Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 101 в этом номере: Новости Спам - статистика за период 23 - 29 мая 2005 г. Еще раз про RBL'и. Дмитрий Пашко ОТ РЕДАКЦИИ: В связи с неправильным формированием текста рассылки, этот номер мог не дойти до некоторых подписчиков. Поэтому мы рассылаем его еще раз в исправленном варианте. Если Вы уже получали #101, извините за повтор. Новости Ни часа без зомби 26.05.2005 Новый онлайн-ресурс компании CipherTrust - ZombieMeter - каждый час подсчитывает количество новых зомби-компьютеров, появляющихся в разных странах мира. В мае в мире ежедневно фиксировалось в среднем 172009 новых зомби, 26% из них пришлось на страны Евросоюза. Как правило, зомби имеют широкополосный доступ в Интернет и при этом лишены брандмауэров и защиты от вирусов. Они заражены вирусами или червями и без ведома хозяев используются злоумышленниками для рассылки спама, фишинг-писем и проведения DoS-атак. Пополнение в армии зомби проявляется в разных странах мира, поскольку машины могут быть инфицированы в любой стране. Лидируют в списке "зомбированных" стран США (около 20% всех майских "новобранцев") и Китай (15%). Для Китая полученная цифра несколько меньше данных за конец марта - апрель, когда в этой стране было зафиксировано 20% из ежедневных 157000 новых зомби-машин. По данным CipherTrust, в течение трех недель мая около 26% новых зомби-машин было выявлено в 25 странах Евросоюза, в том числе 6% в Германии, 5% во Франции и 3% в Великобритании. Так что по этому показателю объединенная Европа Америку обогнала. Получить информацию о текущей активности новых зомби-машин в разных странах мира теперь может любой пользователь благодаря ZombieMeter - новому онлайн-ресурсу компании CipherTrust. На сайте CipherTrust размещена интерактивная карта мира. Кликнув на "зомби-очаг" на карте, посетитель получает информацию о том, сколько новых уникальных зомби-машин в настоящее время активны на территории конкретного государства. Информация обновляется каждый час. Данные ZombieMeter получает в результате мониторинга почты более чем 10 миллионов корпоративных пользователей (клиентами CipherTrust являются более 1500 компаний в разных странах мира, использующих IronMail - аппаратное обеспечение, созданное CipherTrust для защиты от спама и других угроз электронной почты). Источник: BUSINESS WIRE Microsoft представила два новых антиспамовых сервиса 27.05.2005 Корпорация Microsoft представила два новых сервиса, которые помогут ISP бороться со спамом, усилят защиту от спама пользователей MSN Hotmail и облегчат жизнь компаний, рассылающих легитимные рекламные письма. Веб-сервис MSN Postmaster предоставляет пользователям и провайдерам ряд инструментов и информационные ресурсы, которые упростят систему жалоб на спам, улучшат доставку легитимных сообщений рекламного характера в ящики пользователей Hotmail и помогут провайдерам бороться со спамом. На сайте также можно получить информацию об антиспамовых технологиях и скачать обновления ПО. Сервис MSN Postmaster доступен на десяти различных языках. По утверждению Microsoft, новый сервис представляет собой центр информации об электронных сообщениях. Репрезентативность информации обеспечивают более 200 миллионов аккаунтов пользователей Hotmail. По даным Microsoft, Hotmail ежедневно блокирует около 3 миллиардов спамовых писем. Второй новый сервис, названный Microsoft Smart Network Data Services, в настоящее время представляет собой пробную версию и доступен только на английском языке. Сервис позволяет ISP получить информацию о том, сколько писем было отправлено с его IP-адресов на Hotmail, и сколько из них было отнесено к спаму при прохождении фильтров Hotmail или пользователями. Предполагается, что информация, полученная провайдерами, позволит им предпринять необходимые меры для ограничения объемов спама, рассылаемого из их сетей, - в частности, выявить и очистить от вирусов зараженные машины, используемые для рассылки спама. Оба решения основаны на технологии Sender ID. Источник: internetnews.com Опасное знакомство с "одинокими домохозяйками" 27.05.2005 В США по распоряжению суда приостановлена деятельность компаний, уличенных в рассылке спама с приглашением посетить сайты знакомств. У желающих познакомиться "с одинокими домохозяйками" мошенники выманивали деньги. В миллионах спамовых писем, разосланных от имени интернет-сервиса знакомств, получателей приглашали на сайт, где "одинокие домохозяйки" якобы искали партнеров для "непродолжительных сексуальных отношений". По ссылке в письме получатель попадал на сайт, где его соблазняли заплатить определенную сумму и получить доступ к основной базе данных "домохозяек". Таким образом мошенники выманивали деньги у жаждущих знакомств посетителей сайтов. Федеральная торговая комиссия США (FTC) подала жалобу на калифорнийские компании Cleverlink Trading Limited и Real World Media, рассылавших спам "одиноких домохозяек", и их владельцев. По информации FTC, они же контролировали более 180 сайтов знакомств. На удочку мошенников попало немало посетителей этих сайтов - только за четыре месяца они заполучили около 700 тысяч долларов США, при этом использовали офшорные платежи через подставную Кипрскую компанию. По оценке FTC, злоумышленники нарушили практически все положения американского антиспамового закона Can-Spam Act. Дело пока находится в стадии рассмотрения, однако FTC настаивает на возвращении всех денег, полученных в результате незаконной деятельности обвиняемых. Источник: AFP (Yahoo!) Развивающиеся страны больше всех страдают от спама 30.05.2005 Развивающиеся страны не справляются с проблемой спама и страдают от спама в большей степени, чем развитые страны мира. К такому выводу пришли эксперты Организации экономического сотрудничества и развития (ОЭСР). Как сказано в докладе ОЭСР, в этих государствах ISP тратят большую часть своих средств на обеспечение пропускной способности каналов, оборудование и ПО. Дополнительные расходы на борьбу со спамом представляют серьезную нагрузку для их финансовых ресурсов. Что касается пользователей, то в развивающихся странах многие используют dial-up подключение и платят за время нахождения в Сети. При низких скоростях большие объемы спама приводят к потерям и времени, и денег, которые тратятся на загрузку мусорных писем или писем, содержащих вирусы. Кроме того, поскольку в США и Европе власти и интернет-провайдеры сильно осложняют жизнь спамерам, многие спамеры предпочитают действовать на территории развивающихся стран. Так, например, спамеры из США могут использовать сервер в Китае, рассылать спам с почтового сервера в Индии, а в Багаме получать деньги от покупателей рекламируемых в спаме товаров. В результате ISP развивающихся стран обслуживают больше спамеров. Как следствие, эти провайдеры все чаще попадают в международные черные списки. В результате заблокированными оказываются не только спамеры, но и легитимные пользователи. Как сказано в докладе ОЭСР, в развивающихся странах эта проблема слишком хорошо знакома большинству провайдеров. В странах, где доступ в Интернет обеспечивает единственный ISP, его попадание в черные списки приводит к тому, что пользователи всей страны лишаются возможности нормального обмена корреспонденцией. Именно это произошло несколько лет назад в Коста Рике, когда Spamhaus внесла ISP страны в черный список и в течение двух дней блокировала все письма из Коста Рики. Доклад ОЭСР содержит ряд рекомендаций. В частности, чтобы защитить пользователей развивающихся стран от спама, ОЭСР призывает ISP этих стран применять антиспамовые технологии или осуществлять фильтрацию с помощью третьей стороны. ISP следует прекратить хостинг спамерских сайтов и принять меры для прекращения рассылки спама из их сетей. Кроме того, надо научить пользователей, как не попадаться на удочку интернет-мошенников, и как самим не стать спамерами. В докладе подчеркивается необходимость совместных международных действий в борьбе со спамом и содержится призыв к ISP всего мира помогать друг другу в противостоянии спамерам. Экономически развитые страны должны помочь развивающимся в разработке антиспамового законодательства и создании структуры для борьбы со спамом. Необходимо также сотрудничество следственных органов разных стран при расследовании деятельности преступных группировок спамеров и преследовании их в судебном порядке. Источник: CNET News.com Источник: TechWeb Не обижайте адвокатов! 31.05.2005 Адвокат, чей электронный адрес спамеры использовали в своих рассылках, оценил понесенные в связи с этим убытки в миллионы долларов и подал иск в суд. Адвокат Скотт Зиглер (Scott Ziegler) - один из немногих частных лиц, обратившихся в суд с иском против спамеров. Зиглер подал иск против невадской компании China Digital Media, которая работает также в Китае, и ее неизвестного сообщника, который в иске именуется "John Does 1-10". Адвокат утверждает, что его электронный адрес был подставлен обвиняемыми при рассылке спама в качестве обратного. С 23 апреля по 3 мая Зиглер получил тысячи сообщений от почтовых роботов о недоставке писем, которые в поле "from" содержали его рабочий адрес. Как говорится в иске, адвокат был крайне удивлен, поскольку он этих писем не посылал. По словам Зиглера, его ящик был переполнен, так что он не смог получить нужных деловых писем. Кроме того, адвоката беспокоил тот факт, что письма, присланные якобы с его адреса, могли получить его клиенты (в числе которых есть банки и компании, занимающиеся безопасностью) или потенциальные клиенты, в результате чего могла пострадать его репутация. Зиглер послал запрос в China Digital Media и получил ответ, в котором отрицалась причастность компании к рассылке спамовых писем с обратным адресом Зиглера и приносились извинения за причиненные неудобства. Однако Зиглеру извинений было недостаточно. Его возмутил тот факт, что кто-то при рассылке спама подставляет в качестве обратного реальный адрес, полагая, что это останется для него без последствий. "Мы решили взять дело в собственные руки", - сказал адвокат. Копия ответа, полученного от China Digital Media, и образцы сообщений о недоставке приложены к поданному Зиглером иску. Комментарий представителя China Digital Media, который отвечал на запрос Зиглера, получить не удалось, поскольку в настоящее время он не отвечает ни на электронные письма, ни на звонки. Источник: CNET News.com Спам - статистика за период 23 - 29 мая 2005 г. Ашманов и Партнеры Объем спама и тематические особенности Уровень находится на уровне средних значений - 80-85% от общего объема почтового трафика Рунета. Спамеры продолжают эксплуатировать острую ситуацию с процессом против компании ЮКОС. На прошлой неделе было зафиксировано как минимум 4 массовых рассылки, якобы от имени различных представителей М. Ходорковского, с просьбами помочь в обналичке фондов ЮКОСа. За помощь в переводе денег спамеры обещают доверчивым пользователям до 30% объявленной суммы. "Ставки" растут: если две недели назад в аналогичной рассылке была названа сумма в 18 млн. долларов, то сейчас она выросла до 450 млн. долларов. Весь "фокус" в таких письмах обычно заключается в том, что, получив отклик от потенциальной жертвы - падкого на "легкие" деньги пользователя, - спамеры предлагают ему завести счет в банке и перевести на этот счет энную сумму денег. Мотивация предлагается самая разная: либо нужен счет со специальными условиями открытия, на который изначально надо положить довольно большие деньги, либо спамеры уверяют, что перевод нескольких миллионов на "пустой" счет вызовет подозрения у спецслужб. Так или иначе, они уговаривают пользователя внести деньги. Дальнейший ход событий легко предсказуем: ни этого первоначального взноса, ни миллионов Ходорковского пользователь не дождется никогда. В английском языке эта разновидность спама носит название "scam" - смесь спама и мошенничества. Популярные тематики No Тематика Описание %% от общего объема Изменение за неделю 1 Остальной спам   25,5% +11% 2 Образование Реклама семинаров, тренингов, курсов 21,5% +1,5% 3 Разные товары и услуги Предложения других товаров и услуг 20% -9% 4 Мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 11% -1,5% 5 Для взрослых Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом 9% -1% 6 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 3% -0,5% 7 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 3% +1% 8 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 3% +1% 9 "Здоровый образ жизни" и "Медикаменты" Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online Менее 2% Без изменений 10 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. Менее 2% -2,5% Самый массовый спам, самое оригинальное предложение "Бюст президента Путина", а также самое нечитаемое письмо вы найдете на сайте Спамтест. Еще раз про RBL'и Дмитрий Пашко Ашманов и Партнеры Мы попали! Вчера вечером звонит мне один из наших коммерсантов и с ужасом говорит, что сервер попал в RBL, и теперь часть почты с нашего сервера до части клиентов не доходит. Добравшись до компьютера, обнаруживаю, что сетка, в которой стоит сервер, действительно, в очередной раз попала в черный список sbl.spamhaus.org. Я абсолютно уверен, что это не наша "заслуга", т.к. наша компания спам никогда не рассылала и рассылать не будет, мы совсем по другой части. Но история эта повторяется уже не первый раз, так что порядок действий понятен: надо обращаться в поддержку РТКомм, где находится наш сервер. Что я и делаю, помянув создателей Spamhaus недобрым словом. За что я не люблю Spamhaus Чтобы понять, за что я не недолюбливаю Spamhaus, нужно объяснить, что это такое. Spamhaus это одна из онлайновых баз данных, содержащая IP-адреса, тем или иным способом связанные с рассылкой спама. Такие ресурсы называют также Real-time Blackhole Lists (черные списки реального времени). Принципы составления баз RBL довольно существенно различаются. Spamhaus представляет две базы, отличающиеся по способу наполнения. Первая база называется Exploits Block List (или сокращенно XBL), содержит IP-адреса известных или потенциальных источников спама, таких как открытые трансляторы почты (open relays) или машины с известными троянскими программами и вирусами, содержащими функции рассылки спама. XBL представляет собой компиляцию из трех тематических списков. Их авторы проводят тестирование компьютеров и выявляют возможность угрозы рассылки спама с тех или иных адресов. Вторая база - Spamhaus Block List или SBL, - включает адреса источников спама, адреса, связанные со спамерскими командами, а также их информационной инфраструктурой. Поскольку понятие "команда" и "инфраструктура" четко определить невозможно, то внесение адресов производится в соответствии с политикой SBL. Эта политика опубликована на сайте spamhaus.org (http://www.spamhaus.org/sbl/sbl-rationale.html) и вкратце может быть сформулирована так: в базу SBL заносятся сети, из которых производится спамерская рассылка, а также сети, которые используются для поддержки и хостинга спамерских ресурсов - почтовых серверов, web-сайтов, DNS и т.п. Эти базы вместе или по отдельности могут свободно использоваться для фильтрации спамерской почты. Делается это так: в процессе приема письма почтовый сервер или антиспамерский фильтр может обратиться к Spamhaus и получить информацию, присутствует ли IP-адрес отправителя в этих списках. Реакция на наличие или отсутствие записи об IP-адресе отправителя определяется логикой почтового сервера или антиспама, а также его настройками. В простейшем случае письмо просто отвергается, если IP-адрес найден в черном списке, или принимается, если адрес отправителя в них не "засвечен". Более сложные антиспам-фильтры используют более изощренные правила, комбинируя информацию черного списка с другими методами распознавания спама. Этот способ считается более надежным, т.к. позволяет сгладить ошибки каждого отдельного метода. Так что сам по себе Spamhaus, как, впрочем, и любой другой RBL-сервис, не фильтрует почту, а только предоставляет информацию о подозрительных IP-адресах отправителя. Доверять ли информации RBL и в какой степени, решает, в конечном счете, администратор почтового сервера, внедряющий и настраивающий антиспам-фильтры. Вернемся к базам Spamhaus. Если к базе XBL, составляемой по чисто техническим показателям, явных претензий у меня, в общем-то, нет, то с SBL и его политикой дело обстоит существенно сложнее. Разбор полета Предлагаю рассмотреть практику применения политики SBL на примере последнего инцидента с нашим участием. Нехорошие фишеры (это те, которые крадут данные о банковских карточках) провели рассылку, в которой клиентам Ситибанка в очередной раз предлагалось срочно ввести реквизиты своей карточки, а не то плохо будет. Как и в других подобных случаях, письмо содержало ссылку на сайт фишеров. В данном случае такую: http://citibankonline.com/domain/redirect/citi.com/global_nav/iandm.htm?BVP=/&M=S&US&_u=visitor&BVE=http://cdsass40e.com*20006.da.RU Разумеется, адреса сайта фишеров тут не видно - он замаскирован двумя редиректами, т.е. автоматическим перенаправлением запроса пользователя между сайтами. Первый редирект сделан прямо с сайта Ситибанка - это вся конструкция, начинающаяся с citibankonline.com до параметра BVE=, который, судя по всему, и показывает, на какой сайт нужно перебросить пользователя при нажатии на ссылку. Поскольку ссылка очень длинная, пользователь может не разобраться или попросту не заметить, что имеет дело не со ссылкой на сайт Ситибанка, а с перенаправлением на сайт cdsass40e.com*20006.da.RU. Но только и это еще не сайт фишеров - он спрятан за еще одним редиректом на Da.ru. Российский сайт Da.ru предоставляет бесплатную услугу - регистрацию домена третьего уровня внутри Da.ru и перенаправление пользователя с этого домена на сайт пользователя. Такая услуга удобна для пользователей, которые хотят бесплатно получить короткий адрес своего сайта. Собственно, этой услугой и воспользовались фишеры для маскировки реального адреса своего сайта. Разумеется, правилами использования Da.ru такое использование запрещено. Однако быстро проверить каждую такую регистрацию достаточно затруднительно, так что перенаправление фишеров имело хорошие шансы прожить день-два, а то и больше, прежде чем модераторы обнаружат его и удалят1. Это действия спамеров. Реакция Spamhaus на эту рассылку такова: в базу SBL в соответствии с политикой были занесены сети РТКомм и Релкома (по 256 адресов каждая), в которых размещены: собственно сайт Da.ru - это на основании того, что сайт поддерживает спамерские