Дневник MaggiRedFox
23-07-2007 14:23
к комментариям - к полной версии
- понравилось!
вверх^
к полной версии
понравилось!
в evernote
Текст скрыт для удобства комментирования
ееееееееннннннннннеееееееееееееннн
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
нывап ванп ванп ывшапн дывашпрвашдп ывап па ырып ыпр ыапр апр авпр ыкерн ыекпр ыкепр ыкен еке
епа гнмп ншп щпн жшпг
Спам в мессенжерах
Основная причина того, что спамеры так ценят мессенджеры, очевидна: многие подобные системы предоставляют возможность публичного доступа к базе пользовательских данных. Это позволяет достаточно оперативно формировать списки для рассылки с минимальными затратами. А если учесть, что такие базы данных включают в себя демографическую, географическую и личную информацию (возраст, пол, имя, место проживания, интересы), то становится ясно, почему мессенджеры являются ценной площадкой для рекламы. И спамеры часто собирают информацию о пользователях, делая рассылку персонализированной.
Первые отголоски
А началось все в далеком 2002, когда WindowsXP пешком под стол ходил, но уже довольно бодро и почти не спотыкаясь. Тогда кто-то из умельцев просек преимущества сервиса под названием Messenger. С надоедливой программой Windows Messenger, которая идет в поставке с XP, этот сервис имеет мало общего (разве что назойливость). Это одна из стандартных возможностей винды, которая позволяет серверам отправлять оповещения на рабочие станции. Причем появлялись такие сообщения в обычных диалоговых окнах. Этот способ рассылки встречается и сейчас.
Помните, как до выхода SP2 под WindowsXP выпрыгивающее окошко «The registry is corrupted. Plesase visit this site and download patch» или «Annoyed by these messages? Visit this site» доводило всех до белого каления? Использовалось оно для оповещения NetBIOS, и от него можно было избавиться двумя способами: перекрыть порты от 135 до 139 и 445 или просто вырубить этот сервис через консоль оснастки.
Спам в интернет-мессенджерах появился чуть ли не одновременно с их выходом. Сегодня по массовости спам в мессенджерах все еще уступает классическим «почтовым рассылкам», но по темпам роста оставляет их далеко позади. Например, Штаты, которые являются одной из самых продвинутых стран в плане интернет-технологий, сейчас просто захлебываются в интернет-пейджинге. 42% взрослых пользователей Сети в США пользуются этими технологиями (про молодежь и говорить нечего). Несмотря на то, что специальных исследований на этот счет не проводилось у нас, очевидно, что интернет-пейджеры (а, следовательно, и спам-рассылки в них) очень популярны и в России.
Наглядное свидетельство того, что спам в мессенджерах набирает обороты - появление отдельного термина «spim» (SPam by Instant Messaging). Правда, за этим термином не скрывается ничего особо нового. Различия обусловлены только разными инфраструктурами для потоков спама, то есть теми средствами, через которые весь этот бред и мусор попадает на глаза пользователю. Концепция и конечная цель спама независимы от способа доставки.
Что рассылают
В большинстве случаев рассылают, конечно же, рекламу. Она является самой распространенной, но не единственной формой спама, хотя у многих это уже синонимы. Даже компании, которые занимаются легальным бизнесом, рекламируют свои товары и услуги при помощи спамеров. Отношение «охват клиентов/стоимость рассылки» — очень заманчивое, и клиенты клюют на него. Исходя из нашей законодательной базы, достаточно сложно определить, какая рассылка является законной, а какая нет. Тем более если спамер находится в другой стране, и приходится синхронизировать законы двух стран. Но и здесь уже есть прецеденты. Например, первый случай возбуждения уголовного дела против спамеров был зафиксирован в 2004 году, когда компания AOL подала исковые заявления против нескольких физических лиц, обвиняемых в массовой рассылке рекламы через программы мгновенного обмена сообщениями.
Конечно, рекламная рассылка при грамотном применении является очень хорошим инструментом маркетинга. Но поскольку криворукость и кривомозгость — болячка широко распространенная, то чаще всего такая рассылка превращается именно в серый спам. Что, во-первых, наносит непоправимый вред репутации рекламируемой компании, а во-вторых, репутации тех, кто занимается легальными рекламными рассылками.
Другое распространенное явление пришло в аську из реального мира — «письма счастья». В основном такие послания содержат в себе просьбу разослать само себя по всем контактам. Но иногда такое сообщение содержит мысль, что получатель письма может получить каким-то образом большую сумму денег, а отправитель может ему в этом помочь за небольшой стартовый капитал. В аське, например, часто проскакивает сообщение о «волшебных кошельках WebMoney, которые утраивают сумму». Разумеется, ожидаемой прибыли адресат не получает.
Даже просьба разослать себя другим — тоже далеко не безобидная вещь. Иногда таким образом узнается довольно много интересного о пользователях. Если, в двух словах, на каком-нибудь транзитном сервере ставится сниффер, фильтрующий ICQ-трафик и проверяющий пакеты по ключевым словам из рассылки. Поскольку участники рассылки растут в геометрической прогрессии, то сбор становится эффективнее, а результаты сбора могут быть самые разнообразные: от статистики и топологии рассылки до данных из заголовков и тела писем.
Какой бы ни была рассылка, ее конечная цель — реакция пользователя. Для интернет-мессенджеров это важно, как нигде! Либо это переход по указанной ссылке, либо дублирование и рассылка этого же сообщения дальше, либо комбинация действий. Крупная волна спима (это 2003-2004 год) была сгенерированна элементарно: 90% сообщений гласили что-то вроде: «Привет, зайди на мой сайт www.сюда.ru». Сейчас пользователь уже поумнее стал, сначала пообщается, а потом уже кликает… Но кликает в 80% случаев.
Проблемные места
Методы, повышающие эффективность спима, будут совершенствоваться в основном в направлении создания универсального механизма, с помощью которого можно будет легко «закосить» под реального человека. Сейчас среднестатистический алгоритм бота ограничивается лексическим анализом текста сообщений и подбором ответа по словарю фраз. Личные данные бота при регистрации тоже подбираются по отдельному словарю. При желании бот может анализировать личные данные другого пользователя, делая беседу более персонализированной. А после непродолжительного диалога бот выдает какой-либо текст, в котором фигурирует ссылка (ради нее все затевалось). И обычно на это ведется более 80-90% респондентов, опять же, благодаря персонализации и выдумке спамера, который может заложить в словарь весьма интригующие фразы. Но основная трудность спамера и отличная возможность для пользователя отфильтровать ботов — отсутствие интеллекта у бота и бедность фантазии самих спамеров. Чтобы вывести жестянку на чистую воду, достаточно одного нестандартного вопроса или вопроса с неоднократным повтором.
Для мыла существует масса методик: создание черных списков, фильтрация сообщений на основе статистических методов, авторизация почтовых адресов, проверка существования отправителя и тому подобное. Применить для интернет-мессенджера можно, пожалуй, только черные списки (и то локально) и фильтрацию на основе статистических методов. Со статистикой особо не развернешься, так как сообщения, рассылаемые через мессенджеры, содержат мало текста, и это, в свою очередь, крайне затрудняет автоматический анализ теми средствами и алгоритмами, которые применяются для электронной почты. Если же применять «почтовые» техники определения спама, то первые три места в хит-параде спамерских сообщений займут сообщения: «Привет!», «Как дела?» и одиночный смайлик.
Ограничения по частоте пересылки в мессенджерах тоже не эффективны, так как активность общения по месcенджеру сильно зависит от количества свободного времени. А у некоторых - от других факторов, основным из которых является болтливость :). Соответственно, один и тот же человек может отправить несколько тысяч сообщений в сутки, разговаривая только с друзьями или по работе, а может не отправить ни одного. Также не подходит анализ сообщения по формальным признакам — из-за небольшого числа доступных клиентских программ, единой системы авторизации, высокой стандартизации и других особенностей реализации протоколов формальные признаки практически отсутствуют.
Борьба на уровне сервера
Из перспективных разработок стоит отметить анализ статистики поведения пользователя: количество ответов, получаемых пользователем на его сообщения, количество занесений его в игнор-лист, количество безуспешных запросов на авторизацию и других параметров. Такое, кстати, уже невозможно в электронной почте. Хотя бы потому, что IM — синхронный метод общения, а почта — асинхронный. Далее следует анализ сообщения. Основной принцип схож с «почтовым»: строится база «спам-слов», каждому из них присваивается вероятность, что оно спамовое (то есть его «вес»), затем анализируется сообщение. Если сообщение набирает общий вес, переваливающий за установленный максимум, то оно уходит в топку. Кстати, по таким же соображениям работают всевозможные, но немногочисленные существующие антиспам-плагины для клиентов IM. Но на сервере их эффективность все равно на порядки выше.
Борьба на уровне клиента
А что же делать клиентам? Если возможно - запретить видимость статуса через web и отключить прием сообщений от пользователей вне контакт-листа. Либо использовать автоответчик, который будет переправлять пользователю сообщение: «Хочешь пообщаться, - вот тебе код, закинь мне его обратно для авторизации» (код сообщения генерируется самим автоответчиком).
А еще лучше просто не отвечать. Как с «нищими» в переходе: хочешь, чтобы их не было — не давай им ничего. Если так будут делать все прохожие, «нищие» уйдут сами. Прежде чем дать авторизацию, смотри информацию пользователя. Далее кидай пробное сообщение, но без особого смысла. Если ответ приходит в ту же секунду и не по контексту — в игнор.
О печальном
Так что аська (и другие IM) — это не только «цветок на могиле рабочего времени». Спам в инстант-мессенджерах из явления экзотического постепенно переходит в повседневное. Противостояние спамеров и антиспамеров — вечно. Причина этого в одном — простота копирования и рассылки электронной информации. И неважно, что через эту информацию рассылать.
Новым витком может стать спит (spit) — непрошеные сообщения в системах интернет-телефонии. Низкая стоимость трафика и резко возросшее за последние несколько лет качество приводят к тому, что все больше людей переходят на пакетную передачу голоса. При этом возможности IP-телефонии не ограничиваются голосовой связью. Уже есть решения, которые могут отсылать до тысячи голосовых сообщений в минуту, производительность зависит от широты используемых каналов и мощности железа. Вот здесь уж точно придется применять кардинально новые способы борьбы.
Автор: Кирилл Блаженнов
Источник: спецвыпуск журнала Хакер, #074
Print This Post
Похожие посты
Укрепление защиты Exchange Server 2007, часть 2
Настройка почтовой службы в Single Exchange Server 2007
Спама бояться – соб@ку не заводить
Управление коннекторами получения (часть 2)
Спам - почему его становится больше?
Основных методов борьбы со спамом
Классификация методов спам рассылок и методы анализа
Принципы и технические методы работы с незапрашиваемой корреспонденцией
Мониторинг средствами Exchange
Беспредельный спам
Про пост
Этот пост January 23, 2008 at 8:41 pm опубликовал molse в категории Spam. Желающие могут оформить RSS подписку на комменты. Оставьте комментарий(последний комментарий отображается первым) или оставьте трэкбэк. Ccылка на трэкбэк.
Комментарии
Your email is never published nor shared. Required fields are marked *
Name *
Email *
Website
Защитный код (красные символы НЕ вводить!)
Comment
« Про новую категорию, задержку при отправке писем, Ubuntu
Передовые антиспам технологии »
ЯндексДирект
Microsoft Office Professional
Улучшенные версии MS Word, Excel, PowerPoint, Outlook, Access!
www.microsoft.com
Нужен WebPart для SharePoint?
