О методах борьбы со спамом
Привет, Хабр! Согласно отчёту компании Symantec, опубликованному этим летом, из 704 миллиарда электронных писем, отправленных в июне, 353 миллиарда (49,7%!), были спамом. Спам вреден не только тем, что из-за него приходится разгребать кучу никому не нужных рекламных предложений, среди которых легко теряется нужное письмо. Массовые рассылки широко используются и хакерами.
Как бороться со спамом?
Есть два основных метода защиты. Это защита на этапе получения сообщений почтовым сервером и фильтрация почты уже после её получения.
Самый простой способ – это настройка почтового клиента, установленного на компьютере пользователя. Настройки (в общем-то, небогатые) позволяют задавать фильтры и блокировать нежелательные сообщения по теме, адресу отправителя или определённым ключевым словам. На наш взгляд, это не самый эффективный способ. Для того, чтобы настроить блокировку по адресу или стоп-словам, нужно всё-таки получить первое спам-письмо, правда? Такой метод хорош только для того, чтобы избавиться от надоедливой рассылки, от которой по каким-то причинам не удаётся отписаться (такое редко, но бывает).
Для корпоративного использования такой метод и вовсе не подходит. Сервис «Спамооборона», который используется Яндекс.Почтой, подозрительные письма (например, разосланные по слишком большому списку адресов) пропускает, но помещает их в папку «Спам». Кроме того, он проверяет письма, отправленные с адреса пользователя. Яндекс не гарантирует, что все подозрительные письма будут распознаны. «Если вы считаете, что получили спамовое письмо в папку «Входящие», выделите нужное письмо и нажмите кнопку «Это спам!» – письмо будет перемещено в папку «Спам», а необходимая информация будет отправлена в Спамоборону», – сообщается на сайте.
Kaspersky Anti-Spam – более продвинутое решение. IP-адрес отправителя проверяется по чёрным спискам провайдеров и сервисов DNSBL, при анализе учитывается авторизация отправителя по технологии SPF (Sender Policy Framework), спамерские URL в теле сообщения анализируются по SURBL (Spam URI Realtime Block List), используется сигнатурный и лингвистический анализ.
Первый сервис RBL (Realtime Blackhole List), который содержал списки хостов-источников спам-рассылок, появился в 1987 году. Проверка почты происходит следующим образом: почтовый сервер обращается к DNSBL и проверяет в нём наличие IP-адреса клиента, от которого получено сообщение. Если IP-адрес клиента содержится в списке, сервер получает ответ. Серверу отправителя сообщается ошибка 5xx и сообщение не принимается.
Большое количество DNSBL-списков можно найти здесь.
Утверждается, что использование сервисов, основанных на технологии RBL/DNSBL, позволяет достичь эффективности фильтрации спама в 98-99,8% случаев. Недостаток у DNSBL-списков, видимо, только один: туда могут попасть по ошибке и вполне легальные почтовые серверы, если передали через себя спам, разосланный каким-либо компьютером внутри своей сети.
Однако согласно данным тестирования (в котором анализируется эффективность наиболее популярных анти-спам решений), ни одно из писем, не являющееся спамом, не было ошибочно определено как спам.
Решения, основанные на использовании DNSBL-списков, мы считаем самыми надёжными. Именно поэтому функциональные возможности SMTP-шлюза программы Traffic Inspector и дополняет RBL-модуль. Его работа основана на проверке IP-адреса принимаемого сообщения в RBL-службах путём отправки на них DNS-запросов. RBL-модуль почтового сервера в момент приёма сообщения запрашивает RBL-сервис, является ли IP-адрес отправителя письма «плохим» и на основании ответа RBL принимает или отвергает письмо.
Опасна массовая рассылка и тем, что таким образом, рассылаются письма, прямо или косвенно побуждающие получателя посещать фишинговые сайты. Согласно опросу исследовательской компании «МФИ Софт», электронная почта занимает первое место среди потенциально опасных каналов утечки данных:
Мошенники рассылают письма, очень похожие на настоящие, от имени компаний, сервисов и социальных сетей. В тексте письма – ссылка на сайт.
Пройдя по такой ссылке, пользователь попадает на фишинговую страницу, а дальше, как говорится, дело техники: стоит ему ввести какие-то персональные данные – и они попадают в руки мошенников:
Так интернет-мошенники могут получить секретных данные пользователя: пароли от учётных записей, номера или PIN-коды кредитных карт и так далее.
«Наиболее эффективные фишинговые атаки заканчиваются успехом злоумышленников в 45% случаев, а порядка 2% писем, получаемых Gmail, разработаны специально, чтобы выманить у людей их пароли. Различные сетевые сервисы рассылают миллионы таких писем ежедневно», – считают в Google.
