Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 28 в этом номере: Новости Защита от спама с помощью различных методов аутентификации Ответы на вопросы читателей Анонсы Новости Министерство РФ по антимонопольной политике против спамеров. В конце октября, после получения очередной спамерской рассылки от ALC, А.Г.Серго, интернет-юрист и владелец сайта "Интернет и право", направил письмо с просьбой принять меры к злостному нарушителю действующего законодательства о рекламе в Министерство РФ по антимонопольной политике и поддержке предпринимательства. В числе явных нарушений были указаны следующие: В соответствии с п.1 ст.5 Закона "О Рекламе": "Реклама должна быть распознаваема без специальных знаний или без применения технических средств именно как реклама непосредственно в момент ее представления независимо от формы или от используемого средства распространения". В соответствии с п.2 ст.5 Закона "О Рекламе": "Реклама на территории Российской Федерации распространяется на русском языке и по усмотрению рекламодателей дополнительно на государственных языках республик и родных языках народов Российской Федерации". В соответствии с п.3 ст.5 Закона "О Рекламе": "Если деятельность рекламодателя подлежит лицензированию, в рекламе должны быть указаны номер лицензии, а также наименование органа, выдавшего эту лицензию". В соответствии с ст.7 Закона "О Рекламе": "Недостоверной является реклама, в которой присутствуют не соответствующие действительности сведения в отношении ...информации о самом рекламодателе. Недостоверная реклама не допускается". В соответствии с ст.10 Закона "О Рекламе": "Использование в радио-, теле-, видео-, аудио- и кинопродукции, а также в иной продукции и распространение иными способами скрытой рекламы, то есть рекламы, которая оказывает не осознаваемое потребителем воздействие на его восприятие, в том числе путем использования специальных видеовставок (двойной звукозаписи) и иными способами, не допускаются". Спустя некоторое время им был получен ответ: "МАП России рассмотрел Ваше обращение по поводу рекламы Центра Американского Английкого, распространявшейся посредством Интернет, и сообщает. По Вашему обращению Министерством проводится проверка рекламы Центра Американского Английского, для чего в адрес указанной организации направлен соответствующий запрос информации...." Мы будем следить за развитием событий и проинформируем наших читателей о новостях в этом деле. Источник: internet-law.ru Яндекс - самооборона. Спамооборона - экспериментальный сервис Яндекса, позволяющий пользователю фильтровать незапрошенную электронную почту. Вы можете зарегистрироваться и настроить пересылку своей почты через фильтр Яндекса. Спамооборона - технология борьбы со спамом, успешно применяемая на Яндекс.Почте. На сайте предлагается для тестирования бета-версия нового релиза нашей технологии. Когда эта технология будет внедрена на Яндекс.Почте, здесь появится новая бета-версия. И так - до полной победы над спамом. :-) На Почте Яндекса письма проходят три уровня фильтрации. На первом этапе отбрасывается явный спам - сообщения, приходящие от неадминистрируемых (взломанных, открытых) почтовых серверов, либо пойманные в спамовые ловушки. Затем каждое письмо проверяется антивирусной программой DrWeb. При этом зараженные письма, не содержащие ничего, кроме самого вируса, уничтожаются, а зараженные письма с текстом помечаются "Осторожно, вирус!". Последним работает фильтр, помещающий в папку "Рассылки" подозрительно похожие письма, разосланные по слишком большому списку адресов. На странице публикуются ежедневные данные, по которым можно следить за ходом борьбы со спамом на Яндекс.Почте. Источник: so.yandex.ru Спамеры выпустили червя против антиспамеров Компьютерные вирусологи считают, что новый вирус-червь, W32/Mimail-L, направлен на то, чтобы парализовать работу антиспамерских организаций. Червь Mimail был написан мстительным разносчиком заразы, которого, наверное, сильно обидели организации, пытающиеся бороться со спамом. Стив Линфорд (Steve Linford), основатель британской группы The Spamhaus Project, заявил, что это уже третья вариация вируса, направленного на компанию. Недавно компания Spamhaus понесла урон от последнего червя. Mimail-L приходит обычно как файл, прикрепленный к письму, при запуске которого