Разработка приложений для SharePoint
www.vbapro.ru
Спамы
Портал "Свой Бизнес": Идеи, методы и возможности для успешного бизнеса.
www.mybiz.ru
Вакансия: Системный администратор
Объявления о поиске работы и подборе персонала. Информационные технологии.
rabota.slando.spb.ru · Санкт-Петербург
Дать объявление
Самые Популярные Посты
Сервер каталогов LDAP как источник аутентификации - интеграция с AD
Пошаговые руководства по Windows Server 2008 на русском
Пособие для модного админа
Active Directory Topology Diagrammer – помощник администратора
Переход с Linux на Windows и обратно
5 простых шагов настройки кластера Web-серверов
Сервер каталогов LDAP как источник аутентификации - учётные записи
Сервер каталогов LDAP как источник аутентификации - настройка NSS и PAM
RSS
Ubuntu Cheat Sheet
Archives
December 2008
November 2008
October 2008
September 2008
August 2008
July 2008
June 2008
May 2008
April 2008
March 2008
February 2008
January 2008
December 2007
November 2007
October 2007
September 2007
August 2007
Разное
Категории
Active Directory
Bios
CISCO
Communigate
DHCP
DNS
FreeBSD
LDAP
Linux
Centos
Ubuntu
Windows to Linux
Администрирование
Экзамен LPI
Microsoft Exchange
Microsoft ISA
NAT
Postfix
Shell и скрипты
Spam
Uncategorized
VOIP
Windows
Windows 7
Windows Server 2008
Windows Vista
Windows XP
администрирование Windows
Бездисковая загрузка
Безопасность
Беспроводные технологии
Блог
Виртуализация
Восстановление и резервное копирование
Групповые политики
Документация
Железо
Заработок в интернете, Wordpress
Интересное
Командная строка
Мониторинг
Моя работа
Настройка компьютера
Общие статьи для сисадминов
Полезные утилиты
Продукты Microsoft
Разное
Реестр
Сетевые протоколы
Сетевые технологии
Терминалка
Юмор
Ссылки
Я читаю
Администрирование и настройка Linux, Windows
Доступно про Linux
Последнее
Возможности Windows 7: Аэро-взгляд
Возможности Windows 7: Aero Snaps
Ещё одна ошибка загрузки Xen
Система Ubuntu Xen зависает после сообщения “Setting System Clock”
Построение HA-кластера с использованием RHCS и GFS в RHEL 5
Гостевая система Ubuntu Xen подвисает после EXT3-fs: mounted filesystem with ordered data mode message
Ubuntu DomainU не запускается с ошибкой “Error: Device 0 (vif) could not be connected. Could not find bridge, and none was specified”.
Установка Windows Server 2008 в Xen HVM завершается ошибкой
В domU Xen указатель мыши в консоли VNC показывает неверное положение
Как восстановить поврежденный профиль пользователя в Windows XP
Спонсоры
Meta
Login
© 2007 Для системного администрат
Спам в мессенжерах
Основная причина того, что спамеры так ценят мессенджеры, очевидна: многие подобные системы предоставляют возможность публичного доступа к базе пользовательских данных. Это позволяет достаточно оперативно формировать списки для рассылки с минимальными затратами. А если учесть, что такие базы данных включают в себя демографическую, географическую и личную информацию (возраст, пол, имя, место проживания, интересы), то становится ясно, почему мессенджеры являются ценной площадкой для рекламы. И спамеры часто собирают информацию о пользователях, делая рассылку персонализированной.
Первые отголоски
А началось все в далеком 2002, когда WindowsXP пешком под стол ходил, но уже довольно бодро и почти не спотыкаясь. Тогда кто-то из умельцев просек преимущества сервиса под названием Messenger. С надоедливой программой Windows Messenger, которая идет в поставке с XP, этот сервис имеет мало общего (разве что назойливость). Это одна из стандартных возможностей винды, которая позволяет серверам отправлять оповещения на рабочие станции. Причем появлялись такие сообщения в обычных диалоговых окнах. Этот способ рассылки встречается и сейчас.
Помните, как до выхода SP2 под WindowsXP выпрыгивающее окошко «The registry is corrupted. Plesase visit this site and download patch» или «Annoyed by these messages? Visit this site» доводило всех до белого каления? Использовалось оно для оповещения NetBIOS, и от него можно было избавиться двумя способами: перекрыть порты от 135 до 139 и 445 или просто вырубить этот сервис через консоль оснастки.
Спам в интернет-мессенджерах появился чуть ли не одновременно с их выходом. Сегодня по массовости спам в мессенджерах все еще уступает классическим «почтовым рассылкам», но по темпам роста оставляет их далеко позади. Например, Штаты, которые являются одной из самых продвинутых стран в плане интернет-технологий, сейчас просто захлебываются в интернет-пейджинге. 42% взрослых пользователей Сети в США пользуются этими технологиями (про молодежь и говорить нечего). Несмотря на то, что специальных исследований на этот счет не проводилось у нас, очевидно, что интернет-пейджеры (а, следовательно, и спам-рассылки в них) очень популярны и в России.
Наглядное свидетельство того, что спам в мессенджерах набирает обороты - появление отдельного термина «spim» (SPam by Instant Messaging). Правда, за этим термином не скрывается ничего особо нового. Различия обусловлены только разными инфраструктурами для потоков спама, то есть теми средствами, через которые весь этот бред и мусор попадает на глаза пользователю. Концепция и конечная цель спама независимы от способа доставки.
Что рассылают
В большинстве случаев рассылают, конечно же, рекламу. Она является самой распространенной, но не единственной формой спама, хотя у многих это уже синонимы. Даже компании, которые занимаются легальным бизнесом, рекламируют свои товары и услуги при помощи спамеров. Отношение «охват клиентов/стоимость рассылки» — очень заманчивое, и клиенты клюют на него. Исходя из нашей законодательной базы, достаточно сложно определить, какая рассылка является законной, а какая нет. Тем более если спамер находится в другой стране, и приходится синхронизировать законы двух стран. Но и здесь уже есть прецеденты. Например, первый случай возбуждения уголовного дела против спамеров был зафиксирован в 2004 году, когда компания AOL подала исковые заявления против нескольких физических лиц, обвиняемых в массовой рассылке рекламы через программы мгновенного обмена сообщениями.
Конечно, рекламная рассылка при грамотном применении является очень хорошим инструментом маркетинга. Но поскольку криворукость и кривомозгость — болячка широко распространенная, то чаще всего такая рассылка превращается именно в серый спам. Что, во-первых, наносит непоправимый вред репутации рекламируемой компании, а во-вторых, репутации тех, кто занимается легальными рекламными рассылками.
Другое распространенное явление пришло в аську из реального мира — «письма счастья». В основном такие послания содержат в себе просьбу разослать само себя по всем контактам. Но иногда такое сообщение содержит мысль, что получатель письма может получить каким-то образом большую сумму денег, а отправитель может ему в этом помочь за небольшой стартовый капитал. В аське, например, часто проскакивает сообщение о «волшебных кошельках WebMoney, которые утраивают сумму». Разумеется, ожидаемой прибыли адресат не получает.
Даже просьба разослать себя другим — тоже далеко не безобидная вещь. Иногда таким образом узнается довольно много интересного о пользователях. Если, в двух словах, на каком-нибудь транзитном сервере ставится сниффер, фильтрующий ICQ-трафик и проверяющий пакеты по ключевым словам из рассылки. Поскольку участники рассылки растут в геометрической прогрессии, то сбор становится эффективнее, а результаты сбора могут быть самые разнообразные: от статистики и топологии рассылки до данных из заголовков и тела писем.
Какой бы ни была рассылка, ее конечная цель — реакция пользователя. Для интернет-мессенджеров это важно, как нигде! Либо это переход по указанной ссылке, либо дублирование и рассылка этого же сообщения дальше, либо комбинация действий. Крупная волна спима (это 2003-2004 год) была сгенерированна элементарно: 90% сообщений гласили что-то вроде: «Привет, зайди на мой сайт www.сюда.ru». Сейчас пользователь уже поумнее стал, сначала пообщается, а потом уже кликает… Но кликает в 80% случаев.
Проблемные места
Методы, повышающие эффективность спима, будут совершенствоваться в основном в направлении создания универсального механизма, с помощью которого можно будет легко «закосить» под реального человека. Сейчас среднестатистический алгоритм бота ограничивается лексическим анализом текста сообщений и подбором ответа по словарю фраз. Личные данные бота при регистрации тоже подбираются по отдельному словарю. При желании бот может анализировать личные данные другого пользователя, делая беседу более персонализированной. А после непродолжительного диалога бот выдает какой-либо текст, в котором фигурирует ссылка (ради нее все затевалось). И обычно на это ведется более 80-90% респондентов, опять же, благодаря персонализации и выдумке спамера, который может заложить в словарь весьма интригующие фразы. Но основная трудность спамера и отличная возможность для пользователя отфильтровать ботов — отсутствие интеллекта у бота и бедность фантазии самих спамеров. Чтобы вывести жестянку на чистую воду, достаточно одного нестандартного вопроса или вопроса с неоднократным повтором.
Для мыла существует масса методик: создание черных списков, фильтрация сообщений на основе статистических методов, авторизация почтовых адресов, проверка существования отправителя и тому подобное. Применить для интернет-мессенджера можно, пожалуй, только черные списки (и то локально) и фильтрацию на основе статистических методов. Со статистикой особо не развернешься, так как сообщения, рассылаемые через мессенджеры, содержат мало текста, и это, в свою очередь, крайне затрудняет автоматический анализ теми средствами и алгоритмами, которые применяются для электронной почты. Если же применять «почтовые» техники определения спама, то первые три места в хит-параде спамерских сообщений займут сообщения: «Привет!», «Как дела?» и одиночный смайлик.
Ограничения по частоте пересылки в мессенджерах тоже не эффективны, так как активность общения по месcенджеру сильно зависит от количества свободного времени. А у некоторых - от других факторов, основным из которых является болтливость :). Соответственно, один и тот же человек может отправить несколько тысяч сообщений в сутки, разговаривая только с друзьями или по работе, а может не отправить ни одного. Также не подходит анализ сообщения по формальным признакам — из-за небольшого числа доступных клиентских программ, единой системы авторизации, высокой стандартизации и других особенностей реализации протоколов формальные признаки практически отсутствуют.
Борьба на уровне сервера
Из перспективных разработок стоит отметить анализ статистики поведения пользователя: количество ответов, получаемых пользователем на его сообщения, количество занесений его в игнор-лист, количество безуспешных запросов на авторизацию и других параметров. Такое, кстати, уже невозможно в электронной почте. Хотя бы потому, что IM — синхронный метод общения, а почта — асинхронный. Далее следует анализ сообщения. Основной принцип схож с «почтовым»: строится база «спам-слов», каждому из них присваивается вероятность, что оно спамовое (то есть его «вес»), затем анализируется сообщение. Если сообщение набирает общий вес, переваливающий за установленный максимум, то оно уходит в топку. Кстати, по таким же соображениям работают всевозможные, но немногочисленные существующие антиспам-плагины для клиентов IM. Но на сервере их эффективность все равно на порядки выше.
Борьба на уровне клиента
А что же делать клиентам? Если возможно - запретить видимость статуса через web и отключить прием сообщений от пользователей вне контакт-листа. Либо использовать автоответчик, который будет переправлять пользователю сообщение: «Хочешь пообщаться, - вот тебе код, закинь мне его обратно для авторизации» (код сообщения генерируется самим автоответчиком).
А еще лучше просто не отвечать. Как с «нищими» в переходе: хочешь, чтобы их не было — не давай им ничего. Если так будут делать все прохожие, «нищие» уйдут сами. Прежде чем дать авторизацию, смотри информацию пользователя. Далее кидай пробное сообщение, но без особого смысла. Если ответ приходит в ту же секунду и не по контексту — в игнор.
О печальном
Так что аська (и другие IM) — это не только «цветок на могиле рабочего времени». Спам в инстант-мессенджерах из явления экзотического постепенно переходит в повседневное. Противостояние спамеров и антиспамеров — вечно. Причина этого в одном — простота копирования и рассылки электронной информации. И неважно, что через эту информацию рассылать.
Новым витком может стать спит (spit) — непрошеные сообщения в системах интернет-телефонии. Низкая стоимость трафика и резко возросшее за последние несколько лет качество приводят к тому, что все больше людей переходят на пакетную передачу голоса. При этом возможности IP-телефонии не ограничиваются голосовой связью. Уже есть решения, которые могут отсылать до тысячи голосовых сообщений в минуту, производительность зависит от широты используемых каналов и мощности железа. Вот здесь уж точно придется применять кардинально новые способы борьбы.
