Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

referat-spam

4,120 views

Published on

Published in: Technology
  • Login to see the comments

  • Be the first to like this

referat-spam

  1. 1. Икономически Университет – Варна Център „Магистърско обучение” Катедра „Информатика” РЕФЕРАТ По Безопасност и защита На темаSpam - определение, класификация и защита от spamРазработил: Проверил:Пламен Василев, доц. д-р. Стефан Дражевф.н. 9649, гр.56,спец. Информатика
  2. 2. Spam – определение, класификация и защита от spam СъдържаниеСъдържание.......................................................................................21.Какво е СПАМ……………………………………………………………32.Класификация на спам съобщенията……………………………….73.Защита от SPAM………………………………………………..……..103.1СПАМ Филтри……………………………………………………...…12 3.2.Основните техники при филтрите по съдържание……..….14 3.3.Филтри според изпращача……………………………..………15 3.4.Начини за проверка на изпращача……………………..…….17 3.5.Анти-спам софтуер ……………………………...……….……..19 3.6. SpamAssassin за Red Hat Linux 9.0 ………..……..…………23Литература………………………………..….…………………………..29 2 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  3. 3. Spam – определение, класификация и защита от spam1.Какво е СПАМ Всички потребители на Internet навярно някога в своя живот са сесблъсквали с понятие като СПАМ. Понятието "спам" се свързва сизпращането чрез електронната поща на рекламни материали дохора, които не желаят това, но и като генериране на никому ненужентрафик. В Съединените Щати има точен юридически термин: наричасе UCE (Unsolicited Commercial Email), в превод - непоисканитърговски съобщения по електронната поща, и се преследва отЗакона. Спам в същност е запазена марка на американската компания законсервирани храни "Hormel foods". Спам е известна маркаконсервиран месен продукт, нещо като нашенското Русенско варено.Консерви със "Спам" и до ден днешен се продават в Щатите и дориса част от бойната готовност на Американската армия. ПонятиетоСпам обаче придобива смисъла, за който говорим, след един скечна Monty Python (група актьори от Великобритания), в който викингинападнали някаква гостилница, чието меню се състояло единственоот "spam" (Spiced Pork and Ham), а келнерът ентусиазиранообяснява: "имаме спам, спам и яйца, яйца и спам, спам-спам и яйца,спам спам и спам...” и нищо не можело да се яде поотделно безспам. От този момент, и в епохата на Интернет, понятието Спамвече има един единствен смисъл - досадна реклама, изпращаначрез електронна поща до хора, които не я желаят. Различните хораимат различни схващания за това кое точно е спам, но като цяло завсички такива съобщения има няколко общи черти: комерсиално съдържание; голям списък от получатели; липсващи или подправени хедъри; 3 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  4. 4. Spam – определение, класификация и защита от spam голямо количество съобщения, изпратени за кратък период от време от едно и също място; получателят не е съгласен да му се изпраща това съобщение; използване на open relay сървъри за изпращане на съобщението; невалидни To и From хедъри. Удачен е въпросът за техниката на спам атаките. Понеже целтана спам съобщенията е да бъдат прочетени, първата задача предбъдещия злонамерен спамер е сдобиването с валидни e-mailакаунти. И пред всеки пострадал клиент стои въпросът: “От къдезнаят адреса ми?”. Обикновено e-mail адресите не са тайна, т.е.всеки може да се добере до тях, също както всеки може да седобере до телефонният ви номер, ако е записан в някой телефоненуказател. Веднъж спамерът добере ли се до адреса ви, много евероятно да не се отървете скоро от спам. Всъщност не е толковатрудно. Затова и "ловът" на адреси достига невероятни мащаби: Спамерите налучкват новa възможност - вече newsgroup-ите се използват единствено за "лов" на email адреси, а съобщенията с реклама се пращат директно; На сървъри се въртят spider програми, които обхождат хаотично web страниците и търсят за символа "@", в съмнителни IRC канали се предлагат изгодни "сделки", като цените понякога са достигали до няколко цента за адрес . Има практика, при която увеличаването на посещаемостта на някои сайт се постига чрез наемането на собствени спамери - за всеки се отваря по една входна страница, броят се посещенията и се заплаща на click; 4 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  5. 5. Spam – определение, класификация и защита от spamИнтересен метод за лов на адреси са mass mail-и от типа натози: адресиран от "Американската Асоциация за Борба сРака", която щяла да получи по три цента за всеки изпратен e-mail адрес, заради едно малко и срадащо момиченце на имеДжесика ("моля, разпространете това съобщение наоколо").Или пък "Ако това съобщение е достигнало до вас зарадигрешка, моля ПРОСТО отговорете с REMOVE в полетоsubject!" За съжаление, даже подобни абсолютно нелогични инелепи лъжи често имат ефект. Обикновено подобни отговориимат точно обратния ефект - спамерът се убеждава, чеадресът е активен и продължава да го разменя или продава.Това са така наречените "черни листи", излизането от тяхпонякога е едно единствено - да си смените пощенската кутия;Друг начин са сайтове, специално направени да привличат e-mail адреси. Например, някои създава сайт, на който пише“Спечелете 100 000 долара!!! Просто напишете вашия e-mailадрес тук!”. Имало е случаи, когато големи сайтове продаватадресите на своите членове. Или пък други сайтове, в които еотбелязана опцията за “Искате ли да получавате новини отнашите партньори?” Разбира се хората са се погрижили тазиопция да е добре скрита - някъде в дъното на страницата, сдребен шрифт... Ако отговорите “да”, т.е. не сте махналиопцията, то вашия e-mail вече е продаден на спамер;Всъщност най-разпространения начин за събиране на e-mailадреси е “речниковото” търсене в e-mail сървъри на големи e-mail хостингови компании като MSN, AOL или Hotmail.Речниковата атака използва софтуер, който отваря връзка снякой mail сървър и бързо пуска милиони e-mail адреси. Многоот тези адреси имат съвсем малки разлики, като5 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  6. 6. Spam – определение, класификация и защита от spam"jdoe1abc@hotmail.com" и “jdoe2def@hotmail.com”. След товапрограмата записва кои адреси за “живи” и ги добавя в спам-листите. Тези листи обикновено са препродавани на многодруги спамери;Адресът ни може да бъде налучкан и недотам случайно. Акоучастваме в web клубове, форуми, места за обяви и т.н. честосе налага там да се представим с някакво име или псевдоним.И в много от случаите нашият прякор съвпада с e-mail адресани. Ако във форум се прествяме като sasho, много лесно заизпращача на спам да изпрати писма до sasho@yahoo.com,sasho@hotmail.com, sasho @abv.bg и т.н. Все някъде може дани улучи. И ако не нас, то поне някой друг вместо нас, или насвместо друг;Някои вируси използват личната ни адресна книга с адреси наприятели и колеги, за да се самоизпратят под формата наелектронни писма от вас до колегите и приятелите ви. Посъщия начин можем да получим нежелана поща, със или безвирус, от наш познат или приятел, без той да ни ги еизпращал;Понякога познат или приятел може да ни изпрати съвсемдоброволно нежелана поща, неосъзнавайки какво прави. Тойможе да си мисли например, че ни прави някакво абстрактнодобро.6 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  7. 7. Spam – определение, класификация и защита от spam2. Класификация на спам съобщенията Според Елена Фокнър, юрист и интернет експерт, спамът се делина четири основни категории: Изпращане на рекламно съобщение до дори и един интернет потребител, който не е изрично пожелал това. В същност, ако една глупост задръства пощата ви, надали за вас ще има значение дали сте сам, или има още сто хиляди като вас; Изпращане до потребители на рекламни съобщения и поща със съдържание, различно от това, за което те са заявили че искат да получават. Ако например дадете e-mail адреса си за да получавате новини за нови книги, а вместо това получавате и реклами за нови порно сайтове, това отново е спам; Изпращане до потребители на рекламни съобщения и поща с честота, различна от обявената. Ако например се абонирате за месечна информация, а получавате рекламни съобщения ежедневно, спамът отново е налице; Включване на случайни хора в мейлинг листове, като им се предоставя "възможността" да се отпишат. Това е най- досадния и нагъл тип спам. Тъй като в Щатите, при условие че на жертвата е предоставена възможност да се отпише от списъка, спамът не се преследва, някои хора използват това за да ви тормозят "законно". Те не само че най-нахално ви включват в списъците на жертвите си, но и "законно" изискват от вас да предприемате стъпки (т.е. да губите време и нерви) за да се отписвате. 7 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  8. 8. Spam – определение, класификация и защита от spam Спамът непрекъснато се развива и прилага много и най –различни подходи само и само да достигне до потребителите вглобалната мрежа. По долу са изброени само една малка част отпревъплъщенията на съвременният спам: comment spam - Това са така наречените Спам блогове. Те са легитимни блогове, създадени с цел да рекламират спам сайтове. Това се прави с цел е да се увеличи рейтинга на спам сайта в търсачките. Да генерират приходи чрез побликуване на рекламни банери, за които се плаща при бр. кликвания. Да предоставят евтино рекламно място за различни продукти. Да генерират приходи чрез предлагане на членство. Спам блоговете само и единствено хабят напразно дисково пространство и ресурси в интернет; спам от изображения - Появява се през 2006 година и довежда до огромно увеличение на спама. Той разчита на това, че колкото и интелигентен и да е компютъра, той все още не вижда. Компютъра проглежда благодарение на Оптичното Разпознаване на Символи (Optical Character Recognition). Това разпознаване може много лесно да бъде победено с помощта на най-различни объркващи техники като: неясен или размазан текст, изграждане на изображение чрез наслагване на няколко слоя, използване на случайно количество „цветет шум” в изображението, използване на файлови разширения за анимирани картинки или вълнообразни шрифтове; спам-реклами - Това е друга често срещана спам технология. Тя представлява комбинирана заплафа от няколко фази. Първата фаза е създаването на лъжлив сайт, в който има реклами на комерсиални продукти. Втора фаза е да се вдигне 8 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  9. 9. Spam – определение, класификация и защита от spamрейтинга на тази страница в търсачките.Това най – често сереализира с добавянето на често търсени думи от търсачките.През 2006 г. 50%-80% от спама е от зомбирани машини;IM spam (SPIM) – Това е така наречената моментална поща.Тя се осъществява, чрез ползването от спамърите на много инай – различни чат клиенти, които са най – бързо развиващатасе медия. Този факт е известен на спамърите, коитоизмислиха спам чрез чат клиенти. Повечето от чат клиентитепредоставят някакво количество информация запотребителите, което обикновено е достъпно за всички.Спамарите се възползват от тази информация за да изпращатспам съобщения, насочени към определени групи,организирани по – различни критерии;”измамни бюлетини” – В днешно време информационнитебюлетини са спам за едни и важна информация за други.Спамарите откриват нови начини да превърнат тази бюлетинав спам. Един от начините е да се открадне легитимен бюлетини дадено изображение да се замени със спам такова. Спамбюлетинът изглежда напълно нормално, той е на организация,която познавате или сте абониран за нея, но когато се отворисе вижда спамът. Не всички спам бюлетини съдържат спамизображения, в някои например е подменен линкът най –отдолу на бюлетина или статията, който изглежда като линккъм страницата на издателя, а всъщност ви отвежда към сайтсъс спам реклама.9 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  10. 10. Spam – определение, класификация и защита от spam3.Защита от SPAM Преди да разгледаме методите за защита от SPAM е удачнопърво да отделим внимание на метода за осъществяване на Мailуслугата. Тя e една от първите услуги в интернет. В днешно времесъвсем сериозно може да се твърди, че наличието на достъп доелектронната поща е услуга, конкурентна на телефонните услуги. Вголяма част от случаите, най-вече в университетските среди порадифинансови съображения, електронната поща е предпочитана предтелефона за обмен на информация на големи разстояния. Освентова времето за получаване е доста добро – не повече от час докоято и да е точка на света, а в рамките на една държава задесетина секунди. Има и още една причина това да е най-използваната услуга – освен че тя е най-достъпна за възприемане иобяснение, тя позволява обмен на различна по вид и типинформация. Потребителят може да изпраща, получава, архивира икласифицира или препраща документи от всякакъв тип до даденадрес в интернет. За целта са създадени подходящи портоколи имеханизъм за маршрутизация на съобщенията от подателя допощенската кутия на получателя. За мрежа, чийто базов портокол е TCP/IP, независимо далистава дума за Internet или Intranet схемата е една и съща. Заизпращане на едно съобщение от локална машина се използвапорткола SMTP (Simple Mail Transfer Protocol) с помощта наинсталираното Mail приложение (Mail клиент). Пътят насъобщението минава през SMTP сървър и от там по същияпротокол в глобалната мрежа. Пристигащите съобщения се приематот POP (Post Office Protocol) сървър, където е разкрита пощенскатакутия за съответния кореспондент. Достъп до пристигащите 10 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  11. 11. Spam – определение, класификация и защита от spamсъобщения осъществява съответното Mail приложение от локалнатамашина на кореспондента чрез извличането им от POP сървъра. В началото, много сървъри са били онлайн само през нощта заняколко часа. И пращането и получаването на е-mail не винаги ебило лесно. Решението е да се използва трети сървър, който презцялото време да е "online". Този сървър също е и backup сървър. Иоттогава вече не е толкова важно да си в точното време онлайн зада вземеш еmail-а. Целият трафик преминава през третия сървър.Това се нарича Relay. Обикновено за да се използва Relay е нужнааутентикация. Не би трябвало всеки да има възможност да изпращапоща от своя име през Mailserver. За съжаление някои Mailserver-иса конфигурирани като “open relay”, което означава, че всеки можеда изпраща поща през него – даже без потребителско име и парола.И тъкмо това обстоятелство удовлетворява нуждите на спамера.Той праща спам-пощата до “open relay” сървъра като използвафалшиво име и e-mail адрес. За получателя изглежда сякашизпращача има mail акаунт на сървъра. Ако не използвате пълния e-mail адрес, някои “relay” сървъри автоматично го допълват.(примерно ако адреса е просто “A” сървъра го допълва до“A@open_relay”). Обикновено всеки сървър добавя свои собственихедъри на “received” и ”send to”, но някои просто ги презаписват.Така не може да се разбере от къде е минало писмото преди това иот къде е било изпратено и ако се опитаме да отговорим, най-вероятно ще получим съобщение че няма такъв потребител на тозисървър. Този метод работи отлично с Hotmail. 11 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  12. 12. Spam – определение, класификация и защита от spam3.1.СПАМ Филтри Спамът е постоянно променящ се проблем, които изискванепрекъснато динамично изменение на техниките за борба с него.Има много техники за класифициране на съобщенията. Те могат дабъдат проверени за известни и често срещани в спама думи, заизвестни спамерски адреси или дали не са препратени от open relayсървър. Хедърът, както и тялото на съобщението се проверяват завсяка една от споменатите характеристики. Друг начин е всичкисъобщения, които идват от непознат адрес, да бъдат определяникато спам. Още един начин е, те да се сравняват с получени надруги сървъри спам съобщения. Най-добрата технология в моментаза борба със спама са филтрите за спам. Съществуват много наброй и различни по вид филтри, но никой от тях не е 100%ефективен. Спам филтърът е програма, която е web базирана, сървърбазирана или локално инсталирана и предотвратява спам e-mail дабъде свален на вашият компютър. Спам филтъра работи върху базанаречена правила. Програмата за борба със спама проучва вашатавходяща поща и я сравнява със множество от дефинирани правила.Ако mail-а не съответства на тези правила, тогава той се изтриваили изолира за преглеждане наново.Повечето от днешните e-mail приложения пристигат със базов спамфилтър, който ви позволява да блокирате поща от специфични e-mail адреси. Някой по-усложнен e-mail софтуер ви позволява даконфигурирате правила които се отнасят само до този софтуер.Голяма част от спам филтрите, които са в момента на пазара сеналага да бъдат инсталирани на твърдия ви диск. Има раздвижванев посока спам филтри, които вършат всичката работа онлайн предидори да достигне компютъра ви. 12 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  13. 13. Spam – определение, класификация и защита от spam Използвайки сложни алгоритми, спам филтъра сканира e-mailсъобщения за ключови фрази и характеристики, които са билиидентифицирани като “спам-определящи”. За всяка фраза ихарактиристика разпозната от филтъра, на e-mail съобщението седава точка. След като съобщението е напълно анализирано,точките се сумират в крайно число. Това число определя какво сеслучва със съобщението по-нататък. Спам филтъра има много мощни свойства и осигуряваневероятен контрол относно това как да се справя със спама въввашия e-mail акаунт. Можете да включвате и изключвате филтъра.Ако го изключите, всякакви email-и, изпратени до вас ще бъдатдоставени във входящата ви кутия. Спам филтрите работят поточкова система. Всички входящи съобщения се анализират, за дабъде определено доколко съобщението е спам. За всеки тест накойто съобщението “се провали” , му се дава точка. Накрая точкитеса сумират и според тях са установени две нива на контрол: Първото ниво определя броя точки необходими да се маркира съобщение като спам. Добре е, това ниво да не е под 5 точки; Второто ниво определя броя точки необходими да се изтрие съобщение. Ако съобщението бъде изтрито, вие изобщо няма да го видите. Точките за това ниво е добре да не са под 7. 13 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  14. 14. Spam – определение, класификация и защита от spam3.2.Основните техники при филтрите по съдържание Филтриране по списъци от думи – използват се статичногенерирани списъци, които съдържат думи, чието наличие епредпоставка, съобщението да е спам. Филтриране на HTML тагове – често тактика на спамерите еда объркват филтрите като “скриват” съдържанието насъобщенията си в невалидни HTML тагове и коментари. Такъв видсъобщение изглежда напълно нормално за читателя, но могатсериозно да заблудят филтъра. Затова добър подход е филтърътда изважда видимото съдържание от html-a и тогава да извършвакакъвто и да било друг вид филтриране. Регулярни изрази – в комбинация със списъците от думи тедават наистина добра възможност за блокиране на спам. Напримерсъобщение, което в Subject-a си има главни букви, малки букви,интервали, точки, тирета и т.н. “D i F.F e R E nT”. Статистически анализ – думите се оценяват спредварително зададен брой точки, анализът изразява се в оценкана съобщението, получена от точни съвпадения с думи в писмото сдуми, за които съръврът има информация. Търсене на URL-та, които са включени в съдържанието на е-mail-a и индикират спам – това често са адреси на рекламни илипорнографски сайтове. Най-често спам съобщенията са кратки, неповече от няколко килобайта, които са напълно достатъчни за единлинк. Филтри, отнасящи се до езика, на който е написаносъобщението – съобщения на чужд език може автоматично да сеприемат за спам и да се отхвърлят. - филтри, проверяващи далихедърите на e-mail-а са съвместими с RFC стандартите. 14 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  15. 15. Spam – определение, класификация и защита от spam3.3.Филтри според изпращачаRBL - (Realtime Blackhole Lists) са списъци от IP адреси, които сапубликувани от RBL доставчик с цел да информира своите абонати,че дадени хостове са източници на спам или на open relay.Съдържанието на такъв списък се публикува и е достъпно онлайн.Всеки mail, който идва от домейн в този списък, е възможно да бъдеведнага отхвърлян. Този подход е ефективен и до голяма степенможе да намали количеството съобщения, който трябва да сеобработват по-нататък от филтрите по съдържание.Това са някоиадреси, които поддържат RBL: http://www.spamhaus.org http://www.mail-abuse.org/rbl/ http://spamcop.net/ http://www.ordb.org/ Черни списъци – локален списък от имена/адреси на домейни,които са често срещани като адреси, от които се изпращат спамсъобщения. Ако освен тази, се поддържат и други политики зафилтриране на спам, и адресът на изпращача на съобщението бъдеоткрит в черния списък, то това дава значително по-голямасигурност при окончателното определяне дали писмото е или не еспам, както и при вземане на решение за последващите действия;“Кандидатите” за черния списък се определят, като се вземе подвнимание адресът на изпращача в SMTP хедъра, в комбинация сFROM клаузата на писмото. Често имената на домейните в дветеполета са различни. Спамерите обикновено използват временниакаунти, което пък ги прави неоткриваеми. С помощта на чернитесписъци може още на ниво сървър да бъдат отхвърлени всичкипристигащи съобщения от хост или мрежа. Вероятно е, това да сеокаже много полезно, когато, когато нашата мейл система получава 15 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  16. 16. Spam – определение, класификация и защита от spamзначителни количества спам от някоя конкретна мрежа. Често по-бързо и по-лесно е да се блокира самата SMTP връзка, отколкото сенастройва firewall-ът да прави това. При вземане на такова решениетрябва да се има предвид, че никакви съобщения от тази мрежаняма да могат да достигат до нас. Ако съществуват много МХзаписи в DNS-а на нашия домейн, то трябва да сме сигурни, чевсеки от тези сървърите, стоящи зад записите, отхвърлясъобщенията от гореописаните мрежа или хост. В противен случайотхвърлените съобщения ще бъдат приети от алтернативните mailсървъри. Бели списъци - Белият списък е списък от имена на домейниили на индивидуални адреси, към които няма да се прилагат анти-спам политиките, когато съответния домейн/адрес бъде срещнаткато адрес на изпращач. Ако анти-спам политиките често спират ине-спам съобщения, за които е особено важно да бъдат получени,тогава е добре да се използва бял списък. Използването на бялсписък има един значителен недостатък – адресите на изпращачалесно могат да бъдат spoof-нати в SMTP съобщението. Такаефективно могат да се заобикалят анти-спам политики. Списъци с адреси за проверка на получателя - Поддръжкатаим позволяват да се проверяват входящите съобщения спрямовалидни или невалидни получатели. Не позволява на спамерите даизвършват dictionary атаки за откриване на валидни адреси.Големите ISP (интернет доставчици) опитват да блокиратмножество email-и, които имат еднакви заглавия или текстове. Товаобаче има нежелания ефект, че се блокират email новините, така чеИД направиха “бели списъци”, за да идентифицират легитимнитеизпращачи на новини. Това спамерите преодоляват като вмъкват 16 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  17. 17. Spam – определение, класификация и защита от spamразлични случайни символи във всеки ред от заглавието и от текстана съобщението.3.4.Начини за проверка на изпращача Една от основните причини спамът да се превърне в толковаголям проблем е, че често използването на SMTP (за разлика отPOP3) протокола не изисква изпращачът да се аутентикира. Товапък от своя страна много улеснява изпращането на съобщение отимето на друг човек. Възможно е такъв човек да или пък да несъществува, както е възможно е-mail адресът или да е валиден илида е невалиден. RDNS (Reverse DNS) - заявката може да бъде използвана зада бъде открито името на хоста, съответстващо на определен IPадрес. Тази възможност може да бъде използвана за намаляванена количеството нежелани писма. Правят се следните проверки: прави се RDNS заявка за IP-то на SMTP клиента, за да се провери дали името на хоста може да бъде намерено; прави се RDNS заявка за IP адреса на SMTP клиента, за да се провери дали той съответства на името на домейна на SMTP изпращача.В първия случай е много възможно, конекцията да е направена отспамер, ако той не може да бъде намерен по DNS. На практикаобаче този подход не работи добре, защото много организацииизползват различни хостове за изпращане и приемане на поща.Информацията за хостовете, които приемат поща, е публикувана вDNS, затова проверките за МХ записите ще бъдат успешни, но не енеобходимо да се публикуват записи за изпращащите сървъри.Хубавото във втория случай е, че когато адресът на изпращача несъвпада с SMTP името на клиента е много вероятно съобщението 17 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  18. 18. Spam – определение, класификация и защита от spamда има подправен адрес на изпращача, което от своя страна ехарактерно за спама. Целта е да се направи опит да се установи, чеизпращачът поне изпраща от домейн, за чийто потребител сепредставя. Това отново не е особено добра техника, защото някоидомейни изпращат пощата си през сървъри на други домейни (прездоставчик). Проблеми, свързани със закъснения по мрежите инеправилно конфигурирани мрежи или сървъри също може да станепричина за отхвърляне на истински съобщения от филтъра. Присвоята работа всеки филтър трябва да има определен критерий, зада определя съобщения като спам или пък не-спам (наричат гипонякога ham). Случва се съобщения, които са ham да имат по-висок индекс за спам, отколкото истински спам съобщения, както иобратното. Неправилно класифицирани като спам съобщения сенаричат false positives, а пропуснатите спам съобщения – miss.