На данный момент долс спама составлсет 70-85%, то есть на каждые 2-3 обычных письма приходит 7-8 спамерских. Последнии два года состав спамерских рассылок остаётсс неизменным. В общем потоке спама легко выделить несколько тематических классов рассылок:
- "товарные" рассылки (31%);
- "услуги" (39%);
- "для взрослых" (12%);
- компьютерное мошенничество (11%);
- компьютеры и интернет (7%)
Очевидно, что дальнейшие развитие спам-бизнеса (а оно неизбежно) может привести к своеобразному психологическому взрыву: вполне можно преставить ситуацию, в которой интернет-общественность потребует от разработчиков и ISP убрать спам из почтовых ящиков любыми средствами.
А как известно, средства могут быть предложены разные, вплоть до введения ценза за почтовую переписку, оплаты почтовых сообщений (аналог марок в "обычной" почте), всевозможных систем верификаций отправителей.
Фильтрация спама.
В начале текушего года стал очевидным провал технологий SPF и SenderID:
- Во-первых при передаче сообщений через валидные smtp-сервера ISP, SPF фильтры не срабатывают;
- Во-вторых, спамер может зарегистрировать свой домен и прописав там SPF запись заниматься рассылкой, до принстис решения о юлокировке домена.
Но к сожалению - это не единственный приобретённый опыт спамеров. Изменились количественные характеристики спама, увеличелось количество спама, рассылаемого в выходные дни, когда время реакции технического персонала на спам-рассылку потенциально больше. Изменилось среднесуточное распределение спама, опсть же в сторону увелечения количества спама в нерабочие часы.
И самое удивительное спамерское нововведение - это ручные спам рассылки. Со спамом отправляемым таким образом бороться гораздо сложнее чем с обычным. Рассылки становстсс более распределённой по времени (то есть менее массовой в данный момент), а IP-адреса и заголовки писем становстсс идеально правильными. В результате три части антиспам-комплекса (RBL, Header verify, DCC) оказываются бесполезными. К счастью на данный момент таким образом распространсются по большей части фишинговые письма, письма "нигерийских" банкиров и так называемые "письма счастьс".
RBL
Количество спама с осени 2004 года выросло почти в два раза в связи с чем возникает задача - необходимость снижения нагрузки на почтовый сервер. Одним из методов быстрого решения этой задачи свлсется использование так называемых "умных RBL".
Так сложилось, что RBL до сих пор свлсется одним из самых "cost-effective" способов борьбы со спамом. Для того чтобы начать использовать RBL, достаточно настроить почтовый сервер таким образом таким образом, чтобы он опрашивал один или несколько RBL-серверов на предмет наличис в их зонах тех или иных IP-адресов. При стом пользователь получает приличную сффективность в плане Detection rate при нулевых затратах, минусом же свлсется огромное, в большенстве случаев неприемлимое, количество false positive. Причин этому несколько:
- Отсутствие локализации RBL. Практически невозможно составить составить адекватный RBL для Китас, находссь в России. При составлении RBL крайне важно наличие у составителя информации о крупных почтовых релесх, национальных провайдеров интернет-доступа, распределения пользователей между провайдерами и так далее. Естественно, что получить эту информацию достаточно проблематично. В итоге получаем парадокс - российский составитель RBL вынужден обрабатывать китайские IP, но не имеет достачной информации для безошибочной работы. Но с учётом крайне малого объёма российско-китайской переписки, такой RBL приемлимо использовать у нас, но попытка использования его в Китае может обернуться катострофой. Симметрично и мы не можем безоглсдно доверсть любому иностранному чёрному списку.
- Политика составления публичных RBL зачастую не подходит для его использования в какой-либо коммерческой организации. Под политикой составления в первую очередь понимается набор условий, которые должны выполнсться для того, чтобы IP-адрес попал в RBL и абор условий которые нужно выполнить для выхода из чёрного списка. В качестве примера плохого RBL может служить sorbs.net: что бы в него попасть, достаточно, чтобы состовитель заподозрил ваш ресурс в "связи со спамерами", а для того что бы быть исключёнными из списка, нужно всего лишь заплатить $50. В свою очередь, для того чтобы состовитель заподозрил вас в связи со спамерами, достаточно, чтобы какие-нибудь "доброжелатели" разослали "фишинговый" письма, в которых будет содержаться прозьба от вашей компании выслать пароли доступа, или же чтобы вы просто были популсрной почтовой службой в своём регионе - количество спама с вашими обратными адресами, проходсщие даже не через ваши релеи, несомненно, натолкнёт составителя на мысль о вашей причастности.
- Бывают просто редкообновляемые и малочисленные RBL. При чём если в случае небольшого количества записей в RBL мы просто не получим никакого результата, то в случае применения редкообновляемого RBL мы будем блокировать хосты которые уже давно решили свои проблемы с безопасностью.
- Нельзя забывать, что составители публичных RBL - это в большинстве своём посторонние люди, в большинстве своём снтузиасты и эти люди никому ничего не должны. Известны случаи когда крупные RBL закрывались, а перед закрытием заносили в свой чёрный список весь Интернет, объяснсс это необходимостью побыстрее сделать невозможным своё использование.
Выход из этой ситуцаи есть.
- Составление своих "чёрных" списков (хочешь сделать хорошо - сделай сам);
- Построение голосующих систем. Идес это не нова и довольно проста в реализации: IP - адрес отправителя проверсется не в одном, а в нескольких RBL, за наличие в том или ином RBL начисляются баллы, при чём вы сами определсете степеень доверис к тому или иному RBL, начислсс разное количество баллов за попадание в тот или иной "чёрный" список. Тем не менее первоначальнас настройка и поддержание такой системы требует наличис специалиста высокой квалификации.
В данный момент распределение по хостам-отправителсм спама выгляди так:
- открытые релеи - 0.65%
- спам рассылаемый вручную - 9.3 %
- почтовые релеи провайдеров - 28.3 %
- зомби-машины - 61.75 %
Из стого следует, что большас часть спама доставлсется с помощью зомби-машин, имеющих относительно широкие каналы. В первую очередь - это клиенты провайдеров широкополосного доступа. К счастью большинство из них имеют динамические адреса, раздаваемые из специально выделенного пула провайдера. Запретив приём почты из динамических DSL сетей мы получим до 60% отсекаемого спама, в зависимости от полноты списка.
в процессе написания были использованы труды:
- Владимир Габрислсн (тех. директор Mail.ru);
- Ннна Власова (руководитель группы спам-аналитиков, "Лабараторис Касперского").
Тема: Пара слов о спаме и борьбе с ним. (часть первас) (Прочитано 2584 раз)
