Boj se spamem nemusí být drahý

V České republice jsou v současnosti mobilní datové sítě mimořádně populární. Jaké všechny sítě máme dnes vla...


V České republice jsou v současnosti mobilní datové sítě mimořádně populární.
Jaké všechny sítě máme dnes vlastně k dispozici a na jaké sítě se můžeme těšit?
A jak jednotlivé technologie vůbec fungují? Strana 27
Dokumentace
Ta tam je doba, kdy uživateli stačilo pár kliků, a cítil se v aplikaci jako
doma dnes vyvíjené a nabízené softwarové produkty jsou již příliš komplexní a
sofistikované. Doslova nutností je tak kvalitní dokumentace. Strana 28
Lze tomu věřit?
Je řešení boje proti spamu postavené na různých blacklistech či graylistech
opravdu účinné? Přečtěte si, co si o tom myslí někteří poskytovatelé komerčních
bezpečnostních řešení v Česku. Strana 26
Jak začaly růst náklady na poštovní služby, byl rozvoj komplexních e-mailových
řešení nevyhnutelný. Dříve se SMTP spojení šířila doslova lavinovitě a
e-mailové filtry se používaly pouze k třídění e-mailů. V současné době jsou ale
e-mailové filtry v podstatě absolutní nutností.
Ale jaké filtry? Vezmeme-li v úvahu, jaké množství e-mailů firmy obdrží,
sestavování a údržba takzvaných bílých (whitelist) a černých listin (blacklist)
bývá zřídkakdy nejlepší volbou, která se navíc uplatňuje až tehdy, přijde-li
akutní problém. Používání předplacených služeb jako například Postini může
zmírnit dopad přicházející hrozby, ale to je pouze polovina vítězství.
Volné černé listiny pro DNS, třeba spamhaus.org nebo spamcop.net, nabízejí
službu, jež pomocí jednoduchého dotazu na DNS umožní porovnat server, odkud
pošta odešla, se seznamem serverů známých jako odesilatelé spamu. Pokud je
výsledek pozitivní, e-mail je odmítnut.
Spousta firem však spoléhá na takzvané bílé listiny, které jednoduše
představují seznam domén, adres či SMTP bran, které mají vždy povoleno doručit
e-mail. V mnoha případech jsou to převážně seznamy domén, které patří blízkým
partnerům společnosti, anebo ty adresy nebo domény, jež mohou být zachyceny
spamovým filtrem, i když jsou v pořádku.
Poslední ochranou založenou na seznamu je takzvaná šedá listina (graylist),
kombinující černé i bílé listiny, používající interpretační back-end kód a SMTP
stavové značky pro vytvoření dynamických bílých a černých listin.
Všechny tyto tři uvedené způsoby nacházejí svá využití v současné bitvě
organizací s nevyžádanými e-maily, ale stejně jako je tomu u mnoha jiných dobře
míněných nástrojů, je třeba věnovat pozornost především tomu, aby se nezávadný
e-mail nedostal na černou listinu.
Bdělý přístup
Ačkoli jsou černé DNS listiny hodně rozšířené, jsou i trochu kontroverzní.
Pokud by totiž příliš mnoho uživatelů využívalo tuto službu, mohla by se minout
účinkem. Samozřejmě, toto je obecná úvaha, ale není nic složitého nalézt na
černé DNS listině takovou adresu, která tam nemá být.
Důvodů pro to je hned několik. Přímé přidávání spamujících IP adres do černé
listiny DNS nemusí znamenat přidání pouze IP adresy, ale blokaci celé sítě.
Sdílený hosting trpí obdobou tohoto problému, protože jeden spamující uživatel
může zablokovat mnoho webů, neboť by všechny pocházely ze stejné IP adresy.
Nebo by se koncoví uživatelé velkého poskytovatele mohli rozhodnout, že
legitimní e-mail z e-mailové konference raději označí za spam, než aby se z ní
odhlásili. Tím se může stát, že server začně být považován za spamový.