Теоретично процентът и видът на грешно разпознатите съобщенияможе да бъде променен по два начина. По-лесният начин е да сепроменят критериите. Например, преди съобщението да бъдеопределено като спам, то трябва са съдържа не 10, а 11 или 12“подозрителни” думи. Така типът на грешките се променя, но катоцяло може да се постигне и намаляване на броя на грешките. Ималесен начин да се постигне 100% откриване на спам съобщенията,просто всички съобщения да бъдат класифицирани като спам. Товаобаче води до нежелан страничен ефект - процентът на falsepositive- ите също ще е 100. Позволяване на потребителя да вземе решение - Еднадобра практика е понякога, в допълнение в всички сървър базиранитехники за защита от спам, в зависимост от съдържанието написмото организацията да може да избере различни решения. Вслучаите, когато съобщението попада в "сивата зона", получателят 18 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  19. 19. Spam – определение, класификация и защита от spamтрябва да има възможността да вземе крайното решение далисъобщението е спам. Разбира се, това не трябва да се случва в100% от случаите, но всичко зависи тук от самата система.3.5.Анти-спам софтуер Има разнообразни начини да се спре спама. За съжаление няманито един перфектен спам-убиец (spam killer) или филтриращинструмент който да ни осигури защита от спам. Станало е катоигра на котка и мишка за спамерите (spammers) и останалата частот нас. Някои предпочитат server-side email филтри, които хващат спамапреди той да достигне вашата пощенска кутия. Единствения споренвъпрос относно тези спам прегради (spam blockers) е, че самите вие(като отделен човек) не можете да ги настройвате и обикновено неможе да видите дали спам преградата спира и email-и, които не саспам. Задължение на вашия инернет доставчик или мрежовадминистратор е да уреди този въпрос. Втори вариант е да имате софтуеър, който да се изпълнява навашия домашен компютър и да помага с филтриранането на спама.По този начин можете да се уверите че филтъра блокира истинскияспам и не важните email-и. Недостатък е че все още трябва да сесвали цялата поща. Трети вариант е да се използва third-party системa която си служис challange система. В основни линии, всеки път когато някой випрати mail, той трябва да отиде на специален website (webстраница) и да потвърди че ви познава. Това е чудесен начина да сеспрат спамерите. Можете също да го нагласите да позволява навсички от address book-a (книгата с адреси) да ви праща email. 19 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  20. 20. Spam – определение, класификация и защита от spamSpam Arrest Лесно е да се започне с него. Няма софтуер за инсталиране иуслугата започва да работи за вас незабавно. Spam Arrest работи скакъв да е POP3 mail server (почти всички ISP поддържат такъв).Поддръжка за MSN, Hotmail, и AOL ще има скоро. Как работи той:Spam Arrest се свързва с вашия сървър (server) на всеки две минути,премествайки вашите нови email-и на Spam Arrest сървъра. Новитеemail-и се обработват от Spam Arrest системата. Съобщения отпотвърдили (verified) изпращачи и mailing list-и се препращат къмinbox-а на Spam Arrest. Съобщения от непотвърдили (unverified)изпращачи остават задържани, в очакване на потвърждение(verification). След потвърждение, съобщението се доставя до вашияSpam Arrest inbox. Непотвърдено писмо можете да прегледате наwebsite-а по всяко време.SpamWeed Anti-Spam Filter Този anti spam филтър заимства статистическа филтриращатехнология и изчистени алгоритми. Неговия вграден филтърмеханизъм блокира спама и изолира вирусите преди те да седоберат до потребителския inbox. Само-обучаващата се способностподсигурява че неговата база знания е винаги up-to-date(осъвременена) без значение как се променя спама. SpamWeedподдържа всички POP3 email клиенти. Осигурява whitelist и даварапорт за получения junk mail за някакъв период от време.Изолираните съобщения могат също да бъдат възстановени ако енеобходимо. 20 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  21. 21. Spam – определение, класификация и защита от spamSpam Inspector - Anti Spam Filter за Outlook Express Тази програма спира нежеланите email-и от влизане въввашата Outlook Express кутия. Той се конфигурира автоматичнослед като се инсталира и ви позволява да управлявате всички вашиidentities заедно или независимо. Той също се update-ва всеки пъткогато се стартира. Можете да създадете block-list-и (за блокиранена всичко идващо от добавени в този списък) и safe-list-и замаксимална защита от нежелани комерсиални email-и и subscription(абонаментни списъци) list-и. Тази програма осигурява същомножество изолиращи действия като триене на mail, поставяне нафлагове на mail-ите и преместване на mail в специална папка.CoffeeCup Spam Blocker 3.0 Към CoffeeCup Software са включени Phone и Live Chat support,и Безплатни Upgrades до живот. С повече от 8,000,000 потребителив 79 страни по целия свят, CoffeeCup е от най-сваляния(downloaded) software в Internet. Те имат също над 20 други software-ни програми за създаване на website-ове и много други. CoffeeCupпредлага също Web hosting и Search Engine Submission(предоставяне на машини за търсене). CoffeeCup има всичко завсеки.iHateSpam Този инструмент филтрира спама работейки вътре във вашатаe-mail програма. Няма отделна програма която да се стартира и не енужна техническа информация за да се настрои. Версии на OutlookExpress и Outlook versions са подходящи да работят с нея. 21 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  22. 