Некоторые итоги четвертой конференции «Проблема спама и ее решение»

Компания «Лаборатория Касперского» совместно с Mail.ru провела четвертую международную конференцию «Проблема спама и ее решение». По заверениям Анны Власовой, руководителя группы спам-аналитиков «Лаборатории Касперского», принципиально новых методов почтового спама в нынешнем году заметить не удалось. Спамеры в основном «накачивают мускулы» сетей зомби-компьютеров, чтобы проводить быстрые рассылки по большому количеству адресов. Как результат даже при обновлении сигнатур спама каждые 20 минут рассылка успевает проходить сквозь фильтры. Кроме того, спамеры начали активно использовать изображения, с помощью различных методов делая каждую картинку уникальной: наклоняя текст, зашумляя фон, случайным образом разрезая картинку. Еще одним популярным их приемом является подделка под личную переписку, когда реклама представлена как личное мнение отправителя. В 2006 году спамеры попытались использовать анимацию для того чтобы обходить фильтрацию, и оказалось, что не все фильтры правильно понимают данный формат. Некоторые анализировали только один кадр, который часто оказывался шумом.

Однако чем больше спамеры пользуются зомби-сетями для рассылки своих писем, тем проще отлавливать их простыми методами. Дело в том, что в зомби-машину сложно встроить полноценный почтовый сервер, поэтому в ней не реализованы некоторые стандартные механизмы. И понимание особенностей работы зомби позволяет построить такой механизм приема письма, при котором мусорная почта просто не будет приниматься.

Так, SMTP-зомби не дожидается приглашения, которое поступает от получателя, а выдает все письмо целиком и сразу. Другое их отличие состоит в том, что если почтовый сервер отказывает в приеме письма, то легитимная система повторит попытку посылки письма через некоторое время. Зомби же повторять попытку не будет. На этом отличии основана работа системы так называемых «серых» списков, когда параметры полученного письма фиксируются, но само письмо не принимается. А пропускается оно только при следующей попытке. Если же по этой схеме проверять только первое письмо с уникальными реквизитами отправителя и получателя, то пользователи даже не заметят задержек. В то же время с помощью такого нехитрого приема можно отсеять большой процент спама. Еще один прием, который позволяет отличить зомби от легального почтового сервера, состоит в том, чтобы задержать процедуру установления сеанса, выдавая обязательное приглашение лишь через некоторое время. Легальный сервер, прежде чем посылать письмо, будет ждать приглашения, а зомби выдаст письмо целиком без задержек. Такое «притормаживание» сеанса также позволяет отсеять большую часть спамерских сообщений.

Впрочем, даже простая проверка адресов отправителя и получателя письма дает хорошие результаты. Это, в частности, подтверждается статистикой внедрения системы защиты от спама, построенной в издательстве Independent Media (см. врезку). В основе системы, созданной в редакции, — почтовый сервер Sendmail, в который установлены модули для создания «серых» списков, проверки корректности адресов отправителя и получателя, «притормаживания» почтовых сеансов и проверки писем на наличие вирусов. В компании был также внедрен спам-фильтр SpamAssassin от компании Network Associates, однако оказалось, что его достаточно тяжело сопровождать, и он просто не успевал справиться с быстрыми и короткими рассылками. Пользоваться коммерческими продуктами у издательства «не получалось», поскольку количество почтовых ящиков постоянно меняется, а это, как было заявлено, приводит к неэффективному использованию лицензий на программные продукты.

Поскольку технологии, которыми пользуются спамеры, устоялись, и к ним нашлось противоядие, то опытные администраторы вполне могут и самостоятельно конструировать достаточно эффективные фильтры из различных общедоступных компонентов. Однако и спамеры не стоят на месте, придумывая приемы для обхода таких простых фильтров. Правда, в основном их усилия направлены на противодействие коммерческим продуктам, поэтому собранное из компонентов и привязанное к специфике бизнеса решение в ряде случаев может оказаться даже эффективнее. Но поддержание такой уникальной системы тоже может потребовать больших расходов и приглашения квалифицированных администраторов. В большинстве же случаев экономически более выгодным будет использовать коммерческие фильтры. 

Поделитесь материалом с коллегами и друзьями