Různá řešení
Zmíněné seznamy se liší v oblastech zaměření a rozsahu. Největší z nich, jako
například sorbs.net, spamhaus.org nebo spamcop.net, používají obecná spamová
vodítka pro určení statusu serveru. Rfc-ignorant.org jde ještě o krok dál a
shromažďuje informace o serverech, jež porušují doporučení RFC 821 a 2821,
které SMTP komunikaci řídí. Naneštěstí zde existuje několik serverů, které tyto
standardy odůvodněně narušují, a to kvůli jejich nedokonalému návrhu a
implementaci. Každý, kdo takovéto servery používá, se ocitne pravděpodobně na
uvedené černé listině, i když servery nebudou posílat spamy. Jistě že by
organizace měly provozovat vyhovující servery, ale využití této černé DNS
listiny může způsobit problémy s jinak nezávadnou komunikací.
Mnoho populárních černých listin DNS zdokonalilo během posledních několika let
své služby a nabízejí podstatně přesnější výsledky než v minulosti. Služby typu
spamhouse.org a sorbs.net bezplatně nabízejí dostupné seznamy, které neoznačují
za nespolehlivé jen známé spamové servery, ale obsahují rovněž dynamické IP
bloky používané poskytovateli širokopásmových připojení pro domácnosti, dále
systémy s otevřenými proxy servery, pochybné webové kódy, které by mohly být
využity pro spamování, a rovněž seznam serverů, které byly identifikovány jako
takzvané zombie, což jsou zkompromitované počítače (například virem nebo
trojským koněm), které posílají spamy na základě řízení zvenčí.
A jak jsou tyto černé listiny DNS vůbec populární? Steve Linford ze serveru
spamhaus.org odhaduje, že síť spamhausu přijme okolo 80 000 až 100 000 dotazů
za sekundu, a to se do toho přitom nezapočítávají velcí zákazníci, kteří
nepoužívají veřejné servery, ale mají databáze černé listiny DNS na svých
lokálních serverech, které jsou plánovaně aktualizovány, což výrazně snižuje
počet dotazů na veřejné servery.
Pláč křivě obviněných
Ale co e-maily chybně označené jako spam? "Zajímavá otázka," říká John Shearer,
správce sítě na škole Northfield Mount Hermon. "Do včerejšího večera jsme černé
listiny DNS nepoužívali, a to právě kvůli strachu z chybně označených
důvěryhodných e-mailů. V několika posledních měsících jsme ale čelili výraznému
nárůstu počtu spamů, a proto jsme nakonec implementovali černou listinu DNS
njabl.org do našeho e-mailového filtru. Za posledních 15 hodin to zastavilo 3
100 pokusů o doručení spamu.
S rozmachem černých listin DNS je pořád hrozbou, že někdo bude křivě obviněn ze
šíření spamu, avšak stále se zvětšující problém spamu převažuje nad tímto
rizikem, neboť klady převládají nad zápory.
Pokud se server dostane na černou listinu, jeho správce to obvykle ani netuší
do doby, než se začnou e-maily vracet zpět k uživatelům jeho sítě. V mnoha
případech vrácené zprávy obsahují informaci, proč a kým byl e-mail odmítnut.
Obvykle je součástí i odkaz na stránky, kde se správci mohou dozvědět, jak
odstranit server z černé listiny. Linford odhaduje, že v rámci spamhaus.org se
"otočí" okolo 500 000 položek za den.
Každá černá listina DNS používá svojí vlastní metodu tvorby a udržování
databáze. Mnoho z nich používá skupiny "pastí", které existují pouze za účelem
zaznamenávat automatizované útoky z počítačů-zombie tak, že když se objeví,
uchovávají zdrojové IP adresy do databáze. Často se také používají mrtvé SMTP
servery. Nemají skutečné e-mailové schránky, ale jednoduše pohlcují e-maily
adresované neexistujícím uživatelům, a tím odhalují spamové sítě a systémy.
Ačkoliv hrozba vycházející z otevřených poštovních bran na internetu už není
tak vysoká jako dříve, stále však existuje a některé černé listiny DNS tyto
servery aktivně vyhledávají, a když je naleznou, přidávají je automaticky do
svých seznamů. Není tomu tak dávno, kdy komerční SMTP servery byly považovány
za otevřené brány v případě, že používaly výchozí nastavení. Dnes tomu tak již
není. Nicméně John Gillmore, historicky pátý zaměstnanec společnosti Sun
Microsystems a otec hierarchie skupin alt.* sítě UseNet, nadále provozuje
omezené otevřené brány. Pro něj je to otázka svobody projevu. Ale pro zbytek je
to stále špatná praktika, která způsobí, že se e-mail stane neužitečným.
Plavba šedou zónou
Šedé seznamy chytře eliminují ony hloupé botnety, které mohou za většinu spamu.
Hlavní funkčnost spočívá v chybovém kódu SMTP, jež odpovídá odesílajícímu
serveru, aby počkal několik minut, než bude možno e-mail doručit.
Standardně je tento chybový kód posílán přijímacími servery, jež jsou zaplaveny
požadavky a které v tu chvíli nemohou zvládnout příjem více e-mailů. Šedé
listiny jsou založeny na faktu, že většina spamových serverů a počítačů
ovládaných botnety se snaží e-mail doručit pouze jednou, bez ohledu na
požadavek RFC na opakované pokusy v určitých intervalech. Pro ně by to totiž
znamenalo, že čím více mají pokusů o odeslání e-mailů, tím méně jich celkově
odešlou.
Takže, každý e-mail ze šedé listiny je prvotně odmítnut s chybou "Prosím zkuste
to znovu později". Pokud vzdálený server pošle zprávu třeba do 10 minut, e-mail
je propuštěn.
Šedé listiny si v poslední době získaly velkou oblibu. Tato metoda blokování
spamu může významně redukovat problém, ale zároveň zpožďuje e-maily o dobu, než
se odesílající server pokusí o doručení znovu. Tato prodleva je nezbytná "k
oddělení zrna od plev", ale sami brzo zjistíte, že řada důvěryhodných serverů a
jejich poskytovatelů, přes které jsou připojeny mají velice špatně
nakonfigurované e-mailové servery, což bude ale zase vyžadovat, abyste
rozšířili svou bílou listinu.
Nicméně šedé listiny v souladu s užíváním jedné nebo více černých listin DNS
včetně filtrace spamu a virů poskytují klíč k toku relativně čistých e-mailů.
To je současné řešení pro SMTP servery. Šance, že se ztratí e-mail, existuje,
nicméně není tak velká.
Opravdové řešení? Jedno potenciální řešení na všechny výše uvedené problémy
přichází v podobě SPF (Sender Policy Framework). Řečeno v kostce, SPF
představuje zpětné ověření každého příchozího e-mailu.
Jelikož každý internetový e-mailový server potřebuje příchozí MX DNS záznam,
SPF vyžaduje, aby každý server udržoval odchozí MX záznam, nebo spíše záznam v
DNS, který potvrdí, že příslušný server je zodpovědný za odchozí e-mail. Pokud
e-mailový server používající SPF zjistí, že server odesílající e-mail nemá
žádný záznam v doménové DNS, pak je e-mail buď odmítnut, nebo minimálně označen
jako potencionální spam. Například když zpráva tvrdí, že pochází z aol.com, ale
odesílací server přitom není ve výsledku dotazu směrovaného pro doménu aol.com,
pak je tento e-mail označen jako podvrh.
Toto řešení má budoucnost, ale zároveň skýtá problémy. Například pokud
doručování na úrovni MTA (Mail Transfer Agent) selže, žádá po serverech místo
toho, aby se e-mail přeposlal, znovuodeslání zprávy to se děje kůli tomu, aby
se předešlo problémům s SPF filtry. Existují technická řešení tohoto problému a
pracuje se na nich.
Certifikáty
Další možností je zabezpečené SMTP využívající X.509 certifikáty. Tato metoda
vyžaduje, aby každý oprávněný SMTP server na internetu disponoval certifikátem
pro vlastní identifikaci. Pouze servery s platným certifikátem budou mít
možnost odesílat e-maily ostatním serverům. Avšak toto řešení by vyžadovalo,
aby většina provozovaných e-mailových serverů dostala přiděleny certifikáty a
byla patřičně nakonfigurována tak, aby se zabránilo doručení od
necertifikovaného serveru, nebo aby se necertifikovaný e-mail dále zkoumal.
Žádné z těchto řešení nebude dovedeno v brzké době do konce, ačkoli právě SPF
se dostává v poslední době značné popularity. Dokud nezačnou open source a
komerční produkty MTA spolupracovat prostřednictvím jediného standardu, pak se
problému různých listin jen tak nezbavíme...
