Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 69 в этом номере: Новости Спам - статистика за неделю 20-26 сентября 2004 г. Office Outlook: сам в поле воин Игорь Гордиенко Новости IETF расформировал MARID 22.09.2004 Internet Engineering Task Force раcпустил рабочую группу MARID (MTA Authorization Records In DNS). Это означает конец планов IETF по выработке единого стандарта аутентификации отправителя e-mail. Причиной расформирования рабочей группы послужили, в частности, отклонение MARID технологии Sender ID как стандарта аутентификации отправителя e-mail и возникшие в связи с этим проблемы. В сообщении о роспуске группы говорится, что членам группы при обсуждении возможных стандартов, несмотря на предпринимаемые усилия, не удалось достичь консенсуса в основных вопросах. Напомним, что MARID принимала решение относительно Sender ID на фоне отсутствия поддержки технологии со стороны сообщества open source и претензий, предъявленных адвокатами open source к лицензии Microsoft. Кроме того, America Online Inc. отказалась поддерживать Sender ID, сохранив проверку входящей почты миллионов своих клиентов с использованием SPF. Apache Software Foundation также заявил, что не будет поддерживать Sender ID в связи с проблемами лицензирования. Судя по всему, принятие единого стандарта аутентификации, если и не отменяется, то откладывается, и пока будут использоваться различные технологии. Автор стандарта SPF и соавтор Sender ID Мен Вонг (Meng Wong) вообще считает, что разнообразие - это преимущество, а не предмет для войны стандартов. Вонг вернулся к внесенному ранее на рассмотрение MARID и забытому из-за Sender ID предложению Unified SPF. Это сеть, которая может поддерживать одну и более систем аутентификации отправителя в зависимости от настроек системного администратора. "Говорить, что мы должны стандартизировать одну систему аутентификации - все равно, что настаивать на том, что все бензоколонки должны продавать исключительно высокооктановый бензин и совсем не продавать дизельное топливо", - сказал Вонг и отметил, что сторонникам тех или иных стандартов аутентификации Unified SPF даст возможность их использовать. Источник: TechWeb (Yahoo) SpamAsassin сменил лицензию 22.09.2004 Новая версия SpamAsassin 3.0 может похвастаться не только техническими улучшениями, но и сменой лицензии. Отныне SpamAsassin распространяется на условиях Apache License. Если говорить о технических улучшениях в новой версии, то в ней присутствует: поддержка SPF, SURBL, plugins, хранение auto-whitelist и Bayes в SQL базе, новые правила, а также увеличение скорости проверки сообщений. Кроме того, была введена система подключаемых модулей для настройки программы под персональные нужды. Ранее SpamAsassin распространялся по двойной лицензии - GNU GPL и Perl Artistic License. Для смены лицензии создателям SpamAsassin пришлось получить согласие всех программистов, чьи программы используются в SpamAsassin, а их около 100. Источник: CNET News.com Эксперты считают, что аутентификация отправителя не остановит спам 23.09.2004 Даже повсеместное внедрение технологии аутентификации почтовых сообщений не остановит поток спама. Таково мнение подавляющего большинства экспертов в сфере ИТ-безопасности, которых опросила компания BlackSpider Technologies на европейском саммите по безопасности IT Security Summit. 66% опрошенных уверены, что технологии аутентификации будут широко применяться уже в самом ближайшем будущем. При этом 90% не верят, что это может остановить спам. Половина опрошенных специалистов полагает, что внедрение аутентификации скорее изменит методы рассылки спама, чем остановит его. 49% респондентов считают, что если объем спама будет расти такими же темпами, как сейчас, то электронная почта перестанет использоваться через 10 лет, 33% полагают, что в таком случае она станет бесполезной в течение одного-двух лет. По результатам исследований BlackSpider Technologies доля спама в почтовом трафике составляет 67%, причем за последний месяц она увеличилась на 4%. 32% опрошенных считают, что правительство должно взять на себя ответственность и бороться со спамом с помощью законодательства, 30% полагают, что противостоять спаму должны интернет-провайдеры. 