Спам — проблема века

Что такое спам и кто устанавливает фильтры

Конечно, спам — это плохо, и поэтому борьба со спамом — это хорошо. Это просто, но у него есть недостатки. Вероятно, вы сталкивались с ситуацией, когда ваш рабочий адрес электронной почты по неизвестным причинам был отключен фильтром, который считал его спамом. Хуже того, ваш адрес занесен в черный список. Удивленный получатель, которому вы звоните, говорит, что вы должны написать своему администратору, который выяснит, что не так. Нет точного определения того, что такое спам. Пока юристы обсуждают формулировку, давайте дадим простое определение: «Спам в любом случае — это то, что подпадает под политику фильтрации, установленную администратором почтового сервера». Тогда вы сразу узнаете, кто контролирует, будет ли сообщение отклонено как спам или нет. Возможность определять, какая почта должна проходить, а какая должна быть отфильтрована, дает вам дополнительное преимущество. И всегда найдутся желающие присвоить. В такой ситуации электронная почта больше не является средством бесплатного общения и тем более надежным бизнесом.

Другой крайностью является спам-фильтр, который не отклоняет электронные письма, а размещает их в специальной папке. Как только приходит сообщение, подозреваемое в спаме, программа информирует об этом пользователя и спрашивает, действительно ли сообщение является спамом! Такая политика безопасности не облегчает жизнь. Я не сторонник спама, но практическое правило должно быть «Не навреди».

Законы о борьбе со спамом

В США в декабре 2003 года вступил в силу закон, согласно которому отправители спама могут быть оштрафованы на сумму до 6 миллионов долларов и лишены свободы сроком на пять лет. Однако, согласно исследованию CipherTrust, 86% спама, полученного в период с мая по июль этого года, пришло из США. Чтобы получить эту информацию, компания проверила около 5 миллионов нежелательных сообщений, отправленных 1000 клиентам CipherTrust. Хотя на IP-адреса США приходится только 28% всех адресов спама, они рассылают во много раз больше спама, чем адреса из других стран. Похоже, американские спамеры не так сильно боятся закона о борьбе со спамом.

Для сравнения: южнокорейские спамеры имеют 29% -ную долю, но только 3% от общего числа, Китай и Гонконг — 3%, На канадских спамеров приходится 1,5% всего нежелательного трафика.

Наихудшие законы о борьбе со спамом исходят от компании Sophos, которая производит антивирусные программы и программы для защиты от спама. В отчете компании о глобальном спаме 42% спам-писем поступает из США, что, по мнению экспертов, показывает, что запрет на спам в стране бесполезен.

Опыт Австралии показывает положительные административные и законодательные меры по борьбе со спамом. . Департамент коммуникаций недавно сообщил о положительных результатах борьбы со спамом после введения высоких штрафов до 780 000 долларов. долларов в день.

Начальник отдела Боб Хортон сказал, что в апреле 2004 года был принят пакет законов, направленных на борьбу с крупными спамерами.

Spamhaus, который отслеживает потоки спама, циркулирующие в сети, подтвердил слова министра, отметив, что в последнее время существенно сократилось количество несанкционированной рекламы с австралийских серверов. В соответствии с новыми правилами крупные австралийские спамеры пытаются перенести свою деятельность в другие страны.

Некоторые кампании по борьбе со спамом требуют принятия законодательства, которое дало бы компаниям право рассылать рекламные объявления по электронной почте при определенных условиях: / p Должны быть предоставлены фактические адреса электронной почты и физические адреса тех, кто отправляет рекламу, заголовок должен соответствовать содержанию электронного письма, реклама сексуального характера должна быть четко обозначена, и каждое объявление должно содержать отказ от рассылки. пункт
В частности, ООНнамеревается бороться со спамом в ближайшие два года путем согласования законов по всему миру, чтобы упростить преследование спамеров.

Новые технологии в борьбе со спамом

В большинстве спам-сообщений используются поддельные адреса . Этому в значительной степени способствуют открытость протокола электронной почты и сложность определения настоящего отправителя сообщения. Есть три способа определить источник сообщения электронной почты:
Envelope-from — заголовок, добавляемый к электронному письму программами электронной почты, когда они доставляют его конечному получателю;
From — значение поля От в сообщении;
Заголовки других служб, которые могут использоваться в качестве вспомогательной информации (отправитель, отправлено повторно, отправлено повторно и т. д.

Спамеры могут пытаться манипулировать эти параметры: От, чтобы ввести пользователей в заблуждение, Конверт — от, чтобы обмануть почтовые серверы и системы защиты от спама.Чтобы ограничить возможности этого типа обмана, недавно была предложена технология SPF (Sender Policy Framework) Мэн Вен Вонга. отправка электронной почты от имени адресов электронной почты в этом домене, и получатель сообщений электронной почты, чтобы проверить, что два параметра — IP-адрес сервера отправителя и адрес, указанный в электронном письме — соответствуют политике домена для который rej принадлежит этому адресу.

