Электронный журнал "Спамтест". Все о борьбе со спамом (inet.safety.spamtest) : Рассылка : Subscribe.Ru

Подписаться Бесплатная «Серебряная» новостная рассылка . Подписчиков 5.849 RSS

← Декабрь 2006 →
	1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

За последние 60 дней ни разу не выходила

Сайт рассылки: http://www.securelist.com
Открыта: 09-06-2003

Автор

Лаборатория Касперского

Статистика

5.849 подписчиков
0 за неделю

← Все выпуски →

Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 174

в этом номере:

Новости
Спам - статистика за период 11 - 17 декабря 2006 г.
Антиспам "своими руками": плюсы и минусы

Новости

Суд удовлетворил иск Microsoft, признав продажу адресов пользователей Hotmail незаконной

19.12.2006

Корпорация Microsoft обвинила жителя Лондона в незаконной продаже онлайн-рекламодателям списков адресов пользователей почтовой службы Hotmail. Обвинение было выдвинуто Microsoft в соответствии со статьей 22 Директивы о приватности в средствах электронной связи, действующей в странах Евросоюза. Высший суд Лондона удовлетворил иск могущественной корпорации, наложив запрет на деятельность, потворствующую спамерским акциям.
37-летний Пол МакДоналд (Paul McDonald), известный также под именем Гэри Уэбб (Gary Webb), занимался продажей адресов электронной почты, владельцы которых, по его словам, подписались на рассылку коммерческой рекламы, заполнив специальную форму на веб-сайте его компании Bizads. Компания Уэбба предлагала списки подобных адресов к продаже на своем веб-сайте - по 15 фунтов стерлингов за 250 адресов.
По свидетельству Microsoft, заявления Уэбба относительно факта подписки на рекламу включенных в списки Bizads адресатов были недостоверными, в результате чего множеству интернет-пользователей были навязаны спам-рассылки порнографического характера. В числе жертв Уэбба оказались также пользователи почтового сервиса Microsoft Hotmail. Специалисты Microsoft зарегистрировали порнографический спам и на адресах-ловушках, специально созданных на сервисе в рамках борьбы со спамом.
Высший суд Лондона квалифицировал деятельность Уэбба как "подстрекательскую" в условиях, когда спам ежегодно обходится европейским провайдерам электронного почтового сервиса в 39 миллиардов евро. Неподчинение судебному запрету может грозить Уэббу лишением свободы и большими штрафами.
Microsoft обвинила Уэбба также в нанесении морального ущерба ее репутации и финансового ущерба, связанного с немалыми затратами на борьбу со спамом. Вопрос о компенсации будет рассмотрен в судебном порядке в ближайшее время.
Источник: OUT-LAW.com
IТ Security: дорогой спам

19.12.2006

По экспертным оценкам, к 2007 году объем спама вырастет до 85% от общего электронного трафика. Некоторые пользователи уже получают не менее 50 спамовых сообщений в сутки, из которых около 2% посланы злоумышленниками с целью хищения персональных данных или финансовых средств, а 1% содержит вирусы. Рассылка так называемых "нигерийских" писем в настоящее время является вторым по значимости видом бизнеса в Нигерии.
По данным калифорнийской компании IТ Security, до 60% спама, атакующего американских пользователей, рассылается с территории США, 10% - из Китая, 8% из Южной Америки и 6% из Великобритании. Большинство спамовых сообщений рекламирует различные товары на продажу (36%). Спамовый трафик возрастает до 85% от общего объема электронных сообщений с понедельника по пятницу, что объясняется его приоритетной направленностью против бизнес-структур.
По подсчетам IТ Security, потеря производительности из-за спама ежегодно составляет около 1400 долларов на каждого работника компании, что эквивалентно 19 часам работы. Так, убытки от спам-рассылок умеренной интенсивности в небольшой компании со штатом 15 человек, получающих в среднем 30 тысяч долларов ежемесячно, за год могут превысить 5 тысяч долларов.
Следует учитывать также затраты компаний на борьбу со спамом. По экспертным оценкам, в США сумма подобных затрат составляет 21 миллиард долларов. Переполнение спамом корпоративных почтовых ящиков приводит к потере легитимных электронных сообщений, что также влечет за собой убытки и дополнительные расходы.
Бороться со спамом можно не только с помощью фильтров. Так, чем больше компаний будет грамотно осуществлять легитимные рекламные рассылки, тем меньше спама будет в почтовых ящиках. Чтобы не быть источниками спама, компаниям малого бизнеса необходимо осуществлять коммерческие рассылки по электронной почте, руководствуясь списком своей клиентуры, изъявившей согласие на их получение, либо базой данных зарегистрированных подписчиков на своих легитимных веб-сайтах.
По мнению специалистов IТ Security, пользователи Сети в определенной мере также способны ограничить возрастание объемов спама, усвоив определенные правила поведения. Согласно статистике исследовательской компании, адресаты спамерских посланий, используя указанные в письмах ссылки и подтверждая этим легитимность своего адреса, удваивают ответный поток спама. Ответ спамеру с отказом от подписки на рассылку ведет к тому же результату, так как в 85% случаев отказная форма сфальсифицирована с целью проверки активности аккаунта получателя спама. Заполнение и отсылка поддельной формы прошения об исключении из списков рассылки, прилагаемой к спамерскому письму, вызывает ответное увеличение количества спамовых сообщений в среднем почти на 250%.
Источник: thechronicleherald.ca
MessageLabs подвела итоги 2006 года

