Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 72 в этом номере: Новости Спам - статистика за 11-24 октября 2004 года Конференция "Проблемы спама и ее решения" Система защиты от спама в почтовой службе Рамблера. Избранное Максим Дунин, Rambler Новости Фильтр SurfControl E-mail 5.0 начал распознавать русский язык 18.10.2004 Компания SurfControl представила новую версию SurfControl E-mail Filter 5.0 для SMTP. SurfControl E-mail Filter - автоматизированное решение для управления сообщениями электронной почты на основе корпоративных политик безопасности. Решение позволяет остановить спам, предотвратить утечку конфиденциальной корпоративной информации, защитить сеть от вирусных атак, повысить продуктивность сотрудников и производительность почтовых серверов. Новая версия поддерживает и распознает русский язык в почтовых сообщениях. В Anti SPAM Agent внедрены 4 технологии: Digital Fingerprints, Heuristics, LexiRules и Neural Networks. Добавлен список категорий URL для борьбы с веб-угрозами. Интегрированы поддержка дополнительных алфавитов и использование встроенных словарей (10 языковых пакетов). Источник: CNews Комитет Госдумы РФ по энергетике, транспорту и связи рекомендовал Госдуме отклонить законопроект о рекламе в сети электросвязи 21.10.2004 Комитет Госдумы РФ по энергетике, транспорту и связи рекомендовал Госдуме отклонить проект закона "О внесении изменений в федеральный закон "О рекламе", Уголовный Кодекс РФ и Кодекс РФ об административных правонарушениях" /о рекламе в сети электросвязи/. Такое решение было принято по итогам проведенного расширенного заседания комитета Госдумы РФ по энергетике, транспорту и связи под председательством главы комитета Валерия Язева. Как было заявлено на заседании, электронный мусор представляет серьезную угрозу для адресатов и технических средств. Объем незапрошенной информации в 2001 г составлял лишь 8% почтового трафика и обошелся пользователям сети Интернет во всем мире в 10 млрд евро. В 2002 г доля спама уже превысила 40%. Пользователи Интернет в России только за июль получили спама больше, чем за весь предыдущий год. По прогнозам, озвученным на заседании комитета, к 2007 г объем спама превысит 70% электронной корреспонденции. Сознавая серьезную общественную опасность спама, комитет отметил серьезные недостатки законопроекта и рекомендовал Госдуме его отклонить. "Предложения по противодействию рассылке, заполонившей как электронную почту, так и сети подвижной связи общего пользования, актуальны и своевременны, - сказал председатель комитета Валерий Язев. - Но над этими предложениями еще надо работать". Источник: ПРАЙМ-ТАСС ФАС вступает в борьбу со спамом и колготками "Гжелка" 21.10.2004 Федеральная антимонопольная служба (ФАС) внесла в правительство концепцию изменений в Закон о рекламе. Об этом журналистам сообщил заместитель руководителя ФАС Андрей Кашеваров. "Концепция законопроекта согласована со всеми заинтересованными ведомствами, и мы ждем ее утверждения правительством", - отметил Кашеваров. По словам Андрея Кашеварова, ФАС планирует бороться со спамом. "Мы пока не знаем, правда, как с ним бороться, однако, думаю, что методом мозгового штурма решим эту проблему", - сказал Кашеваров. В числе предложенных ФАС поправок - ограничения продвижения брэндов, чье графическое изображение и название не отличаются от марок крепкого алкоголя. По словам Кашеварова, эти изменения направлены на то, чтобы производитель водочной продукции не смог ее рекламировать, "к примеру, под видом колготок "Гжелка". Кроме того, ФАС планирует уточнить, что 20% рекламного времени на телеканалах должны отсчитываться от 24 часов эфирного времени, "а не от месяца или года". Андрей Кашеваров также сообщил, что готовый законопроект правительство планирует рассмотреть в марте 2005 года. Источник: РИА "Новости" BuyerLeverage намерена сделать спам экономически невыгодным 25.10.2004 Компания BuyerLeverage представила новое антиспамовое решение Email Self-Insurance(TM). По словам разработчиков, решение поможет заблокировать источники спама, поскольку спамерам придется платить за злоупотребление используемых ресурсов. Email Self-Insurance(TM) позволит легитимным отправителям пользоваться почтой бесплатно, а спам сделает экономически невыгодным. Разработчики уверены, что это единственное решение, которое позволит полностью избавиться от нежелательной почты без фильтрации легитимной корреспонденции. В этом году на форуме в Давосе Билл Гейтс охарактеризовал технологию как "магическое" и "наиболее обещающее" решение проблемы спама. Email Self-Insurance базируется на простом, элегантном механизме - перманентном и дешевом удалении спама в отсутствии ложных срабатываний и при полном контроле получателя. Решение требует, чтобы отправитель застраховал