Другая технология, Sender ID, была создана на пересечении двух технологий: Caller ID (ранее разработанная Microsoft) и SPF. Стандартный вызываемый идентификатор (объявленный в марте) требует, чтобы провайдер, обслуживающий почтовый трафик, пометил каждое электронное письмо реальным IP-адресом, с которого оно было отправлено. Сторона-получатель проверяет этот флаг по своей базе данных и фильтрует электронную почту.

Широкое внедрение идентификатора отправителя восполнит серьезный пробел в безопасности электронной почты, который в настоящее время не предотвращает спуфинг отправителя, который используется спамерами и вирусописателями.

Проверка идентификатора отправителя определит, был ли адрес подделан, и затем может быть встроена в фильтр спама.

Директор Microsoft по технологиям безопасности и стратегическому развитию Крейг Спизл говорит, что Microsoft внедрит аутентификацию по идентификатору отправителя для отправителей электронной почты уже в октябре этого года.

Идентификатор отправителя позволяет клиентам однозначно определять, от кого было отправлено электронное письмо, и аутентифицировать отправителя, сравнивая IP-адрес, с которого было отправлено электронное письмо, с IP-адресом, который соответствует домену, в котором было отправлено сообщение электронной почты, и находится адрес отправителя.

Чтобы обеспечить беспрепятственный поток почты на свои адреса, Microsoft рекомендует всем поставщикам услуг электронной почты обеспечить поддержку идентификатора отправителя до конца сентября.

Согласно новым правилам Microsoft пытается внедрить поставщиков почтового трафика, которым они должны писать специальные записи SPF в DNS, чтобы получатели могли однозначно определить, подделан ли адрес отправителя. И сервер получателя будет проверять сообщение как на уровне конверта, так и на уровне содержимого.

Письма с серверов без поддержки идентификатора отправителя не будут отклоняться, но в отличие от писем с идентификатором отправителя они должны будут проходить через спам-фильтры. на основе статистических алгоритмов. Некоторые почтовые программы уже поддерживают Sender ID. Яндекс, например, недавно объявил о поддержке идентификатора отправителя.

Записи SPF были реализованы многими поставщиками веб-почты, но лишь некоторые из них решили включить проверку идентификатора отправителя для входящей почты.

Как один из основных поставщиков электронной почты, Microsoft надеется, что ее пример побудит других принять SPF.

Обратите внимание, однако, что технологии Sender ID и SPF сами по себе не являются эффективными методами борьбы спам. Об этом, в частности, говорят представители CipherTrust. По заявлению компании, эти технологии

SPF и Sender ID активно использовались не толькоинтернет-провайдерами и компаниями, но также и спамерами. В период с мая по июль этого года около 5% писем, проверенных CipherTrust, пришло с серверов, поддерживающих SPF или Sender ID, и из этих 5% спама было даже немного больше, чем обычных писем.

спамеров. используя собственные почтовые серверы, реализовали поддержку SPF или Sender ID. SPF или Sender ID не могут быть поддельными, и их труднее избежать попадания в черный список, но ничто не помешает им отправлять вам электронные письма. По словам разработчиков технологии SPF, ее цель — предотвратить подделку обратных адресов и ничего больше. Нет ничего плохого в том, что спамеры используют SPF и Sender ID. Напротив, если эти технологии получат достаточно широкое распространение, это упростит ведение списков спам-серверов и блокирование корреспонденции от них.

На прошлой неделе стало известно, что IBM разработала еще одну технологию защиты от спама — SpamGuru, который сочетает в себе ряд технологий защиты от спама, которые анализируют как источник, так и содержимое электронной почты.

К распространенным технологиям защиты от спама, таким как идентификация отправителя, анализ DNS, белые списки, черные списки и байесовская фильтрация, SpamGuru добавляет новую технологию Chung-Kwei, алгоритм, ранее использовавшийся в биотехнологиях. Алгоритм, созданный исследовательским отделом IBM, предназначен для поиска повторяющихся мест в ДНК и аминокислотных цепочках. В тестах Chung-Kwei он обнаружил 96,56% спама, а количество ложных срабатываний составило 0,066%. Помимо комбинации различных технологий, SpamGuru автоматически обрабатывает белые и черные списки, которые пользователи могут легко настраивать в зависимости от своих потребностей и технологий защиты от спама, и предоставляет пользователям возможность определять уровни фильтрации для контроля ложных срабатываний.

Этой осенью IBM планирует сделать технологию SpamGuru доступной в Lotus Workplace Messaging 2.0. Официального решения о включении SpamGuru в Lotus Domino еще не принято.