(pal) 6 1444
Jsou seznamy pro chtěnou či nechtěnou poštu opravdu účinné?
Co si myslí o metodách boje proti spamu formou různých listin zástupci tří
významných dodavatelů bezpečnostních systémů v Česku, se můžete dočíst na
následujících řádcích.
Marek Čierny, pracovník firmy Grisoft
Je zřejmé, že díky neustále se zdokonalujícím technikám útočníků šířících spam
je vytvoření univerzálního a 100% účinného antispamového nástroje poměrně
problematické. Nesmíme opomenout ani fakt, že jedna a tatáž e-mailová zpráva
může být některými uživateli považována za spam a jinými za relevantní
informaci, za jejíž doručení jsou vděční. Příkladem může být zpráva obsahující
upozornění na výskyt rychle se šířícího obzvlášť destruktivního viru s
doporučením, jak se nákazy vyvarovat. Pokud je tato zpráva odeslána z jedné
e-mailové adresy desítkám či stovkám tisíc uživatelů, vykazuje znaky spamu a
nevhodně nastavený antispamový filtr znemožní její doručení, což může mít v
daném případě vcelku nepříjemné důsledky. V jiném případě jsem byl svědkem
situace, kdy nevhodně nastavený černý seznam způsobil firmě poměrně značnou
finanční ztrátu, protože znemožnil doručení závazné objednávky na dodávku zboží
za několik stovek tisíc korun. Problém byl v tom, že objednávka byla předem
osobně i telefonicky s partnerem prodiskutována a následně měla být e-mailem
potvrzena. Ke škodě majitele firmy bylo ale potvrzení odesláno z domény .com,
kterou však z bezpečnostních důvodů správce sítě hned po svém nástupu ve svém
seznamu zakázal. To nikdy v minulosti nikomu ve firmě nevadilo, protože šlo o
český subjekt, který do té doby se zahraničím neobchodoval. Nejlepších výsledků
je dnes v boji proti spamu dosahováno kombinací několika různých
technologických postupů. Za vyvážený můžeme považovat například antispam od
společnosti Mailshell, který je jako OEM komponenta integrován do několika
desítek různých bezpečnostních hardwarových i softwarových produktů včetně
systému AVG. Celý systém funguje jako soustrojí složené ze 4 komponent. Dříve,
než je e-mailová zpráva doručena do schránky příjemce, je v každé z komponent
kontrolována, zda nebyla hromadně rozeslána, zda není hromadně uživateli
odmítána nebo není rozeslána z "nechvalně známých" IP adres, serverů nebo
domén, zda nemůže být obsah zprávy pro uživatele znechucující (vulgární výrazy,
pochybné investiční nabídky apod.), a zda není struktura zprávy navržena tak,
aby ji jednodušší antispamové prostředky propustily jako nezávadnou. Před
kontrolou je vnitřním mechanismem aplikace sestaven takzvaný markant zprávy, a
ten se porovnává s několika miliony pravidel a markantů jiných e-mailových
zpráv uložených v databázích. Z výsledků porovnání je za pomoci proprietárního
Bayesiánského vztahu sestaven koeficient, který určuje míru pravděpodobnosti
spamu (0-100 %). Pokud je tato hodnota vyšší než hodnota nastavená uživatelem,
je zpráva označena jako spam. Princip spočívá v tom, že aplikaci používají
současně po celém světě desítky milionů uživatelů, a tak se vlastně databáze
markantů a váha jednotlivých vnitřních pravidel v čase neustále mění. Tyto
změny se pak buď on-line, nebo v uživatelsky definovaném intervalu promítají i
do lokálních nastavení aplikace na jednotlivých počítačích uživatelů. Program
je díky tomu schopen velice rychle a s vysokou mírou přesnosti reagovat na nové
vlny spamu a identifikovat nové techniky spammerů.
Vladimír Brož, Territory Manager firmy McAfee pro ČR a SR
Černé, bílé i tzv. šedé listiny (seznamy) jsou jednou, nikoliv jedinou součástí
boje proti spamu. Svůj význam jako jedna z metod neoddiskutovatelně mají,
nicméně kdybychom používali pouze je, tvrdě bychom narazili. Nejsou totiž
proaktivní reagují na vzniklý problém až zpětně, nesnaží se mu předcházet.