20.12.2006

По оценке MessageLabs, одним из ключевых моментов 2006 года стало заметное увеличение спамерской активности: среднегодовой показатель доли спама в почтовом трафике достиг 86,2%. 63,4% спама, зарегистрированного в течение года, составляли нелегитимные сообщения из новых, неизвестных источников. За последний квартал объемы спама увеличились на 70%, а общий объем электронной почты вырос на треть. Резкое увеличение спама к концу года MessageLabs объясняет злонамеренным использованием графического спама и ботнетов, зараженных червями-спамерами SpamThru и Warezov.
Спам становится целевым, об этом свидетельствуют перехваченные специалистами MessageLabs рассылки с профессионально-ориентированным спамом, использующим профессионализмы для обхода антиспам-фильтров. MessageLabs зарегистрировала спамовые сообщения, использующие термины из области ИТ, финансов и права.
По сравнению с 2005 годом общие показатели спама по отдельным отраслям несколько снизились. Высокие показатели спама сохраняются в сфере образования, услуг по организации досуга, промышленного производства, химической и фармацевтической промышленности, ИТ-услуг и телекоммуникаций.
Возросло количество атак против молодых и развивающихся государств, где бурный рост экономики при отсутствии надлежащих правоохранительных мер ставит под угрозу компьютерную безопасность. Например, в Индии к концу года отмечено резкое увеличение спамерских атак, мишенью которых стали не только национальные структуры, но и партнерские организации западных стран, расширивших свое присутствие в регионе. В 2006 году уровень спама в Азиатско-Тихоокеанском регионе заметно увеличился, особенно в Австралии, Гонконге и Сингапуре. В рейтинге MessageLabs с разделением мишеней спамерских атак по странам в 2006 году лидировал Израиль (75,2% атак), его почти догнала Индия (75,1%), далее - США (63,5%) и Ирландия (60,6%).
Спамеры используют целый ряд ухищрений для того, чтобы из атаки были более эффективными. Они атакуют социальные и профессиональные веб-сайты для сбора персональной информации и организации более целенаправленных атак с использованием вредоносных программ; пользуются упущениями в системе регистрации доменных имен ICANN, регистрируя домены на пятидневный срок, не требующий оплаты. Помимо электронной почты, спамеры стали осваивать другие системы сетевого общения - IM-каналы и блоги. В настоящее время, по данным MessageLabs, на долю спама в IM-трафике приходится 10% от всех сообщений.
В 2006 году доля фишерских посланий в общем количестве электронных сообщений в среднем составила 0,36% (1 фишинговое письмо на 274,2 легитимных). Количество фишишинг-сообщений в общем объеме трафика с вредоносными программами увеличилось: в 2005 году - в среднем 13,1%, в 2006 году - 24,8%. Целенаправленность фишинга продолжает повышаться с использованием шпионского ПО и ботнетов.
Широкое использование ботнетов киберпреступниками MessageLabs объясняет их доступностью: в настоящее время стоимость аренды ботнета в 1000-2000 машин в зависимости от его использования составляет 50-60 долларов в неделю, причем арендатор может расплачиваться похищенной информацией. Вместо аренды ботнета вирусописатель может просто заплатить за установку своей вредоносной программы на отдельные зомби-машины; в отдельных случаях владельцы ботнетов оставляют за собой право контролировать процессы в сданных в аренду ботнетах или вести учет проходящей через них информации, похищаемой у пользователей.
Увеличилось число атак, целью которых является промышленный шпионаж и хищение интеллектуальной собственности. Вектор этих атак сместился в сторону среднего и малого бизнеса как наиболее уязвимого звена в отношении сетевой безопасности. Объектом внимания спамеров и фишеров стали вспомогательные службы, такие как отделы по работе с кадрами, офисный персонал, администрация и секретариаты, а также их внешние контакты.
На основе анализа отчетных данных MessageLabs прогнозирует развитие следующих тенденций в будущем году:

спам станет еще более целевым, к концу 2007 года его объемы составят 92% от всего почтового трафика;
к концу 2007 года число целевых атак, направленных на отдельные профессиональные отрасли, увеличится до 20 в сутки;
основная часть фишерских атак будет направлена на финансовые структуры, не защищенные системой двухуровневой аутентификации;
с расширением системы IM-общения к концу 2007 года увеличится число атак на этот сектор, с объединением IM-сетей разных сервисов и их неизбежной стандартизацией вопросы безопасности IM-сетей приобретут особую актуальность; продолжатся атаки на VoIP-сервис, социальные сети и профессиональные веб-сайты типа Linked-in и Plaxo;
расширится нелегальное использование доменов, зарегистрированных на испытательный срок, достаточный для проведения множества спамерских рассылок с вредоносной "начинкой";
производство готовых комплектов для проведения спамерских и фишерских атак будет поставлено на конвейер; их можно будет приобрести в заказном исполнении, например, на российском веб-сайте, всего за 800 долларов; гарантия на подобные комплекты будет предусматривать возможность модификации при угрозе обнаружения;
дальнейшее увеличение гибкости ботнетов позволит злоумышленникам эффективней управлять ими и расширять их охват, не прибегая к массированным атакам и использованию вредоносных программ;
успешная тактика использования сетевыми злоумышленниками сложной вредоносной программы SpamThru в сочетании с ботнетом будет взята на вооружение другими владельцами ботнетов.

Источник: MessageLabs
Спамер-"киллер" занимается вымогательством

20.12.2006

Жителям Вашингтона, Федеральный округ Колумбия, угрожает неизвестный спамер. Называя себя киллером, он пытается получить немалые суммы якобы за отказ от преследования своей жертвы.
По данным ФБР, в письме спамер объявляет себя киллером, получившим заказ на убийство адресата от его знакомых. "Киллер" якобы ведет слежку за получателем письма и готов расторгнуть контракт, если потенциальная жертва заплатит ему 150 тысяч долларов. Он даже готов за эту сумму предоставить запись, изобличающую заказчика. Спамер-"наемник" требует незамедлительного ответа с указанием номера контактного телефона адресата. В случае обращения жертвы в полицию вымогатель угрожает привести заказ в исполнение.
Расследование установило, что спам-рассылка ведется с адреса 1wayout@myway.com, и ее источник находится за пределами США. Сомнительно, чтобы ее инициатор имел возможность установить слежку за своими многочисленными адресатами, если он вообще имеет представление о местах их проживания. Во избежание паники американские власти поставили эти спамовые сообщения на особый контроль.
Источник: EXAMINER.com
Kaspersky Anti-Spam 3.0 получил престижный сертификат Checkmark Anti-Spam Premium

20.12.2006

"Лаборатория Касперского" сообщает о получении продуктом Kaspersky Anti-Spam 3.0 престижного сертификата Checkmark Anti-Spam Premium, выдаваемого британским исследовательским центром West Coast Labs - признанным мировым авторитетом в области компьютерной безопасности.
Сертификаты West Coast Labs присуждаются продуктам, прошедшим сложные многоуровневые испытания и являются свидетельством эффективности и надежности протестированных решений для обеспечения IT-безопасности. Сертификат Checkmark Anti-Spam Premium выдается исключительно продуктам, продемонстрировавшим эффективность фильтрации спама свыше 97%.
Продукт Kaspersky Anti-Spam 3.0 предназначен для защиты пользователей корпоративной почтовой системы от нежелательных почтовых рассылок. Уникальные интеллектуальные технологии анализа почтовых сообщений и реакция в режиме реального времени на новые спамерские рассылки позволяют блокировать подавляющее большинство нежелательных писем.
Помимо высокой эффективности фильтрации почтового трафика, эксперты West Coast Labs отметили широчайший выбор поддерживаемых почтовых серверов и дистрибутивов ОС Linux, простоту установки и настройки продукта, удобный и функциональный интерфейс управления, исчерпывающе полную техническую документацию и гибкость настроек политики блокирования нежелательных сообщений.
Кроме того, специалисты лаборатории высоко оценили производительность решения, которую они назвали "впечатляющей" в своем отчете о результатах тестирования. Отдельно были отмечены низкие системные требования Kaspersky Anti-Spam 3.0 и высокая скорость сканирования входящих сообщений, благодаря которой доставка писем происходит практически без задержек.
Эксперты West Coast Labs заявили, что "высокая гибкость данного продукта в сочетании с производительностью сканирования и инструментами для ведения статистики обеспечивают мощную защиту от спама".
Дополнительную информацию о прохождении продуктом Kaspersky Anti-Spam 3.0 сертификации West Coast Labs можно получить на сайте организации, расположенном по адресу www.westcoastlabs.org.
Источник: "Лаборатория Касперского"

Спам - статистика за период
11 - 17 декабря 2006 г.