Автор: Кирилл Блаженнов
Источник: спецвыпуск журнала Хакер, #074
Print This Post
Похожие посты
Укрепление защиты Exchange Server 2007, часть 2
Настройка почтовой службы в Single Exchange Server 2007
Спама бояться – соб@ку не заводить
Управление коннекторами получения (часть 2)
Спам - почему его становится больше?
Основных методов борьбы со спамом
Классификация методов спам рассылок и методы анализа
Принципы и технические методы работы с незапрашиваемой корреспонденцией
Мониторинг средствами Exchange
Беспредельный спам
Про пост
Этот пост January 23, 2008 at 8:41 pm опубликовал molse в категории Spam. Желающие могут оформить RSS подписку на комменты. Оставьте комментарий(последний комментарий отображается первым) или оставьте трэкбэк. Ccылка на трэкбэк.
Комментарии
Your email is never published nor shared. Required fields are marked *
Name *
Email *
Website
Защитный код (красные символы НЕ вводить!)
Comment
« Про новую категорию, задержку при отправке писем, Ubuntu
Передовые антиспам технологии »
ЯндексДирект
Microsoft Office Professional
Улучшенные версии MS Word, Excel, PowerPoint, Outlook, Access!
www.microsoft.com
Нужен WebPart для SharePoint?
Разработка приложений для SharePoint
www.vbapro.ru
Спамы
Портал "Свой Бизнес": Идеи, методы и возможности для успешного бизнеса.
www.mybiz.ru
Вакансия: Системный администратор
Объявления о поиске работы и подборе персонала. Информационные технологии.
rabota.slando.spb.ru · Санкт-Петербург
Дать объявление
Самые Популярные Посты
Сервер каталогов LDAP как источник аутентификации - интеграция с AD
Пошаговые руководства по Windows Server 2008 на русском
Пособие для модного админа
Active Directory Topology Diagrammer – помощник администратора
Переход с Linux на Windows и обратно
5 простых шагов настройки кластера Web-серверов
Сервер каталогов LDAP как источник аутентификации - учётные записи
Сервер каталогов LDAP как источник аутентификации - настройка NSS и PAM
RSS
Ubuntu Cheat Sheet
Archives
December 2008
November 2008
October 2008
September 2008
August 2008
July 2008
June 2008
May 2008
April 2008
March 2008
February 2008
January 2008
December 2007
November 2007
October 2007
September 2007
August 2007
Разное
Категории
Active Directory
Bios
CISCO
Communigate
DHCP
DNS
FreeBSD
LDAP
Linux
Centos
Ubuntu
Windows to Linux
Администрирование
Экзамен LPI
Microsoft Exchange
Microsoft ISA
NAT
Postfix
Shell и скрипты
Spam
Uncategorized
VOIP
Windows
Windows 7
Windows Server 2008
Windows Vista
Windows XP
администрирование Windows
Бездисковая загрузка
Безопасность
Беспроводные технологии
Блог
Виртуализация
Восстановление и резервное копирование
Групповые политики
Документация
Железо
Заработок в интернете, Wordpress
Интересное
Командная строка
Мониторинг
Моя работа
Настройка компьютера
Общие статьи для сисадминов
Полезные утилиты
Продукты Microsoft
Разное
Реестр
Сетевые протоколы
Сетевые технологии
Терминалка
Юмор
Ссылки
Я читаю
Администрирование и настройка Linux, Windows
Доступно про Linux
Последнее
Возможности Windows 7: Аэро-взгляд
Возможности Windows 7: Aero Snaps
Ещё одна ошибка загрузки Xen
Система Ubuntu Xen зависает после сообщения “Setting System Clock”
Построение HA-кластера с использованием RHCS и GFS в RHEL 5
Гостевая система Ubuntu Xen подвисает после EXT3-fs: mounted filesystem with ordered data mode message
Ubuntu DomainU не запускается с ошибкой “Error: Device 0 (vif) could not be connected. Could not find bridge, and none was specified”.
Установка Windows Server 2008 в Xen HVM завершается ошибкой
В domU Xen указатель мыши в консоли VNC показывает неверное положение
Как восстановить поврежденный профиль пользователя в Windows XP
Спонсоры
Meta
Login
© 2007 Для системного администрат
Беспредельный спам
NDR-атаки - проблемы и решения
Несмотря на все усилия и многомиллионные вложения в защитные средства, спамеры уходить со сцены не собираются, разрабатывая новые виды изощренных атак, жертвой которых может стать практически каждый. И если вовремя не контратаковать, полезные сообщения буквально утонут в лавине рекламной корреспонденции. Эта статья ориентирована главным образом на простых пользователей и владельцев домашних серверов, за ошибки конфигурации которых приходится расплачиваться не только разными неудобствами, но еще и трафиком, а трафик (особенно исходящий) обычно стоит больших денег.
Среди множества хитроумных трюков, применяемых спамерами (и хакерами), NDR-атаки имеют особое место, поскольку они основаны на фундаментальных спецификациях, описывающих работу протокола SMTP (Simple Mail Transfer Protocol – Простой протокол доставки почты). Пусть слово «простой» не вводит тебя в заблуждение. SMTP – основной протокол, прямых конкурентов у которого нет и, по-видимому, уже не будет (IMAP4 можно не брать в расчет, это все-таки экзотика, а SMTP – «рабочая лошадка»).
RFC, SMTP, NDR
Свое название NDR-атаки получили по первым буквам выражения Non-Delivery Report (отчет о недоставке почты). Всякий раз, когда SMTP-сервер не может доставить письмо (скажем, по причине отсутствия указанного адреса), он возвращает сообщение об ошибке с кодом 5xx, которое может выглядеть, например, так: «550 5.7.1 Unable to relay for kk@sendmail.ru», после чего разрывает TCP/IP-соединение. Однако сервер может и принять сообщение, отложить его в очередь, оповещая отправителя положительным кодом завершения операции (250).
Когда же в процессе обработки письма выяснится, что доставлять его некому, сервер, как порядочный гражданин, возвратит письмо адресату с объяснением причины невозможности доставки (здесь уместно провести аналогию с «улиточной» почтой). Вот это самое уведомление и называется Non-Delivery Report, или сокращенно NDR. Теоретически формат отчета специфицирован в RFC-3464 (An Extensible Message Format for Delivery Status Notifications — Открытый формат сообщений, уведомляющих о статусе доставки), однако в реальной жизни он варьируется в весьма широких пределах. Одни серверы помещают исходную копию письма во вложение, а сам отчет (составленный, как правило, на английском языке) кладут в основное тело сообщения. Другие же в целях экономии трафика отправляют только отчет, добавляя к нему короткий фрагмент исходного письма, включающий как минимум заголовок и несколько первых строк (чтобы отправитель мог разобраться, какое именно письмо «пострадало»).
В общем, уведомления о недоставке — стандартная и внешне вполне безобидная фича, реализованная еще в незапамятные времена. Казалось бы, ну чем она может быть полезна хакерам? Однако с ней связано целых две атаки: использование SMTP-сервера в качестве proxy (bounce message или backscatter-attack) и поиск валидных адресов (trial-n-error attack).
Backscatter-attack
Термин backscatter перекочевал в хакерскую среду из физики, где он означает отклонение волн от исходной траектории по тем или иным причинам (например, рэлеевское рассеяние света на молекулах воздуха, придающее небу голубой цвет). Применительно к SMTP-серверам backscatter «символизирует» процесс отскока или отбивания посланного сообщения. Такая атака также часто называется bounce message attack.
Один из крупнейших дефектов SMTP-протокола заключается в отсутствии штатных механизмов проверки аутентичности обратного адреса отправителя сообщения. Сервер всецело полагается на адрес, оставленный отправителем в поле «MAIL FROM:», не делая никаких попыток его проверки, а потому злоумышленник может запросто подставить любой адрес, какой ему вздумается, и именно туда сервер возвратит сообщение при невозможности его доставки конечному получателю. Что делает злоумышленник? Он берет адрес жертвы, прописывает его в поле «MAIL FROM:», а в поле «RCPT TO:» подставляет координаты заведомо несуществующего получателя. Если сервер не является ретранслятором (также называемым релеем — от английского relay), то есть берется за доставку корреспонденции лишь своим локальным адресатам, то он с вероятностью, близкой к единице, отобьет сообщение еще на стадии заполнения поля «RCPT TO:» и атака не состоится. Впрочем, некоторые серверы, в частности Microsoft Exchange Server, имеют довольно дурную систему поиска имен и зачастую принимают сообщения до проверки пользователя на существование.
Что же касается ретрансляторов (к которым де-факто принадлежат все публичные серверы, такие, например, как mail.ru), то они вообще не в состоянии определить существование нелокальных пользователей и потому принимают все письма без разбора. Лишь потом, в случае невозможности доставки, они посылают отправителю (или, точнее говоря, тому лицу, чей адрес указан в поле «MAIL FROM:») соответствующее уведомление.
Ну и как это можно использовать для атаки? И тем более для спама? Ведь рассылка уведомлений по множественным адресам запрещена, и потому атакующему для отправки N писем размером в K мегабайт придется израсходовать N*K мегабайт своего трафика. А это ровно столько, сколько тратится при так называемой директивной рассылке, когда атакующий вообще не прибегает к услугам промежуточных SMTP-серверов, а связывается с каждым получателем напрямую и кладет в его почтовый ящик конверт со спамом (или с вирусом — неважно). Потому-то хакеры и стремятся использовать открытые ретрансляторы, допускающие задание в поле «MAIL TO:» множества адресатов. В идеале (если количество адресов неограниченно) атакующий тратит лишь K мегабайт собственного трафика, остальные же почтовый сервер оплачивает из своего кармана. Однако с каждым днем находить открытые ретрансляторы становится все труднее и труднее. Практически все почтовые серверы устанавливают жесткие лимиты на максимальное количество сообщений, передаваемых в единицу времени, и либо вообще запрещают множественную рассылку, либо соглашаются доставлять письмо ограниченному числу получателей (как правило, не более шести).
Стоп! А зачем атакующему нужны открытые ретрансляторы, если широкие DSL-каналы сегодня не роскошь, а средство передвижения? К тому же исходящий трафик обычно либо совсем бесплатный, либо тарифицируется по весьма льготным ценам. Сегодня каждый может позволить себе арендовать канал, о котором вчера добрая половина провайдеров не могла и мечтать! Кажется, что в сложившихся условиях директивная рассылка должна стать основным орудием спамеров, но…
В том-то и дело, что при практической реализации атаки сразу же всплывает множество «но». Большинство корпоративных (да и публичных) серверов попросту не примут письмо неизвестно от кого. Поэтому как минимум потребуется обзавестись доменным именем третьего уровня и воздвигнуть собственный почтовый сервер (хотя бы чисто формальный). А для этого уже желательно иметь статический IP, хотя доменное имя третьего уровня можно бесплатно зарегистрировать и на динамическом.
В результате некоторых манипуляций мы добились того, что почтовые серверы начинают принимать от нас корреспонденцию. Но стоит только начать рассылать спам, как уже через несколько часов атака потухнет, как бычок в писсуаре. Используя распределенные черные списки (они же блэк-листы), почтовые серверы очень быстро заблокируют наш IP-адрес (а то и всю подсеть). В случае статического адреса это еще ничего (моя селедка, что хочу с ней, то и делаю), а вот блокировка динамического IP (или всей подсети) создает огромные проблемы для провайдера, который тут же отключает хакера. Вот так со всего маху и отключает. Прямым ударом. В челюсть. Ведь попасть в черные списки намного проще, чем выбраться оттуда, да и процедура «реабилитации» обычно далеко не бесплатна. А количество провайдеров (даже в крупном городе) хоть и велико, но все-таки ограничено.
Короче, директивная рассылка оправдывает себя только на ботнетах — пишем червя, заражаем несколько десятков тысяч машин и ретранслируем письма их руками. Но ведь ботнет еще создать нужно! К тому же, в отличие от спама (юридический статус которого до сих пор не определен), это уже является довольно серьезным правонарушением, особенно если в число зараженных узлов попадут компьютеры различных секретных ведомств. В таких случаях пощады ждать, как правило, не приходится и приговор оказывается очень суров, а судимость (пускай даже условная) — это все-таки судимость, существенно ограничивающая гражданина в правах.