свою почту - это должен быть небольшой депозит, уровень которого определяется потенциальным получателем. Этот депозит снимается только в том случае, если получатель классифицирует сообщение как нежелательное, так что легитимные корреспонденты редко будут нести какие-либо убытки. Email Self-Insurance будет требовать страховку только от отправителей, которые не занесены в белый список получателя, что гарантирует беспрепятственную переписку между обычными пользователями. Этот белый список, построенный на существующей технологии, будет автоматически пополняться адресами из адресной книги, отправленных писем и принятой корреспонденции. Если адрес отправителя отсутствует в белом списке получателя, отправитель получит требование положить деньги на депозит. После страховки письма, оно появится в ящике получателя, который может либо принять, либо отвергнуть его. Email Self-Insurance(TM) совместимо с различными предлагаемыми технологиями аутентификации отправителя, включая SPF, Sender ID и DomainKeys. Компания BuyerLeverage уже начала обсуждение с ведущими технологическими компаниями и ISP о внедрении нового решения. Источник: BUSINESS WIRE Sender ID возвращается - в новой версии 25.10.2004 Корпорация Microsoft внесла на рассмотрение IETF новую исправленную версию стандарта аутентификации отправителя Sender ID. Sender ID - технология, предназначенная для закрытия дыр в существующей системе отправления и получения писем, которая позволяет отправителям, включая спамеров, подделывать информацию об источнике письма. Технология объединяет созданную ранее Мен Вонгом (Meng Wong)Sender Policy Framework (SPF) и технологию Caller ID, разработанную Microsoft. Стандарт предполагает публикацию организациями списков e-mail серверов в DNS и их использование при проверке подлинности адреса отправителя. Кроме проверки "конверта", можно также проверять адрес в заголовке письма - PRA (purported responsible address). Напомним, что не так давно технология была отвергнута IETF в качестве стандарта - в основном, из-за возражений со стороны адвокатов open-source и из-за несовместимости Sender ID с классическим вариантом SPF. Возражения противников первой версии Sender ID, которую Microsoft представила на рассмотрение IETF в июне, вызвала также необходимость при ее использовании проверять адреса не только с помощью SPF, но и PRA-адреса. По словам Мен Вонга, участвовавшего в создании исправленной версии Sender ID, новое предложение решает проблемы с патентами, что должно привести к широкому применению стандарта. Пересмотренная версия стандарта совместима с уже опубликованными более чем 100000 записями SPF. Кроме того, новая версия позволяет организациям либо осуществлять проверку адресов с помощью SPF, либо проверять PRA. Однако, по мнению Вонга, несмотря на изменения, новая спецификация может и не удовлетворить адвокатов open-source. По словам представителя Microsoft Шона Сандволла (Sean Sundwall), для корпорации достаточно, что ее лицензия удовлетворяет World Wide Web Consortium и American National Standards Institute (ANSI), даже в том случае, если Free Software Foundation сохранит оппозиционное отношение к Sender ID. В Microsoft ожидают, что спецификация получит статус "экспериментальной", однако не знают, заслужит ли она формальное одобрение IETF. Экспериментальная версия Sender ID "для комментария" (RFC - Request for Comment) должна быть опубликована IETF до конца года. Источник: InfoWorld America Online объявила о поддержке новой версии Sender ID 25.10.2004 Компания America Online объявила о поддержке новой версии технологии аутентификации отправителя Sender ID, предложенной Microsoft. В заявлении подчеркивается, что технологии аутентификации сами по себе не уменьшат объемы спама, однако помогут создать онлайн-среду, в которой, благодаря проверке подлинности отправителя, будут затруднены рассылки определенных видов мошеннических спам-писем и фишинг-атаки. В распространенном заявлении говорится, что AOL первым из крупнейших ISP Америки начал тестировать различные системы аутентификации еще в декабре 2003 года. Однако 15 сентября компания AOL заявила, что не будет поддерживать существующую на тот момент версию Sender ID из-за ее несовместимости с классической SPF, которую к тому времени AOL использовала уже в течение нескольких месяцев. Новая версия Sender ID, предложенная в понедельник на рассмотрение IETF, содержит оригинальный синтаксис SPF. Как сказано в заявлении AOL, это позволит тем компаниям, которые опубликовали записи SPF в первой версии, не менять списки DNS. AOL продолжит тестирование Sender ID и будет публиковать SPF-записи в форматах обеих версий. Кроме того, AOL продолжит тестирование и других технологий, в частности, Domain Keys Yahoo. Результаты тестирования