"Лаборатория Касперского"
Объем и тематические особенности спама

На прошлой неделе доля спама в почтовом трафике составила в среднем 78,6%. Продолжается рост количества и доли спама, в основном, за счет резкого роста предложений, связанных с наступающим Новым годом и Рождеством.
В тематическом распределении спама на прошедшей неделе снова произошли изменения. Как и следовало ожидать, подскочившие на предыдущей неделе процентные показатели рубрики "Медикаменты; товары/услуги для здоровья" явились следствием нескольких очень массовых, но недолгих рассылок. На этой неделе эти рассылки прекратились, и все вернулось к типичным для этого времени года значениям. В первую очередь это выразилось в росте доли спама тематической категории "Другие товары и услуги".
Как мы уже говорили, рубрика "Другие товары и услуги" собрана по остаточному принципу, в нее входят рассылки, доля которых редко превышает 2% от общего спамового потока. Однако в виду приближения Нового года и резкого увеличения доли этой рубрики, рассмотрим ее подробнее. На прошедшей неделе самыми популярными темами стали юридические и бухгалтерские услуги (юридическая и бухгалтерская помощь в преддверии Нового года, помощь в срочном получении виз и загранпаспортов) - 4,8% от общего потока; перевозки, помощь грузчиков и ремонт квартир (тоже, как правило, с обещаниями успеть все сделать до Нового года) - 3,8%; среди англоязычного спама абсолютным лидером являются рассылки, посвященные копиям дорогих часов, - 2,9%.
В англоязычном спаме все так же настойчиво предлагается прислать письмо с Северного Полюса от Санта Клауса - но теперь уже не только детям, но и всем друзьям. Впрочем, спамеры не забывают упомянуть Новый год и в рассылках, посвященных товарам и услугам, никак напрямую не связанным с праздником. С точки зрения спамеров, в преддверии Нового года любой рекламируемый товар годится в качестве "лучшего подарка", а рекламируемую услугу обязательно "необходимо сделать до Нового Года".
Популярные тематики

No Тематика Описание Доля тематики Изменения за неделю

1 Другие товары и услуги Предложения других товаров и услуг 32,6% +19,1%

2 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 13,6% -14,2%

3 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 10,8% -3,2%

4 Образование Реклама семинаров, тренингов, курсов 10,5% +3,6%

5 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 8,9% -2,6%

6 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 7,7% -3,3%

7 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 5,0% -1,4%

8 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 3,8% -0,8%

9 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 2,6% +0,7%

10 Полиграфия Визитки, календари, печать, услуги типографии и пр. 2,1% +0,2%

11 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% -1,4%

12 Остальной спам Менее 2% Без изменений

Образчики самого массового спама, а также самые оригинальные спам-предложения вы найдете на сайте Спамтест.

Антиспам "своими руками": плюсы и минусы

Евгений Митрофанов, ИД Independent Media,
доклад на конференции "Проблема спама и ее решения"
Необходимость защиты

Электронная почта является одним из основных способов коммуникации как между сотрудниками издательского дома, так и между внештатными авторами, а также для общения с читателями. Специфика применения электронной почты состоит в том, что адреса почтовых ящиков публикуются как в печатных, так и в электронных СМИ. Для спамеров не составляет труда добавить адреса в свои базы и использовать их в дальнейшем.
Впервые проблема борьбы со спамом остро возникла четыре года назад. Наша компания использовала MS Exchange в качестве MTA, количество почтовых адресов было чуть больше тысячи. Фильтрация входящих писем отсутствовала полностью. Более того, одним из побочных эффектов использования MS Exchange было то, что письма на несуществующие адреса принимались сервером и потом отправлялись обратно как часть DND сообщений.
Использование sendmail и модуля milter-sender для фильтрации спама

Первым шагом в борьбе с нежелательной почтой явилась установка дополнительных релеев, через которые бы проходила вся почта. В качестве ОС использовалась одна из разновидностей UNIX систем с открытым кодом FreeBSD, в качестве MTA - всем известный sendmail.
Указанный MTA имеет возможность подключения дополнительных фильтров через программный интерфейс milter (mail filter), что и было сделано - к нему был подцеплен milter-sender. Назначение фильтра вытекает из его названия. Фильтр осуществляет проверку отправителя письма, в частности, проверяется следующее:

IP-адрес отправителя не должен принадлежать к блоку зарезервированных адресов (из RFC 3330 и 3513);
IP-адрес отправителя не должен числиться в RBL;
IP-адрес отправителя должен иметь PTR запись в обратной зоне;
адрес отправителя должен иметь правильный формат;
домен отправителя должен существовать;
хотя бы один из MX серверов отправителя должен быть доступен и готов принимать почту на адрес отправителя.