1% опрошенных считают, что проблему спама должна решать корпорация Microsoft. По мнению 13% респондентов, несмотря ни на какие усилия, спам не победить никогда. Джон Чейни (John Cheney), CEO компании BlackSpider Technologies, полагает, что аутентификация дает пользователям ложное чувство безопасности, поскольку первыми, кто приспособится к новой системе, будут спамеры. IT Security Summit проходил в Лондоне 21-22 сентября. Источник: www.netimperative.com Panda Software включает антиспам-фильтры в свои продукты 24.09.2004 Panda Software, известный разработчик продуктов для борьбы с вирусами и вторжениями, объявила о заключении соглашения с компанией Mailshell. По условиям соглашения, Panda Software будет интегрировать механизм защиты от спама Mailshell в свои корпоративные и персональные защитные программные продукты. Модуль защиты от спама Mailshell при тестировании письма на принадлежность к спаму выполняет более 300000 проверок. Механизм Mailshell способен выполнять тысячи расчетов за доли секунды и, как говорится в сообщении, "способен показывать точные результаты в распознавании спама". Финансовые условия сделки Panda Software с калифорнийской компанией пока не разглашаются, однако стало известно, что движок Mailshell будет установлен в программы по обеспечению компьютерной безопасности, выпускаемые как для предприятий, так и для отдельный пользователей. По словам Хосе Мария Хернандеса, вице-президента департамента международного сотрудничества Panda, использование антиспамерской разработки Mailshell защитит клиентов компании не только от почтового мусора, но и от различных вирусных атак. Источник: Softkey.info Microsoft подала иск против хостинг-провайдера спамерского сайта 25.09.2004 Microsoft подала 9 новых исков против спамеров, в том числе против компании, осуществляющей хостинг сайта, рекламирующего услуги спамерам. Иск возбужден как против компании National Online Sales и ее владельца, так и против тех, кто воспользовался их услугами. Это первый случай подачи иска на хостинг-провайдера сайта, обслуживающего спамеров и предлагающего свои компьютеры для поддержки спамерских веб-страниц и рассылки спама. Однако закрыть сайт власти США не смогут, поскольку все операции осуществляются в Китае. В настоящее время Microsoft участвует более чем в 100 антиспамерских судебных разбирательствах, причем 70 из них проходят в США. Источник: USA Today Услуги Hotmail для части пользователей станут платными 27.09.2004 Доступ к почтовому ящику на Hotmail из Outlook теперь будет платным. Таким образом Microsoft намерена бороться со спамерами, которые осуществляют рассылки, используя возможности Hotmail. Представители Hotmail сообщили, что спамеры используют скрипты для быстрой рассылки большого числа писем из Outlook или Outlook Express, и их активность, зафиксированная Hotmail, возрастает. Для предотвращения подобных действий, начиная с этой недели, доступ к веб-вервису через Outlook для новых клиентов будет платным. Для существующих пользователей доступ останется по-прежнему бесплатным, но, начиная со следующего месяца, им будет необходима регистрация. А уже к апрелю следующего года доступ к веб сервису через Outlook будет платным для всех пользователей Hotmail. Новшество будет актуальным приблизительно для 5% из 187 миллионов пользователей Hotmail (9,4 миллиона). Стоимость использования сервиса Hotmail Plus составит $19.95 в год, MSN Premium - $99.95 в год. Еще один шаг в направлении предотвращения использования Hotmail для рассылки спама - ограничение количества исходящих сообщений. Со следующей недели с одного аккаунта можно будет отправить лишь 100 писем в день. Hotmail обещает отслеживать нарушителей и закрывать спамерские аккаунты. Источник: PC World Vircom и 3-SOFT Group объявили о запуске антиспамового сервиса 27.09.2004 Канадские компании Vircom (разработчик решений по безопасности почтовых систем для ISP и корпоративных клиентов) и 3-SOFT Group объявили о запуске антиспамового сервиса. Сервис, который поддерживает Noxent, подразделение 3-SOFT, вооружен технологией Modus, разработанной Vircom. Новый сервис защитит клиентов, перенаправляющих свою входящую почту на сервер, от спама, "фишинга", мошеннических писем и писем, содержащих вирусы. Блокированные письма не достигнут почтовых ящиков клиентов, а будут храняться в карантине, легко доступном для пользователей. Новый антиспамовый сервис с весны работает в тестовом режиме и уже набирает клиентов. Представители Noxent с энтузиазмом оценивают его возможную популярность и строят планы на будущее. Источник: Yahoo Вторая национальная конференция "Проблема спама и её решения" На сайте Спамтест опубликованы темы и аннотации докладов. Конференция - это интересная и полезная информация, общение с ведущими специалистами, новые перспективные знакомства. До начала работы конференции осталось меньше месяца. Если Вы планировали участвовать, но еще не зарегистрировались, - поторопитесь! Спам - статистика за неделю 20 - 26 сентября 2004 г. Ашманов и Партнеры Объем спама За прошедшую неделю общий объем спама вырос до 85 %. Примечательно, что рост во многом произошел за счет увеличения иноязычных тематик, т.е. спама на английском, китайском, корейском и других иностранных языках. Также продолжается рост спама тематики "Для взрослых", в основном, увеличение объема этой тематики идет за счет предложений купить виагру и прочие препараты, усиливающие потенцию. Популярные тематики No Тематика Описание %% от общего объема Изменение за неделю 1 Для взрослых Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом 18% +5% 2 "Здоровый образ жизни" и "Медикаменты" Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 14% +5% 3 Образование Реклама семинаров, тренингов, курсов 13% +3% 4 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 7% Без изменений 5 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 6% +1% 6 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 5% +1% 7 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. менее 2% Без изменений Самое массовое письмо недели Одним из самых массовых на этой неделе было письмо, в котором нет абсолютно никаких предложений - просто бессмысленный набор символов. Например, вот такой: юаяа ыоуа у аю яаю юяюи ыи ю уую у и о у Велика вероятность того, что это просто тестовая рассылка - спамеры тестируют новое ПО, а заодно проверяют актуальность баз адресов. Самые оригинальные предложения почти мантра Космическое изобилие проявляется потоком денег в моей жизни. Предложение "Хотите уникальную денежную корову?" вы найдете на сайте Спамтест. Office Outlook: сам в поле воин Игорь Гордиенко Outlook, входящий в ряд комплексов Microsoft Office, вероятно, является самым распространенным почтовым клиентом. К нему приспособлены фильтры спама большинства производителей, в частности, Symantec и MacAffee. Однако Outlook обладает и собственными встроенными возможностями фильтрации, которые от издания к изданию становятся все более совершенными. Возможности фильтрации Фильтр нежелательной почты включен в Outlook как встроенный компонент. При фильтрации спама используются несколько списков надежных и заблокированных отправителей. Технология фильтрации является know-how, разработанным Microsoft Research. Заявлено, что при определении вероятности принадлежности письма к нежелательной почте проводится комплексный анализ совокупности признаков сообщения и принимается во внимание определенный набор таких факторов, как время отправления, отправитель, его адрес и характер содержимого письма. Система не является обучаемой и, в отличие от систем, работающих на основе применения принципа Байеса, самостоятельно опыта не накапливает. Для полноценной работы фильтра в системе Outlook 2003 необходимо установить первый пакет обновлений (SP1) для Microsoft Office 2003. Впрочем, предпочтительно отслеживать появляющиеся обновления регулярно. По умолчанию в фильтре установлен низкий уровень защиты, рассчитанный на перехват заведомо нежелательных сообщений. Можно установить и более жесткие режимы фильтрации, но тогда, естественно, возрастает вероятность попадания востребованных писем в категорию "нежелательных". Все сообщения, перехваченные фильтром как спам, помещаются в папку "Нежелательные письма". Эта папка создается при обнаружении первого сообщения, определенного как нежелательное, и располагается в общем списке папок. Сохраняется возможность впоследствии извлекать и просматривать помещенные туда письма. При настройке параметров фильтра можно задать и такой режим, когда отнесенные к спаму сообщения будут удаляться безвозвратно. Однако при этом существует вероятность утраты полезных сообщений, ошибочно распознанных как спам. Взаимодействие с системой В отличие от многих других систем антиспама, построенных автономно от конструкций почтовых программ, в Outlook возможности фильтрации сообщений встроены органично и легко доступны. Взаимодействие с системой фильтрации в Outlook осуществляется через пункт основного меню "Действия", где в падающем меню выбирается "Нежелательная почта" с последующим раскрытием меню низшего уровня. Появившееся боковое меню следующего уровня самоочевидно, особенно если версия системы русскоязычная. Среди пунктов последнего меню есть "Параметры", позволяющие задавать конфигурацию и режимы работы системы. Замечу, что настройка в Outlook гораздо легче, чем в системах, построенных на основе идеологии open sources. Вот, собственно, описание интерфейса взаимодействий. Списки В системе фильтрации Outlook присутствуют