Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Держим оборону против спама и спамеров

Рон Андерсон

Спам ненавидят все, за исключением гавайцев и спамеров. Со спамерами все понятно, а почему гавайцы? Просто они очень любят консервированный колбасный фарш, который на сленге звучит как “спам”.

Нежелательная почтовая рассылка (или спам), содержащая навязчивую рекламу, стала всеобщим бичом Интернет. Настало время объявить ей войну, и не только на технологическом фронте. Существует простое экономическое объяснение тому, зачем спамеры прибегают к своему черному делу: отправить миллионы электронных рекламных сообщений гораздо дешевле, нежели разослать рекламу в конвертах или на открытках даже нескольким тысячам потенциальных покупателей. Страдают же от этого простые пользователи e-mail, еженедельно получающие сотни рекламных сообщений, нацеленных при этом на совершенно другую аудиторию.

И ситуация только ухудшается. По оценкам фирмы Jupiter, в 2006 г. число нежелательных посланий рекламного характера должно достигнуть 206 млрд, что в два раза больше, чем в этом году. Каждое третье электронное письмо, относящееся к деловой корреспонденции, в этом году было спамом, и, по оценкам Radicati Group, доля такого рода сообщений должна увеличиться до 39 %. В Meta Group подсчитали, что компании среднего размера получают 20 тыс. нежелательных писем в день.

Мы специально наблюдали за одним из почтовых серверов журнала Network Computing, обслуживающим 20 пользователей. За 24 ч он блокировал 2478 сообщений от известных рассыльщиков спама, отловил 61 письмо с помощью “ловушек для спама” и пропустил около 1000 таких писем. Получилось по 177 рекламных писем на каждого пользователя. Посчитайте, и станет ясно, что в год на пользователя приходится 64 605 подобных писем. Безусловно, наши адреса электронной почты широко известны в Интернет, поэтому для спамеров мы служим более легкой мишенью. Но все равно, исходя из нашего опыта, мы не думаем, что аналитики сильно завышают цифры. И самое грустное — это те 1000 писем, которые “просочились” в наши почтовые ящики, несмотря на все затраченные нами деньги и усилия на борьбу со спамом.

Так что же делать измученному администратору почтового сервера? К сожалению, прямо сейчас мы не можем выдать вам готовый ответ. Дело в том, что “черные списки” эффективны только против спамеров, которые в них занесены; средства фильтрации недостаточно умны, чтобы блокировать весь спам и гарантировать прохождение всей полезной корреспонденции. Наиболее эффективным решением будет комбинация разных инструментов борьбы со спамом.

Первый рубеж — секретность

Одни советуют никому не давать свой адрес электронной почты или хотя бы не “засвечивать” его в местах, где могут быть заинтересованные в прямом маркетинге пользователи. Другие для регистрации на публичных службах Интернет или в службе новостей заводят себе отдельный адрес электронной почты, обычно на какой-нибудь бесплатной почтовой службе; основной же почтовый адрес они оставляют для работы и личной переписки. Но такая стратегия тоже не совершенна: достаточно один раз допустить ошибку — и вы снова окажетесь заваленными почтовым мусором.

С точки зрения администратора, первой линией вашей обороны должны стать правила на системном уровне, которые будут блокировать уже известный спам. Мы начали с того, что взяли несколько присланных ранее сообщений с указанием адресата, затем создали на сервере простое правило, запрещающее принимать письма с определенной строкой в поле отправителя. Проблема была решена, и менее чем за минуту, по крайней мере на одном сервере. Но тут есть еще один подводный камень: спамер может менять адрес, а наше решение действенно только против определенного адреса. Многие серверы позволяют вам создавать “черные списки” надоедливых IP-адресов. Концепция та же самая — простой, но утомительный метод блокировки спама, не очень хорошо масштабируемый и опять же действующий только против известных вам спамеров.

Если вы имеете дело с “продвинутыми” пользователями, то они могут создавать правила самостоятельно на сервере, если он позволяет пользователям делать это, или локально, устанавливая правила в своих почтовых клиентах. Например, некоторые пользователи нашего почтового сервера отправляют все сообщения, приходящие с бесплатных почтовых серверов, вроде yahoo.com и hotmail.com, не в папку “Входящие”, а в отдельную папку, которую они просматривают в свободное время. Некоторые же просто удаляют все подобные сообщения, поскольку почти все они являются спамом. Мы не советуем вам брать на вооружение этот метод в вашей организации, не проконсультировавшись предварительно с теми, кому приходится переписываться с клиентами бесплатных почтовых служб.