Российская статистика удручает

Лаборатория Spamtest Lab, принадлежащая компании «Ашманов и партнеры», подвела итоги спамеров Рунета. опрос за первое полугодие этого года. Опубликованный отчет показывает, что по итогам первого полугодия уровень спама достиг 70-80% всего почтового трафика в Рунете. По данным лаборатории Spamtest, в конце 2003 года на долю спама приходилось 65-70% всего трафика.

Спам подвержен сезонным колебаниям, которые коррелируют с трафиком электронной почты и активностью рекламной кампании.

3 мая Spamtest зафиксировал рекордно низкий уровень спама. Доля спама в корпоративной почте некоторых небольших компаний в тот день упала до 5%, и спамеры возобновили свою деятельность сразу после майских праздников, и количество спама растет так же быстро, как и раньше.

Spamtest понимает спам как нежелательную коммерческую рассылку, отвечающую требованиям массовости и анонимности. Однако обычные пользователи имеют тенденцию расширять сферу действия этого определения, приравнивая все типы неинформативных и незапрошенных сообщений к спаму — электронные письма от роботов, сообщения, содержащие вирусы и т. Д., Тем более что спам все чаще используется для отправки некоторых из этих сообщений. (например, вирусы) появилось специализированное программное обеспечение для рассылки спама.

Тенденция сочетания спама и хакерских технологий началась в 2003 году, когда рассылающее спам программное обеспечение было впервые использовано в массовой вирусной атаке. Эта тенденция наблюдалась и в этом году — в первой половине года произошло несколько вирусных атак, в ходе которых вирусы распространялись по электронной почте.

Вспышки вирусов приводят к увеличению спамерского трафика. Они генерируют большие объемы не только зараженных вирусом сообщений, но и других типов нежелательной почты, например, невинных электронных писем, которые были отрезаныАнтивирусом или многочисленным отклонением автоматической доставки пользователю, что в электронной почте на своем компьютере есть вирус.

Популярность коммерческих расстояний поставки варьируется в зависимости от многих факторов, таких как сезон : Летние спамеры предлагают кондиционеры и отпуски в Турции. Самые важные темы спама иллюстрируют график.

Попытки отправлять спам-сообщения, спамив самые популярные типы
Согласно спамтестому лаборатории, в первой половине 2004 года в спамных потоках рунета было обнаружено несколько новых сортов спама. Многие из них также являются общедоступными мошенничеством (в англоязычных частях списка списков называются мошенниками) — это новые варианты «нигерийских» писем, пытаясь украсть логины / пароли из известных банковских систем или почтовых ящиков и т. Д.

Письма Нигерийские — это новости, написанные от имени граждан стран с нестабильной экономикой. Автор такого письма обычно утверждает, что у него миллионы долларов, которые хранят в обход закона, и по этой причине он не может отложить себя в банке. Он срочно нужен счет, на которую можно оплатить грязные деньги. Как награда за помощь, предлагает от 10 до 30% от суммы в списке. После того, как доверенный пользователь сделает автор электронной почты свой счет, деньги, естественно, исчезают. До сих пор такие электронные письма были написаны только на английском языке, а в первой половине этого года подобные письма появились на русском языке. И на английском языке сейчас используют ситуацию в российской экономике, особенно арест Михаила Ходорковски и неопределенной ситуации ЮКОСа. Например, одна из букв, на разбитых английских, читается следующим образом: # 8230; в связи с арестом г-на Ходорковски мне нужно передать 10 000 000 # 8230 долларов и # 8230; конфиденциально.

Относительно новый тип SPAM предлагает предложения и рекомендации по инвестированию. В большинстве случаев электронная почта содержит описание «Лидера фондовой биржи», I.E. Информация о компании, чья стоимость акций якобы увеличивается. Это на самом деле попытка повлиять на предпочтения инвесторов и цен на акции (конечно, от имени Фондового биржа Игрок).

в международной классификации спама, такие сообщения будут признаны как мошенничество, хотя Они не на законных основаниях запрещены. Можно предположить, что для большинства таких поручений платят владельцы акций малого бизнеса, которые хотят, например, чтобы максимизировать ценность своих акций и быстро продавать их до того, как они снова упадут. в 2003 году, Ашманов и Партнеры Эксперты прогнозировали спам развитие политической и другой «пропагандой». В первой половине этого года эти прогнозы оказались полностью оправданными. Спам активно использовался в избирательных кампаниях в начале 2004 года

Другая новинка этого года была предложена анти-спам-программным обеспечением.