И тут на помощь спамерам приходят backscatter-атаки. Злоумышленник, используя различные SMTP-серверы, рассылает корреспонденцию, подставляя адрес получателя в поле «MAIL FROM:» и указывая заведомо несуществующего пользователя в поле «RCPT TO:». Несмотря на то что подлинный IP-адрес спамера остается в заголовке письма (помещаемого сервером во вложение или в основное тело сообщения), существующие фильтры не настолько интеллектуальны, чтобы достать его оттуда, и потому заносят в черный список IP почтового сервера, рассылающего уведомления о невозможности доставки сообщений. Поскольку таких серверов очень много (данным условиям отвечает практически любой SMTP-сервер, даже не являющийся ретранслятором), они не кончатся никогда, и на недостаток в них спамер навряд ли сможем пожаловаться. А вот для владельцев самих атакованных серверов настанут мрачные деньки, и им придется совершить нехилые телодвижения, доказывая, что никакого спама они не рассылали!
Как защититься от подобных атак? Нет ничего проще! Достаточно как следует покопаться в настройках сервера. Прежде всего, следует включать в отчет о недоставке только фрагмент исходного сообщения (заголовок плюс пара-тройка строк), что сделает его совершенно бесполезным для спамеров, и они потеряют к нему всякий интерес. Если же это невозможно (например, сервер не поддерживает таких настроек), задействуй режим замедления SMTP-ответов, установив задержку в несколько секунд для неавторизованных пользователей. Конечно, это слегка замедлит производительность сервера, но… что поделаешь! Между «скорострельностью» и безопасностью приходится выбирать что-то одно.
Trial-n-error attack
Спамеры заинтересованы в отправке сообщений только на действующие адреса, и уведомления о недоставке тут приходятся как нельзя кстати. В частности, ошибка типа «mailbox is full» говорит, что получатель, скорее всего, забил на этот ящик и уже давно его не использует, а потому он заполнен до предела. Но это мелочи. Главная проблема спамеров — сбор адресов. Для их поиска разрабатываются хитроумные программы-харвестеры (от английского harvester — «собиратель»), блуждающие по просторам Сети и анализирующие web-странички, а также проникающие на уязвимые узлы и сканирующие адресную книгу. Однако пользователи не дураки. Свою основную мыльницу на форумах уже давно никто не оставляет, а бесплатные ящики, создаваемые на короткое время на серверах типа mail.ru, спамерам не очень интересны, да и фильтры там стоят достаточно мощные.
Наибольший доход приносит рассылка по корпоративным адресам. Вот только как эти самые адреса найти? А почему бы не воспользоваться перебором по словарю? А что! Пользователи склонны выбирать короткие и легко запоминающиеся адреса, как правило, состоящие из имени (с добавленным к нему годом, когда такое имя уже кем-то занято), популярных слов типа mafia, hacker, supermen или инициалов в стиле kk, что расшифровывается как Kris Kaspersky. Когда-то у меня был такой адрес на sendmail’е. Спаму туда сыпалось огромное количество. Чуть меньше доставалось n2k, зарегистрированному на том же сервере. Четырехсимвольный алиас kpnc чувствовал себя довольно уверенно — спаму туда приходило относительно немного, но все-таки значительно больше, чем на kris.kaspersky. Отсюда вывод: любые короткие имена (неважно, словарные они или нет) легко находятся тривиальным подбором. Атакующий просто отправляет большое количество писем, перебирая различные буквенно-цифровые комбинации, и ловит NDR-уведомления от почтового сервера. Несуществующие адреса отметаются сразу, а вот на остальные направляется стабильный поток незапрошенной корреспонденции. Для экономии трафика тело тестового письма обычно содержит минимум символов и зачастую просто состоит из нескольких байт.
Исследование, проведенное автором этой статьи, показало, что одно-, двух- и трехсимвольные комбинации представлены на популярных почтовых серверах достаточно полно и покрывают около двух десятков тысяч действующих адресов. Причем, в отличие от адресов, почерпнутых из спамерских баз (за которые еще платить надо), короткие имена намного медленнее устаревают, поскольку их владельцам жалко с ними расставаться. Даже если они выберут другое короткое имя — ну и что с того? Оно также будет найдено методом перебора.
Четырехсимвольные имена перебирать труднее, поскольку из двух миллионов комбинаций реально используется жалкая сотня тысяч или даже и того меньше. К тому же отправка двух миллионов писем – процедура нетривиальная, привлекающая к себе внимание. Рассылка начнет давиться фильтрами задолго до того, как спамер успеет пожать плоды своих трудов. Пятисимвольные имена лобовым перебором уже не находятся в принципе, точнее, находятся, конечно, но… смысл? Разослать сто миллионов писем, чтобы собрать ту же сотню тысяч адресов?
Другое мощное оружие — перебор по словарю. Кстати говоря, принятая система раздачи адресов в корпорациях (по имени и/или фамилии сотрудников) этому только способствует, поскольку, во-первых, существуют словари имен и фамилий. Во-вторых, даже если какая-то конкретная фамилия в таком словаре отсутствует (например, Вуглускреб), то она все равно содержит предсказуемые корни и подчиняется правилам чередования гласных и согласных, что существенно ограничивает перебор.
Короткий лингвистический ликбез. Большинство русских (и японских) имен содержит одинаковое количество попеременно чередующихся гласных и согласных (Таня, Маня, Мазепа, Иванов, Сидоров). Имена, включающие в себя несколько подряд идущих гласных, также широко распространены, но сочетаний подряд идущих согласных очень и очень немного, причем в различных языках они разные. Мы с трудом выговариваем сочетание th, в то время как американцы приходят в ужас от слова «защищающиеся» (попытайся записать его латиницей, и пусть тебя охватит гордость за наш язык :)).
Естественно, все, что известно лингвистам, известно и хакерам (тем более что об этом можно прочесть в любом лингвистическом учебнике, там же даны и таблицы распространенности различных сочетаний звуков и букв). Учитывая, что гласных в латинском алфавите только шесть, нетрудно подсчитать, сколько наберется «осмысленных» имен, сгенерированных с учетом лингвистических особенностей (простейшие генераторы, которые легко найти в Сети, исходят из предположения, что гласных и согласных должно быть поровну). Более сложные программы, использующие замороченные психофизические модели, как правило, распространяются за деньги, однако и те и другие дают поразительный результат и эффективно находят даже девятисимвольные имена, разумеется, без учета словаря.
Как вариант - можно использовать словарь и программу-модификатор, переставляющую буквы местами, записывающую «O» как ноль, «l» как единицу, набирающую русские имена латинскими буквами с учетом их расположения на клавиатуре: Марина - Vfhbyf и т.д.
Короче говоря, даже если нигде не светить свое мыло, настырные спамеры его все равно найдут (исключение составляют длинные — свыше пяти-шести символов — имена, состоящие из одних согласных букв, цифр и спецсимволов). Можно ли защититься от подобных атак? На уровне почтового сервера — можно. Достаточно генерировать сообщение о недоставке в ответ на все подозрительные сообщения и даже на все сообщения с неизвестным адресатом (то есть таким адресатом, которому получатель сообщения ранее не отправлял никакой корреспонденции). Практика показывает, что честные пользователи сразу (или через некоторое время) повторяют попытку отправки вновь, в то время как спамеры тут же заносят такой адрес в список несуществующих. Кстати говоря, поскольку спамеры анализируют уведомления о недоставке не вручную, а с помощью программ, выдирающих из тела письма код ошибки, то имеет смысл добавить в уведомление русский текст, предлагающий пользователю отправить сообщение еще раз, чтобы тот зря не нервничал, полагая, что ошибся адресом.
Заключение
Базовые почтовые протоколы разрабатывались в эпоху ранней юности интернета (когда никаких вандалов еще не было) и с тех пор практически не претерпели изменений, становясь легкой добычей хакеров и заставляя нас расплачиваться за ошибки своих отцов и дедов.
Впрочем, не будем о грустном. Все не так уж и мрачно. Протоколы постепенно дорабатываются, появляются новые механизмы аутентификации, однако в силу децентрализованной природы интернета их внедрение затягивается на неопределенный срок.
Автор: Крис Касперски
Взято с августовского выпуска журнала Хакер
Print This Post
Похожие посты
Укрепление защиты Exchange Server 2007, часть 2
Настройка почтовой службы в Single Exchange Server 2007
Спама бояться – соб@ку не заводить
Спам в мессенжерах
Управление коннекторами получения (часть 2)
Спам - почему его становится больше?
Основных методов борьбы со спамом
Классификация методов спам рассылок и методы анализа
Принципы и технические методы работы с незапрашиваемой корреспонденцией
Мониторинг средствами Exchange
Про пост
Этот пост November 5, 2007 at 12:16 pm опубликовал molse в категории Spam. Желающие могут оформить RSS подписку на комменты. Оставьте комментарий(последний комментарий отображается первым) или оставьте трэкбэк. Ccылка на трэкбэк.
Комментарии
Your email is never published nor shared. Required fields are marked *
Name *
Email *
Website
Защитный код (красные символы НЕ вводить!)
Comment
« Понимание DNS протокола. Поля в заголовке DNS. Часть 3
Следим за трафиком при помощи протокола NetFlow. »
NDR-атаки - проблемы и решения
Несмотря на все усилия и многомиллионные вложения в защитные средства, спамеры уходить со сцены не собираются, разрабатывая новые виды изощренных атак, жертвой которых может стать практически каждый. И если вовремя не контратаковать, полезные сообщения буквально утонут в лавине рекламной корреспонденции. Эта статья ориентирована главным образом на простых пользователей и владельцев домашних серверов, за ошибки конфигурации которых приходится расплачиваться не только разными неудобствами, но еще и трафиком, а трафик (особенно исходящий) обычно стоит больших денег.
Среди множества хитроумных трюков, применяемых спамерами (и хакерами), NDR-атаки имеют особое место, поскольку они основаны на фундаментальных спецификациях, описывающих работу протокола SMTP (Simple Mail Transfer Protocol – Простой протокол доставки почты). Пусть слово «простой» не вводит тебя в заблуждение. SMTP – основной протокол, прямых конкурентов у которого нет и, по-видимому, уже не будет (IMAP4 можно не брать в расчет, это все-таки экзотика, а SMTP – «рабочая лошадка»).
RFC, SMTP, NDR
Свое название NDR-атаки получили по первым буквам выражения Non-Delivery Report (отчет о недоставке почты). Всякий раз, когда SMTP-сервер не может доставить письмо (скажем, по причине отсутствия указанного адреса), он возвращает сообщение об ошибке с кодом 5xx, которое может выглядеть, например, так: «550 5.7.1 Unable to relay for kk@sendmail.ru», после чего разрывает TCP/IP-соединение. Однако сервер может и принять сообщение, отложить его в очередь, оповещая отправителя положительным кодом завершения операции (250).
Когда же в процессе обработки письма выяснится, что доставлять его некому, сервер, как порядочный гражданин, возвратит письмо адресату с объяснением причины невозможности доставки (здесь уместно провести аналогию с «улиточной» почтой). Вот это самое уведомление и называется Non-Delivery Report, или сокращенно NDR. Теоретически формат отчета специфицирован в RFC-3464 (An Extensible Message Format for Delivery Status Notifications — Открытый формат сообщений, уведомляющих о статусе доставки), однако в реальной жизни он варьируется в весьма широких пределах. Одни серверы помещают исходную копию письма во вложение, а сам отчет (составленный, как правило, на английском языке) кладут в основное тело сообщения. Другие же в целях экономии трафика отправляют только отчет, добавляя к нему короткий фрагмент исходного письма, включающий как минимум заголовок и несколько первых строк (чтобы отправитель мог разобраться, какое именно письмо «пострадало»).
В общем, уведомления о недоставке — стандартная и внешне вполне безобидная фича, реализованная еще в незапамятные времена. Казалось бы, ну чем она может быть полезна хакерам? Однако с ней связано целых две атаки: использование SMTP-сервера в качестве proxy (bounce message или backscatter-attack) и поиск валидных адресов (trial-n-error attack).
Backscatter-attack
Термин backscatter перекочевал в хакерскую среду из физики, где он означает отклонение волн от исходной траектории по тем или иным причинам (например, рэлеевское рассеяние света на молекулах воздуха, придающее небу голубой цвет). Применительно к SMTP-серверам backscatter «символизирует» процесс отскока или отбивания посланного сообщения. Такая атака также часто называется bounce message attack.
Один из крупнейших дефектов SMTP-протокола заключается в отсутствии штатных механизмов проверки аутентичности обратного адреса отправителя сообщения. Сервер всецело полагается на адрес, оставленный отправителем в поле «MAIL FROM:», не делая никаких попыток его проверки, а потому злоумышленник может запросто подставить любой адрес, какой ему вздумается, и именно туда сервер возвратит сообщение при невозможности его доставки конечному получателю. Что делает злоумышленник? Он берет адрес жертвы, прописывает его в поле «MAIL FROM:», а в поле «RCPT TO:» подставляет координаты заведомо несуществующего получателя. Если сервер не является ретранслятором (также называемым релеем — от английского relay), то есть берется за доставку корреспонденции лишь своим локальным адресатам, то он с вероятностью, близкой к единице, отобьет сообщение еще на стадии заполнения поля «RCPT TO:» и атака не состоится. Впрочем, некоторые серверы, в частности Microsoft Exchange Server, имеют довольно дурную систему поиска имен и зачастую принимают сообщения до проверки пользователя на существование.
Что же касается ретрансляторов (к которым де-факто принадлежат все публичные серверы, такие, например, как mail.ru), то они вообще не в состоянии определить существование нелокальных пользователей и потому принимают все письма без разбора. Лишь потом, в случае невозможности доставки, они посылают отправителю (или, точнее говоря, тому лицу, чей адрес указан в поле «MAIL FROM:») соответствующее уведомление.
Ну и как это можно использовать для атаки? И тем более для спама? Ведь рассылка уведомлений по множественным адресам запрещена, и потому атакующему для отправки N писем размером в K мегабайт придется израсходовать N*K мегабайт своего трафика. А это ровно столько, сколько тратится при так называемой директивной рассылке, когда атакующий вообще не прибегает к услугам промежуточных SMTP-серверов, а связывается с каждым получателем напрямую и кладет в его почтовый ящик конверт со спамом (или с вирусом — неважно). Потому-то хакеры и стремятся использовать открытые ретрансляторы, допускающие задание в поле «MAIL TO:» множества адресатов. В идеале (если количество адресов неограниченно) атакующий тратит лишь K мегабайт собственного трафика, остальные же почтовый сервер оплачивает из своего кармана. Однако с каждым днем находить открытые ретрансляторы становится все труднее и труднее. Практически все почтовые серверы устанавливают жесткие лимиты на максимальное количество сообщений, передаваемых в единицу времени, и либо вообще запрещают множественную рассылку, либо соглашаются доставлять письмо ограниченному числу получателей (как правило, не более шести).
Стоп! А зачем атакующему нужны открытые ретрансляторы, если широкие DSL-каналы сегодня не роскошь, а средство передвижения? К тому же исходящий трафик обычно либо совсем бесплатный, либо тарифицируется по весьма льготным ценам. Сегодня каждый может позволить себе арендовать канал, о котором вчера добрая половина провайдеров не могла и мечтать! Кажется, что в сложившихся условиях директивная рассылка должна стать основным орудием спамеров, но…
В том-то и дело, что при практической реализации атаки сразу же всплывает множество «но». Большинство корпоративных (да и публичных) серверов попросту не примут письмо неизвестно от кого. Поэтому как минимум потребуется обзавестись доменным именем третьего уровня и воздвигнуть собственный почтовый сервер (хотя бы чисто формальный). А для этого уже желательно иметь статический IP, хотя доменное имя третьего уровня можно бесплатно зарегистрировать и на динамическом.
В результате некоторых манипуляций мы добились того, что почтовые серверы начинают принимать от нас корреспонденцию. Но стоит только начать рассылать спам, как уже через несколько часов атака потухнет, как бычок в писсуаре. Используя распределенные черные списки (они же блэк-листы), почтовые серверы очень быстро заблокируют наш IP-адрес (а то и всю подсеть). В случае статического адреса это еще ничего (моя селедка, что хочу с ней, то и делаю), а вот блокировка динамического IP (или всей подсети) создает огромные проблемы для провайдера, который тут же отключает хакера. Вот так со всего маху и отключает. Прямым ударом. В челюсть. Ведь попасть в черные списки намного проще, чем выбраться оттуда, да и процедура «реабилитации» обычно далеко не бесплатна. А количество провайдеров (даже в крупном городе) хоть и велико, но все-таки ограничено.
Короче, директивная рассылка оправдывает себя только на ботнетах — пишем червя, заражаем несколько десятков тысяч машин и ретранслируем письма их руками. Но ведь ботнет еще создать нужно! К тому же, в отличие от спама (юридический статус которого до сих пор не определен), это уже является довольно серьезным правонарушением, особенно если в число зараженных узлов попадут компьютеры различных секретных ведомств. В таких случаях пощады ждать, как правило, не приходится и приговор оказывается очень суров, а судимость (пускай даже условная) — это все-таки судимость, существенно ограничивающая гражданина в правах.
И тут на помощь спамерам приходят backscatter-атаки. Злоумышленник, используя различные SMTP-серверы, рассылает корреспонденцию, подставляя адрес получателя в поле «MAIL FROM:» и указывая заведомо несуществующего пользователя в поле «RCPT TO:». Несмотря на то что подлинный IP-адрес спамера остается в заголовке письма (помещаемого сервером во вложение или в основное тело сообщения), существующие фильтры не настолько интеллектуальны, чтобы достать его оттуда, и потому заносят в черный список IP почтового сервера, рассылающего уведомления о невозможности доставки сообщений. Поскольку таких серверов очень много (данным условиям отвечает практически любой SMTP-сервер, даже не являющийся ретранслятором), они не кончатся никогда, и на недостаток в них спамер навряд ли сможем пожаловаться. А вот для владельцев самих атакованных серверов настанут мрачные деньки, и им придется совершить нехилые телодвижения, доказывая, что никакого спама они не рассылали!
Как защититься от подобных атак? Нет ничего проще! Достаточно как следует покопаться в настройках сервера. Прежде всего, следует включать в отчет о недоставке только фрагмент исходного сообщения (заголовок плюс пара-тройка строк), что сделает его совершенно бесполезным для спамеров, и они потеряют к нему всякий интерес. Если же это невозможно (например, сервер не поддерживает таких настроек), задействуй режим замедления SMTP-ответов, установив задержку в несколько секунд для неавторизованных пользователей. Конечно, это слегка замедлит производительность сервера, но… что поделаешь! Между «скорострельностью» и безопасностью приходится выбирать что-то одно.
Trial-n-error attack
Спамеры заинтересованы в отправке сообщений только на действующие адреса, и уведомления о недоставке тут приходятся как нельзя кстати. В частности, ошибка типа «mailbox is full» говорит, что получатель, скорее всего, забил на этот ящик и уже давно его не использует, а потому он заполнен до предела. Но это мелочи. Главная проблема спамеров — сбор адресов. Для их поиска разрабатываются хитроумные программы-харвестеры (от английского harvester — «собиратель»), блуждающие по просторам Сети и анализирующие web-странички, а также проникающие на уязвимые узлы и сканирующие адресную книгу. Однако пользователи не дураки. Свою основную мыльницу на форумах уже давно никто не оставляет, а бесплатные ящики, создаваемые на короткое время на серверах типа mail.ru, спамерам не очень интересны, да и фильтры там стоят достаточно мощные.
Наибольший доход приносит рассылка по корпоративным адресам. Вот только как эти самые адреса найти? А почему бы не воспользоваться перебором по словарю? А что! Пользователи склонны выбирать короткие и легко запоминающиеся адреса, как правило, состоящие из имени (с добавленным к нему годом, когда такое имя уже кем-то занято), популярных слов типа mafia, hacker, supermen или инициалов в стиле kk, что расшифровывается как Kris Kaspersky. Когда-то у меня был такой адрес на sendmail’е. Спаму туда сыпалось огромное количество. Чуть меньше доставалось n2k, зарегистрированному на том же сервере. Четырехсимвольный алиас kpnc чувствовал себя довольно уверенно — спаму туда приходило относительно немного, но все-таки значительно больше, чем на kris.kaspersky. Отсюда вывод: любые короткие имена (неважно, словарные они или нет) легко находятся тривиальным подбором. Атакующий просто отправляет большое количество писем, перебирая различные буквенно-цифровые комбинации, и ловит NDR-уведомления от почтового сервера. Несуществующие адреса отметаются сразу, а вот на остальные направляется стабильный поток незапрошенной корреспонденции. Для экономии трафика тело тестового письма обычно содержит минимум символов и зачастую просто состоит из нескольких байт.
Исследование, проведенное автором этой статьи, показало, что одно-, двух- и трехсимвольные комбинации представлены на популярных почтовых серверах достаточно полно и покрывают около двух десятков тысяч действующих адресов. Причем, в отличие от адресов, почерпнутых из спамерских баз (за которые еще платить надо), короткие имена намного медленнее устаревают, поскольку их владельцам жалко с ними расставаться. Даже если они выберут другое короткое имя — ну и что с того? Оно также будет найдено методом перебора.
Четырехсимвольные имена перебирать труднее, поскольку из двух миллионов комбинаций реально используется жалкая сотня тысяч или даже и того меньше. К тому же отправка двух миллионов писем – процедура нетривиальная, привлекающая к себе внимание. Рассылка начнет давиться фильтрами задолго до того, как спамер успеет пожать плоды своих трудов. Пятисимвольные имена лобовым перебором уже не находятся в принципе, точнее, находятся, конечно, но… смысл? Разослать сто миллионов писем, чтобы собрать ту же сотню тысяч адресов?
Другое мощное оружие — перебор по словарю. Кстати говоря, принятая система раздачи адресов в корпорациях (по имени и/или фамилии сотрудников) этому только способствует, поскольку, во-первых, существуют словари имен и фамилий. Во-вторых, даже если какая-то конкретная фамилия в таком словаре отсутствует (например, Вуглускреб), то она все равно содержит предсказуемые корни и подчиняется правилам чередования гласных и согласных, что существенно ограничивает перебор.
Короткий лингвистический ликбез. Большинство русских (и японских) имен содержит одинаковое количество попеременно чередующихся гласных и согласных (Таня, Маня, Мазепа, Иванов, Сидоров). Имена, включающие в себя несколько подряд идущих гласных, также широко распространены, но сочетаний подряд идущих согласных очень и очень немного, причем в различных языках они разные. Мы с трудом выговариваем сочетание th, в то время как американцы приходят в ужас от слова «защищающиеся» (попытайся записать его латиницей, и пусть тебя охватит гордость за наш язык :)).
Естественно, все, что известно лингвистам, известно и хакерам (тем более что об этом можно прочесть в любом лингвистическом учебнике, там же даны и таблицы распространенности различных сочетаний звуков и букв). Учитывая, что гласных в латинском алфавите только шесть, нетрудно подсчитать, сколько наберется «осмысленных» имен, сгенерированных с учетом лингвистических особенностей (простейшие генераторы, которые легко найти в Сети, исходят из предположения, что гласных и согласных должно быть поровну). Более сложные программы, использующие замороченные психофизические модели, как правило, распространяются за деньги, однако и те и другие дают поразительный результат и эффективно находят даже девятисимвольные имена, разумеется, без учета словаря.
Как вариант - можно использовать словарь и программу-модификатор, переставляющую буквы местами, записывающую «O» как ноль, «l» как единицу, набирающую русские имена латинскими буквами с учетом их расположения на клавиатуре: Марина - Vfhbyf и т.д.
Короче говоря, даже если нигде не светить свое мыло, настырные спамеры его все равно найдут (исключение составляют длинные — свыше пяти-шести символов — имена, состоящие из одних согласных букв, цифр и спецсимволов). Можно ли защититься от подобных атак? На уровне почтового сервера — можно. Достаточно генерировать сообщение о недоставке в ответ на все подозрительные сообщения и даже на все сообщения с неизвестным адресатом (то есть таким адресатом, которому получатель сообщения ранее не отправлял никакой корреспонденции). Практика показывает, что честные пользователи сразу (или через некоторое время) повторяют попытку отправки вновь, в то время как спамеры тут же заносят такой адрес в список несуществующих. Кстати говоря, поскольку спамеры анализируют уведомления о недоставке не вручную, а с помощью программ, выдирающих из тела письма код ошибки, то имеет смысл добавить в уведомление русский текст, предлагающий пользователю отправить сообщение еще раз, чтобы тот зря не нервничал, полагая, что ошибся адресом.
Заключение
Базовые почтовые протоколы разрабатывались в эпоху ранней юности интернета (когда никаких вандалов еще не было) и с тех пор практически не претерпели изменений, становясь легкой добычей хакеров и заставляя нас расплачиваться за ошибки своих отцов и дедов.
Впрочем, не будем о грустном. Все не так уж и мрачно. Протоколы постепенно дорабатываются, появляются новые механизмы аутентификации, однако в силу децентрализованной природы интернета их внедрение затягивается на неопределенный срок.
Автор: Крис Касперски
Взято с августовского выпуска журнала Хакер
Print This Post
Похожие посты
Укрепление защиты Exchange Server 2007, часть 2
Настройка почтовой службы в Single Exchange Server 2007
Спама бояться – соб@ку не заводить
Спам в мессенжерах
Управление коннекторами получения (часть 2)
Спам - почему его становится больше?
Основных методов борьбы со спамом
Классификация методов спам рассылок и методы анализа
Принципы и технические методы работы с незапрашиваемой корреспонденцией
Мониторинг средствами Exchange
Про пост
Этот пост November 5, 2007 at 12:16 pm опубликовал molse в категории Spam. Желающие могут оформить RSS подписку на комменты. Оставьте комментарий(последний комментарий отображается первым) или оставьте трэкбэк. Ccылка на трэкбэк.
Комментарии
Your email is never published nor shared. Required fields are marked *
Name *
Email *
Website
Защитный код (красные символы НЕ вводить!)
Comment
« Понимание DNS протокола. Поля в заголовке DNS. Часть 3
Следим за трафиком при помощи протокола NetFlow. »
рпапр валпвлвпппппппппппппппппппп
Спам. Как защититься от спам рассылок и спам рекламы. Простые правила настройки почтового клиента
Раздел: Компьютеры и интернет
СПАМ (рекламные, незапрошенные почтовые рассылки по множеству адресов) может досадить кому угодно. Достаточно опубликовать, \"засветить\" свой почтовый ящик в интернет, не пройдет и пары недель, как в него начнут приходить различные рекламные письма.
В этой статье я не ставлю задачу обсуждать этическую сторону спама (раз не запрещен, значит разрешен) и его практическую пользу (иногда там действительно попадаются полезные для получателей предложения), ни рекламную отдачу (вообще то иногда спам - вообще единственно возможная форма рекламы в интернет). Просто я хочу поделиться своими способами защиты от спама. Оставим так же и экономическую сторону дела (на разгребание писем вы тратите время, а на получение - трафик).
Прежде всего, уясните некоторые правила поведения в интернет относительно своей электронной почты.
Не разбрасывайтесь своим почтовым адресом где ни попадя (на разных регистрациях и серверах). Если это ваш первый почтовый ящик, вам разумеется хочется, что бы вам кто то написал. Но в 99.9% случаев неискушенный ламер в сети (т.е. вы) интересен только спамеру. Если есть возможность избежать \\\\\\\"засветки\\\\\\\" своего адреса - не указывайте его. Если же такой возможности нет, см. п.2
Если вам все потребуется оставить свой адрес (например, на него должны прислать пароль доступа или вы рассчитываете получить приватный отклик на свое сообщение), то заведите себе буферный почтовый ящик на mail.ru или yandex.ru, т.е. на любом бесплатном почтовом сервере. Такие серверы, как правило имеют спам-фильтры и письма, которые рассылаются на множество адресов одновременно складывают в отдельную папки \\\\\\\"рассылок\\\\\\\". А там уж вы можете настроить, письма с каких адресов откладывать отдельно (например рассылки с адресов серверов на чьи новости вы сами подписались), а какие письма просто игнорировать. Кроме того, такие серверы имеют и антивирусные фильтры. И если вы услышите, что началась очередная эпидемия, не спешите проверять почту. Пусть доки-антивирусники успеют придумать и поставить заплатку на сервер. Но некоторые считают, что наличие почтового ящика на бесплатном сервере может отрицательно сказаться на его имидже, и они не хотят его афишировать, а предпочитают все же пользоваться РОР3-ящиками. Но и на таких ящиках можно достаточно эффективно бороться со спамом.
Достаточно эффективно со спамом на РОР3 ящиках борются почтовые клиенты, например \\\\\\\"The Bat\\\\\\\", которые позволяют не загружать с почтового сервера не само письмо, а только его заголовок. Как правило, этого бывает достаточно, что бы отсеять процентов 95 спама только по теме письма. Если же вы пользуетесь стандартным Outlook Express-ом, то вам придется создать несколько правил для сообщений, которые будут отсеивать основной поток спама. Правила создаются в меню \\\\\\\"сервис\\\\\\\" - \\\\\\\"правила для сообщений\\\\\\\" - \\\\\\\"почта\\\\\\\".
после этого в открывшемся меню нажать \\\\\\\"создать\\\\\\\" и откроется меню создания собственно правила.
Поскольку наша задача - отсеять нежелательные письма и оставить нужные, действовать будем методом отсева писем по полю \\\\\\\"тема\\\\\\\" и размерам письма. Отсеивать письма по обратному адресу и блокировать его - бессмысленно. Спамер рассылает письма специальной программой и обратный адрес там, как правило, несуществующий. Вы будете аккуратно \\\\\\\"банить\\\\\\\" весь тот бред, который сочинил спамер при отправке письма. С таким же успехом можно, например, читать лекцию о вреде курения аквариумным рыбам. Необходимо применять реально действующие методы.
Прежде все классифицируем письма и пометим те, которые могут быть для нас полезны. Письма могут быть:
А) Ответы на письма, исходящие от вас. Как правило в поле \\\\\\\"Тема\\\\\\\" остается то, что вы сами написали и добавляется \\\\\\\"Re\\\\\\\" . Смена \\\\\\\"темы\\\\\\\" - редчайший случай и что бы его избежать на всякий случай делайте в важных письмах приписку - \\\\\\\"пожалуйста, не меняйте тему письма!\\\\\\\".
Б) Письма, от добропорядочных корреспондентов, впервые вам пишущих. Адрес они узнали там, где вы его и оставили и они заинтересовались вашим предложением. В этом случае в самом сообщении сделайте пометку, что вы отвечаете только на письма с темой \\\\\\\"бла-бла-бла\\\\\\\". Тот, кому действительно вы нужны его в поле темы и поставит. Он все равно забивает текст письма вручную и одно слово набрать ему не тяжело. Эти же слова вы автоматом прописываете в поле темы письма почтовых форм своих сайтов (если у вас такие есть).
В) Остальные (как правило спам 99%) и письма от совсем невнимательных.
Поэтому создаваемое правило будет таким:
Ставим флажок напротив условия \\\\\\\"искать сообщения содержащие заданные слова в поле \\\\\\\"Тема\\\\\\\". При этом внизу (в окошке 3) появляется описание правила и предлагается указать эти слова. Нажмите на ссылку и укажите это (эти) слова в открывшемся новом окошке. Укажем, например, слово \\\\\\\"по поводу\\\\\\\", \\\\\\\"по теме\\\\\\\" и \\\\\\\"по вопросу\\\\\\\". Вполне логично в теме письма, которое пишете вы или вам указывать \\\\\\\"по поводу … вашего предложения, запроса, вашего письма, вопроса и т.д. Таким образом формируем список \\\\\\\"паролей\\\\\\\", с помощью которых мы будем опознавать полезные письма. После добавления слов становится доступна кнопка \\\\\\\"Параметры\\\\\\\" (если нет ни одного слова, кнопка затенена). Далее в параметрах устанавливаем флажок в поле \\\\\\\"отсутствуют указанные слова\\\\\\\" и флажок \\\\\\\"имеется одно из указанных слов\\\\\\\". Таким образом мы начинаем распознавать все письма, которые НЕ содержать в поле \\\\\\\"Тема\\\\\\\" ни одно из указанных слов.
Мы так же можем указать и дополнительные условия в поле 1, например, превышают заданный размер или получаемые с определенной учетной записи. После этого мы указываем, что с такими письмами делать - разумеется \\\\\\\"удалять с сервера\\\\\\\", не загружая к себе в клиент. Либо перемещать в особую папку, если спам для вас каким то образом представляет интерес.
Таких правил вы можете создать себе сколько угодно сделав себе некий многоступенчатый фильтр. Например, письма с \\\\\\\"паролем\\\\\\\" в поле \\\\\\\"Тема\\\\\\\" сразу проходят, а остальные подвергаются дополнительной проверке \\\\\\\"по весу\\\\\\\". Деловое письмо, особенно впервые вам написанное, вряд ли будет весить более 2-3 кб. Ведь там фактически первый контакт - проверка вашей готовности обсуждать какую либо проблему или предложение. Его не надо уничтожать, а стоит переместить в специальную папку для дальнейшего рассмотрения. Оно вас не \\\\\\\"нагрузит\\\\\\\" не по объему, ни по содержанию. А если это сразу многокилобайтное коммерческое предложение - реклама - так это и есть спам.
Правила работают следующим образом. Клиент считывает с сервера список сообщений (заголовки) , а затем прогоняет каждый из них по всем правилам по очереди. Сами правила можно перемещать в списке правил выше или ниже. Т.е. менять порядок их применения к письму.
Создав 2-3 немудреных правила в своем почтовом клиенте можно избавиться от 99% спама. Я, например, применяю такой способ и на несколько своих ящиков не получаю спама вообще. Даже скучно… Меж тем, на мои публичные ящики (на яндексе) спам валится как снег зимой, десятками писем в день.
Логично применять следующий алгоритм работы с электронной почтой.
Создать минимум 2 почтовых ящика. Один - засвеченный там, где вы хотите, другой - приватный, не засвеченный нигде, кроме как у ваших реальных корреспондентов, на ваших визитках и т.д. Т.е. в тех местах, где ваш адрес не может быть доступен спамеру или его роботу, собирающему почтовые адреса по сети.
На первом, засвеченном ящике проводить сепарацию писем по правилам ( определенные слова в поле \\\\\\\"тема\\\\\\\", вес письма). И сразу переводить полезных для вас собеседников (отвечать им) на приватный почтовый ящик.
Т.е. для того, что бы не страдать от спама нет большой нужды в заморочных антиспамных фильтрах. Достаточно просто вести себя как в сексе - не вступать в случайные связи. Тогда ни спам, ни вирусы вам будут не страшны.
В заключении - несколько советов.
Никогда не нажимайте на ссылки в спам-письме \\\\\\\"отписаться\\\\\\\". Тем самым вы подтвердите, что ящик ваш - действующий, и спам на него попрет с удвоенной силой.
В почтовом клиенте в разделе \\\\\\\"Сервис\\\\\\\" - \\\\\\\"Параметры\\\\\\\" - \\\\\\\"безопасность\\\\\\\" поставьте флажок напротив \\\\\\\"предупреждать\\\\\\\" и \\\\\\\"не разрешать\\\\\\\". И те вложения, которые пытаются сами открыться - удаляйте сразу. Если считаете, что там что то полезное, но зараженное без умысла - перешлите это письмо на п/ящик бесплатного сервера и проверьте его на вирусы.
К. Тимошенко
Реклама:
Лучшая защита от спама.
IBM Proventia Network Mail - защита от спама, троянов, ddos атак и др.
www-304.ibm.com - СПб
Отдых в Египте!
Туры в Египет. Все курорты Египта: Шарм-Эль-Шейх, Хургада, Дахаб.
mencey.ru - СПб
Сотовый поликарбонат borrex
Листовой сотовый поликарбонат borrex от производителя!
www.ug-plast.ru
Земельные участки
Продажа, покупка, аренда земельных участков. 8000 объявлений.
www.domania.ru
Ответхранение ТМЦ. Краснодар.