Стандартная конфигурация MTA также была изменена следующим образом: при приеме писем из Интернета происходила проверка существования получателя в Active Directory.
После запуска релеев в эксплуатацию объем входящего почтового трафика значительно уменьшился. Количество спама сократилось, но оно все еще оставалось достаточно высоким. Таким образом, можно было констатировать, что подход, основанный только на проверке отправителя, не эффективен против спама.
Использование SpamAssassin для фильтрации спама

Вторым шагом стала установка системы анализа содержимого и заголовков письма. После ознакомления с существующими на тот момент продуктами, было принято решение использовать SpamAssassin и модуль milter-spamc для взаимодействия с sendmail.
Принцип работы SpamAssassin следующий: все письмо, включая заголовки, подвергается анализу. Его цель - поиск определенных признаков спама. Учитываются как "неправильные" и/или "фальсифицированные" заголовки, так и присутствие определенных слов, фраз и их сочетаний. Далее происходит сложение весов всех признаков. Если сумма больше определенного значения, которое устанавливается администратором, то письмо считается спамом.
Тестовые прогоны SpamAssassin показали, что предложенная схема деления всего потока на спам и не-спам не подходит. Частично это было связано с тем, что SpamAssassin не рассчитан на русскоязычных пользователей, и слишком велики были пропуски спам-писем даже после коррекции весов и добавления компенсирующих признаков. Более того, регулярные выражения для поиска ключевых слов и фраз необходимо было писать дважды (первый раз для кодировки koi8-r, второй - для windows-1251), что также усложняло процесс конфигурирования.
В результате доработки весь поток стал делиться на три группы (соответственно, существовало не два, а три диапазона, на попадание в которые проверялась общая сумма весов признаков):

хорошие письма - письмо доставлялось адресату без изменений;
подозрительные письма - письмо доставлялось адресату с пометкой "СПАМ" и попадало в специальный ящик для подозрительных писем, содержимое которого использовалось в дальнейшем администратором почтового сервера для подстройки фильтров SpamAssassin;
спам - в этом случае письмо конечному адресату не доставлялось, а попадало в другой специальный ящик, доступ к которому был только у администратора почтовой системы.

В первые два месяца с начального момента запуска указанной схемы средний диапазон (с подозрительными письмами) постепенно сужался путем добавления новых признаков и подстройки весов. В итоге, данная схема успешно работала и показала высокое качество фильтрации нежелательной почты. Количество ложных срабатываний и пропущенных писем также было приемлемым.
Основным недостатком описанной выше схемы являлась постоянная необходимость анализа подозрительных писем с целью выделения общих признаков и подбора весов. Процесс этот довольно трудоемкий и не отличается оперативностью. Разбор и анализ одного письма отнимал до получаса, в зависимости от уловок, используемых спамерами. Если же возникали более приоритетные задачи, то процесс разбора откладывался. Таким образом, в начале спам-рассылок нескольким письмам обычно удавалось прорываться до того, как конфигурация SpamAssassin менялась соответствующим образом. Более того, некоторые нежелательные письма отфильтровать оказалось невозможно.
Greylisting как альтернативное решение защиты от спама

Протокол SMTP, который используется для передачи электронных писем, имеет возможность в случае временного отказа в приеме письма предпринять попытку отправить его позже. Если письмо не удалось отправить в первый раз, то оно попадает в очередь и хранится там, при этом сервер периодически предпринимает попытки отправить его повторно.
Спамеры обычно пытаются решить задачу рассылки писем как можно большему количеству адресатов. При этом они используют самодельный софт, работающий на их же машине, не утруждая себя тонкостями реализации протокола SMTP и обработкой нестандартных ситуаций, возникших во время SMTP-сессии. Частично это связано с тем, что количество адресатов в рассылке исчисляется миллионами, а соответствующими объемами устройств хранения спамеры не располагают. Аналогичная ситуация наблюдается и в случае, когда рассылающая спам или зараженные письма машина является частью зомби-сети.
Типичный самодельный "отправляльщик" работает по принципу "соединился, выдал в канал заранее сформированную последовательность SMTP-команд (зачастую не дожидаясь даже приветствия сервера, - позже мы к этому вернемся) и закрыл соединение". Повторных попыток отправить письмо адресату не предпринимается, а очередь отсутствует за ненадобностью.
Подход к приему писем, когда первая попытка заканчивается временным отказом, получил название "greylisting" (серый список). Но отказы в приеме каждого нового письма с первого раза ведут к увеличению почтового трафика и вносят значительные задержки в доставке писем, поэтому современные реализации используют два списка: серый и белый. Если не вдаваться в детали, то алгоритм работы такого модифицированного серого списка можно представить следующим образом:

В начале каждой новой SMTP-сессии происходит поиск триплекса "IP-адрес отправителя, почтовый адрес отправителя и почтовый адрес получателя" в белом списке. Если он там существует, то письмо проходит без задержек.
Далее происходит поиск триплекса в сером списке. Если он там найден, то письмо также проходит, а триплекс переносится в белый список.
В противном случае триплекс запоминается в сером списке, а удаленной стороне возвращается сообщение о временной недоступности сервиса (обычно еще указывается, через какое время можно предпринять повторную попытку отправить письмо).