Второй рубеж — “черные списки”

Второй линией обороны будут для вас так называемые “черные списки”, представляющие собой эффективный автоматический инструмент борьбы со спамом. Используя его, ваш почтовый сервер посредством DNS обращается к спискам, в которые занесены известные спамеры. Такие списки поддерживаются множеством организаций, например MAPS RBL (Mail Abuse Prevention System Realtime Blacklist; mail-abuse.org), SpamCop (spamcop.net) или Spamhaus (spamhaus.org). Если на запрос вашего сервера приходит положительный ответ, означающий, что сервер отправителя относится к DNS-зоне “черного списка”, то система, от которой пришло письмо, является известным спамером.

“Черные списки” создаются и поддерживаются различными способами. Иногда для этого используются “роботы”, ведущие поиск адресов, с которых идет массовая рассылка, и затем заносящие их в список. А иногда они составляются на основе ежедневного или даже ежеминутного анализа жалоб пользователей. SpamCop применяет второй метод вместе с системой оценки “коэффициента опасности” источников спама в процентах. SpamCop удаляет запись из “черного списка”, если на источник спама поступило менее трех жалоб и ни одна из них не пришла за последние шесть часов.

Когда вам приходит письмо с сервера, занесенного в “черный список”, у вас есть выбор, что делать дальше. Например, можно запретить прием входящих сообщений либо просто не доставлять их пользователю. У большинства почтовых серверов есть функция отсылки сообщений обратно, если, конечно, обратный адрес не является фальшивым. В ответном письме указывается, что данный почтовый сервер занесен в “черный список” и что ваша организация не принимает письма с этого адреса.

Конечно же, сообщение о занесении адреса в “черный список” часто вызывает казусы, в результате которых полезные и даже важные электронные письма от добропорядочных пользователей не могут достичь своего адресата. Но мы все-таки считаем эту меру необходимой. Важно только отправителей сообщений поставить в известность, что их почта не доходит до ваших пользователей, чтобы можно было начать диалог по разрешению этой проблемы. Хорошо продумайте содержание такого ответного письма, чтобы избежать конфликтных ситуаций.

“Черные списки”, используемые совместно с другими приемами борьбы со спамом, являются прекрасным средством защиты. Мы взяли MAPS, SpamCop и Spamhaus, и комбинация этих средств оказалась для наших пользователей именно тем, что им было нужно, — жалоб от пользователей приходило мало, и мы смогли блокировать тысячи нежелательных сообщений ежедневно. Одни списки строже других, при этом повышается риск заблокировать нормального пользователя, а другие — не очень хорошо блокируют почтовый мусор. Вы должны сами определиться, что больше подходит вашим пользователям. Возможно, что для начала вам будет полезно изучить общедоступные “черные списки” в Интернет.

Поскольку такие списки поддерживаются их создателями, администраторам не придется тратить много сил. На каждое сообщение нужно провести DNS-поиск по всему списку (мы делали три DNS-запроса на сообщение плюс обратный DNS-запрос, чтобы удостовериться, что сервер является именно тем, за кого он себя выдает), поэтому на каждое сообщение будет расходоваться какое-то количество вычислительной мощности сервера и увеличиваться трафик сети.

А теперь что-то совершенно необычное

Еще одна услуга опроса DNS, в настоящее время находящаяся на этапе бета-тестирования в фирме IronPort Systems, — это “белые списки”. В “белый список” заносятся серверы, с которых разрешено доставление почты вашим пользователям. Служба Bonded Sender Program (www.bondedsender.com), предлагаемая IronPort, — хороший пример “белого списка”, ведущегося третьей фирмой.

Представим на минуту, что вы — это компания, к примеру, AT&T Broadband, и желаете периодически рассылать своим пользователям сообщения, в частности о повышении тарифов. Если IP-адрес сервера исходящей почты занесен в “белый список” сервера входящей почты, то нет никаких проблем. Ну а если у вас нет “белого списка” и вы не подписались на услуги IronPort Bonded Sender Program? Ваше ПО, ведущее фильтрацию, решает, что все сообщения о повышении тарифов — спам, и отправляет 64 тыс. сообщений в “корзину для мусора”!!! Именно это произошло в мае с AT&T (см. www.usatoday.com/life/cyber/tech/2002/05/22/e-mail-filter.htm). Идея компании IronPort заключается в том, что крупные организации, ведущие рассылку легальных сообщений, необходимых для ведения бизнеса, выпускают что-то вроде облигаций, номинал которых определяется количеством рассылаемой корреспонденции. Провайдеры и корпорации, подписавшиеся на услуги “белых списков” IronPort, могут получать все сообщения, на которые были выпущены такие облигации. Жалобы на спам, поступающие от пользователей, генерируют штрафы, которые оплачиваются из стоимости облигаций. Чем больше жалоб, тем больше денег уходит из стоимости облигаций. А куда же идут штрафы? Представители IronPort говорят, что они будут направляться в некоммерческие организации борьбы со спамом.