Один из способов обезопасить себя от фишинговых сайтов – сервис Яндекс.DNS, который доступен в роутерах Asus, D-Link, TP-Link и ZyXEL. При попытке открыть фишинговый сайт, Яндекс.DNS останавливает загрузку данных и выдаёт предупреждение пользователю.
Большинство браузеров тоже имеют возможность блокировки фишинговых сайтов. Chrome, Firefox и Safari используют технологию Safe Browsing API, IE – Smart Screen.
Интересную систему защиты от фишинга «Protect» выпустил «Яндекс» чуть больше месяца назад. Protect отслеживает действия пользователя и следит, чтобы пароли не вводились на сайтах, похожих на известные сервисы. Кроме того, технология Protect включает в себя проверку всех загружаемых файлов. Функция Protect защищает личные данные пользователя при подключении к открытой сети Wi-Fi в общественных местах. Protect интегрирован в версии «Яндекс.Браузера» для Windows и OS X.
Функционально похожее расширение проверки паролей Password Alert есть в Chrome, однако, оно работает только на аккаунтах Google и Google Apps for Work.
Хороший обзор антивирусных решений для защиты от фишинга можно найти здесь.
Модуль защиты от фишинга Phishing Blocker в Traffic Inspector использует условно-бесплатный проект API Google Safe Browsing. Phishing Blocker проверяет URL на наличие угроз в обновляемом Google чёрном списке потенциально фишинговых сайтов и страниц. Если ответ положительный, то хост или IP-адрес приписывается к одной из предварительно созданных категории контента. Это позволяет предотвратить посещение пользователями заведомо мошеннических веб-ресурсов.
Ещё одна возможность Phishing Blocker – присвоение ресурсу определённого рейтинга, что позволяет произвести фильтрацию нежелательного контента, разрешить доступ только к контенту, имеющему доверие и получить отчеты по посещаемым ресурсам в соответствии с рейтингом.
Источник
Самые эффективные методы борьбы со спамом
Спам-рассылки занимают место в почтовом ящике, отвлекают от нужной информации, могут стать причиной потери данных и даже взлома системы. Например, офисный работник, открывший ссылку из спама, неумышленно становится виновником проникновения вируса на рабочий компьютер. Бесконечные сообщения о распродажах и другие новости из магазинов, где вы ничего не планируете приобретать, раздражают.
Чтобы исключить попадание спам-рассылок на почту, необходимо принимать меры. Результативность фильтрации зависит от того, что используют для борьбы со спамом. При некорректной настройке фильтров у спамеров всегда найдется лазейка, чтобы отправить рассылку на все адреса сервера в обход фильтрации.
Характеристика спама
Спам — массовая рассылка сообщений чаще рекламного либо иного характера лицам, не выражавшим желания её получать. Рассылка может содержать предложения услуг, товаров или ссылки на фишинговые сайты для сбора данных пользователей. Чтобы оградить владельцев email-адресов от получения нежелательной почты, почтовые сервисы и провайдеры применяют различные методы фильтрации и сортировки поступающих сообщений.
Методы борьбы со спамом
Некоторые типы писем, которые используются в спам-атаках:
- Письма с адресов, которые неизвестны пользователю.
- Рассылки (в качестве отправителя может быть известная и надежная организация, например, авиакомпания или хостинг).
- Письма с сообщениями побудительного характера (купить, помочь собрать сумму на лечение, перейти по ссылке для получения выигрыша, письма от нигерийских принцесс с просьбами помочь деньгами).
Само понятие спама носит персонализированный характер. Если пользователь почтового ящика подписался на рассылку новостей, и он регулярно получает письма соответствующего содержания, это не спам. Когда пользователь не был подписан на новости, но однажды был включен в рассылку новостей из-за утечки его почтового адреса, это спам.
Существует ряд распространенных методов борьбы со спамом, которые для ограничения рассылок может выполнить даже человек, не имеющий отношения к IT-сфере:
- Отписаться от рассылки, на которую вы точно не подписывались. Это работает, если ссылка для отписки настроена корректно, и ведет именно туда, где адрес пользователя исключается из листинга для спама. Если ссылка ведет на пустую страницу, или настроена неправильно, отписаться не получится.
- Использование дополнительного почтового ящика для регистрации на маловажных ресурсах, где для разового доступа необходимо создать пароль и привязать аккаунт к почте. Таким образом, основной почтовый адрес реже попадает в списки для рассылки спама. Все лишнее приходит на дополнительный адрес.
- Настройка сортировки входящих писем в папки специализированного назначения. Когда во входящих слишком много нежелательных писем, создайте для важных категорий писем специальные папки, куда не будет попадать спам. Так будет понятно, что во входящих оказывается в основном нежелательная почта, и нужные сообщения не потеряются из виду.