, чтобы сказать правду, первые такие сообщения были записаны Почти год назад, но тогда они были изолированы на фоне общего электронного движения почты в рунете. В настоящее время их число стало значительным, хотя он не превышает 1% всего спама. Эти предложения являются спамерами как из-за способа их вещания (масса, анонимных, несправедливых) и на природе Предложения: большинство рефералов Сторон, на которых пользователь должен искать анти-спам-программное обеспечение, больше не доступен во время электронной почты или, хуже, содержит вирусы. Другой пример Тесное соединение спамеров и вирусных авторов — «секретные» открытки. В первой половине 2004 года было проведено как минимум два спама доставки, используя технологии и спам-программное обеспечение, оказывающее, что под открытыми открытками. Когда пользователь нажал на ссылку в электронной почте, что означало, что он хотел загрузить открытку, вирус ждал на странице с ложной открытой картой и попытался загрузить ее на компьютер пользователя.

Основные методы, используемые спаммами при вещании электронные письма остаются неизменными:

с использованием троянского программного обеспечения, установленное без знания пользователей на своем компьютере; Используйте настроенные по умолчанию(то есть без пароля или с хорошо известным паролем) устройств доступа к клиентам — ADSL модемы, клиентские маршрутизаторы, устройства WiFi, которые позволяют немедленно (или после реконфигурации злоумышленника) для использования пользовательской емкости для отправки электронных писем; Использование старых хороших ресурсов — открытые реле, сценарии CGI на веб-сайтах и ​​т. Д., Использование старых хороших инструментов, таких как открытые реле, сценарии CGI на веб-сайтах и ​​т. Д., которые не изменились с 6-8 лет; NDR ATTACT ) — Отправка ложного отправителя на несуществующий адрес. Отчет о отсутствии доставки будет отправлен на ложный отправитель, содержащий спам-сообщение. Однако следует отметить, что количество методов, описанных выше, значительно изменилось в течение этого периода. В прошлом году и ранее использованные методы поставок

Большинство больших вирусных атак и браузеров недавно были четко коммерческими: их цель — установить троянские компоненты на компьютере, а затем использовать его для вредоносных целей (спам, кардание, атаки DOS). Эти троянские компоненты, в свою очередь, предпринимают меры для защиты себя и вашего центра управления. В частности, IRC-каналы могут использоваться для их контроля или просто сканировать все входящие данные на машину, где команда могут быть отправлены, например, в потоке спама.

в результате, сумма Власти имеют спамеры, резко возросли. Наиболее мощные спамеры теперь могут отправлять несколько миллионов электронных писем всего за два или три часа, в то время как включение фильтрующих компаний Antipam реагировать. В свою очередь, компании, производящие фильтры, повышают частоту обновления своих баз данных. Другие методы спама. Этот тест отправляет спам для публичных адресов, в течение которого проверяется в режиме реального времени, или создание кампаний по спамам с ложным или ноль Содержание, которое проверяется, они служат для грамота почтового движения и препятствуют работе программного обеспечения Anti-Spam.

Интересно — это шанс DarkMailer. Оказалось, что многие спамеры использовали пиратскую версию программы для отправки информационных бюллетеней. И когда он перестал работать в начале марта, это привело к резкому снижению количества спама в относительно длительный период.

Фильтр, избегая техники

Самый быстрый график графики В спаме, при окрашенном количестве электронных писем с модификациями текста.

Установка «Рисованного» текста на электронные письма оказалось довольно эффективным трюком, потому что не все фильтры дружелюбны для графики. В начале этого года были представлены «Metable» почтовые электронные письма, то есть графические электронные письма, которые тонко изменены во время процесса доставки. В результате каждая картинка отличается несколькими битами друг от друга картины в рассылке, но нет видимого разницы. Ситуация с модифицированными текстами в спаме изменилась в первой половине 2004 года. В конце прошлого года было много электронных писем, которые случайно вставили двойные буквы в словах (например, слово «рассылка» может выглядеть как «Рассилкааа», «Рассилкаа» или даже «Рассилкааа»). Это было на прогрев содержания фильтров, которые не распознали модифицированные, типичные для спам-фраз и выражений. В настоящее время их очень мало осталось: эффективность этой техники оказалась ниже, чем ожидалось, и спам-клиенты начали противостоять отправке рекламы своих продуктов / компаний, потому что появление плохого письменного текста пострадало от изображения компании.

Другие типы модификаций текста, такие как случайные цитаты и тому подобное, все еще интенсивно используются в спам-сообщениях.

До сих пор, список базовых фильтров, обходных фильтров не изменился слишком много по сравнению с прошлым годом. Это: Представляя текст электронной почты в виде изображения (графический файл); изменение текста электронной почты, добавляя цитаты и случайные текстовые последовательности; трюкиHTML (невидимый текст и т. Д.).

В этой статье используется отчет лаборатории спамтеста «Ашманов и партнеры».