Третий рубеж — фильтры

Теперь вам и вашим пользователям, сотни раз в день нажимающим клавишу “удалить”, осталось освоить последнюю линию обороны — фильтры. Эту технологию защиты мы разделяем на три отдельные группы: фильтрация на машине клиента, фильтрация на сервере и фильтрация как арендуемая услуга, или аутсорсинг.

Продукты на стороне клиента встраиваются в почтовую программу — обычно это Lotus Notes, Microsoft Outlook или Outlook Express — либо работают напрямую с почтовыми ящиками MAPI или POP3. Эти продукты основаны на обновляемом списке правил, который располагается у клиента, и фильтруют сообщения по отправителю, теме или в результате анализа содержания. Два таких продукта мы рассматривали при подготовке данной статьи — это SpamKiller производства McAfee.com, работающий с любыми учетными записями MAPI или POP3, и похожая программа от Sunbelt Software под названием iHateSpam, работающая с Outlook по MAPI, IMAP или POP3 либо с Outlook Express по POP3 или IMAP. Эти пакеты программ стоят от 20 до 30 долл. и не отнимают ресурсы у сервера. Плюс к этому, каждый пользователь может настроить свой продукт под свои требования. Отрицательная же сторона данного решения заключается в том, что почтовому серверу по-прежнему приходится обрабатывать и доставлять спам.

Работая с обоими продуктами, мы обнаружили, что некоторые обычные письма помещались в папку со спамом, а часть нежелательных сообщений все-таки просочилась через фильтры. В результате нам пришлось все равно просматривать каждое сообщение отдельно, что в некотором роде умаляет ценность продуктов. Выигрыш был во времени; поскольку вероятный спам помещался в отдельную папку, мы могли просматривать ее в свободные минуты или вечером, что освобождало время для работы с нормальной корреспонденцией в рабочие часы. И еще, эти продукты способны к “обучению” — таким образом, их производительность со временем возрастает.

Серверные фильтры на рынке представлены широко — от коммерческого ПО, такого как AntiSpam производства Brightmail (www.brightmail.com), VOP ModusMail производства Vircom (www.vircom.com) и E-mail Filter for SMTP/

Exchange производства SurfControl (www.surfcontrol.com), до бесплатного, вроде основанного на Perl-сценариях SpamAssassin (www.spamassassin.org), и решений аутсорсинга Active EMS, предоставляемых фирмой Postini. Эти продукты являются усложненными версиями их аналогов, устанавливаемых на клиентских машинах. Они обрабатывают электронную корреспонденцию сразу по поступлении ее на сервер, а не после доставки. Если вы прибегаете к серверному решению, то вашим пользователям не придется самим бороться со спамом и все вопросы технической поддержки будут решаться централизованно.

До того, как вы начнете использовать один из этих продуктов, удостоверьтесь, что сможете настроить его как инструмент борьбы со спамом для нужд различных групп пользователей. Ваши сотрудники из отдела продаж могут отказаться от фильтрации писем, ведь цена пропуска важного послания здесь иногда бывает очень велика, в то время как ваши инженеры, вероятно, захотят отфильтровывать все лишнее по-максимуму.

И помните, что такие продукты отнимают гораздо больше системных ресурсов, чем описанные нами ранее, поскольку они проверяют каждое сообщение, включая заголовки, содержание и вложенные файлы, еще до принятия решения, пропускать его или нет.

Это возвращает нас к исходной точке: если сравнительно недорогой способ борьбы со спамом — с помощью проверки DNS — сможет задержать боўльшую часть приходящего спама до того, как фильтры начнут пожирать мощности ваших серверов, вся ваша инфраструктура выиграет от большей масштабируемости. А, помня о прогнозах, в соответствии с которыми количество спама будет ежегодно удваиваться, масштабируемость — это как раз то, о чем вам следует позаботиться в первую очередь.





  
12 '2002
СОДЕРЖАНИЕ

бизнес

• Если мерить в "Супердомах"...

• Парад "великих магистров"

• Консалтинговый договор: полезные советы

локальные сети

• Серверы нового поколения

• Сервер Dell побеждает

• Данные на ладони

• Охлаждение оборудования в монтажных шкафах

• Медиаконвертеры расширяют границы сетей

корпоративные сети

• Windows для пользователей Unix

• Держим оборону против спама и спамеров

• Компьютер на службе правосудия

услуги сетей связи

• Новая волна VoIP

• Реорганизация телефонной службы поддержки клиентов

• Тестирование телекоммуникационных протоколов: проблемы и подходы

• Тестирование системы сигнализации: от кабеля до ОКС7

защита данных

• Электропитание: думай о миллисекундах

• Руководство по компьютерной безопасности для начинающих

• Прикрывайте Web-тылы!

новые продукты

• Новые серверы Primepower; Интеллектуальные сети связи Tellin; Novell выпускает четвертую версию ZENworks for Desktops; Серверы ProLiant стали мощнее; ИБП Green-Point с переключаемой фазностью


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх