Ochrona przed spamem

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacji, wyszukiwania

Aby chronić się przed spamem, zarówno użytkownicy, jak i administratorzy serwerów pocztowych używają rozmaitych technik antyspamowych. Różnią się one kosztami instalacji, wielkością obciążenia procesora oraz skutecznością wykrywania spamu.

Sposoby ochrony przed spamem[edytuj | edytuj kod]

  1. samodzielnie stosowane przez użytkownika,
  2. automatycznie stosowane przez klientów poczty,
  3. automatycznie stosowane przez serwery pocztowe.

Metody stosowane na serwerach pocztowych[edytuj | edytuj kod]

Do metod pozwalających administratorom na zminimalizowanie ilości spamu dostarczanego do serwerów i skrzynek pocztowych zaliczyć należy odrzucanie mejli pochodzących z podejrzanych źródeł oraz automatyczną analizę zawartości wiadomości pod kątem obecności spamu. Podejścia te nazywane są często blokowaniem i filtrowaniem i najczęściej są one łączone. Znaczna liczba systemów filtrujących posiada także zaawansowane techniki uczące się, które mają większą skuteczność niż metody posługujące się stałym zestawem reguł.

Blokowanie spamu przez administratorów serwerów oznacza podejmowanie decyzji o tym co może być spamem lub nie za użytkownika, co może oznaczać odcięcie użytkownika od pewnych pożądanych przesyłek. Dlatego często blokowanie ogranicza się do kontroli samego połączenia i przebiegu wymiany komunikatów protokołu sieciowego SMTP, zaś moduły stosujące klasyfikowanie treści są używane jedynie do oznaczenia wiadomości jako potencjalnie niepożądanej, pozostawiając użytkownikowi możliwość zapoznania się z nią i wyłowienia przypadków błędnej kwalifikacji treści wiadomości, (ang.) false positives.

Przekazywanie poczty i uwierzytelnianie[edytuj | edytuj kod]

Jednym z pierwszych sposobów ograniczenia rozpowszechniania się spamu było wprowadzenie przez administratorów serwerów poczty ograniczeń w przekazywaniu poczty, (ang.) relay limiting. Wcześniej, w trybie domyślnym, serwery pocztowe przyjmowały pocztę od dowolnego nadawcy i przekazywały ją do dowolnego odbiorcy, co stanowiło tzw. open relay.

W związku z wykorzystywaniem tej właściwości przez nadawców spamu wprowadzono ograniczenie na przyjmowanie poczty:

  • przekazywanie poczty do dowolnego odbiorcy tylko poczty otrzymanej od określonych nadawców (zaufanych użytkowników)
  • odbiór poczty od dowolnego nadawcy tylko dla określonego kręgu odbiorców (np. użytkowników organizacji obsługiwanej przez dany serwer pocztowych).

Przyjmowanie poczty od zaufanych nadawców może być realizowane poprzez wprowadzenie procesu uwierzytelniania wiążącego się na przykład z podaniem hasła lub przez uznanie pewnego zakresu adresów IP jako zaufanego. Proces autoryzacji użytkownika wysyłającego pocztę został określony w RFC 2554 w roku 1999.

Przyjmowanie poczty tylko dla określonego kręgu odbiorców realizowane jest wprowadzenie list prawidłowych odbiorów, przez wskazanie nazw domen internetowych lub wszystkich adresów pocztowych, dla których przyjmowana jest poczta.

Rozróżnienie obu tych funkcji serwerów pocztowych znalazło odzwierciedlenie w standardach internetowych poprzez wprowadzenie w roku 1998 dodatkowego mechanizmu wprowadzenia poczty, (ang.) mail submission, w RFC 2476.

Wyzwanie/Odpowiedź[edytuj | edytuj kod]

Wyzwanie/odpowiedź, (ang.) challenge/response, to rodzaj filtru, który automatycznie generuje odpowiedź z wyzwaniem do nadawcy e-maila. W odpowiedzi nadawca jest proszony o wykonanie określonej czynności, aby potwierdzić wysłanie oryginalnej wiadomości, inaczej nie będzie ona dostarczona. Filtr stosowany jest wyłącznie do wyzwań nieznanych serwerów. Raz zaakceptowany nadawca nie przechodzi więcej prób i trafia na tzw. białą listę, tzn. listę zawierającą zaufanych nadawców.

Suma kontrolna[edytuj | edytuj kod]

Filtr, opierający się na sprawdzaniu sumy kontrolnej, wykorzystuje fakt, że wiadomości zawierające spam wysyłane są w ogromnej ilości i są niemal identyczne. Jego działanie polega na wycięciu wszystkich różnic między wiadomościami i redukowanie pozostałości do sumy kontrolnej, która jest następnie sprawdzana w bazie danych zawierającej sumy kontrolne wiadomości, oznaczonych przez użytkowników jako spam.

Pochodzenie[edytuj | edytuj kod]

Niektóre z serwerów pocztowych filtrują wiadomości na podstawie kraju, z którego owe wiadomości pochodzą. Blokują one połączenia z nadawcami z krajów, które są odpowiedzialne za dużą ilość spamu. Technika ta bazuje najczęściej na podstawie kraju pochodzenia określonego przez adres IP nadawcy.

Czarna lista DNS[edytuj | edytuj kod]

Czarne listy tworzone przy pomocy DNS są używane do heurystycznego filtrowania i blokowania spamu. Lista taka zawiera adresy IP nadawców spamu, na podstawie której serwery dokonują blokady pochodzących od nich wiadomości.

Sprawdzanie zgodności ze standardami[edytuj | edytuj kod]

Wymagania wymuszane przez stosowany w Internecie protokół do przesyłania poczty SMTP mogą zostać użyte do blokowania maili pochodzących ze źródeł niezgodnych ze standardami RFC. Wielu spamerów używa źle napisanego oprogramowania lub takiego, które nie może być zgodne ze standardami, ponieważ nie ma legalnej kontroli nad komputerem wysyłającym spam, dlatego możliwe jest skutecznie zablokowanie niepożądanych wiadomości poprzez ustawienie ograniczeń przez administratora.

Spam może być ograniczony również przez bardzo proste sprawdzenie przestrzegania przez nadawcę standardów adresowania. W wielu sytuacjach sprawdzenie poprawności domeny i adresu IP nadawcy może przyczynić się do zablokowania nawet do 25% przychodzącego spamu[potrzebne źródło].

Greylisting[edytuj | edytuj kod]

Mechanizm greylistingu odrzuca maile od nierozpoznanych nadawców, aby następnie zaakceptować je po ponownym wysłaniu ich przez serwer pocztowy nadawcy. W ten sposób wykrywa się serwery rozsyłające spam, które na ogół nie wysyłają wiadomości ponownie. Jest to metoda skuteczna przeciw serwerom działającym tymczasowo w celu uniemożliwienia ich identyfikacji i umieszczenia w DNSBL.

Greeting delay[edytuj | edytuj kod]

Greeting delay to technika polegająca na opóźnieniu pojawienia się powitalnego komunikatu, (ang.) banner, wysyłanego przez serwer SMTP do klienta. Klient ten jest zmuszony do czekania, aż do otrzymania komunikatu i dopiero wtedy zaczyna przesyłanie danych. Wiele aplikacji rozsyłających spam nie czeka na powitalny banner i wysyła dane tuż po uzyskaniu połączenia TCP, dlatego łatwo je wykryć i przerwać połączenie.

Analiza zawartości[edytuj | edytuj kod]

Analiza zawartości wiadomości opiera się na wyszukiwaniu słów kluczowych w temacie i treści maila.Słowa te są umieszczane wcześniej przez administratora w specjalnej liście, którą później wykorzystuje filtr. Filtr ten sprawdza także poprawność nagłówków mejli, w których są umieszczone informacje dotyczące wiadomości, często zmieniane przez spamerów. Główną jego wadą jest czasochłonność, która jest spowodowana koniecznością porównywaniu każdego słowa z listą, która może być bardzo długa. Bardzo często też klasyfikuje on maile nie będące spamem jako niepożądane wiadomości, jeżeli zawierają one słowo-klucz. Możliwe jest też zaimplementowanie mechanizmu porównującego odnośniki znajdujące się w treści maila z adresami URL, zaliczonymi do listy stron, reklamujących się za pomocą spamu. Jest to bardzo skuteczny sposób walki ze spamem.

Statystyczna analiza zawartości[edytuj | edytuj kod]

Statystyczna analiza zawartości to narzędzie wykorzystujące do działania naiwny klasyfikator Bayesa, który ma za zadanie przewidzenie czy dana wiadomość to spam. Wykorzystywany jest tu mechanizm uczenia maszynowego, który sprawia, że po pewnym czasie oznaczania przez użytkownika maili jako spam i nie-spam, filtr wykorzystuje te informacje przy analizie kolejnych wiadomości. Mechanizm ten jest bardzo skuteczny i szybko reaguje na zmiany w zawartości spamu bez interwencji administratora. Sprawdzeniu podlega też nagłówek maila, co dodatkowo poprawia jego skuteczność.

Analiza statystyczna dokonywana jest typowo na podstawie pojedynczych słów, dlatego spamerzy próbują ominąć ją za pomocą wypełnienia wiadomości losowo generowanymi poprawnymi słowami. Jednak zastosowanie analizy zestawień dwóch lub więcej słów uniemożliwia przejście przez filtr takich wiadomości. Przed rozpoczęciem analizy wszelkie znaki specjalne oraz niepotrzebne spacje zostają usunięte, aby zapobiec maskowaniu słów kluczowych.

Filtrowanie hybrydowe[edytuj | edytuj kod]

Filtrowanie hybrydowe polega na wykorzystywaniu różnych testów, za które przyznawane są punkty, w przypadku gdy wiadomość według danego testu rozpoznawana jest jako spam. Jeżeli suma punktów jest większa niż określona wielkość, wtedy mail jest oznaczany jako spam.