вирус активируется. После запуск вирус саморассылается дальше и может превратить компьютер в "зомби", управляемый удаленно, после чего атакует какую-либо цель кучей запросов, блокирующих работу серверов. Интересен новый трюк, используемый автором червя: пользователю, чей компьютер заражен, приходит письмо, в котором говорится, что на его почтовый адрес выслан CD с фотографиями детской порнографии. Источник: km.ru В Швеции намерены запретить спам. Правительство Швеции представило на рассмотрение Риксдага законопроект, запрещающий массовую рассылку не желаемой адресатом рекламы и спама по электронной почте и мобильным телефонам в виде сообщений SMS. Об этом сообщают сегодня ведущие СМИ Швеции. Наказанием за нарушение закона, который, как предполагается, вступит в силу 1 апреля 2004 года, может стать штраф в размере до 5 миллионов крон (около 650 тыс. долларов). Законопроект основан на директиве Евросоюза о координации законодательства стран ЕС. В большинстве европейских стран рассылка электронной рекламы без предварительного согласия адресата запрещена уже несколько лет. Источник: rosbalt.ru Австралия - закон против спама Австралийское правительство приняло закон, согласно которому фирмы, занимающиеся рассылкой спама, могут подвергнуться штрафам до 1,1 миллиона австралийских долларов (около 800 000 американских) за каждое отправленное по множеству адресов послание. Мера, несомненно, правильная - нельзя, однако, не учитывать, что действовать закон будет лишь на тех спамеров, которые находятся в пределах государства. А это значит, что "международный спам", которого в англоязычной Австралии большая часть, продолжит свое победоносное шествие по стране кенгуру. Источник: gazeta.ru Евгений Касперский: Мафия скоро возьмется за хакеров и спамеров Евгений Касперский, эксперт по вопросом компьютерной безопасности и глава компании "Лаборатория Касперского", разрабатывающей антивирусное программное обеспечение, заявил, что организованная преступность может попытаться получить контроль над нелегальной деятельностью в Интернете, главным образом над создателями компьютерных вирусов и средствами рассылки спама. "Я хотел бы предупредить весь компьютерный андеграунд. Если вы пишете вирусы или программы для компьютерного шпионажа или рассылаете спам, знайте, что рано или поздно мафия постучит в вашу дверь", - приводит слова Касперского газета "Ведомости". Он считает, что организованную преступность привлекает высокая прибыльность спам-технологий, а создателей вирусов мафия может расценить как ценных специалистов в области компьютерного шпионажа и саботажа. Как отмечают "Ведомости", некоторые специалисты в сфере интернет-безопасности не согласны с позицией Касперского или согласны с ней лишь частично. По отдельным экспертным данным, организованная преступность уже давно осуществляет деятельность в некоторых связанных с высокими технологиями отраслях и уже располагает услугами компьютерных экспертов. В частности, широко известно, что организованная преступность причастна к распространению контрафактного программного обеспечения. Источник: lenta.ru Новости подготовил Сергей Кошкин "Ашманов и Партнеры" Защита от спама с помощью различных методов аутентификации Литвиненко Виктор Александрович, автор фильтра WinAntiSpam www.winantispam.com, victor@winantispam.ru Метод challenge-response. Способ усложнить жизнь себе или спамеру Давайте представим, что любой почтовый сервер глобальной сети требует для отправки каждого письма материальных затрат от отправителя, а получение почты было бы возможным только с таких же серверов. Если бы такой вариант защиты от спама был реализован, проблема массовых рассылок была бы решена. По эффективности, сравнимой с платной электронной почтой, на один уровень можно поставить метод аутентификации. Метод "запрос-ответ" (challenge-response) на самом деле может усложнить процесс получения письма от спамера, т.