В IT-индустрии тренды спам-рассылок постоянно меняются. Появляются новые варианты обхода существующих способов фильтрации, к новым методам разрабатывают свежие антидоты. Далее краткий обзор наиболее эффективных и проверенных временем технологий борьбы со спам-рассылками.
Черные списки
Черный список, или DNS-based Blackhole List можно настроить индивидуально для каждого ящика, или для группы почтовых адресов. Из всех методов, что используются для борьбы со спамом, этот самый древний. Списки состоят из доменов и IP-адресов, с которых приходил спам.
Блэклисты бывают частными и публичными. Частные черные списки создают сами пользователи, когда ограничивают получение писем от определенного отправителя. Для крупных агрегаторов спам-рассылок частные блэклисты не опасны, в отличие от публичных. Если IP-адрес попадает в публичный блэклист, которым пользуются провайдеры или почтовые сервисы, блокируется рассылка писем не только с одного адреса, но и с родственных доменов из списка. Публичные блэклисты бывают открытыми и закрытыми, платными и бесплатными.
Черные списки — не самый эффективный путь борьбы со спамом. Хотя списки исключают возможность получения спама с конкретного адреса, нередко фильтрация срабатывает там, где она не требуется. Можно потерять что-то важное и нужное. При этом требуется часто обновлять список.
Контентная фильтрация
Суть этого метода основана на анализе содержимого рассылки. Если письма содержат типичные для спама фрагменты контента (определенные слова, отрывки текста, изображения), тогда адрес отправителя отправляется в черный список вместе с родственными доменами.
Достоинство контентной фильтрации — возможность индивидуальной настройки под запросы конкретного пользователя. Эффективность метода очень высока, однако требуются значительные трудозатраты. Тонкую настройку фильтров выполняют специалисты, и даже целые коллективы сотрудников антиспам-лабораторий. Рядовой пользователь не может себе позволить подобную услугу, она востребована в первую очередь у корпоративных заказчиков.
Конечно, спамеры пытаются обойти контентные фильтры: меняют в словах буквы на символы, фотошопят картинки. Но сложность такой модификации контента заключается в том, что для робота нужно настроить рассылку множества сообщений, каждое из которых чем-либо отличается от остальных. При этом получатель спама должен воспринимать все модифицированные сообщения одинаково, независимо от того, что именно меняется в них для прохождения модерации. Чтобы соблюсти все условия, приходится разрабатывать специальное программное обеспечение, которое требует трудозатрат.
В итоге, применяя контентную фильтрацию, вы становитесь более сложной целью — и это снижает вероятность того, что вас вообще выберут в качестве этой самой цели.
Борьба со спамом техническими средствами
Интернет-провайдеры, почтовые сервисы и многие другие посредники между потребителями контента и его отправителями используют разнообразные технические средства для устранения спама. Для корпораций, бизнеса и госструктур защиты, которую по умолчанию предоставляет провайдер, недостаточно, чтобы обеспечить должный уровень безопасности и удобства. Основная задача системного администратора, который настраивает фильтры для одного или группы почтовых адресов — получить оптимальный отсев всего лишнего без потерь нужных писем. Для этого специалисты используют специализированное ПО и применяют собственные наработки. Методы защиты постоянно приходится постоянно актуализировать, чтобы успеть за находчивостью спамеров.
Эффективность защиты зависит не только от того, какие методы борьбы со спамом применяются, но и от тонкой настройки фильтрации. В этом вопросе не существует универсальных решений. Число пользователей интернета постоянно растет, и в ближайшие годы вопрос спам-рассылок будет актуален. Правовые методы истребления отправителей нежелательной почты пока что не работают. Поэтому технические средства остаются наиболее надежными и результативными в организации блокировки спама.
К примеру, в универсальном шлюзе безопасности Traffic Inspector Next Generation используется встроенный инструмент для борьбы со спамом.
Технические инструменты и осведомленность сотрудников
В целом, остановить спам можно в двух точках: на почтовом сервере и уже после получения письма. В первом случае задача заключается в том чтобы в принципе не пропустить спам-письмо в ящик пользователя. Во втором — правильно распознать угрозу в уже пришедшем письме и выдать пользователю предупреждение о том, что сообщение опасно.
На рынке есть десятки различных решений, разработанных именно для защиты от спам-рассылок. Ниже мы приведем некоторые из них и кратко опишем их функциональность.
Выбирая конкретные инструменты для борьбы со спамом, отталкивайтесь от реальных потребностей вашей организации и помните, что один из важных элементов защиты — осведомленность ваших сотрудников о том как отличить спам-письмо и что делать, если оно уже в почтовом ящике. Простое правило «не переходите по подозрительным ссылкам» может сэкономить миллионы рублей и нервных клеток. Поддерживать диалог с коллегами, учить их основам информационной безопасности (частью которой является борьба со спамом) — крайне важно.
Источник