Администратор сервера задает время жизни триплекса в сером и белом списках, по истечении этого времени запись из списка удаляется. Такой подход позволяет значительно сократить объемы служебного почтового трафика, обусловленного работой серого списка. Более того, только первое письмо доходит до адресата с задержкой, остальные же доставляются сразу (в случае, когда существует соответствующий триплекс в белом списке).
В качестве программной реализации описанного выше алгоритма был выбран свободно распространяемый код milter-greylist. Указанное ПО является фильтром, который через milter-интерфейс получает от sendmail и анализирует команды SMTP-сессии. Помимо модифицированного серого списка milter-greylist обладает следующими дополнительными возможностями:

При наличии двух и более почтовых релеев возможно настроить milter-greylist таким образом, чтобы серый и белый списки синхронизировались между серверами; это позволяет отслеживать как попытки обхода системы, так и осуществлять корректную обработку случая, когда один из принимающих почтовых серверов недоступен (например, находится на техническом обслуживании).
При правильно настроенной SPF-записи у отправителя возможно автоматическое занесение триплекса в белый список, что позволяет свести к нулю задержки для "правильных" доменов.
Возможно ручное управление белым списком - добавление определенных получателей и/или отправителей, их доменов или IP-адресов в белый список, что бывает необходимо для "борьбы" с неправильно настроенными почтовыми серверами, а также для обработки исключений (например, адресов abuse и postmaster, которые должны иметь возможность принимать всю почту).

Одновременно с запуском серого списка конфигурация sendmail была модифицирована следующим образом: введено ограничение на одновременное количество SMTP-сессий с одного IP-адреса, и добавлена задержка между открытием SMTP-соединения и выводом приветствия сервером. Если с первым все понятно, то второе требует небольших комментариев.
В RFC 2821, раздел 4.3.1, сказано, что отправляющая сторона после установления соединения должна ждать до тех пор, пока сервер получателя не выдаст приветствие. Честные почтовые сервера так и поступают, чего нельзя сказать о самодельном программном обеспечении, предназначенном для массовых рассылок или распространения вирусного кода. Как было сказано выше, такие отправители не анализируют ответы принимающего сервера, а, следовательно, не проверяют, было ли это приглашение или нет, нарушая требования стандарта.
Задержка приветствия позволяет отказать подобным клиентам в обслуживании. В начале SMTP-соединения sendmail ждет определенное время, прежде чем выдать приветствие клиенту. Если в этот период времени от клиента что-то пришло, то sendmail выдает предупреждение и блокирует прием письма.
Отказ от SpamAssassin и замена его на milter-greylist позволила добиться высокого уровня отсева нежелательной входящей почты. При этом временные затраты на поддержку системы были сведены к минимуму. Необходимость в постоянном анализе и модификации конфигурации SpamAssassin при этом отсутствует.
Результаты

Подводя итоги, обратимся к цифрам. На настоящий момент входящий почтовый трафик составляет порядка трех Гигабайт в день. Весь этот объем распределяется между тремя тысячами электронных ящиков. Результаты разбора лог-файлов почтовых серверов представлены в таблице ниже (только входящая почта, логи на одни сутки):

писем, шт писем, %% комментарий

140960 100.0 всего попыток передать почту

16194 11.5 принято и доставлено

61968 44.0 отказано в приеме; причина - отправитель или получатель не существуют (milter-sender)

25866 18.3 отказано в приеме; причина - активность клиента до выдачи приглашения

23399 16.6 отказано в приеме; причина - IP-адрес клиента не имеет записи в обратной зоне

7981 5.7 временно отказано в приеме; причина - триплекс добавлен в серый список (milter-greylist)

5229 3.7 SMTP-сессия прервана по тайм-ауту

323 0.2 отказано в приеме; причина - письмо содержит вирус

Как видно из таблицы, примерно одной трети входящих SMTP-сессий отказывается в приеме писем в момент установления соединения, а половине всех входящих сессий позже: после проверок, которые требуют обращения во внешний мир. Низкий процент временных отказов в приеме обусловлен тем, что большинство писем отбрасывается раньше и очередь до проверок milter-greylist не доходит. Этим же обусловлен низкий процент писем с вирусами.
Что касается прошедших все фильтры и доставленных в ящик писем, то из них примерно 2-7% являются спамом. В последнее время наметилась печальная тенденция - этот процент неуклонно растет, что свидетельствует о появлении новой технологии рассылки спама.
Заключение