к. требует от отправителя совершения каких-либо действий для того, чтобы его письмо все-таки достигло адресата. Программное решение на основе данного метода представляет собой систему, задерживающую всю входящую корреспонденцию, до тех пор, пока отправитель не подтвердит свое желание о доставке почты. Плюсы и минусы метода На первый взгляд, решение кажется просто идеальным. Действительно, спамер не станет подтверждать запрос каждого из сотен тысяч своих получателей. Да и привычка подписываться чужим адресом сыграет в данном случае большую роль. На самом деле все оказывается не так просто. Ведь, усложнив процесс доставки почты от спамера, мы усложняем процесс получения почты от вполне добропорядочных граждан. Используя метод аутентификации, мы заставляем отправителей выполнить действие, приложить какое-либо усилие (пусть это будет всего пара нажатий кнопки мыши), чтобы его письмо все-таки достигло адресата. Вот здесь мы сталкиваемся с главной проблемой: какое действие для этого выбрать, чтобы спамеру выполнить его было проблематично, а не спамеру - не слишком сложно. Другими словами, при проектировании программного решения одной из существенных задач является не нарушить этот баланс. Существующие модификации метода. WinAntiSpam как способ отбора партнеров Существующие программные реализации метода используют самые различные модификации способа подтверждения. Т.е. различные продукты, основанные на методах аутентификации, различаются именно реализацией метода подтверждения. Как результат - то программное решение оказывается лучшим, где меньше всего нарушен тот самый баланс неудобства спамеров и удобства обычных пользователей. Идея, положенная в основу программы WinAntiSpam, не является революционной. Ее отличие от аналогичных продуктов состоит в способе подтверждения запроса. По какой схеме работает WinAntiSpam? Наличие трех списков: Белого, Черного и Карантинного. При получении письма от неизвестного адресата письмо задерживается на сервере, отправитель помещается в Карантин. При этом ему отправляется запрос, ответив на который отправитель будет идентифицирован и добавлен в Белый список. Сочетание этого метода с полным контролем над списками позволяет избавиться от большинства массовых рассылок, т.к. отвечать на каждое отправленное письмо спамеру, "мягко говоря", будет проблематично. Существует, конечно, вероятность, что спамер настроит на своем почтовом ящике автоответчик, но основная масса программ массовой рассылки указывает в качестве обратного адреса несуществующий в сети адрес. Таким образом, в программе WinAntiSpam выбран способ подтверждения, доставляющий минимальный дискомфорт для отправителя и достаточный дискомфорт для спамера. Как показывает практика, программа позволяет избавиться от примерно 99% нежелательной почты. Аутентификация на стороне клиента и сервера - подводные камни Существенной особенностью обработки почты с использованием метода аутентификации является получение пользователем почты от разнообразных рассылок и конференций, где в качестве обратного адреса указывается адрес каждого участника рассылки, отправившего сообщение. Программные решения должны предусматривать и этот вид оформления письма. В этом случае оптимальным решением для фильтрации рассылок будет обработка писем не только по обратному адресу, но и по другим полям (Reply-To, Subject и пр.). При использовании решения для защиты от спама в крупных компаниях должна присутствовать возможность фильтровать письма по домену отправителя. При такой настройке корпоративная почта всегда гарантированно и без задержек достигнет адресатов. Программные решения, использующие метод "запрос-ответ", условно можно разделить на две категории: клиентское ПО (установленное на компьютере пользователя и хранящее списки там же) и серверное ПО, своего рода являющееся Интернет-сервисами (но необязательно), хранящее всю информацию на сервере и предоставляющее возможность (обычно через веб-интерфейс) модифицировать белые, черные и карантинные списки. В чем основное различие этих решений? В основном серверные решения используют более сложный для пользователя способ подтверждения запроса аутентификации. Обычно запрос выглядит следующим образом: "Для того чтобы адресат получил отправленное вами письмо, перейдите по данной ссылке". Серверное ПО, является наиболее выгодным решением с точки зрения клиента, т.