Ответхранение Ваших грузов в г.Краснодар. Полный спектр дополн. услуг.
cb.geoneo.ru - СПб
Реклама на Бегуне
Стать партнером
Copyright 2005 (c) ДелайСам
Все имеющиеся на этом сайте материалы являются авторскими.
В случае их копирования, цитирования, полного или частичного, и иного применения для публичного использования в любом виде, обязательна установка действующей гиперссылки на сайт www.delaysam.ru или указание адреса сайта (там, где размещения гиперссылки невозможно - печатные СМИ или ТВ, радио). В противном случае вы обязательно будет преследоваться по Закону о защите авторских и смежных прав.
По вопросам использования материалов и размещения рекламы обращайтесь к администрации сайта .
Раздел: Компьютеры и интернет
СПАМ (рекламные, незапрошенные почтовые рассылки по множеству адресов) может досадить кому угодно. Достаточно опубликовать, \"засветить\" свой почтовый ящик в интернет, не пройдет и пары недель, как в него начнут приходить различные рекламные письма.
В этой статье я не ставлю задачу обсуждать этическую сторону спама (раз не запрещен, значит разрешен) и его практическую пользу (иногда там действительно попадаются полезные для получателей предложения), ни рекламную отдачу (вообще то иногда спам - вообще единственно возможная форма рекламы в интернет). Просто я хочу поделиться своими способами защиты от спама. Оставим так же и экономическую сторону дела (на разгребание писем вы тратите время, а на получение - трафик).
Прежде всего, уясните некоторые правила поведения в интернет относительно своей электронной почты.
Не разбрасывайтесь своим почтовым адресом где ни попадя (на разных регистрациях и серверах). Если это ваш первый почтовый ящик, вам разумеется хочется, что бы вам кто то написал. Но в 99.9% случаев неискушенный ламер в сети (т.е. вы) интересен только спамеру. Если есть возможность избежать \\\\\\\"засветки\\\\\\\" своего адреса - не указывайте его. Если же такой возможности нет, см. п.2
Если вам все потребуется оставить свой адрес (например, на него должны прислать пароль доступа или вы рассчитываете получить приватный отклик на свое сообщение), то заведите себе буферный почтовый ящик на mail.ru или yandex.ru, т.е. на любом бесплатном почтовом сервере. Такие серверы, как правило имеют спам-фильтры и письма, которые рассылаются на множество адресов одновременно складывают в отдельную папки \\\\\\\"рассылок\\\\\\\". А там уж вы можете настроить, письма с каких адресов откладывать отдельно (например рассылки с адресов серверов на чьи новости вы сами подписались), а какие письма просто игнорировать. Кроме того, такие серверы имеют и антивирусные фильтры. И если вы услышите, что началась очередная эпидемия, не спешите проверять почту. Пусть доки-антивирусники успеют придумать и поставить заплатку на сервер. Но некоторые считают, что наличие почтового ящика на бесплатном сервере может отрицательно сказаться на его имидже, и они не хотят его афишировать, а предпочитают все же пользоваться РОР3-ящиками. Но и на таких ящиках можно достаточно эффективно бороться со спамом.
Достаточно эффективно со спамом на РОР3 ящиках борются почтовые клиенты, например \\\\\\\"The Bat\\\\\\\", которые позволяют не загружать с почтового сервера не само письмо, а только его заголовок. Как правило, этого бывает достаточно, что бы отсеять процентов 95 спама только по теме письма. Если же вы пользуетесь стандартным Outlook Express-ом, то вам придется создать несколько правил для сообщений, которые будут отсеивать основной поток спама. Правила создаются в меню \\\\\\\"сервис\\\\\\\" - \\\\\\\"правила для сообщений\\\\\\\" - \\\\\\\"почта\\\\\\\".
после этого в открывшемся меню нажать \\\\\\\"создать\\\\\\\" и откроется меню создания собственно правила.
Поскольку наша задача - отсеять нежелательные письма и оставить нужные, действовать будем методом отсева писем по полю \\\\\\\"тема\\\\\\\" и размерам письма. Отсеивать письма по обратному адресу и блокировать его - бессмысленно. Спамер рассылает письма специальной программой и обратный адрес там, как правило, несуществующий. Вы будете аккуратно \\\\\\\"банить\\\\\\\" весь тот бред, который сочинил спамер при отправке письма. С таким же успехом можно, например, читать лекцию о вреде курения аквариумным рыбам. Необходимо применять реально действующие методы.
Прежде все классифицируем письма и пометим те, которые могут быть для нас полезны. Письма могут быть:
А) Ответы на письма, исходящие от вас. Как правило в поле \\\\\\\"Тема\\\\\\\" остается то, что вы сами написали и добавляется \\\\\\\"Re\\\\\\\" . Смена \\\\\\\"темы\\\\\\\" - редчайший случай и что бы его избежать на всякий случай делайте в важных письмах приписку - \\\\\\\"пожалуйста, не меняйте тему письма!\\\\\\\".
Б) Письма, от добропорядочных корреспондентов, впервые вам пишущих. Адрес они узнали там, где вы его и оставили и они заинтересовались вашим предложением. В этом случае в самом сообщении сделайте пометку, что вы отвечаете только на письма с темой \\\\\\\"бла-бла-бла\\\\\\\". Тот, кому действительно вы нужны его в поле темы и поставит. Он все равно забивает текст письма вручную и одно слово набрать ему не тяжело. Эти же слова вы автоматом прописываете в поле темы письма почтовых форм своих сайтов (если у вас такие есть).
В) Остальные (как правило спам 99%) и письма от совсем невнимательных.
Поэтому создаваемое правило будет таким:
Ставим флажок напротив условия \\\\\\\"искать сообщения содержащие заданные слова в поле \\\\\\\"Тема\\\\\\\". При этом внизу (в окошке 3) появляется описание правила и предлагается указать эти слова. Нажмите на ссылку и укажите это (эти) слова в открывшемся новом окошке. Укажем, например, слово \\\\\\\"по поводу\\\\\\\", \\\\\\\"по теме\\\\\\\" и \\\\\\\"по вопросу\\\\\\\". Вполне логично в теме письма, которое пишете вы или вам указывать \\\\\\\"по поводу … вашего предложения, запроса, вашего письма, вопроса и т.д. Таким образом формируем список \\\\\\\"паролей\\\\\\\", с помощью которых мы будем опознавать полезные письма. После добавления слов становится доступна кнопка \\\\\\\"Параметры\\\\\\\" (если нет ни одного слова, кнопка затенена). Далее в параметрах устанавливаем флажок в поле \\\\\\\"отсутствуют указанные слова\\\\\\\" и флажок \\\\\\\"имеется одно из указанных слов\\\\\\\". Таким образом мы начинаем распознавать все письма, которые НЕ содержать в поле \\\\\\\"Тема\\\\\\\" ни одно из указанных слов.
Мы так же можем указать и дополнительные условия в поле 1, например, превышают заданный размер или получаемые с определенной учетной записи. После этого мы указываем, что с такими письмами делать - разумеется \\\\\\\"удалять с сервера\\\\\\\", не загружая к себе в клиент. Либо перемещать в особую папку, если спам для вас каким то образом представляет интерес.
Таких правил вы можете создать себе сколько угодно сделав себе некий многоступенчатый фильтр. Например, письма с \\\\\\\"паролем\\\\\\\" в поле \\\\\\\"Тема\\\\\\\" сразу проходят, а остальные подвергаются дополнительной проверке \\\\\\\"по весу\\\\\\\". Деловое письмо, особенно впервые вам написанное, вряд ли будет весить более 2-3 кб. Ведь там фактически первый контакт - проверка вашей готовности обсуждать какую либо проблему или предложение. Его не надо уничтожать, а стоит переместить в специальную папку для дальнейшего рассмотрения. Оно вас не \\\\\\\"нагрузит\\\\\\\" не по объему, ни по содержанию. А если это сразу многокилобайтное коммерческое предложение - реклама - так это и есть спам.
Правила работают следующим образом. Клиент считывает с сервера список сообщений (заголовки) , а затем прогоняет каждый из них по всем правилам по очереди. Сами правила можно перемещать в списке правил выше или ниже. Т.е. менять порядок их применения к письму.
Создав 2-3 немудреных правила в своем почтовом клиенте можно избавиться от 99% спама. Я, например, применяю такой способ и на несколько своих ящиков не получаю спама вообще. Даже скучно… Меж тем, на мои публичные ящики (на яндексе) спам валится как снег зимой, десятками писем в день.
Логично применять следующий алгоритм работы с электронной почтой.
Создать минимум 2 почтовых ящика. Один - засвеченный там, где вы хотите, другой - приватный, не засвеченный нигде, кроме как у ваших реальных корреспондентов, на ваших визитках и т.д. Т.е. в тех местах, где ваш адрес не может быть доступен спамеру или его роботу, собирающему почтовые адреса по сети.
На первом, засвеченном ящике проводить сепарацию писем по правилам ( определенные слова в поле \\\\\\\"тема\\\\\\\", вес письма). И сразу переводить полезных для вас собеседников (отвечать им) на приватный почтовый ящик.
Т.е. для того, что бы не страдать от спама нет большой нужды в заморочных антиспамных фильтрах. Достаточно просто вести себя как в сексе - не вступать в случайные связи. Тогда ни спам, ни вирусы вам будут не страшны.
В заключении - несколько советов.
Никогда не нажимайте на ссылки в спам-письме \\\\\\\"отписаться\\\\\\\". Тем самым вы подтвердите, что ящик ваш - действующий, и спам на него попрет с удвоенной силой.
В почтовом клиенте в разделе \\\\\\\"Сервис\\\\\\\" - \\\\\\\"Параметры\\\\\\\" - \\\\\\\"безопасность\\\\\\\" поставьте флажок напротив \\\\\\\"предупреждать\\\\\\\" и \\\\\\\"не разрешать\\\\\\\". И те вложения, которые пытаются сами открыться - удаляйте сразу. Если считаете, что там что то полезное, но зараженное без умысла - перешлите это письмо на п/ящик бесплатного сервера и проверьте его на вирусы.
К. Тимошенко
Реклама:
Лучшая защита от спама.
IBM Proventia Network Mail - защита от спама, троянов, ddos атак и др.
www-304.ibm.com - СПб
Отдых в Египте!
Туры в Египет. Все курорты Египта: Шарм-Эль-Шейх, Хургада, Дахаб.
mencey.ru - СПб
Сотовый поликарбонат borrex
Листовой сотовый поликарбонат borrex от производителя!
www.ug-plast.ru
Земельные участки
Продажа, покупка, аренда земельных участков. 8000 объявлений.
www.domania.ru
Ответхранение ТМЦ. Краснодар.
Ответхранение Ваших грузов в г.Краснодар. Полный спектр дополн. услуг.
cb.geoneo.ru - СПб
Реклама на Бегуне
Стать партнером
Copyright 2005 (c) ДелайСам
Все имеющиеся на этом сайте материалы являются авторскими.
В случае их копирования, цитирования, полного или частичного, и иного применения для публичного использования в любом виде, обязательна установка действующей гиперссылки на сайт www.delaysam.ru или указание адреса сайта (там, где размещения гиперссылки невозможно - печатные СМИ или ТВ, радио). В противном случае вы обязательно будет преследоваться по Закону о защите авторских и смежных прав.
По вопросам использования материалов и размещения рекламы обращайтесь к администрации сайта .
шдгип шдгп дшпнг шдипн дшп
Главная страница | Железо | Софт и безопасность | Интернет и связь | Наука и техника | Игры | Культура | Бизнес | Подкаст | Лента новостей
Интернет и связь
Интернет и связь / Электронная почта / Спам /
80% спама генерируют 200 человек
16 ноября 2006 года, 12:17 | Текст: Владимир Парамонов
На сайте онлайновой службы Spamhaus появился список десяти наиболее злостных спамеров, ежедневно рассылающих миллионы рекламных писем и фишерских сообщений.
