referat-spam

Икономически Университет – Варна
Център „Магистърско обучение”
Катедра „Информатика”

РЕФЕРАТ
По

Безопасност и защита

На тема

Spam - определение, класификация и
защита от spam

Разработил: Проверил:
Пламен Василев, доц. д-р. Стефан Дражев
ф.н. 9649, гр.56,
спец. Информатика

Spam – определение, класификация и защита от spam

Съдържание
Съдържание.......................................................................................2
1.Какво е СПАМ……………………………………………………………3
2.Класификация на спам съобщенията……………………………….7
3.Защита от SPAM………………………………………………..……..10
3.1СПАМ Филтри……………………………………………………...…12
3.2.Основните техники при филтрите по съдържание……..….14
3.3.Филтри според изпращача……………………………..………15
3.4.Начини за проверка на изпращача……………………..…….17
3.5.Анти-спам софтуер ……………………………...……….……..19
3.6. SpamAssassin за Red Hat Linux 9.0 ………..……..…………23
Литература………………………………..….…………………………..29

2 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика


1.Какво е СПАМ

Всички потребители на Internet навярно някога в своя живот са се
сблъсквали с понятие като СПАМ. Понятието "спам" се свързва с
изпращането чрез електронната поща на рекламни материали до
хора, които не желаят това, но и като генериране на никому ненужен
трафик. В Съединените Щати има точен юридически термин: нарича
се UCE (Unsolicited Commercial Email), в превод - непоискани
търговски съобщения по електронната поща, и се преследва от
Закона.

Спам в същност е запазена марка на американската компания за
консервирани храни "Hormel foods". Спам е известна марка
консервиран месен продукт, нещо като нашенското Русенско варено.
Консерви със "Спам" и до ден днешен се продават в Щатите и дори
са част от бойната готовност на Американската армия. Понятието
Спам обаче придобива смисъла, за който говорим, след един скеч
на Monty Python (група актьори от Великобритания), в който викинги
нападнали някаква гостилница, чието меню се състояло единствено
от "spam" (Spiced Pork and Ham), а келнерът ентусиазирано
обяснява: "имаме спам, спам и яйца, яйца и спам, спам-спам и яйца,
спам спам и спам...” и нищо не можело да се яде поотделно без
спам. От този момент, и в епохата на Интернет, понятието Спам
вече има един единствен смисъл - досадна реклама, изпращана
чрез електронна поща до хора, които не я желаят. Различните хора
имат различни схващания за това кое точно е спам, но като цяло за
всички такива съобщения има няколко общи черти:
комерсиално съдържание;
голям списък от получатели;
липсващи или подправени хедъри;



голямо количество съобщения, изпратени за кратък период от
време от едно и също място;
получателят не е съгласен да му се изпраща това съобщение;
използване на open relay сървъри за изпращане на
съобщението;
невалидни To и From хедъри.

Удачен е въпросът за техниката на спам атаките. Понеже целта
на спам съобщенията е да бъдат прочетени, първата задача пред
бъдещия злонамерен спамер е сдобиването с валидни e-mail
акаунти. И пред всеки пострадал клиент стои въпросът: “От къде
знаят адреса ми?”. Обикновено e-mail адресите не са тайна, т.е.
всеки може да се добере до тях, също както всеки може да се
добере до телефонният ви номер, ако е записан в някой телефонен
указател. Веднъж спамерът добере ли се до адреса ви, много е
вероятно да не се отървете скоро от спам. Всъщност не е толкова
трудно. Затова и "ловът" на адреси достига невероятни мащаби:
Спамерите налучкват новa възможност - вече newsgroup-ите
се използват единствено за "лов" на email адреси, а
съобщенията с реклама се пращат директно;
На сървъри се въртят spider програми, които обхождат
хаотично web страниците и търсят за символа "@", в
съмнителни IRC канали се предлагат изгодни "сделки", като
цените понякога са достигали до няколко цента за адрес . Има
практика, при която увеличаването на посещаемостта на някои
сайт се постига чрез наемането на собствени спамери - за
всеки се отваря по една входна страница, броят се
посещенията и се заплаща на click;



Интересен метод за лов на адреси са mass mail-и от типа на
този: адресиран от "Американската Асоциация за Борба с
Рака", която щяла да получи по три цента за всеки изпратен e-
mail адрес, заради едно малко и срадащо момиченце на име
Джесика ("моля, разпространете това съобщение наоколо").
Или пък "Ако това съобщение е достигнало до вас заради
грешка, моля ПРОСТО отговорете с REMOVE в полето
subject!" За съжаление, даже подобни абсолютно нелогични и
нелепи лъжи често имат ефект. Обикновено подобни отговори
имат точно обратния ефект - спамерът се убеждава, че
адресът е активен и продължава да го разменя или продава.
Това са така наречените "черни листи", излизането от тях
понякога е едно единствено - да си смените пощенската кутия;
Друг начин са сайтове, специално направени да привличат e-
mail адреси. Например, някои създава сайт, на който пише
“Спечелете 100 000 долара!!! Просто напишете вашия e-mail
адрес тук!”. Имало е случаи, когато големи сайтове продават
адресите на своите членове. Или пък други сайтове, в които е
отбелязана опцията за “Искате ли да получавате новини от
нашите партньори?” Разбира се хората са се погрижили тази
опция да е добре скрита - някъде в дъното на страницата, с
дребен шрифт... Ако отговорите “да”, т.е. не сте махнали
опцията, то вашия e-mail вече е продаден на спамер;
Всъщност най-разпространения начин за събиране на e-mail
адреси е “речниковото” търсене в e-mail сървъри на големи e-
mail хостингови компании като MSN, AOL или Hotmail.
Речниковата атака използва софтуер, който отваря връзка с
някой mail сървър и бързо пуска милиони e-mail адреси. Много
от тези адреси имат съвсем малки разлики, като


"jdoe1abc@hotmail.com" и “jdoe2def@hotmail.com”. След това
програмата записва кои адреси за “живи” и ги добавя в спам-
листите. Тези листи обикновено са препродавани на много
други спамери;
Адресът ни може да бъде налучкан и недотам случайно. Ако
участваме в web клубове, форуми, места за обяви и т.н. често
се налага там да се представим с някакво име или псевдоним.
И в много от случаите нашият прякор съвпада с e-mail адреса
ни. Ако във форум се прествяме като sasho, много лесно за
изпращача на спам да изпрати писма до sasho@yahoo.com,
sasho@hotmail.com, sasho @abv.bg и т.н. Все някъде може да
ни улучи. И ако не нас, то поне някой друг вместо нас, или нас
вместо друг;
Някои вируси използват личната ни адресна книга с адреси на
приятели и колеги, за да се самоизпратят под формата на
електронни писма от вас до колегите и приятелите ви. По
същия начин можем да получим нежелана поща, със или без
вирус, от наш познат или приятел, без той да ни ги е
изпращал;
Понякога познат или приятел може да ни изпрати съвсем
доброволно нежелана поща, неосъзнавайки какво прави. Той
може да си мисли например, че ни прави някакво абстрактно
добро.



2. Класификация на спам съобщенията

Според Елена Фокнър, юрист и интернет експерт, спамът се дели
на четири основни категории:

Изпращане на рекламно съобщение до дори и един интернет
потребител, който не е изрично пожелал това. В същност, ако
една глупост задръства пощата ви, надали за вас ще има
значение дали сте сам, или има още сто хиляди като вас;

Изпращане до потребители на рекламни съобщения и поща
със съдържание, различно от това, за което те са заявили че
искат да получават. Ако например дадете e-mail адреса си за
да получавате новини за нови книги, а вместо това получавате
и реклами за нови порно сайтове, това отново е спам;

Изпращане до потребители на рекламни съобщения и поща с
честота, различна от обявената. Ако например се абонирате
за месечна информация, а получавате рекламни съобщения
ежедневно, спамът отново е налице;

Включване на случайни хора в мейлинг листове, като им се
предоставя "възможността" да се отпишат. Това е най-
досадния и нагъл тип спам. Тъй като в Щатите, при условие че
на жертвата е предоставена възможност да се отпише от
списъка, спамът не се преследва, някои хора използват това
за да ви тормозят "законно". Те не само че най-нахално ви
включват в списъците на жертвите си, но и "законно" изискват
от вас да предприемате стъпки (т.е. да губите време и нерви)
за да се отписвате.



Спамът непрекъснато се развива и прилага много и най –
различни подходи само и само да достигне до потребителите в
глобалната мрежа. По долу са изброени само една малка част от
превъплъщенията на съвременният спам:
comment spam - Това са така наречените Спам блогове. Те са
легитимни блогове, създадени с цел да рекламират спам
сайтове. Това се прави с цел е да се увеличи рейтинга на спам
сайта в търсачките. Да генерират приходи чрез побликуване
на рекламни банери, за които се плаща при бр. кликвания. Да
предоставят евтино рекламно място за различни продукти. Да
генерират приходи чрез предлагане на членство. Спам
блоговете само и единствено хабят напразно дисково
пространство и ресурси в интернет;

спам от изображения - Появява се през 2006 година и
довежда до огромно увеличение на спама. Той разчита на това,
че колкото и интелигентен и да е компютъра, той все още не
вижда. Компютъра проглежда благодарение на Оптичното
Разпознаване на Символи (Optical Character Recognition). Това
разпознаване може много лесно да бъде победено с помощта
на най-различни объркващи техники като: неясен или
размазан текст, изграждане на изображение чрез наслагване
на няколко слоя, използване на случайно количество „цветет
шум” в изображението, използване на файлови разширения за
анимирани картинки или вълнообразни шрифтове;
спам-реклами - Това е друга често срещана спам технология.
Тя представлява комбинирана заплафа от няколко фази.
Първата фаза е създаването на лъжлив сайт, в който има
реклами на комерсиални продукти. Втора фаза е да се вдигне


рейтинга на тази страница в търсачките.Това най – често се
реализира с добавянето на често търсени думи от търсачките.
През 2006 г. 50%-80% от спама е от зомбирани машини;
IM spam (SPIM) – Това е така наречената моментална поща.
Тя се осъществява, чрез ползването от спамърите на много и
най – различни чат клиенти, които са най – бързо развиващата
се медия. Този факт е известен на спамърите, които
измислиха спам чрез чат клиенти. Повечето от чат клиентите
предоставят някакво количество информация за
потребителите, което обикновено е достъпно за всички.
Спамарите се възползват от тази информация за да изпращат
спам съобщения, насочени към определени групи,
организирани по – различни критерии;
”измамни бюлетини” – В днешно време информационните
бюлетини са спам за едни и важна информация за други.
Спамарите откриват нови начини да превърнат тази бюлетина
в спам. Един от начините е да се открадне легитимен бюлетин
и дадено изображение да се замени със спам такова. Спам
бюлетинът изглежда напълно нормално, той е на организация,
която познавате или сте абониран за нея, но когато се отвори
се вижда спамът. Не всички спам бюлетини съдържат спам
изображения, в някои например е подменен линкът най –
отдолу на бюлетина или статията, който изглежда като линк
към страницата на издателя, а всъщност ви отвежда към сайт
със спам реклама.



3.Защита от SPAM
Преди да разгледаме методите за защита от SPAM е удачно
първо да отделим внимание на метода за осъществяване на Мail
услугата.
Тя e една от първите услуги в интернет. В днешно време
съвсем сериозно може да се твърди, че наличието на достъп до
електронната поща е услуга, конкурентна на телефонните услуги. В
голяма част от случаите, най-вече в университетските среди поради
финансови съображения, електронната поща е предпочитана пред
телефона за обмен на информация на големи разстояния. Освен
това времето за получаване е доста добро – не повече от час до
която и да е точка на света, а в рамките на една държава за
десетина секунди. Има и още една причина това да е най-
използваната услуга – освен че тя е най-достъпна за възприемане и
обяснение, тя позволява обмен на различна по вид и тип
информация. Потребителят може да изпраща, получава, архивира и
класифицира или препраща документи от всякакъв тип до даден
адрес в интернет. За целта са създадени подходящи портоколи и
механизъм за маршрутизация на съобщенията от подателя до
пощенската кутия на получателя.
За мрежа, чийто базов портокол е TCP/IP, независимо дали
става дума за Internet или Intranet схемата е една и съща. За
изпращане на едно съобщение от локална машина се използва
порткола SMTP (Simple Mail Transfer Protocol) с помощта на
инсталираното Mail приложение (Mail клиент). Пътят на
съобщението минава през SMTP сървър и от там по същия
протокол в глобалната мрежа. Пристигащите съобщения се приемат
от POP (Post Office Protocol) сървър, където е разкрита пощенската
кутия за съответния кореспондент. Достъп до пристигащите



съобщения осъществява съответното Mail приложение от локалната
машина на кореспондента чрез извличането им от POP сървъра.
В началото, много сървъри са били онлайн само през нощта за
няколко часа. И пращането и получаването на е-mail не винаги е
било лесно. Решението е да се използва трети сървър, който през
цялото време да е "online". Този сървър също е и backup сървър. И
оттогава вече не е толкова важно да си в точното време онлайн за
да вземеш еmail-а. Целият трафик преминава през третия сървър.
Това се нарича Relay. Обикновено за да се използва Relay е нужна
аутентикация. Не би трябвало всеки да има възможност да изпраща
поща от своя име през Mailserver. За съжаление някои Mailserver-и
са конфигурирани като “open relay”, което означава, че всеки може
да изпраща поща през него – даже без потребителско име и парола.
И тъкмо това обстоятелство удовлетворява нуждите на спамера.
Той праща спам-пощата до “open relay” сървъра като използва
фалшиво име и e-mail адрес. За получателя изглежда сякаш
изпращача има mail акаунт на сървъра. Ако не използвате пълния e-
mail адрес, някои “relay” сървъри автоматично го допълват.
(примерно ако адреса е просто “A” сървъра го допълва до
“A@open_relay”). Обикновено всеки сървър добавя свои собствени
хедъри на “received” и ”send to”, но някои просто ги презаписват.
Така не може да се разбере от къде е минало писмото преди това и
от къде е било изпратено и ако се опитаме да отговорим, най-
вероятно ще получим съобщение че няма такъв потребител на този
сървър. Този метод работи отлично с Hotmail.



3.1.СПАМ Филтри
Спамът е постоянно променящ се проблем, които изисква
непрекъснато динамично изменение на техниките за борба с него.
Има много техники за класифициране на съобщенията. Те могат да
бъдат проверени за известни и често срещани в спама думи, за
известни спамерски адреси или дали не са препратени от open relay
сървър. Хедърът, както и тялото на съобщението се проверяват за
всяка една от споменатите характеристики. Друг начин е всички
съобщения, които идват от непознат адрес, да бъдат определяни
като спам. Още един начин е, те да се сравняват с получени на
други сървъри спам съобщения. Най-добрата технология в момента
за борба със спама са филтрите за спам. Съществуват много на
брой и различни по вид филтри, но никой от тях не е 100%
ефективен.
Спам филтърът е програма, която е web базирана, сървър
базирана или локално инсталирана и предотвратява спам e-mail да
бъде свален на вашият компютър. Спам филтъра работи върху база
наречена правила. Програмата за борба със спама проучва вашата
входяща поща и я сравнява със множество от дефинирани правила.
Ако mail-а не съответства на тези правила, тогава той се изтрива
или изолира за преглеждане наново.
Повечето от днешните e-mail приложения пристигат със базов спам
филтър, който ви позволява да блокирате поща от специфични e-
mail адреси. Някой по-усложнен e-mail софтуер ви позволява да
конфигурирате правила които се отнасят само до този софтуер.
Голяма част от спам филтрите, които са в момента на пазара се
налага да бъдат инсталирани на твърдия ви диск. Има раздвижване
в посока спам филтри, които вършат всичката работа онлайн преди
дори да достигне компютъра ви.



Използвайки сложни алгоритми, спам филтъра сканира e-mail
съобщения за ключови фрази и характеристики, които са били
идентифицирани като “спам-определящи”. За всяка фраза и
характиристика разпозната от филтъра, на e-mail съобщението се
дава точка. След като съобщението е напълно анализирано,
точките се сумират в крайно число. Това число определя какво се
случва със съобщението по-нататък.

Спам филтъра има много мощни свойства и осигурява
невероятен контрол относно това как да се справя със спама във
вашия e-mail акаунт. Можете да включвате и изключвате филтъра.
Ако го изключите, всякакви email-и, изпратени до вас ще бъдат
доставени във входящата ви кутия. Спам филтрите работят по
точкова система. Всички входящи съобщения се анализират, за да
бъде определено доколко съобщението е спам. За всеки тест на
който съобщението “се провали” , му се дава точка. Накрая точките
са сумират и според тях са установени две нива на контрол:

Първото ниво определя броя точки необходими да се маркира
съобщение като спам. Добре е, това ниво да не е под 5 точки;
Второто ниво определя броя точки необходими да се изтрие
съобщение. Ако съобщението бъде изтрито, вие изобщо няма
да го видите. Точките за това ниво е добре да не са под 7.



3.2.Основните техники при филтрите по съдържание
Филтриране по списъци от думи – използват се статично
генерирани списъци, които съдържат думи, чието наличие е
предпоставка, съобщението да е спам.
Филтриране на HTML тагове – често тактика на спамерите е
да объркват филтрите като “скриват” съдържанието на
съобщенията си в невалидни HTML тагове и коментари. Такъв вид
съобщение изглежда напълно нормално за читателя, но могат
сериозно да заблудят филтъра. Затова добър подход е филтърът
да изважда видимото съдържание от html-a и тогава да извършва
какъвто и да било друг вид филтриране.
Регулярни изрази – в комбинация със списъците от думи те
дават наистина добра възможност за блокиране на спам. Например
съобщение, което в Subject-a си има главни букви, малки букви,
интервали, точки, тирета и т.н. “D i F.F e R E nT”.
Статистически анализ – думите се оценяват с
предварително зададен брой точки, анализът изразява се в оценка
на съобщението, получена от точни съвпадения с думи в писмото с
думи, за които съръврът има информация.
Търсене на URL-та, които са включени в съдържанието на е-
mail-a и индикират спам – това често са адреси на рекламни или
порнографски сайтове. Най-често спам съобщенията са кратки, не
повече от няколко килобайта, които са напълно достатъчни за един
линк.
Филтри, отнасящи се до езика, на който е написано
съобщението – съобщения на чужд език може автоматично да се
приемат за спам и да се отхвърлят. - филтри, проверяващи дали
хедърите на e-mail-а са съвместими с RFC стандартите.



3.3.Филтри според изпращача
RBL - (Realtime Blackhole Lists) са списъци от IP адреси, които са
публикувани от RBL доставчик с цел да информира своите абонати,
че дадени хостове са източници на спам или на open relay.
Съдържанието на такъв списък се публикува и е достъпно онлайн.
Всеки mail, който идва от домейн в този списък, е възможно да бъде
веднага отхвърлян. Този подход е ефективен и до голяма степен
може да намали количеството съобщения, който трябва да се
обработват по-нататък от филтрите по съдържание.Това са някои
адреси, които поддържат RBL:
http://www.spamhaus.org
http://www.mail-abuse.org/rbl/
http://spamcop.net/
http://www.ordb.org/
Черни списъци – локален списък от имена/адреси на домейни,
които са често срещани като адреси, от които се изпращат спам
съобщения. Ако освен тази, се поддържат и други политики за
филтриране на спам, и адресът на изпращача на съобщението бъде
открит в черния списък, то това дава значително по-голяма
сигурност при окончателното определяне дали писмото е или не е
спам, както и при вземане на решение за последващите действия;
“Кандидатите” за черния списък се определят, като се вземе под
внимание адресът на изпращача в SMTP хедъра, в комбинация с
FROM клаузата на писмото. Често имената на домейните в двете
полета са различни. Спамерите обикновено използват временни
акаунти, което пък ги прави неоткриваеми. С помощта на черните
списъци може още на ниво сървър да бъдат отхвърлени всички
пристигащи съобщения от хост или мрежа. Вероятно е, това да се
окаже много полезно, когато, когато нашата мейл система получава


значителни количества спам от някоя конкретна мрежа. Често по-
бързо и по-лесно е да се блокира самата SMTP връзка, отколкото се
настройва firewall-ът да прави това. При вземане на такова решение
трябва да се има предвид, че никакви съобщения от тази мрежа
няма да могат да достигат до нас. Ако съществуват много МХ
записи в DNS-а на нашия домейн, то трябва да сме сигурни, че
всеки от тези сървърите, стоящи зад записите, отхвърля
съобщенията от гореописаните мрежа или хост. В противен случай
отхвърлените съобщения ще бъдат приети от алтернативните mail
сървъри.
Бели списъци - Белият списък е списък от имена на домейни
или на индивидуални адреси, към които няма да се прилагат анти-
спам политиките, когато съответния домейн/адрес бъде срещнат
като адрес на изпращач. Ако анти-спам политиките често спират и
не-спам съобщения, за които е особено важно да бъдат получени,
тогава е добре да се използва бял списък. Използването на бял
списък има един значителен недостатък – адресите на изпращача
лесно могат да бъдат spoof-нати в SMTP съобщението. Така
ефективно могат да се заобикалят анти-спам политики.
Списъци с адреси за проверка на получателя - Поддръжката
им позволяват да се проверяват входящите съобщения спрямо
валидни или невалидни получатели. Не позволява на спамерите да
извършват dictionary атаки за откриване на валидни адреси.
Големите ISP (интернет доставчици) опитват да блокират
множество email-и, които имат еднакви заглавия или текстове. Това
обаче има нежелания ефект, че се блокират email новините, така че
ИД направиха “бели списъци”, за да идентифицират легитимните
изпращачи на новини. Това спамерите преодоляват като вмъкват



различни случайни символи във всеки ред от заглавието и от текста
на съобщението.

3.4.Начини за проверка на изпращача
Една от основните причини спамът да се превърне в толкова
голям проблем е, че често използването на SMTP (за разлика от
POP3) протокола не изисква изпращачът да се аутентикира. Това
пък от своя страна много улеснява изпращането на съобщение от
името на друг човек. Възможно е такъв човек да или пък да не
съществува, както е възможно е-mail адресът или да е валиден или
да е невалиден.
RDNS (Reverse DNS) - заявката може да бъде използвана за
да бъде открито името на хоста, съответстващо на определен IP
адрес. Тази възможност може да бъде използвана за намаляване
на количеството нежелани писма. Правят се следните проверки:
прави се RDNS заявка за IP-то на SMTP клиента, за да се
провери дали името на хоста може да бъде намерено;
прави се RDNS заявка за IP адреса на SMTP клиента, за да се
провери дали той съответства на името на домейна на SMTP
изпращача.
В първия случай е много възможно, конекцията да е направена от
спамер, ако той не може да бъде намерен по DNS. На практика
обаче този подход не работи добре, защото много организации
използват различни хостове за изпращане и приемане на поща.
Информацията за хостовете, които приемат поща, е публикувана в
DNS, затова проверките за МХ записите ще бъдат успешни, но не е
необходимо да се публикуват записи за изпращащите сървъри.
Хубавото във втория случай е, че когато адресът на изпращача не
съвпада с SMTP името на клиента е много вероятно съобщението


да има подправен адрес на изпращача, което от своя страна е
характерно за спама. Целта е да се направи опит да се установи, че
изпращачът поне изпраща от домейн, за чийто потребител се
представя. Това отново не е особено добра техника, защото някои
домейни изпращат пощата си през сървъри на други домейни (през
доставчик). Проблеми, свързани със закъснения по мрежите и
неправилно конфигурирани мрежи или сървъри също може да стане
причина за отхвърляне на истински съобщения от филтъра. При
своята работа всеки филтър трябва да има определен критерий, за
да определя съобщения като спам или пък не-спам (наричат ги
понякога ham). Случва се съобщения, които са ham да имат по-
висок индекс за спам, отколкото истински спам съобщения, както и
обратното. Неправилно класифицирани като спам съобщения се
наричат false positives, а пропуснатите спам съобщения – miss.
Теоретично процентът и видът на грешно разпознатите съобщения
може да бъде променен по два начина. По-лесният начин е да се
променят критериите. Например, преди съобщението да бъде
определено като спам, то трябва са съдържа не 10, а 11 или 12
“подозрителни” думи. Така типът на грешките се променя, но като
цяло може да се постигне и намаляване на броя на грешките. Има
лесен начин да се постигне 100% откриване на спам съобщенията,
просто всички съобщения да бъдат класифицирани като спам. Това
обаче води до нежелан страничен ефект - процентът на false
positive- ите също ще е 100.
Позволяване на потребителя да вземе решение - Една
добра практика е понякога, в допълнение в всички сървър базирани
техники за защита от спам, в зависимост от съдържанието на
писмото организацията да може да избере различни решения. В
случаите, когато съобщението попада в "сивата зона", получателят



трябва да има възможността да вземе крайното решение дали
съобщението е спам. Разбира се, това не трябва да се случва в
100% от случаите, но всичко зависи тук от самата система.

3.5.Анти-спам софтуер
Има разнообразни начини да се спре спама. За съжаление няма
нито един перфектен спам-убиец (spam killer) или филтриращ
инструмент който да ни осигури защита от спам. Станало е като
игра на котка и мишка за спамерите (spammers) и останалата част
от нас.
Някои предпочитат server-side email филтри, които хващат спама
преди той да достигне вашата пощенска кутия. Единствения спорен
въпрос относно тези спам прегради (spam blockers) е, че самите вие
(като отделен човек) не можете да ги настройвате и обикновено не
може да видите дали спам преградата спира и email-и, които не са
спам. Задължение на вашия инернет доставчик или мрежов
администратор е да уреди този въпрос.
Втори вариант е да имате софтуеър, който да се изпълнява на
вашия домашен компютър и да помага с филтриранането на спама.
По този начин можете да се уверите че филтъра блокира истинския
спам и не важните email-и. Недостатък е че все още трябва да се
свали цялата поща.
Трети вариант е да се използва third-party системa която си служи
с challange система. В основни линии, всеки път когато някой ви
прати mail, той трябва да отиде на специален website (web
страница) и да потвърди че ви познава. Това е чудесен начина да се
спрат спамерите. Можете също да го нагласите да позволява на
всички от address book-a (книгата с адреси) да ви праща email.



Spam Arrest
Лесно е да се започне с него. Няма софтуер за инсталиране и
услугата започва да работи за вас незабавно. Spam Arrest работи с
какъв да е POP3 mail server (почти всички ISP поддържат такъв).
Поддръжка за MSN, Hotmail, и AOL ще има скоро. Как работи той:
Spam Arrest се свързва с вашия сървър (server) на всеки две минути,
премествайки вашите нови email-и на Spam Arrest сървъра. Новите
email-и се обработват от Spam Arrest системата. Съобщения от
потвърдили (verified) изпращачи и mailing list-и се препращат към
inbox-а на Spam Arrest. Съобщения от непотвърдили (unverified)
изпращачи остават задържани, в очакване на потвърждение
(verification). След потвърждение, съобщението се доставя до вашия
Spam Arrest inbox. Непотвърдено писмо можете да прегледате на
website-а по всяко време.

SpamWeed Anti-Spam Filter
Този anti spam филтър заимства статистическа филтрираща
технология и изчистени алгоритми. Неговия вграден филтър
механизъм блокира спама и изолира вирусите преди те да се
доберат до потребителския inbox. Само-обучаващата се способност
подсигурява че неговата база знания е винаги up-to-date
(осъвременена) без значение как се променя спама. SpamWeed
поддържа всички POP3 email клиенти. Осигурява whitelist и дава
рапорт за получения junk mail за някакъв период от време.
Изолираните съобщения могат също да бъдат възстановени ако е
необходимо.



Spam Inspector - Anti Spam Filter за Outlook Express
Тази програма спира нежеланите email-и от влизане във
вашата Outlook Express кутия. Той се конфигурира автоматично
след като се инсталира и ви позволява да управлявате всички ваши
identities заедно или независимо. Той също се update-ва всеки път
когато се стартира. Можете да създадете block-list-и (за блокиране
на всичко идващо от добавени в този списък) и safe-list-и за
максимална защита от нежелани комерсиални email-и и subscription
(абонаментни списъци) list-и. Тази програма осигурява също
множество изолиращи действия като триене на mail, поставяне на
флагове на mail-ите и преместване на mail в специална папка.

CoffeeCup Spam Blocker 3.0
Към CoffeeCup Software са включени Phone и Live Chat support,
и Безплатни Upgrades до живот. С повече от 8,000,000 потребители
в 79 страни по целия свят, CoffeeCup е от най-сваляния
(downloaded) software в Internet. Те имат също над 20 други software-
ни програми за създаване на website-ове и много други. CoffeeCup
предлага също Web hosting и Search Engine Submission
(предоставяне на машини за търсене). CoffeeCup има всичко за
всеки.

iHateSpam
Този инструмент филтрира спама работейки вътре във вашата
e-mail програма. Няма отделна програма която да се стартира и не е
нужна техническа информация за да се настрои. Версии на Outlook
Express и Outlook versions са подходящи да работят с нея.



SpamAssassin!
SpamAssassin е mail филтър който се опитва да идентифицира
спам използвайки текстов анализ и няколко интернет-базирани
актуални черни списъци.
Употребявайки своята база от правила, той използва широка
област от евриистични тестове върху mail headers (заглавия) и
текста на тялото за идентифициране на спам, също известен като
нежелан комерсиален email.
Веднъж идентифициран, mail-а може да бъде избираемо
маркиран като спам за по-нататъшно филтриране като се използва
MUA (mail user-agent) приложението на потребителя.
SpamAssassin обикновено успешно прави разлика между спам
и не-спам в около 95% и 99% от случаите, в зависимост какъв мейл
си получил. Craig Hughes допринася със "spamd", демонизирана
версия на SpamAssassin, която върви непроменимо. Използването
на "spamc", олекотен С клиент, позволява на MTA (mail transfer
agent) да обработва големи обеми от поща през SpamAssassin без
да имаме fork/exec с perl интерпретатор за всеки един.
За онези sites които са пуснали qmail като ваш MTA,
директорията "qmail" съдържа два начина да интегрира spamc с
вашата система.
Ian R. Justman е допринесъл със "spamproxy", спам-
филтриращ SMTP proxy Сървър. SpamAssassin е напълно
преработен с ново, значително подобрено множество от правила,
различен код модел и инсталация, и да се надяваме че ще бъде
лесно да се адаптира за различни приложения.



3.6. SpamAssassin за Red Hat Linux 9.0
Следващия текскт предполага, че вече сте инсталирали Red
Hat Linux 9.0 и че сте избрали "Install Everything" (както би направил
всеки обичащ Linux). Също допуска, че успешно сте конфигурирали
Sendmail да доставя вашата поща локално. И също предполага, че
не сте влезли като root и не сте пълен глупак.

Стъпка 1: Активирайте spamassassin услугата.

В конзолата напишете:

/sbin/services spamassassin start

за да активирате spamd, SpamAssassin демона (daemon).
Използвайте gnome-config-services за да се подсигурите, че той ще
се появи автоматично следващия път като рестартирате. Не е
строго необходимо да стартирате SpamAssassin като услуга това се
прави само за производителност. Една алтернатива е предложена в
Стъпка 2 .

Стъпка 2: Конфигуриране глобалното поведение на Procmail.

Procmail е програма, която Sendmail използва да достави
локалната поща mail. Тази опрерация е управлявана глобално от
конфигурационния файл /etc/procmailrc and per-user by ~/.procmailrc.
Ще разгледаме глобалното конфигуриране първо.

По подразбиране, няма /etc/procmailrc на прясно инсталирания
Red Hat Linux 9.0. Има нужда да се създаде такъв. (Номерата на
редовете не са част от файла, са за ориентиране)

1 # изпращане на поща през SpamAssassin
2 :0 fw
3 * < 256000



4 | /usr/bin/spamc -f

Ред 1 е, разбира се, коментар. Ред 2, започвайки със двоеточие-
нула, отбелязва началото на това, на което се казва "Procmail
recipe." Recipe е условие, следвано от действие. За повече
информация относно Procmail recipe, погледнете: man procmailrc. 'fw'
дава знак на Procmail, че това recipe е филтър, което означава, че
то може да модифицира оригиналното email съобщение. Ред 3,
започвайки със звездичка, е условие. То казва на Procmail, че това
recipe се прилага само ако съобщението е по-малко от 256,000
байта като размер. Тъй като 99% от всичкия спам е по-малък от
това, такова залагане е надеждно. Не искаме да забатачим нашата
система карайки я да проверява съобщения които може би не са
спам. Ред 4 казва на Procmail да филтрира текстовите съобщения
през SpamAssassin. С други думи, оригиналното съобщение се
замества с изхода от действието на SpamAssassin. Ако
SpamAssassin определи че съобщението е спам, subject (относно)
реда ще бъде пренаписан с включен в него спам таг. (Други, по-
малко видими промени ще бъдат направени на съобщението)
spamc е дубликат на spamd. Първият се пуска като клиент, докато
вторият се пуска като сървър. Вярва се, че тази конфигурация е
най-ефикасния начин да се стартира SpamAssassin в повечето
случаи. Ако предпочитате да стартирате SpamAssassin в stand-alone
вид, винаги можете да спрете spamd услугата като замените
филтъра в реда на procmailrc със:

| /usr/bin/spamassassin

Но не е препоръчително.

Флагът '-f' в ред 4 инструктир spamc да върне оригиналното
съобщение ако не може да се свърже със spamd. Пова подсигурява,



че съобщението ще бъде доставено подразбиране ако не може да
бъде сканирано за спам.

Стъпка 3: Конфигуриране поведението на per-user Procmail.