к. проблема блокировки спама решается еще на первоначальной стадии доставки письма. Клиент не тратит свое время, трафик и деньги на доставку ненужного ему письма с сервера. Однако серверное ПО требует более продуманного, гуманного и в тоже время надежного решения аутентификации, так, помимо некоторой сложности подтверждения мы сталкиваемся с проблемой подтверждения запросов теми отправителями, которые физически имеют доступ только к электронной почте. Это является главным подводным камнем для систем, использующих метод подтверждения запросов аутентификации через веб-интерфейс, помимо того, что требуется еще и наличие собственно самого веб-интерфейса. Программные продукты, использующие метод аутентификации В настоящий момент существует довольно много программных решений с использованием данного метода. Разные программные продукты аналогичного направления используют различные модификации способа подтверждения. Вот некоторые из них: GoodByeSpam, Spam Interceptor, SpamBunker, Qurb AntiSpam Software и т.д. Так, например, Spam Interceptor использует способ подтверждения "переход по ссылке" (способ, используемый во всех серверных решениях), однако позволяет модифицировать черные и белые списки, используя клиентское приложение. Таким образом, чтобы подтвердить запрос аутентификации, пользователю нужно будет перейти по ссылке в письме, откроется окно браузера, где нужно будет ввести e-mail получателя, и только после этого письмо будет доставлено. По всей видимости, здесь реализована более надежная защита от почтовых автоответчиков, но нарушен главный баланс. Отправителю нужно будет провести ряд действий, которые являются достаточно сложными для реализации. Таким образом, существует более высокая вероятность, что отправитель откажется от их выполнения. Программное решение GoodByeSpam является полностью серверным решением, т.е. подтверждение запроса аутентификации и доступ к спискам производится только через веб-интерфейс. В остальном, способ подтверждения аутентификации реализован по аналогии со способом, предложенном в программе Spam Interceptor. Итак, есть три самых распространенных способа реализации метода запроса отправителя: релизация WinAntiSpam - клиентская программа, функциональность которой целиком размещена на компьютере пользователя, GoodByeSpam - полностью серверная программа с веб-интерфейсом, Spam Interceptor - смешанный тип клиентского и серверного решений. Глобальная аутентификация - выход или утопия Работая над реализацией решения, использующего метод аутентификации, можно предположить, что в будущем эту реализацию будет использовать множество пользователей одновременно, и столкновение таких решений и возникновение автоматической "переписки" между ними неизбежно. Что делать, если запрос на подтверждение письма пришел не напрямую отправителю, а установленной у него аналогичной программе, посылающей такой запрос обратно? В текущей реализации WinAntiSpam такая ситуация предусмотрена. В заголовках запросов, отправляемых программой, присутствует идентификатор, позволяющий пропускать запросы от WinAntiSpam, если и отправитель и получатель его используют. Это, конечно, не является выходом из ситуации "переписки" между разными фильтрами с запросом отправителя, и вообще средствами небольшой утилиты реализовать полностью идеальное решение практически невозможно. Если же ориентироваться на глобализацию данного метода, то можно предложить наилучшее решение для борьбы против спама в условиях глобальной аутентификации. Если существует потребность в пропуске запросов на подтверждение аутентификации в реализации программного решения, мы имеем потенциальную дыру в защите. Решить проблему с защитой можно, усложнив процесс генерации идентификатора, при обнаружении которого программа будет принимать решение о пропуске письма. Введение нового понятия Public E-mail Key (далее PEK), который будет являться (по аналогии с технологией PGP) персонально сгенерированным идентификатором для каждого пользователя и будет доступен публично или только для доверенных отправителей и создание программных решений, взаимодействующих с такими ключами, в совокупности с массовостью использования такой технологии позволит избавить большинство пользователей электронной почты от любой незапланированной электронной корреспонденции. Причем данное решение не нарушит в принципе установившиеся стандарты передачи почтовых сообщений, т.