Кроме того, спамеры начали активно использовать изображения, с помощью различных методов делая каждую картинку уникальной: наклоняя текст, зашумляя фон, разрезая картинку случайным образом. Еще одним популярным их приемом является подделка под личную переписку, когда реклама представлена как личное мнение отправителя. В этом году спамеры попытались использовать анимацию для обхода фильтрации, и оказалось, что не все фильтры правильно понимают ее формат. Некоторые анализировали только один кадр, который часто оказывался шумом. Однако чем больше спамеры пользуются зомби-сетями для рассылки своих писем, тем проще отлавливать их простыми методами. Дело в том, что в «зомби-машину» сложно встроить полноценный почтовый сервер, поэтому в ней не реализованы некоторые стандартные механизмы. И понимание особенностей работы «зомби» позволяет построить такой механизм приема письма, при котором мусорная почта просто не будет приниматься. Так, SMTP-зомби не дожидается приглашения, которое поступает от получателя, а выдает все письмо целиком и сразу. Другое их отличие состоит в том, что если почтовый сервер отказывает в приеме письма, то легитимная система по требованию стандарта повторит попытку посылки письма через некоторое время. Зомби же повторять попытку не будет. На этом отличии основана работа системы так называемых «серых списков», когда параметры полученного письма фиксируются, но само письмо не принимается. А пропускается оно только при следующей попытке. Если же по этой схеме проверять только первое письмо с уникальными реквизитами отправителя и получателя, то пользователи даже не заметят задержек. В то же время с помощью такого нехитрого приема можно отсеять большой процент спама. Еще один прием, который позволяет отличить зомби от легального почтового сервера, - это задержать процедуру установления сеанса, выдавая обязательное приглашение лишь через некоторое время. Легальный сервер, прежде чем посылать письмо, будет ждать приглашения, а зомби выдаст письмо целиком без задержек. Такое «притормаживание» сеанса также позволяет отсеять большую часть спамерских сообщений. Впрочем, даже простая проверка адресов отправителя и получателя письма дает хорошие результаты. Это, в частности, подтверждается статистикой внедрения системы защиты от спама, установленной в издательстве Independent Media (см. врезку). В основе системы, созданной в редакции, - почтовый сервер Sendmail, в который установлены модули для создания серых списков, проверки корректности адресов отправителя и получателя, «притормаживания» почтовых сеансов и проверки писем на наличие вирусов. В компании был также внедрен спам-фильтр SpamAssassin от Network Associates, однако оказалось, что его достаточно тяжело сопровождать, и он просто не успевает справиться с быстрыми и короткими рассылками. Пользоваться коммерческими продуктами у издательства «не получалось», поскольку количество почтовых ящиков постоянно меняется, а это, как было заявлено, приводит к неэффективному использованию лицензий на продукты. Поскольку технологии, которыми пользуются спамеры, устоялись и к ним нашлось противоядие, то опытные администраторы вполне могут и самостоятельно конструировать достаточно эффективные фильтры из различных общедоступных компонентов. Однако и спамеры не стоят на месте, придумывая приемы для обхода таких простых фильтров. Правда, в основном их усилия направлены на противодействие коммерческим продуктам, поэтому собранное из компонентов и привязанное к специфике бизнеса решение может оказаться даже эффективней. Однако поддержание такой уникальной системы тоже может потребовать больших расходов и потребовать квалифицированных администраторов. В большинстве же случаев экономически более выгодным будет использовать коммерческие фильтры.


Распределение эффективности методов защиты от спама

Система фильтрации, построенная администратором сети издательства Independent Media при помощи стандартных модулей МТА Sendmail. Фильтры применялись последовательно в следующем порядке: проверка наличия получателя, выдача приглашения, проверка отправителя, «серые списки», антивирус. Небольшая доля эффективности антивируса означает, что большинство вирусов отсеялись другими методами.

Принято и доставлено писем 11,5
Отсев по отсутствию получателя 44,0
Отсев через выдачу приглашений 18,3
Отсев после проверки отправителя 16,6
Отсев через «серые списки» 5,7
Отсев посредством «притормаживания» сеансов 3,7
Антивирус 0,2

Источник: Independent Media, 2006

Поделитесь материалом с коллегами и друзьями