След стъпка 2, всички входящи email-и автоматично се проверяват
за спам и им се слага флаг ако се предполага, че са такива. За
много sendmail администратори това поведение е достатъчно. Ако
все пак, искате да отхвърлите (bounce) спама със недружелюбно
съобщение за грешка, нужна ви е стъпка 3.

Тази стъпка се препоръчва по две причини:

1. Съобщението за грешка ще накара някои спамери да
премахнат email адреса на получателя от техния спам списък.
Като резултат, те никога няма да ви спамват отново. Освен
това, те може да премахнат email адреса на получателя преди
да са продали списъка си на някой другe. Резултата от това
ще е по-малко спам за повече време, освобождаване на
ресурсите на системата ви.

2. Получателите на спам-маркиран email могат да придобият
навика да трият маркиран спам без действително да го
проверяват. Това означава че ако има фалшиво открит спам,
получателят никога няма да го отвори и законния изпращач
никога няма да се усъмни, че съобщението не е било получено.
От друга страна ако отхвърлите съобщение изпращача ще
получи известие и така ще може да предприеме някакво
действие.

Ета как можете да нагласите Procmail. Това е файлът "~/.procmailrc":



1: MAILDIR=$HOME/mail
2:
3: :0 H
4: * ^X-Spam-Status:.*Yes
5: {
6: EXITCODE=67
7: :0:
8: spam
9: }

Ред 1 казва на Procmail къде държите вашите mail папки. В случая,
те се пазят в директория "mail" в home директорията.

Ред 3 отбелязва старта на recipe-то. 'H' индикира че теста на ред 4
трябва да се направи само на заглавието на email-а, а не и на
тялото, където е текста, евентуално. (Това е за ефективност.)

Ред 4, условие на recipe-то определя дали SpamAssassin е
маркирал входящото събщение като спам. Това е регулярен израз,
който търси за mail header "X-Spam-Status" с подстринг "Yes" някъде
в значението на заглавието.

Редове 5 до 9 са действия. Скобите са необходими и маркират
тяхното съдържание като "съставно действие" (понеже всяко recipe
позволява само едно действие

Ред 6, който се изпълнява само когато спам е открит, казва на
Procmail да завърши с код за грешка 67. Това показва на Sendmail
че потребителя не съществува. И така Sendmail ще върне спама,
създавайки илюзия на изпращача, че никога не е доставено.

В Procmail, съставните действия могат да съдържат допълнителни
recipe. Ред 7 стартира едно такова "recipe гнездо". Двоеточието и
нулата казват на Procmail да заключи файла за доставки преди да


се достави съобщението. Това ще избегни проблеми, ако два спама
пристигнат едновременно.

Ред 8 е действието за вътрешния recipe. Забележете,че в този
recipe, няма условие (няма ред започващ със звездичка).
Действието казва на Procmail да достави съобщението в папка
наречена "spam" (която, според ред 1, е в ~/mail).

Сега вече, от гледна точка на изпращача, съобщението
съобщението както изглежда е било отхвърлено. Въпреки че
всъщност е било доставено, то се намира в папката за спам на
потребителя, което е много по-добро място от кутията за съобщения.
А може спам съобщенията да се записват в /dev/null, откъдето
никакви данни не могат да се възстановят.

Ако не искате да филтрирате спам за всички потребители, а вместо
това желаете да оставите всеки сам да направи избор, можете да
пропуснете стъпка 2 и да сложите recipe от стъпка 2 точно над recipe
описан в стъпка 3.

Стъпка 4: Конфигуриране на DNS черни списъци

Ако искате да бъдете дори по-настойчив с вашия спам филтър,
можете да конфигурирате Sendmail напълно да игнорира изпращачи,
които имат лоша репутация.

Редактирайте файла /etc/mail/sendmail.mc, вмъкнете следните
редове някода в FEATURE секцията на файла:

dnl #
dnl # Here are Sharky's favorite DNSBL definitions.
dnl #
FEATURE(`dnsbl', `list.dsbl.org')dnl
FEATURE(`dnsbl', `bl.spamcop.net')dnl



FEATURE(`dnsbl', `sbl.spamhaus.org')dnl
FEATURE(`dnsbl', `blackholes.mail-abuse.org')dnl
FEATURE(`dnsbl', `relays.mail-abuse.org')dnl

Запишете файла и изпълнете следните команди:

cd /etc/mail
make all
/sbin/service sendmail restart
От този момент всеки път, когато SMTP клиент се свърже към
Sendmail, Sendmail ще се обърне към черния списък където сте
добавили репупация на клиентите и ще провери. Ако клиента е
записан като имащ неясна репутация Sendmail ще прекъсне
връзката с него.



Литература

1. http://isoc.org
2. http://bgpro.com
3. http://en.wikipedia.org/wiki/Spam_(electronic)
4. http://o.bulport.com/?item=51
5. http://spamassassin.apache.org/


referat-spam

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (14)

Similar to referat-spam

Similar to referat-spam (20)

referat-spam