пять списков почты: надежные отправители, востребованные доменные имена или адреса электронной почты подписок, блокированные отправители, блокированные кодировки, блокированные домены верхнего уровня. Чтобы добавить элемент в список надежных отправителей, надежных получателей или заблокированных отправителей, выполните следующие действия: Щелкните нужное сообщение правой кнопкой мыши. Выберите пункт "Нежелательная почта", а затем выберите команду "Добавить в список надежных отправителей", "Добавить отправителя в список заблокированных отправителей" или "Добавить получателя в список надежных получателей". Если списки надежных и заблокированных имен доменов и электронных адресов уже существуют, их можно импортировать в Microsoft Outlook 2003. Для этого их следует представить в формате текстового файла (.txt), в каждой строке которого содержится только одна запись, а затем ввести в Outlook, используя последовательность шагов "Действия > Нежелательная почта > Параметры нежелательной почты > Заблокированные отправители > Импорт из файла". Список "Надежные отправители" Адреса электронной почты и имена доменов, перечисленные в списке "Надежные отправители", никогда не обрабатываются как нежелательные, независимо от содержания сообщения. Адреса электронной почты, включенные в адресную книгу, по умолчанию включаются в этот список. Поэтому сообщения от лиц из папки "Контакты" не будут обрабатываться как нежелательные. Адреса электронной почты лиц, которые не присутствуют в списке "Контакты", но с которыми переписка ведется постоянно, включаются в этот список по умолчанию при установке флажка "Добавлять отправителя в список надежных отправителей". Если имя адресата или адрес электронной почты находится как в списке блокированных отправителей, так и в списке надежных отправителей, последний получает приоритет. Если некое сообщение ошибочно помечается фильтром как нежелательное, его отправителя следует добавить в список надежных отправителей. Список "Заблокированные отправители" Первоначально Outlook содержит некоторый набор заблокированных сайтов. Пользователь может блокировать сообщения с определенных адресов или доменов, добавляя отправителей в этот список. Сообщения от пользователей или из доменов, перечисленных в этом списке, всегда рассматриваются как нежелательные, независимо от содержимого сообщения. При добавлении имени отправителя или адреса электронной почты в список заблокированных отправителей сообщение, полученное от него, автоматически перемещается в папку "Нежелательная почта". Наименования конкретных адресов имеют приоритет над именами доменов. Чтобы заблокировать целый домен, но получать сообщения с определенных безопасных адресов, нужно добавить конкретные адреса в список "Надежные отправители". Такой эффект достигается, например, при добавлении адреса misha@domen.ru в список "Надежные отправители", а имени домена @domen.ru в список "Заблокированные отправители". Блокировка специфических "национальных" посланий Заблокировать нежелательные сообщения из определенных стран либо сообщения на отдельных языках можно, используя соответствующие списки, которые легко найти, войдя в вышеупомянутые "Параметры". Чтобы блокировать национальные домены необходимо отметить определенные последние префиксы в наименовании сайтов типа ".tw", ".ru", ".us" и т.п. Если установить в списке доменных имен высшего уровня флажки, скажем, для .tw [Тайвань] или .ng [Нигерия], то сообщения из соответствующих доменов будут блокированы. Блокировка кодировок Список заблокированных кодировок позволяет избавиться от посланий в определенном символьном представлении. Например, можно блокировать послания, кодированные на тайском или иврите. Отмечается, что сейчас наибольший поток спама приходит в кодировке ASCII, но вряд ли стоит блокировать эту кодировку полностью - в США она общепринятая. Тут нужно действовать избирательно. Стандарт кодировки знаков, разработанный консорциумом Unicode, использует для представления каждого знака более одного байта. Юникод позволяет представить в одном наборе знаков почти все языки мира, потому эти кодировки не включены в список "Заблокированные кодировки". Сообщения с неизвестными или неопределенными кодировками трактуются как нежелательная почта. Типы рабочих учетных записей Фильтр спама Outlook работоспособен на следующих типах учетных записей электронной почты (соответственно, на протоколах электронной почты), которые наиболее широко используются на автономных (не связанных в корпоративные сети) компьютерах. Протокол HTTP (Hyper Text Transfer Protocol) - базовый