После четырех лет эксплуатации разнообразных систем фильтрации почты я могу сказать, что ни один из методов не являлся абсолютным фильтром, но все они с переменным успехом спасали от спама.
В самом начале все ограничивалось использованием черных списков, которые были просты в настройке, не требовали обслуживания, и, что самое важное, имели высокий показатель отсева нежелательных писем. Сейчас же система фильтрации почты состоит из нескольких компонентов, каждый из которых является независимой от других подсистемой, со всеми вытекающими отсюда последствиями. Поддержка такого "зоопарка" является не простым занятием, но главная проблема в другом. Спамеры уже перешли на новый качественный уровень. Они научились создавать письма, которые обходят все используемые фильтры. Подробный разбор заголовков выявил следующие закономерности: либо письма идут с существующих почтовых адресов, либо для рассылки используются бесплатные почтовые сервера. Поймать подобные письма возможно только в случае использования систем анализа содержимого письма. Одной из подобных систем является SpamAssasin, но он не подходит для фильтрации русского спама, а также для спама, в котором информация подается в виде рисунка.
Спамеры постоянно совершенствуют свои программы, что-то изобретая и модифицируя. Следовательно, для победы в борьбе с ними необходимо постоянно совершенствовать систему фильтрации, постоянно следить за технологиями, используемыми как спамерами, так и для борьбы с ними. Противостоять сообществу спамеров один человек уже не в состоянии.
В чем выход? Я полагаю, что настало время применения специализированных антиспам-продуктов, которые используют комбинированные методы отсева нежелательной почты, дополняя их уникальными технологиями анализа содержимого письма.

Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2005

В избранное

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} {#if $P.login_register_tab == 1} <form class="authentication-form" method="post" action="/MEMBERLOGIN_authen_cred"> <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <h1>Войти на сайт</h1> {* {#include js_tmpl_auth_reg_button} *} {#include js_tmpl_auth_reg_action} <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones"><p>{#include js_tmpl_auth_reg_descr} </p></div> <div class="logreg_advice noPhones"> Если вы еще не с нами, то начните с <a href="#" onclick="rgNav('js_tab_reg');return false;" class="dashed" data-func="registr">регистрации</a> </div> <br><br> <a class="dashed auth-enter" href="/manage/author/"><b>Вход для авторов</b></a> </dt> </dl> </form> {#/if} {#if $P.login_register_tab == 2} <div class="rg_block_options"> <div id="js_tap_panel_auth"> <h1>Регистрация</h1> <div class="social_reg"> {* <div class="rg_description">{#include js_tmpl_soc_auth_reg_descr}</div> *} {#include js_tmpl_auth_reg_soc} <div class="rg_soc_auth_agree">{#include js_tmpl_auth_reg_agree}</div> </div> <div class="subscribe_reg"> {* <div class="rg_description"> #include js_tmpl_auth_reg_descr </div> *} {#include js_tmpl_auth_reg_action} </div> {* {#include js_tmpl_auth_reg_button} *} <div class="clr"> </div> <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones">{#include js_tmpl_auth_reg_descr} {#include js_tmpl_soc_auth_reg_descr} </div> </div> </div> {#/if} </div> {* <div class="gray_bg register_shadow"></div> *} </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_auth" class="{#if $P.login_register_tab == 1} rg_active_nav {#/if} rg_first_nav"><a onclick="rgNav('js_tab_auth');return false;" href="">Вход на сайт</a></li> <li id="js_tab_reg" class="{#if $P.login_register_tab == 2} rg_active_nav {#/if}"><a onclick="rgNav('js_tab_reg');return false;" href="">Регистрация </a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_action} {#if $P.login_register_tab == 1} {#include js_tmpl_auth_reg_soc} {#/if} <div class="rg_forms"> <input type="hidden" id="login_register_destination" value="{$P.login_register_destination}"/> {#if $P.login_register_tab == 1} <div class="rg_for_input"> <span class="rg_text_inner">E-mail или код подписчика</span> <input id="credential_0" class="js_keydown_selector rg_input_text" data-js_submit="no" data-js_next_input_name="credential_1" name="" type="text" /> </div> <div class="rg_for_input"> <span class="rg_text_inner">Пароль</span> <input id="credential_1" class="js_keydown_selector rg_input_text" data-js_submit="yes" data-js_action="js_loginFormBut" name="" type="password" onkeyup="showAttention(this,!!window.event.shiftKey)" /> <span class="pswd_attention" id="attention_pswd"> <span class="icon_attention"></span> <span class="pswd_attention-text" id="attention-text_pswd1">Русская раскладка клавиатуры!</span> <span class="pswd_attention-text" id="attention-text_pswd2">У вас включен Caps Lock!</span> <span class="pswd_attention-text" id="attention-text_pswd3">У вас включен Caps Lock и русская раскладка клавиатуры!</span> </span> </div> <div class="rg_for_input input-alien"> <span class="chk noPhones"><input id="chk_alien" name="" type="checkbox" /></span><label for="chk_alien" class="noPhones"> Чужой компьютер</label> <a class="forgot_pass" href="/member/totalrecall">Забыли пароль?</a> </div> <div class="rg_for_input"> <em id="auth_msg" class="reg_error"></em> <input id="lf_typeauthid" value="email" type="hidden"> <input type="submit" class="button button-red logreg_submit" id="js_loginFormBut" value="Войти">  <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} {#if $P.login_register_tab == 2} <div class="rg_for_input"> <span class="rg_text_inner">E-mail</span> <input id="arfemail" class="js_keydown_selector rg_input_text" name="" type="text" data-js_submit="yes" data-js_action="js_regFormBut"/> </div> <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a> </label> <br /> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_personal' type="checkbox" data-js_submit="yes" /></span> Нажимая на кнопку "Готово!", я даю <a class="link_txd logreg_accLink" href="/faq/persverordnung.html">согласие на обработку персональных данных</a> </label> </div> {* <div style="float: left;position: absolute;left: 11em;"> <img src="http://www.kupivip.ru/images/vip/logo.png?1604" style="width: 86px; vertical-align: middle;display: block;"> </div> <div class="rg_for_input rg_set_lineh"> <label class="js_tap_panel_checkbox"><input name="" id="js_tap_panel_checkbox_kupivip" type="checkbox" data-js_submit="yes"> Я хочу получать новости о скидках на одежду</label> </div> *} <div class="rg_for_input"> <em id="reg_msg" class="reg_error rg_for_input_wide"></em> <em id="reg_msg2" class="reg_error rg_for_input_wide"></em> <input id="rf_typeauthid" value="email" type="hidden"> <a class="button button-red logreg_submit" id="js_regFormBut" href="#">Готово!</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} </div> {#/template js_tmpl_auth_reg_action} {#template js_tmpl_auth_reg_agree} <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms_reg' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a></label> <em id="reg_msg_soc" class="reg_error rg_for_input_wide"></em> </div> {#/template js_tmpl_auth_reg_agree} {#template js_tmpl_auth_reg_button} <div class="rg_butons_socials"> {#if $P.login_register_tab == 1} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} {#if $P.login_register_tab == 2} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} </div> {#/template js_tmpl_auth_reg_button} {#template js_tmpl_auth_reg_descr} {#if $P.login_register_tab == 1} Для оформления подписки на выбранную рассылку, работы с интересующей вас группой или доступа в нужный вам раздел, просим авторизоваться на Subscribe.ru {#/if} {#if $P.login_register_tab == 2} Для регистрации укажите ваш e-mail адрес. Адрес должен быть действующим, на него сразу после регистрации будет отправлено письмо с инструкциями и кодом подтверждения. {#/if} {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_soc_auth_reg_descr} Или зарегистрируйтесь через социальную сеть. {#/template js_tmpl_soc_auth_reg_descr} {#template js_tmpl_auth_reg_soc} <div class="rg_soc"> {#if $P.login_register_tab == 1} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/login/vk/&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} {#if $P.login_register_tab == 2} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/join/vk&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} </div> {#/template js_tmpl_auth_reg_soc}

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <p class="rg_description">{#include js_tmpl_auth_reg_descr}</p> <div class="clr"> </div> {#include js_tmpl_auth_reg_action} <div class="clr"> </div> </dt> </dl> </div>  </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_reg" class="rg_active_nav rg_first_nav"><a href="" onclick="return false;" >Регистрация</a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_descr} <strong>Пожалуйста, подтвердите ваш адрес.</strong><br><br>Вам отправлено письмо для подтверждения вашего адреса {$P.register_confirm_mail}.<br>Для подтверждения адреса перейдите по ссылке из этого письма. {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_auth_reg_action} <div class="rg_forms confirm_code_from_letter"> <div class="rg_for_input"> <span class="rg_inp_descr" style="width:15em;">Или введите код из письма:</span> <input type="text" value="" id="confirm_code" name="" data-js_submit="yes" data-js_action="js_confirmFormBut" class="js_keydown_selector rg_input_text_conf" > </div> <div class="rg_for_input"><label>Не пришло письмо? <b>Пожалуйста, проверьте папку Спам</b><br /> (папку для нежелательной почты).</label><br /> <a href="" onclick="ajax_recall_code();return false" >Вышлите мне письмо еще раз!</a></div> <div class="rg_for_input"> <em class="reg_error" id="confirm_msg"></em> <a href="#" class="button button-red" id="js_confirmFormBut">Готово</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> <br> </div> </div> {#/template js_tmpl_auth_reg_action}