Отказ от приема сообщений с некоторых адресов мог бы заблокировать значительную долю спамерских потоков

Простой протокол для пересылки почты (Simple Mail Transfer Protocol, SMTP) слишком прост, чем зачастую пользуются спамеры. Введение некоторых ограничений на использование этого протокола могло бы сократить потоки спама. Однако единой точки зрения на это среди специалистов пока нет, и поэтому каждый администратор почтовой системы решает проблемы со спамом по-своему, что иногда приводит к сбоям в работе электронной почты. По мере роста потоков спама проблема эта становится все более острой.

Вольность SMTP заключается в том, что электронные сообщения спамеров могут передаваться с любых компьютеров, подключенных к Internet, напрямую на почтовые серверы получателей, минуя Internet-инфраструтуру.

Пути-дороги почты. Если сервер получателя откажется от приема почты напрямую от отправителя, то почта все равно дойдет

Безусловно, отказ от приема сообщений с некоторых неблагонадежных адресов мог бы заблокировать значительную долю спамерских потоков. На получении обычных писем это едва ли сказалось бы, поскольку их отправляют, как правило, через ретрансляторы своих провайдеров, которые не должны попасть в черные списки.

Однако практически все современные почтовые серверы и спам-фильтры поддерживают черные списки DNS (DNS Black List, DNSBL) неблагонадежных машин. Проверка IP-адреса на благонадежность построена по тем же принципам, что и DNS, только в ответ на тот или иной запрос возвращается не его доменное имя, а рекомендации по тому, принимать ли письмо с этого адреса или отвергать.

«Черные списки применяются давно, но показывают относительно небольшую эффективность при очень высоком проценте ложных срабатываний», — замечает Николай Федотов, руководитель службы информационной безопасности «РТКомм.РУ». Составление черных списков далеко не простая задача, но от их актуальности и точности может зависеть надежность работы системы электронной почты.

Одной из самых опасных технологий распространения спама является рассылка незапрошенных сообщений через так называемые «зомби-сети», состоящие из предварительно зараженных вирусами или троянскими программами компьютеров. Такие сети могут использоваться не только для распространения спама, но и для распределенных DoS-атак, взломов других систем, применения краденных кредитных карт и других злонамеренных целей. Обычно такие сети состоят из компьютеров, владельцы которых по тем или иным причинам не могут обеспечить их безопасность (как правило, это домашние компьютеры, подключенные к Internet по коммутируемой линии или с помощью xDSL).

Для защиты от этой угрозы некоторые отечественные провайдеры обмениваются блоками IP-адресов, которые выделены под коммутируемый доступ, xDSL или иные динамические системы выделения адресов. Примером такого сотрудничества может служить проект dul.ru, в рамках которого составляется особый черный список, называемый DUL (Dial-up User List).

В почтовой системе «Яндекс.Почта» для отказа от подозрительной корреспонденции используется список DUL, проверенный роботами «Яндекса». Вот как руководитель проекта «Яндекс.Почта» Павел Завьялов описывает механизм определения неблагонадежных адресов: «Список IP-адресов, с которых идет спам или на которых происходит другая подозрительная активность — скажем, вирусные закладки или ошибки при конфигурации, — проверяется на наличие открытых ретрансляторов. Если уязвимость подтверждается, то адрес заносится в черный список».

Все популярнее становится технология идентификации отправителя с помощью специальной текстовой записи Sender Policy Framework в DNS. Эта запись содержит сведения о том, какие именно компьютеры могут отсылать почту из данного домена. Получатель, определивший отклонения от опубликованной политики, имеет право отказать в приеме почты. Правда, по мнению Завьялова, пока у этой технологии «есть ряд врожденных недостатков, из-за которых SPF не может «солировать»; поэтому ее используют как дополнение к другим методам.


ASTA рекомендует

Недавно шесть крупных почтовых систем: America Online, British Telecom, Comcast, Earthlink, Microsoft и Yahoo! объединились в альянс для борьбы с мусорной почтой — Anti-Spam Technical Alliance. Они выпустили набор рекомендаций для провайдеров, спамеров и пользователей (полный текст этого документа можно найти по адресу postmaster.aol.com).

Основные рекомендации для провайдеров

  • Изменить во всех клиентских устройствах пароли, заданные по умолчанию. Например, недопустим пустой пароль для администратора устройства.
  • Изменить конфигурацию всех открытых почтовых ретрансляторов так, что бы ими не могли воспользоваться посторонние.
  • Сконфигурировать proxy-серверы только для внутреннего применения. Пользователи внешних сетей не должны иметь к ним доступ.
  • Определять и изолировать взломанные компьютеры. В качестве критерия для подозрений на взлом предлагается использовать количество отосланных сообщений.
  • Идентифицировать пользователей, которые отправляют сообщения через принадлежащие провайдеру сервера.
  • Ограничить количество исходящих от одного клиента сообщений.
  • Удалить со своих Web-сайтов сценарии, позволяющие автоматически генерировать почтовые сообщения.
  • Блокировать автоматическую регистрацию почтовых ящиков, требуя предварительной оплаты или прохождения теста Тьюринга.
  • Защитить сервисы перенаправления Web-запросов, которые применяются для анализа посещаемости, чтобы блокировать их несанкционированное использование.
  • Разработать службу учета и контроля спама, в которую могут пожаловаться пользователи. Она должна позволять отслеживать отправителей незапрошенной корреспонденции.

Поделитесь материалом с коллегами и друзьями