AOL намерена сделать доступными для интернет-сообщества. Источник: BUSINESS WIRE Спам - статистика за 11 - 24 октября 2004 г. Ашманов и Партнеры Объем спама За прошедшие две недели количественное распределение спама не было равномерным. С 11 по 22 октября наблюдался пик спамерского трафика. Объем спама на некоторых серверах держался на уровне 85%. С 23 октября по настоящий момент наблюдается падение спамерского трафика до 65-70% от общего уровня почты. Популярные тематики В течение прошедшей недели наиболее значительно возросла доля предложений тематики "Здоровый образ жизни" и "Медикаменты". No Тематика Описание %% от общего объема Изменение за неделю 1 Для взрослых Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом 24% +5% 2 "Здоровый образ жизни" и "Медикаменты" Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 17% +2% 3 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 9% +2% 4 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 7% +1% 5 Образование Реклама семинаров, тренингов, курсов 6% -4% 6 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 4% +1% 7 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 3% +1 Самое оригинальное предложение амулетов богатства, радости и счастья от магазина с чарующим названием "Успокой свою душу", а также самое массовое и самое нечитаемое письмо вы найдете на сайте Спамтест. Вторая национальная конференция "Проблема спама и её решения" 20-21 октября в Москве прошла Вторая национальная конференция "Проблема спама и её решения". Организаторы конференции - Национальная коалиция против спама и компания "Ашманов и Партнёры". В конференции приняли участие около 120 человек - представители крупных интернет- и сервис-провайдеров, ведущие разработчики средств борьбы со спамом, системные администраторы, начальники служб безопасности и технические директора крупных компаний, юристы, представители структур власти, журналисты печатных и интернет-изданий. Участники конференции имели возможность услышать о современных новейших технологиях защиты от спама, обсудить различные методы борьбы со спамом, проблемы и успешные решения. Конференция прошла в неформальной обстановке, позволившей участникам лично побеседовать с докладчиками и задать все интересующие их вопросы. Общение продолжалось и в кулуарах - во время перерывов и на фуршетах. На вводном заседании Игорь Ашманов ("Ашманов и Партнеры") рассказал о ситуации со спамом в России. Доля спама в Рунете в настоящее время составляет 75-80% почтового трафика, а спам представлен разнообразными тематиками (в том числе мошенническими письмами). Стремясь обойти антиспамовые системы защиты, спамеры постоянно совершенствуют технологии рассылки. При этом наблюдается устойчивая и опасная тенденция объединения спамеров с вирусописателями. Андрей Никишин ("Лаборатория Касперского") привел данные, согласно которым обороты спамерского бизнеса в России составляют $3-10 млн в год (для сравнения: $10-15 млрд во всем мире). Рост объемов спама происходит, в основном, за счет увеличения заказов со стороны малого и среднего бизнеса, представителей которого привлекают большой охват аудитории и низкая стоимость рекламы: цена рекламного письма, разосланного на 2-3 млн адресов, составляет $100-200. Таким образом, объемы спама постоянно растут, и спам, как и прежде, представляет серьезную угрозу бизнесу и требует противостояния на всех уровнях - юридическом, социальном и техническом. Первый день работы конференции был посвящен социальным и юридическим аспектам борьбы со спамом. Участники конференции обсудили ситуацию с российским антиспамовым законодательством, европейский и американский опыт противостоянию спаму юридическими методами, размышляли о возможных компромиссах со спамерами на юридическом поле. В дискуссии приняли участие советник аппарата Госдумы РФ Елена Волчинская и директор Департамента правового обеспечения Министерства информационных технологий и связи РФ Михаил Якушев. Хотя, в отличие от России, в большинстве развитых стран уже действуют антиспамерские законы, их применение не привело к значительным позитивным изменениям. Так, в США, несмотря на активное применение антиспамового закона и целый ряд выигранных против спамеров дел, лишь 4% спамовых писем удовлетворяют требованиям CAN-Spam Act, при этом общие объемы спама неуклонно растут. Ситуация в России еще более сложная. С точки зрения присутствующих на конференции юристов, спамеров уже сейчас можно было бы привлекать к ответственности на основании действующего закона о рекламе. Однако не существует структуры, которая была бы готова разбираться с жалобами пострадавших, а все попытки прошлого года привлечь внимание Министерства антимонопольной политики к рекламной деятельности "главного спамера России" - Центра Американского Английского - не привели к практическому результату. Проекты же российских антиспамерских законов пока не достаточно доработаны. В результате на сегодняшний день существует единственный случай привлечения к ответственности спамера, разославшего SMS-сообщения с информацией, порочащей репутацию одного из ведущих операторов сотовой связи. С точки зрения Николая Федотова (РТКомм.