22. Spam – определение, класификация и защита от spamSpamAssassin! SpamAssassin е mail филтър който се опитва да идентифицираспам използвайки текстов анализ и няколко интернет-базираниактуални черни списъци. Употребявайки своята база от правила, той използва широкаобласт от евриистични тестове върху mail headers (заглавия) итекста на тялото за идентифициране на спам, също известен катонежелан комерсиален email. Веднъж идентифициран, mail-а може да бъде избираемомаркиран като спам за по-нататъшно филтриране като се използваMUA (mail user-agent) приложението на потребителя. SpamAssassin обикновено успешно прави разлика между спами не-спам в около 95% и 99% от случаите, в зависимост какъв мейлси получил. Craig Hughes допринася със "spamd", демонизиранаверсия на SpamAssassin, която върви непроменимо. Използванетона "spamc", олекотен С клиент, позволява на MTA (mail transferagent) да обработва големи обеми от поща през SpamAssassin безда имаме fork/exec с perl интерпретатор за всеки един. За онези sites които са пуснали qmail като ваш MTA,директорията "qmail" съдържа два начина да интегрира spamc свашата система. Ian R. Justman е допринесъл със "spamproxy", спам-филтриращ SMTP proxy Сървър. SpamAssassin е напълнопреработен с ново, значително подобрено множество от правила,различен код модел и инсталация, и да се надяваме че ще бъделесно да се адаптира за различни приложения. 22 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  23. 23. Spam – определение, класификация и защита от spam3.6. SpamAssassin за Red Hat Linux 9.0 Следващия текскт предполага, че вече сте инсталирали RedHat Linux 9.0 и че сте избрали "Install Everything" (както би направилвсеки обичащ Linux). Също допуска, че успешно сте конфигуриралиSendmail да доставя вашата поща локално. И също предполага, чене сте влезли като root и не сте пълен глупак.Стъпка 1: Активирайте spamassassin услугата.В конзолата напишете: /sbin/services spamassassin startза да активирате spamd, SpamAssassin демона (daemon).Използвайте gnome-config-services за да се подсигурите, че той щесе появи автоматично следващия път като рестартирате. Не естрого необходимо да стартирате SpamAssassin като услуга това сеправи само за производителност. Една алтернатива е предложена вСтъпка 2 .Стъпка 2: Конфигуриране глобалното поведение на Procmail. Procmail е програма, която Sendmail използва да доставилокалната поща mail. Тази опрерация е управлявана глобално отконфигурационния файл /etc/procmailrc and per-user by ~/.procmailrc.Ще разгледаме глобалното конфигуриране първо. По подразбиране, няма /etc/procmailrc на прясно инсталиранияRed Hat Linux 9.0. Има нужда да се създаде такъв. (Номерата наредовете не са част от файла, са за ориентиране) 1 # изпращане на поща през SpamAssassin 2 :0 fw 3 * < 256000 23 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  24. 24. Spam – определение, класификация и защита от spam 4 | /usr/bin/spamc -fРед 1 е, разбира се, коментар. Ред 2, започвайки със двоеточие-нула, отбелязва началото на това, на което се казва "Procmailrecipe." Recipe е условие, следвано от действие. За повечеинформация относно Procmail recipe, погледнете: man procmailrc. fwдава знак на Procmail, че това recipe е филтър, което означава, чето може да модифицира оригиналното email съобщение. Ред 3,започвайки със звездичка, е условие. То казва на Procmail, че товаrecipe се прилага само ако съобщението е по-малко от 256,000байта като размер. Тъй като 99% от всичкия спам е по-малък оттова, такова залагане е надеждно. Не искаме да забатачим нашатасистема карайки я да проверява съобщения които може би не саспам. Ред 4 казва на Procmail да филтрира текстовите съобщенияпрез SpamAssassin. С други думи, оригиналното съобщение сезамества с изхода от действието на SpamAssassin. АкоSpamAssassin определи че съобщението е спам, subject (относно)реда ще бъде пренаписан с включен в него спам таг. (Други, по-малко видими промени ще бъдат направени на съобщението)spamc е дубликат на spamd. Първият се пуска като клиент, докатовторият се пуска като сървър. Вярва се, че тази конфигурация енай-ефикасния начин да се стартира SpamAssassin в повечетослучаи. Ако предпочитате да стартирате SpamAssassin в stand-aloneвид, винаги можете да спрете spamd услугата като заменитефилтъра в реда на procmailrc със: | /usr/bin/spamassassinНо не е препоръчително.Флагът -f в ред 4 инструктир spamc да върне оригиналнотосъобщение ако не може да се свърже със spamd. Пова подсигурява, 24 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  25. 