сервисы; сеть провайдера, в которой размещен собственно сайт Da.ru; сети, в которых размещены DNS-серверы, поддерживающие домен Da.ru. Так получилось, потому что в соответствии с политикой Spamhaus сайт Da.ru поддерживает спамерские сервисы, а РТКомм и Релком обеспечивают инфраструктуру сайта, поддерживающего спамеров. Вместе с сетью РТКомма в SBL оказался наш сервер, а заодно и еще целый ряд вполне добропорядочных ресурсов, размещенных на хостинге в датацентре РТКомм. Дальше происходит следующее. Мы начинаем получать сообщения, что какие-то почтовые системы отказались принимать наши письма на том основании, что IP-адрес нашего сервера обнаружен в sbl.spamhaus.org. Таких отказов в процентном отношении не очень много. Но они не могут не огорчать, т.к. среди "отказников" есть и наши партнеры, и клиенты, с которыми ведется интенсивная переписка, так что эту проблему нужно решать. За этим я и обратился в поддержку РТКомма - общаться со Spamhaus по поводу блокировок должен владелец сети. Что и в какие сроки удастся сделать - посмотрим. Кто виноват? Ситуация сложилась достаточно странная - нормальные не спамерские ресурсы оказались под блокировкой. Виноваты в этом, разумеется, фишеры, из-за которых все и произошло. Но вот корректны ли действия остальных участников "процесса"? На мой взгляд, обвинять Da.ru или провайдеров в пособничестве спамерам довольно странно. В конце концов, судьбу Da.ru может с легкостью разделить практически любой бесплатный ресурс - почта, редирект, хостинг, список можно продолжить. Провайдеры же, имеющие договорные отношения со своими клиентами, тоже не могут просто так отказать в обслуживании клиенту, который выполняет все предъявленные к нему требования: технические и юридические. Так что, на мой взгляд, применение Spamhaus своей политики не вполне корректно. С другой стороны, Spamhaus своих услуг никому не навязывает. И если ты не согласен с его политикой, то никто не заставляет им пользоваться. Тем более что, как и все бесплатные ресурсы, Spamhaus не несет никакой ответственности за возможные ошибки. Так что, в конечном счете, ответственность за проблемы в пересылке почты лежит на системных администраторах, использующих Spamhaus для фильтрации спама. Тут, правда, тоже надо оговориться. Разные способы внедрения и настройки антиспама приводят к разной степени жесткости использования RBL. Например, в нашем случае я видел в логах сервера лишь единичные отказы от приема от SpamAssassin, который использует RBL только как один из признаков. Зато львиная доля отказов приходила от почтовых серверов, в которых RBL использовался в "жестком" режиме, когда письма однозначно отвергаются в случае попадания IP-адреса в черный список. Что можно сказать об администраторах этих систем? Выбор жесткой политики - это их решение. Если какая-то часть входящей почты их не интересует, то это же их собственный выбор, правда? Вот только кто бы поинтересовался, что об этом думают пользователи их почтового сервера. Что делать В конце хотелось бы дать несколько рекомендаций администраторам, которые предпочитают использовать RBL'и более осмысленно. RBL'и, даже "правильные", сами по себе дают не очень высокий процент распознавания спама при заметном числе ложных срабатываний. Из этого следует, что не стоит полагаться на встроенную в почтовые серверы "жесткую" поддержку RBL. Лучше использовать их в составе антиспам-фильтров. При этом вес RBL в решающих правилах фильтра не должен быть слишком большим. Для фильтрации почты можно применять RBL'и, содержащие известные и потенциальные источники спама. К таким спискам относятся relays.ordb.org, dul.ru, orbs.dorkslayers.com, bl.spamcop.net, relays.mail-abuse.org и некоторые другие. Списки RBL, применяющие "политический" подход к построению базы, использовать для фильтрации почты крайне нежелательно. К ним относятся, в частности, списки relays.osirusoft.com, sbl.spamhaus.org, spews.relays.osirusoft.com, а также наши отечественные списки work.drbl.mokr.ru, work.drbl.democracy.ru. Для тех, кто заинтересовался вопросами применения RBL для борьбы со спамом, рекомендую следующие статьи: Николай Федотов. "О 'черных списках' фильтрации почты"; Алексей Тутубалин. "RBL: вред или польза?". 1  Сразу хочу отметить, что к моменту написания статьи перенаправления и на сайте Ситибанка, и на da.ru были удалены. На сайте Ситибанка перенаправление ведет на страницу с предупреждением об опасности похищения информации карты и рекомендациями, как этого избежать. На da.ru - просто выдается сообщение о неизвестном адресе. >> Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) ЗАО "Ашманов и Партнеры", 2003-2004