Ру), принятие жестких антиспамовых законов не решит проблемы, но вытеснит спамеров в область криминального бизнеса. Возможный компромисс Николай Федотов видит в создании условий для цивилизованной легальной рекламы, которые позволят, в частности, сократить объемы рассылок и сделать их таргетированными. Однако это долгий путь, который потребует единства действий, в том числе, со стороны ведущих почтовых провайдеров страны. Пойдут ли спамеры на компромисс? Возможно, но лишь часть из них и только в том случае, если "спамодатели" предпочтут после принятия антиспамового закона легальные способы рассылки рекламы. (Пример технологии таких рассылок на конференции представила компания Subscribe.ru.) Однако, в любом случае, останутся и такие рекламодатели, которые выберут незаконные дешевые способы для рекламы своих сомнительных товаров/услуг, следовательно, останутся и спамеры, которые будут продолжать свою деятельность, несмотря на ее криминальный характер. Ситуация в России, безусловно, требует принятия антиспамового закона, и закон, очевидно, будет принят. Однако сами по себе юридические методы не смогут решить проблемы спама. Техническим средствам борьбы со спамом был посвящен второй день работы конференции. В прозвучавших докладах были представлены продукты ведущих компаний-производителей антиспамовых фильтров России и мира - "Лаборатории Касперского", Microsoft, McAfee, Trend Micro, которые вызвали большой интерес слушателей. Системные администраторы, технические директора и представители служб безопасности компаний услышали о современных новейших технологиях от представителей производителей и разработчиков. Западные производители фильтров осваивают российский рынок и ориентируют свои продукты, в том числе, на русскоязычный спам. Участники конференции подробно обсудили методы верификации отправителя и пришли к выводу, что верификация отправителя не является "серебряной пулей" в борьбе со спамом. Более того, по данным Алексея Тутубалина (руководитель проекта "Спамтест") и Павла Завьялова (Яндекс), SPF в настоящее время несколько активнее осваивают спамеры, чем легальные отправители почты. О некоторых технологиях, реализованных в продуктах Sybari и Sophos рассказал Сергей Антимонов ("Диалог-Наука"). Успешный опыт фильтрации спама в деятельности хостинг-провайдера был представлен также в докладе Петра Диденко ("Мастерхост") и Дмитрия Фишелева (DATA FORT). О своих достижениях в фильтрации спама и используемых при этом методах рассказали представители ведущих интернет-сервисов России - Mail.ru, Яндекс и Рамблер. Яркой иллюстрацией успешной борьбы с новыми технологиями, применяемыми спамерами, может служить история противостояния почтовой системы Mail.ru и ЦАА, которая была представлена в докладе Анны Власовой (лаборатория "Спамтест"). Можно сказать, что острота проблемы спама в настоящее время снята. Большинство антиспамовых средств защиты обеспечивают достаточно высокий уровень фильтрации при низком числе ложных срабатываний. Современный уровень услуг почтовых сервисов предполагает защиту пользователей не только от вирусов, но и от спама - пользователи крупнейших провайдеров России такой защитой обеспечены. Однако, в связи с активной фильтрацией спама, возникают проблемы второго уровня. Необходимо отладить технологию легальных рассылок и обеспечить их поступление к пользователям. Так, ситуация с подписными рассылками вызвала много вопросов к представителям Яндекс.Почты, где пользователи вынуждены отыскивать рассылки в папке со спамом и только после самостоятельного занесения их в белые списки могут получать рассылки, на которые они подписались, с нормальной почтой. Кроме того, в связи с ложными срабатываниями и безграмотным техническим оформлением писем малоопытными системными администраторами, часть писем пользователей не доходит до адресатов. В результате в целом надежность электронной почты в настоящее время вызывает сомнения пользователей. Как добиться повышения ее эффективности? Возможно ли ведущим почтовым сервисам страны выработать набор общих правил для технического оформления писем? На эти вопросы участники конференции искали ответы на круглом столе. Презентации докладов опубликованы на сайте Спамтест. Система защиты от спама в почтовой службе Рамблера. Избранное Максим Дунин Rambler Обзор системы защиты от спама. Спам и вирусы как одно целое. Блокирование почты с зараженных