25. Spam – определение, класификация и защита от spamче съобщението ще бъде доставено подразбиране ако не може дабъде сканирано за спам.Стъпка 3: Конфигуриране поведението на per-user Procmail.След стъпка 2, всички входящи email-и автоматично се проверяватза спам и им се слага флаг ако се предполага, че са такива. Замного sendmail администратори това поведение е достатъчно. Аковсе пак, искате да отхвърлите (bounce) спама със недружелюбносъобщение за грешка, нужна ви е стъпка 3.Тази стъпка се препоръчва по две причини: 1. Съобщението за грешка ще накара някои спамери да премахнат email адреса на получателя от техния спам списък. Като резултат, те никога няма да ви спамват отново. Освен това, те може да премахнат email адреса на получателя преди да са продали списъка си на някой другe. Резултата от това ще е по-малко спам за повече време, освобождаване на ресурсите на системата ви. 2. Получателите на спам-маркиран email могат да придобият навика да трият маркиран спам без действително да го проверяват. Това означава че ако има фалшиво открит спам, получателят никога няма да го отвори и законния изпращач никога няма да се усъмни, че съобщението не е било получено. От друга страна ако отхвърлите съобщение изпращача ще получи известие и така ще може да предприеме някакво действие.Ета как можете да нагласите Procmail. Това е файлът "~/.procmailrc": 25 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  26. 26. Spam – определение, класификация и защита от spam 1: MAILDIR=$HOME/mail 2: 3: :0 H 4: * ^X-Spam-Status:.*Yes 5: { 6: EXITCODE=67 7: :0: 8: spam 9: }Ред 1 казва на Procmail къде държите вашите mail папки. В случая,те се пазят в директория "mail" в home директорията.Ред 3 отбелязва старта на recipe-то. H индикира че теста на ред 4трябва да се направи само на заглавието на email-а, а не и натялото, където е текста, евентуално. (Това е за ефективност.)Ред 4, условие на recipe-то определя дали SpamAssassin емаркирал входящото събщение като спам. Това е регулярен израз,който търси за mail header "X-Spam-Status" с подстринг "Yes" някъдев значението на заглавието.Редове 5 до 9 са действия. Скобите са необходими и маркираттяхното съдържание като "съставно действие" (понеже всяко recipeпозволява само едно действиеРед 6, който се изпълнява само когато спам е открит, казва наProcmail да завърши с код за грешка 67. Това показва на Sendmailче потребителя не съществува. И така Sendmail ще върне спама,създавайки илюзия на изпращача, че никога не е доставено.В Procmail, съставните действия могат да съдържат допълнителниrecipe. Ред 7 стартира едно такова "recipe гнездо". Двоеточието инулата казват на Procmail да заключи файла за доставки преди да 26 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  27. 27. Spam – определение, класификация и защита от spamсе достави съобщението. Това ще избегни проблеми, ако два спамапристигнат едновременно.Ред 8 е действието за вътрешния recipe. Забележете,че в тозиrecipe, няма условие (няма ред започващ със звездичка).Действието казва на Procmail да достави съобщението в папканаречена "spam" (която, според ред 1, е в ~/mail).Сега вече, от гледна точка на изпращача, съобщениетосъобщението както изглежда е било отхвърлено. Въпреки чевсъщност е било доставено, то се намира в папката за спам напотребителя, което е много по-добро място от кутията за съобщения.А може спам съобщенията да се записват в /dev/null, откъдетоникакви данни не могат да се възстановят.Ако не искате да филтрирате спам за всички потребители, а вместотова желаете да оставите всеки сам да направи избор, можете дапропуснете стъпка 2 и да сложите recipe от стъпка 2 точно над recipeописан в стъпка 3.Стъпка 4: Конфигуриране на DNS черни списъциАко искате да бъдете дори по-настойчив с вашия спам филтър,можете да конфигурирате Sendmail напълно да игнорира изпращачи,които имат лоша репутация.Редактирайте файла /etc/mail/sendmail.mc, вмъкнете следнитередове някода в FEATURE секцията на файла: dnl # dnl # Here are Sharkys favorite DNSBL definitions. dnl # FEATURE(`dnsbl, `list.dsbl.org)dnl FEATURE(`dnsbl, `bl.spamcop.net)dnl 27 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  28. 28. Spam – определение, класификация и защита от spam FEATURE(`dnsbl, `sbl.spamhaus.org)dnl FEATURE(`dnsbl, `blackholes.mail-abuse.org)dnl FEATURE(`dnsbl, `relays.mail-abuse.org)dnlЗапишете файла и изпълнете следните команди: cd /etc/mail make all /sbin/service sendmail restartОт този момент всеки път, когато SMTP клиент се свърже къмSendmail, Sendmail ще се обърне към черния списък където стедобавили репупация на клиентите и ще провери. Ако клиента езаписан като имащ неясна репутация Sendmail ще прекъсневръзката с него. 28 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика
  29. 29. Spam – определение, класификация и защита от spam Литература1. http://isoc.org2. http://bgpro.com3. http://en.wikipedia.org/wiki/Spam_(electronic)4. http://o.bulport.com/?item=515. http://spamassassin.apache.org/29 Пламен Йорданов Василев, ф.н. 9649, гр. 56, спец. Информатика

×