Spammer nejprve rozešle svoji porci nevyžádané pošty a až poté je zařazený na
některý ze seznamů. Následuje distribuce aktualizací a blokování nevyžádané
pošty. Ale to je v dnešním dynamickém informačním světě tempo vpravdě hlemýždí.
Navíc seznamy nejsou a nikdy nebudou (ani nemohou být) úplné. Takže postavit
ochranu před spamem pouze na nich by bylo velmi krátkozraké. Ano, zachytí
řádově desítky procent spamu, ale to je málo, velmi málo.
Ostatně, stejný problém by vyvstal při použití jen některého kritéria detekce
spamu. Každá detekční metoda má své silné stránky a také své slabiny. Těžko
vznikne jedna univerzální metoda na filtraci spamu. Ostatně, kdyby přece jen
vznikla, tak je její princip detekce vyžádané pošty obratem zneužity spammery...
Třeba právě technologie SPF byla krátce po svém objevení obratem ruky zneužita
rozesílateli spamu, kteří pochopitelně potřebují udělat vše pro to, aby jejich
"výplody" vypadaly jako legitimní pošta. A tak třeba v červenci 2005
představoval podle McAfee podíl spamu ve veškeré elektronické poště 67 procent,
zatímco podíl spamu v poště "ošetřené" SPF 85 procent. Argument "řešení bude
dokonalé, až SPF bude používat každý" je přinejmenším naivní, neboť vyjadřuje
zbožné přání, nikoliv realitu...
Navíc jsou různé seznamy ne zrovna ideální volbou i proto, že více než polovina
spamu na světě (podle některých zdrojů až osmdesát procent) není odesílána ze
spamujících strojů, nýbrž z takzvaných zombie (modifikovaných počítačů
nicnetušících uživatelů). Ti se pak na černé listiny dostávají takřka nevinně.
Těžiště boje proti nevyžádané poště tak leží někde jinde než v použití jedné,
dvou či tří metod. Skutečně profesionální a kvalitní řešení pracují s desítkami
znaků zpracovávaných e-mailů s tím, že střípek po střípku skládají finální
verdikt. Tedy zda je zpráva korektní, nebo naopak nevyžádaná. V této mozaice
pak černé či bílé listiny své místo rozhodně mají.
Samozřejmě, že i tento systém není dokonalý ale dokonalejším se stává v
okamžiku, kdy je schopen se učit. Kdy jej uživatel/administrátor může upozornit
na omyly ať již v podobě false positive (korektní zpráva označena jako spam)
nebo false negative (spam prohlášení za korektní poštu). A na základě
vyhodnocení těchto omylů může automat propříště korigovat svá rozhodnutí, aby
se co nejvíce blížila realitě.
Radek Smolík, Country Manager firmy Symantec Podle zprávy Internet Security
Threat Report společnosti Symantec tvoří nevyžádaná pošta v celosvětovém
měřítku přibližně 54 % celkového e-mailového provozu, v tuzemsku pak dokonce 78
%. Jednotlivá řešení na úrovni technologií popsaných v hlavním článku
problematiku částečně řeší. Je však nutné si uvědomit, že spam stejně jako
všechny ostatní oblasti počítačové kriminality je vysoce organizovaným
průmyslovým odvětvím a že v tuto chvíli neexistuje stoprocentně účinné řešení
na technologické úrovni. Elektronická pošta je v současnosti důležitým
obchodním nástrojem. Při odesílání přihlášky do výběrového řízení tedy není
možné spoléhat se (například) na to, že zpoždění vynucené používáním šedých
seznamů bude dostatečně malé, aby nabídka přišla včas.
Neexistence účinného technologicky orientovaného řešení jinými slovy znamená,
že neexistuje efektivní eliminace spamu dostupná zdarma. Hlavní přínos
komerčních antispamových řešení spočívá v neustálém globálním sledování
nevyžádané pošty a v okamžité aktualizaci a v následné distribuci databáze
spamových signatur. Zákazník tak má jistotu, že jeho e-maily budou chodit včas,
že e-maily nebudou chybně označeny za spam (nesprávné označení se třeba v
případě služby Symantecu týká jedné legální zprávy z milionu) a že se množství
nevyžádané pošty výrazně sníží.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.