не так плоха, если используются такие значения, которые не могут ухудшить ситуации. Другими словами, если используются только разрешительные умолчания (например, 'a/24 mx/24 ?all').
Однако, разрешительные умолчания не решают задачи борьбы со спамом (так как ничего не запрещают), а цель внедрения SPF - именно антиспам.
В результате, в настоящий момент массово внедряются умолчания вида 'a/24 mx/24 -all', означающие, что почту от домена можно принимать из подсети (диапазона IP-адресов), где расположен сервер домена (обычно это Web-сервер), а также из подсети, где расположены почтовые серверы домена, и более ниоткуда. Таким образом, если у какого-то отправителя почтовые серверы "на прием" и почтовые серверы "на отправку" расположены в разных подсетях, то почта с такого домена приниматься не будет, даже если она легальна.
Данная проблема не связана с технологией SPF как таковой, она связана с конкретными реализациями технологии и конкретными системными администраторами, которые настраивают излишне-жестокие правила фильтрации. Похожая проблема связана с использованием "политических" RBL-списков (SPEWS и подобные).
Таким образом, с учетом "угадывания" SPF политики на принимающей стороне публикация какой-либо (мягкой) SPF-политики может оказаться лучше, чем ее отсутствие.
Официальный сайт по SPF (spf.pobox.com) предлагает два описания стандарта - marid-protocol-00 (текущая версия протокола по версии spf.pobox.com), от 11 июля 2004 года и 'SPF-classic' от мая того же года.
Одновременно, рабочая группа MARID предлагает уже более новую версию стандарта SenderID - marid-protocol-02 от 13 августа текущего года.
К удивлению автора, новая версия протокола несовместима со старой, в частности:
При этом описание SPF-classic официально устаревает в сентябре 2004, marid-protocol-00 - в январе 2005.
Возникает резонный вопрос: какая версия протокола должна быть выбрана, если я прямо сегодня хочу опубликовать SPF-записи в DNS? SPF-Classic или SPF/2.0? Первая - поддержана в программном обеспечении, но устаревает через месяц. Вторая - нигде не поддержана пока, но это явно - mainstream.
Ответа на этот вопрос у автора нет, он просто хочет обратить внимание читателей на тот факт, что описание технологии еще явно не устоялось, слишком раннее внедрение имеющихся реализаций может привести к тому, что через небольшое время придется перевнедрять.
В недавней публикации сотрудников Яндекса "Для чего нужен SPF", оспариваются следующие тезисы:
Полученная критика требует ответов, которые приведены далее.
Поддержка SPF на стороне получателя вынуждает почтовый сервер получателя делать DNS-запросы для получения SPF-политики отправителя. Конечно, почтовый сервер делает и другие DNS-запросы, например, получает имя посылающего сервера по его IP-адресу (это необязательно, но практически всегда делается), а также, возможно, делает запросы к RBL.
Как известно на примере RBL, крупные почтовые сервисы вынуждены кэшировать DNS-запросы, то есть держать у себя локальные копии используемых RBL-списков, а не обращаться к ним удаленно. Это делается именно по той причине, что DNS-запрос может быть достаточно долгим. Скажем, при потоке в 100 сообщений в секунду, каждая лишняя секунда ожидания в почтовом сервере добавляет 100 лишних копий почтовой программы на принимающей стороне. А ведь DNS-таймаут в стандартном DNS-клиенте - до 75 секунд.
Но в отличие от RBL-_баз, сделать локальную копию всех SPF-записей всего мира - мягко говоря, затруднительно.
Таким образом, мы создаем второй "тяжелый" DNS-запрос, т.е. увеличиваем нагрузку минимум вдвое.
В случае нормального функционирования DNS, создаваемая SPF дополнительная нагрузка может быть и приемлемой. А может быть - неприемлемой, если без SPF загрузка почтового сервиса и так была близка к предельной.
Проблемы начнутся, например, если DNS-сервер домена отправителя не отвечает. Более того, таким образом совершенно нетрудно провести DoS-атаку на получателя почты, так как DNS-серверы, к которым будет обращаться SPF-модуль на приемной стороне, выбираются именно отправителем (подстановкой нужного домена отправителя). Делается это так: выбираем (или делаем) домен с DNS-сервером, который не отвечает на запросы, затем шлем письма с отправителем из такого домена и наблюдаем, как почтовые серверы получателя ждут окончания DNS-таймаутов.
При использовании метода exists, предусмотренного стандартом SPF, отправитель может, при правильном использовании SPF-макросов, получать следующие данные со всех пунктов пересылки сообщения:
Естественно, все эти данные приходят только с тех почтовых серверов, где включена поддержка SPF.
Таким образом, если кто-либо хочет изучить структуру пересылки почты внутри какой-то компании, то он может а) выбрать домен и создать к нему SPF-запись с exists; б) послать сообщение с отправителем из выбранного домена. Допустима ли подобная "открытость" компании - пусть решают специалисты по безопасности.
Вторая проблема связана с возможностью верификации спам-баз спамерами. Используя exists, можно быстро проверить адреса в домене (опубликовавшем запись с exists) на актуальность.
На это рассуждение обычно возражают, что путем простой посылки почты на изучаемый почтовый сервер тоже можно провести такую проверку. Однако:
Поддержка SPF заключается в двух независимых действиях:
Публикация SPF-политики, несомненно, полезна. Даже если вы не страдаете от спама, рассылаемого от имени вашего домена, явное описание легальных источников почты из вашего домена может помочь прохождению легальной почты от вас через антиспам-фильтры, особенно если на принимающей почту стороне используют додумывание SPF-политики за вас (best guess).
Описывая SPF-политику, следует явно включить в нее все ваши серверы, с которых может исходить почта. Более простое решение заключается в описании всего адресного пространства.
Ваша SPF-политика должна быть "мягкой" т.е. оканчиваться на ?all или ~all. В противном случае, у вас могут возникнуть проблемы с теми письмами из вашего домена, которые пересылаются (forward) на пути к адресату.
Слишком мягкая политика "по умолчанию" тоже может быть воспринята неверно. Если в вашей SPF-политике будет указано +all (т.е. вы явно хотите сказать всему миру, что письма из вашего домена могут приходить откуда угодно), то есть неплохой шанс, что такая политика будет проигнорирована - ибо домены с такими SPF-записями уже используются спамерами.
При использовании SPF на стадии приема почты необходимо учитывать такие соображения:
Другими словами, использовать SPF в качестве дополнительного признака при фильтрации спама - можно. Принятие решений на основе только SPF не принесет большой пользы при фильтрации спама, но может привести к отвержению нормальной почты.
Мнение редакции не всегда совпадает с мнением авторов материалов.
(C) ЗАО "Ашманов и Партнеры", 2003-2004 | |
http://subscribe.ru/
http://subscribe.ru/feedback/ |
Адрес подписки |
Отписаться |
В избранное | ||