компьютеров. Использование особенностей вирусов для обнаружения зараженных компьютеров. Обзор системы защиты от спама почтовой службы Рамблера Для борьбы со спамом на Рамблере используется многоуровневая система защиты, включающая в себя компоненты различного типа: черные списки, подсистемы борьбы с фальсификацией, контент-фильтры и прочее. Для снижения количества ложных срабатываний применяются также белые списки, позволяющие отключать отдельные компоненты фильтрации при приеме писем от известных корреспондентов. В этом докладе хотелось бы остановиться на одном элементе системы защиты от спама, который в настоящий момент представляется актуальным: блокирование почты с компьютеров, зараженных вирусами. Блокировка почты с зараженных компьютеров В последние годы стало очевидным, что основная цель современных "вирусописателей" - это превращение компьютеров пользователей в анонимные прокси-серверы, используемые в дальнейшем в том числе для рассылки спама. При этом наработанные методы идентификации прокси-серверов становятся малоэффективными - смена используемого на зараженной машине программного обеспечения не представляет сложности (и даже используется другими вирусами как способ распространения), а детектирование всевозможных его вариантов становится все более затруднительным. В тоже время разработчики вирусов делают все возможное, чтобы зараженный компьютер не остался незамеченным. Агрессивная модель поведения таких вирусов как Mydoom (также известный как Novarg или SCO) предусматривает отправку копий вируса на все возможные адреса, в том числе предпринимаются попытки отправки через сервера, никоим образом не связанные с приемом почты для домена (такие как ns.domain, gate.domain), вне зависимости от MX-записей в DNS. Подобное поведение вирусов позволяет уверенно обнаруживать большое количество зараженных компьютеров, не затрагивая при этом легитимные почтовые сервера, даже если они по каким-то причинам пересылают письма с вирусами. Ирония ситуации состоит в том, что вирусы сами "докладывают" о своем присутствии, фактически приглашая заблокировать зараженный компьютер. Последние полгода в Рамблере успешно функционирует созданный на описанном принципе черный список. Процедура исключения из списка при этом предельно проста: требуется всего лишь подтвердить желание исключить IP-адрес. Однако даже при столь простой процедуре на пути использования зараженных компьютеров для спама вырастает дополнительное препятствие, необходимость преодоление которого, как мы надеемся, сделает подобное использование экономически невыгодным. Некоторые цифры: более 300 тысяч IP-адресов, самостоятельно "зарегистрировавшихся" в черном списке; более 1.5 тысяч новых IP-адресов ежедневно; ежедневно на основании черного списка отвергается до 25% от общего числа прошедшей через систему защиты от спама почты. Безусловно, при использовании созданного таким образом черного списка следует учитывать его особенности (как, впрочем, и при использовании любых других черных списков): Диапазон динамических адресов может оказаться заблокированным целиком, если компьютер хотя бы одного клиента заражен. Многие небольшие сети используют NAT для обеспечения доступа в сеть, и зараженный компьютер в сети приведет к блокированию IP-адреса, используемого для NAT. Если при этом на том же IP-адресе располагается почтовый сервер, прием почты с него также будет заблокирован. Первая особенность в современных условиях достаточно безобидна и даже в некотором роде полезна - с нашей точки зрения, почта с динамических IP-адресов должна отправляться через сервер провайдера. Со второй особенностью дело обстоит несколько сложнее, так как не все администраторы могут себе позволить разнести NAT (за которым находятся фактически неконтролируемые ими клиенты) и почтовый сервер на разные IP-адреса, а многие просто не понимают необходимость этого. Для уменьшения ущерба в подобных ситуациях помимо простой процедуры исключения из черного списка предусмотрена также возможность отключения блокировки для проблемных адресов. Помимо решения основной задачи - защиты от спама с зараженных компьютеров - данный черный список позволяет несколько снизить нагрузку на антивирус, а также уменьшить поток новых вирусов, еще не определяемых антивирусными программами. Это дополнительное свойство становится особенно актуально в период масштабных вирусных эпидемий, подобных эпидемии уже упоминавшегося червя Mydoom. В заключение хотелось бы сказать несколько слов благодарности создателям вирусов за отличную работу по выявлению дыр в системах безопасности. А простым пользователям - порекомендовать внимательнее относиться к здоровью своего компьютера.   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) ЗАО "Ашманов и Партнеры", 2003-2004