к. подписывание письма таким PEK предлагается путем добавления определенного поля в заголовок письма, что также позволит успешно бороться со спамом и клиентскому ПО, ориентированному на работу со стандартными почтовыми серверами. Для клиентских антиспам-фильтров появится возможность (не закачивая все письмо целиком, а только его служебный заголовок) сразу же проверить наличие PEK, на основании которого и принять решение о необходимости доставки такого письма далее клиенту или безжалостного удаления его с сервера. Хотелось бы подчеркнуть, что именно внедрение PEK в область заголовка письма является наиболее рациональным решением в области аутентификации электронной корреспонденции. Выводы Подводя итоги, можно с уверенностью сказать, что, выбирая программное решение с использованием метода аутентификации, необходимо руководствоваться конкретной сферой деятельности, для которой это решение предназначается. Для домашнего использования вполне подойдет клиентская версия программного решения. Для корпоративной области выбор такого решения зависит от сферы деятельности компании. Если работа компании связана с постоянной перепиской с множеством клиентов (старых и вновь приобретенных), можно порекомендовать объединение клиентского и серверного решений совместно с использованием метода добавления в заголовок письма какого-либо идентификатора, при обнаружении которого, письма будут проходить без задержек, как если бы адресат находился в белом списке. В этом случае все клиенты должны быть поставлены в известность о добавлении "парольной фразы" в дополнительное поле заголовка письма. Для корпораций, у которых в процессе деятельности количество вновь приобретаемых партнеров ограничено и не растет быстрыми темпами, можно порекомендовать серверное решение в чистом виде с подтверждением через веб-интерфейс или иным способом подтверждения. Ответы на вопросы читателей Вопрос: У меня небольшое замечание. Метод "Карантин", предложенный компанией e-Style ISP, давно был реализован в программе WinAntispam, устанавливаемой на компьютере пользователя. Но, как показали испытания, существует несколько проблем и подводных камней при использовании данного метода, например, с рассылками или сетевыми червями, расылающими почту от имени реальных пользователей. Ответ: Да, мы уже писали о программе WinAntiSpam в обзоре клиентских программ. В сегодняшнем номере мы публикуем подробное описание программы. Есть в этом методе и "подводные камни", но, к сожалению, пока идеального средства против спама нет. Мы стараемся информировать читателей обо всех доступных способах защиты, а выбор остается за конечным пользователем. Вопрос: У меня есть почтовый ящик, на который до 15-20мб спама в день приходит. Я сижу, в ручную чищу :), потому как важное там иногда бывает :) Надо Вам присылать копии свежего... или не стоит? Только как оценивать свежее? А форвардить все подряд - тяжеловато для Вас будет? Ответ: Можно форвардить все, объем здесь проблемой не является. Тем более, что дубли сообщений наша лаборатория обрабатывает автоматически. Вот чего бы хотелось: Письмо нужно отправлять только(!) на адреса spam@ashmanov.com или spam@spamtest.ru. Крайне желательно, чтобы сообщения пересылались в оригинальном виде или с минимальными изменениями. Нас интересует не только текст сообщения, но и технические заголовки сообщения, а также собственно внуреннее представление письма. К сожалению при простом Forward'е, например из Outlook, все это пропадает, т.к. Outlook составляет полностью новое письмо. Можно присылать письма в виде attachment'ов, хотя скорость обработки таких "архивов" довольно низкая (см. п.2). Желательно присылать образцы спама отдельными письмами. Извлечение писем из архивов и attachment'ов приходится делать вручную. В результате разбор таких архивов происходит существенно медленнее автоматической обработки одиночных писем и полезность таких образцов для оперативной работы сильно снижается. Вопрос: В который раз мой коллега получает SPAM, образец прилагаю. Можно ли избавиться от получения сообщений такого рода? (У меня ASPLinux 7.2, sendmail-8.11.6-4.asp) Ответ: Наш продукт (Спамтест) вполне успешно фильтрует подобные письма. Есть у нас и решения под Linux и sendmail. Более точно можно ответить после уточнения конфигурации. На вопросы отвечали: Дмитрий Пашко Сергей Кошкин "Ашманов и партнеры" Анонсы: В следующих номерах журнала СПАМТЕСТ: Новости Статистические (вероятностные) методы фильтрации спама Читатели пишут Анонсы Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) ЗАО "Ашманов и Партнеры", 2003