в Интернете протокол передачи гипертекста, используемый для доступа к страницам сайтов. В Microsoft Outlook протокол HTTP используется как почтовый протокол, например, в службе Hotmail. Протокол POP3 (Post Office Protocol) - простой протокол, который используется для получения сообщений электронной почты с почтовых серверов непосредственно в папки почтовых клиентских программ. Протокол IMAP (Internet Mail Access Protocol) - в отличие от протокола POP3 IMAP создает и поддерживает папки на почтовом сервере, в которых сообщения хранятся и упорядочиваются. Таким образом, пользователь может читать заголовки сообщений и выбирать те из сообщений, которые захочет загрузить. Протокол позволяет управлять базой почтовых сообщений, находящейся вне локального компьютера. Специальной настройки протокольных атрибутов не требуется: фильтр Outlook, поскольку это встроенный компонент, понимает их одинаково хорошо. Несколько советов Уровень защиты от спама следует регулировать в зависимости от ситуаций. Например, в случае корпоративного общения можно ограничить список надежных отправителей теми, кто включен в адресную книгу. А для внешних корреспондентов создать другой учетный адрес без подобных ограничений. Чтобы обеспечить максимально возможную защиту с помощью фильтра нежелательной почты и других улучшенных средств обеспечения конфиденциальности, задайте уровень защиты от нежелательной почты "Высокий" или "Только списки надежных адресатов". Там же в "Параметрах" можно выставить флажок "Безвозвратно удалять нежелательные сообщения без перемещения их в папку". По умолчанию флажок пуст, то есть спам направляется в папку. Лучше его и не устанавливать - ведь небольшой процент писем неизбежно попадает в спам ошибочно. Следует периодически обновлять фильтр нежелательной почты. Эти обновления, именуемые Junk E-mail Filter Update, периодически появляются на сайте Microsoft Office Online (http://office.microsoft.com/en-us/officeupdate/CD010798691033.aspx). Желательно блокировать изображения в сообщениях формата HTML, то есть, изображения, которые, как правило, появляются (например, как реклама) с посторонних, не связанных с отправителем послания, сайтов. А эти сайты могут опознать адрес получателя и сделать его объектом последующей атаки спамеров. По умолчанию Outlook автоматически блокирует загрузку подобных граффити. Но для пущей уверенности следует проверить параметры загрузки. В меню "Сервис" нужно выбрать "Параметры", далее открыть вкладку "Безопасность", "Изменить параметры автоматической загрузки". Теперь посмотрим, установлен ли флажок "Не загружать автоматически рисунки и другое содержимое в письмах HTML". Поступаем соответственно рекомендации. Если автоматическая загрузка картинок выключена, то сообщения, полученные с электронных адресов или из доменов из списков "Надежные отправители" и "Надежные получатели" или отправленные на них, будут рассматриваться как исключения, и заблокированное содержимое будет загружаться. Результаты фильтрации Наблюдения проводились на объеме 300 сообщений. При настройках были заблокированы домены стран, с которыми не предполагалось общение, а также нежелательные кодировки (активными остались только европейские языки). По мере поступления нежелательной корреспонденции пополнялся изначальный список "Заблокированные отправители". В таких условиях эффективность отсечения спама достигла 98%. Ошибочно в спам попали 2% сообщений. Надо сказать, что 2% востребованных сообщений, воспринятых как спам, очень серьезно сказываются на активном деловом общении. При использовании встроенных возможностей фильтрации Outlook, все, что попало в спам, придется просматривать. При потоках, скажем, в 200 сообщений в день, при этом легко не увидеть в спаме важные сообщения. Но для бытовых применений, когда поток не столь обилен, указанный показатель менее критичен. Замечания В процессе работы с фильтром Outlook 2003 обнаружились некоторые недоработки, могущие смутить рядового пользователя. Например, закладка "Заблокированные получатели" (таких вообще нет по идеологии системы) должна была бы называться "Заблокированные отправители", да и в комментариях ясно сказано - "Почта, отправленная с этих адресов...". Сама система помощи пользователю (Справка Outlook) переведена непрофессионально и содержит немало грамматических, лексических и логических изъянов. Однако, несмотря на очевидные недостатки, несомненным достоинством фильтрации с помощью Outlook является простота использования.   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) ЗАО "Ашманов и Партнеры", 2003-2004