Как отмечают эксперты Spamhaus, приблизительно 80 процентов мусорных сообщений, которые получают жители Соединенных Штатов и Европы, рассылает ограниченный круг людей, состоящий примерно из двухсот человек. Первое место в десятке самых активных спамеров, по версии Spamhaus, занимает житель Украины Алексей Поляков. Он подозревается в организации целых сетей зомбированных компьютеров, рассылке спама порнографического содержания, рекламы лекарственных препаратов и так далее. Второе место принадлежит россиянину Леониду Куваеву, который, как отмечается на сайте Spamhaus, также активно занимается рекламой порнографических ресурсов и медикаментов. Замыкает тройку лидеров Майкл Линдсей из Соединенных Штатов.
В целом в спамерской десятке Spamhaus присутствуют четверо россиян, двое американцев, а также жители Канады, Гонконга, Израиля и Украины.
Между тем, как сообщает CNET News со ссылкой на заявления главы антиспамовой компании Outblaze, в настоящее время на каждые 100 тысяч легитимных электронных писем приходится миллион мусорных сообщений. Иными словами, уровень спама в интернете сейчас в десять раз превышает количество "нормальных" писем. В компании Outblaze подчеркивают, что большое количество спама рассылается из развивающихся стран. При этом в Outblaze отмечают, что для борьбы с электронным мусором недостаточно просто использовать фильтры. Прежде всего, необходимо убедить пользователей не открывать вложения, присланные из неизвестных источников, ввести эффективное законодательное регулирование и сформировать ряд неправительственных организаций, специализирующихся на борьбе со спамом.
Последние комментарии:
Оставить комментарий
Yo - 27.11.2006 06:38
Весьма разумно
askh - 25.11.2006 13:56
askh - 25.11.2006 13:36
[quote]Саша пишет: А вот у меня простой мэйл-ру и спама приходит туда немеренно (процентов 70 от всей почты). Но смое интересное, что я весь этот бред с интересм читаю, а только потом удаляю. Если в некоторых спам-письмах есть ссылка на какой-либо с... читать полностью
Читать все комментарии (14)
Последние новости по теме:
Томское УФАС расследует дело о спаме | 17 декабря 2008 года, 01:24
90 процентов электронных писем — спам | 16 декабря 2008 года, 12:30
На Тайване 2008-й стал годом спама | 10 декабря 2008 года, 11:37
Spamhaus: спамеры активно используют сервисы Microsoft | 27 ноября 2008 года, 11:53
Спам до Китая доведет | 26 ноября 2008 года, 08:11
Google расскажет, почем сегодня спам | 20 ноября 2008 года, 13:51
В октябре доля спама в почтовом трафике составила около 80 процентов | 18 ноября 2008 года, 13:04
«Лаборатория Касперского» отмечает резкое сокращение объемов спама в Рунете | 17 ноября 2008 года, 15:40
Экономика спама исследована изнутри | 11 ноября 2008 года, 12:45
Президентский спам по-американски | 06 ноября 2008 года, 12:23
В США впервые сделана пересадка лица
Черногория блокирует Facebook в госучреждениях
Квартальная выручка Research In Motion за год выросла на 66 процентов
Муравьи играют джаз
DECT-телефон Siemens Gigaset SL780 высокого класса
На выставке MacWorld Expo 2009 компания Apple, возможно, покажет новый Mac mini
Китайская фирма заплатит компании Real Networks за нарушение авторских прав
Вышла четвертая версия пакета Norton Internet Security для «Маков»
Oracle отчитывается за второй квартал 2009 финансового года
Энергосбережение и бизнес
25 миллионов на исследования стволовых клеток
Оператор «Скай Линк» начинает продажи мобильного телефона Ubiquam U800
«Компьютер для школьника»: 42 тысячи ноутбуков от Олега Дерипаски
В России начались продажи коммуникатора DX900
Студия Free Radical Design закрывается
«Шутник», подменивший фотографии на сайте «Одноклассники», отделался условным сроком
Компания VIA представила платформу Trinity для нетбуков и неттопов
Компания KOSS представила две гарнитуры для iPhone
В Сахаре обнаружены останки новых видов динозавров
НАСА продает шаттлы музеям
Подарок магазина GOG: два бесплатных классических квеста
Компания Huawei выпустит Android-смартфон в третьем квартале 2009 года
У Земли было несколько лун
Самая крупная брешь в магнитном поле Земли
Скробблер Last.fm для мобильных телефонов
Take-Two решила сконцентрировать внимание на Wii
ЯндексДирект
Получи месяц Интернета в подарок
при подключении к Домашнему Интернету от "Билайн"! Бесплатное подключение
provod.beeline.ru · Санкт-Петербург
Интернет бесплатно от ПетерСтар!
Хорошие новости для Вашего бизнеса. Узнайте подробности!
www.peterstar.ru · Санкт-Петербург
Дешевые домены!
Домены в зоне .ru - 370 руб! Домены в зонах .com, .net, .org - 270 руб!
sweb.ru
Интернет-провайдер Северо-Запада
Быстрый Интернет. Домашняя сеть. Дополнительные возможности
www.avangard-dsl.ru
Высокоскоростной интернет
Широкополосный и Wi Fi доступ. Подключение от 3-х дней
www.ptl.ru · Санкт-Петербург
Рунет переходит на новый Firefox
Не отставай! Скачай его скорее
fx.yandex.ru
Все объявления
Дать объявлениеАрхив материалов
« Декабрь 2008 »
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
Отдых в Египте: вылеты из Спб!
Хургада - отдых, дайвинг, экскурсии. Финское качество. Спец. цены!
www.aurinkomatkat.ru - СПб
Отдых в Египте!
Туры в Египет. Все курорты Египта: Шарм-Эль-Шейх, Хургада, Дахаб.
mencey.ru - СПб
О проекте | Контактная информация | Реклама на сайте | Рассылки сайта | КПК–версия |
© ООО «Компьютерра–Онлайн», 1997 — 2008.
При цитировании и использовании любых материалов ссылка на портал «Компьютерра–Онлайн» обязательна (для Интернет–изданий — www.computerra.ru)
Редакция сайта: site@computerra.ru
Техподдержка сайта: websupport@computerra.ru
Редакция журнала: inform@computerra.ru
Отдел рекламы: reklama@computerra.ru
Телефон: (495) 232–22–61, (495) 232–22–63
Работает на «Битрикс: Управление сайтом»
Почта защищена сервером «СПАМОРЕЗ»
Трилан — продвижение сайта,
поисковая оптимизация сайта
Сайт работает на сервере DEPO Computers
Интернет и связь
Интернет и связь / Электронная почта / Спам /
80% спама генерируют 200 человек
16 ноября 2006 года, 12:17 | Текст: Владимир Парамонов
На сайте онлайновой службы Spamhaus появился список десяти наиболее злостных спамеров, ежедневно рассылающих миллионы рекламных писем и фишерских сообщений.
Как отмечают эксперты Spamhaus, приблизительно 80 процентов мусорных сообщений, которые получают жители Соединенных Штатов и Европы, рассылает ограниченный круг людей, состоящий примерно из двухсот человек. Первое место в десятке самых активных спамеров, по версии Spamhaus, занимает житель Украины Алексей Поляков. Он подозревается в организации целых сетей зомбированных компьютеров, рассылке спама порнографического содержания, рекламы лекарственных препаратов и так далее. Второе место принадлежит россиянину Леониду Куваеву, который, как отмечается на сайте Spamhaus, также активно занимается рекламой порнографических ресурсов и медикаментов. Замыкает тройку лидеров Майкл Линдсей из Соединенных Штатов.
В целом в спамерской десятке Spamhaus присутствуют четверо россиян, двое американцев, а также жители Канады, Гонконга, Израиля и Украины.
Между тем, как сообщает CNET News со ссылкой на заявления главы антиспамовой компании Outblaze, в настоящее время на каждые 100 тысяч легитимных электронных писем приходится миллион мусорных сообщений. Иными словами, уровень спама в интернете сейчас в десять раз превышает количество "нормальных" писем. В компании Outblaze подчеркивают, что большое количество спама рассылается из развивающихся стран. При этом в Outblaze отмечают, что для борьбы с электронным мусором недостаточно просто использовать фильтры. Прежде всего, необходимо убедить пользователей не открывать вложения, присланные из неизвестных источников, ввести эффективное законодательное регулирование и сформировать ряд неправительственных организаций, специализирующихся на борьбе со спамом.
Последние комментарии:
Оставить комментарий
Yo - 27.11.2006 06:38
Весьма разумно
askh - 25.11.2006 13:56
Витя пишет: Борьба со спамом бесполезна, как и любой контроль в интернете по определению(фильтры,порта,слова,ip и тд -чушь), любые новые технологии дают стимул появления новых технологий обхода.Есть достаточно простой способ избав... читать полностью
askh - 25.11.2006 13:36
[quote]Саша пишет: А вот у меня простой мэйл-ру и спама приходит туда немеренно (процентов 70 от всей почты). Но смое интересное, что я весь этот бред с интересм читаю, а только потом удаляю. Если в некоторых спам-письмах есть ссылка на какой-либо с... читать полностью
Читать все комментарии (14)
Последние новости по теме:
Томское УФАС расследует дело о спаме | 17 декабря 2008 года, 01:24
90 процентов электронных писем — спам | 16 декабря 2008 года, 12:30
На Тайване 2008-й стал годом спама | 10 декабря 2008 года, 11:37
Spamhaus: спамеры активно используют сервисы Microsoft | 27 ноября 2008 года, 11:53
Спам до Китая доведет | 26 ноября 2008 года, 08:11
Google расскажет, почем сегодня спам | 20 ноября 2008 года, 13:51
В октябре доля спама в почтовом трафике составила около 80 процентов | 18 ноября 2008 года, 13:04
«Лаборатория Касперского» отмечает резкое сокращение объемов спама в Рунете | 17 ноября 2008 года, 15:40
Экономика спама исследована изнутри | 11 ноября 2008 года, 12:45
Президентский спам по-американски | 06 ноября 2008 года, 12:23
В США впервые сделана пересадка лица
Черногория блокирует Facebook в госучреждениях
Квартальная выручка Research In Motion за год выросла на 66 процентов
Муравьи играют джаз
DECT-телефон Siemens Gigaset SL780 высокого класса
На выставке MacWorld Expo 2009 компания Apple, возможно, покажет новый Mac mini
Китайская фирма заплатит компании Real Networks за нарушение авторских прав
Вышла четвертая версия пакета Norton Internet Security для «Маков»
Oracle отчитывается за второй квартал 2009 финансового года
Энергосбережение и бизнес
25 миллионов на исследования стволовых клеток
Оператор «Скай Линк» начинает продажи мобильного телефона Ubiquam U800
«Компьютер для школьника»: 42 тысячи ноутбуков от Олега Дерипаски
В России начались продажи коммуникатора DX900
Студия Free Radical Design закрывается
«Шутник», подменивший фотографии на сайте «Одноклассники», отделался условным сроком
Компания VIA представила платформу Trinity для нетбуков и неттопов
Компания KOSS представила две гарнитуры для iPhone
В Сахаре обнаружены останки новых видов динозавров
НАСА продает шаттлы музеям
Подарок магазина GOG: два бесплатных классических квеста
Компания Huawei выпустит Android-смартфон в третьем квартале 2009 года
У Земли было несколько лун
Самая крупная брешь в магнитном поле Земли
Скробблер Last.fm для мобильных телефонов
Take-Two решила сконцентрировать внимание на Wii
ЯндексДирект
Получи месяц Интернета в подарок
при подключении к Домашнему Интернету от "Билайн"! Бесплатное подключение
provod.beeline.ru · Санкт-Петербург
Интернет бесплатно от ПетерСтар!
Хорошие новости для Вашего бизнеса. Узнайте подробности!
www.peterstar.ru · Санкт-Петербург
Дешевые домены!
Домены в зоне .ru - 370 руб! Домены в зонах .com, .net, .org - 270 руб!
sweb.ru
Интернет-провайдер Северо-Запада
Быстрый Интернет. Домашняя сеть. Дополнительные возможности
www.avangard-dsl.ru
Высокоскоростной интернет
Широкополосный и Wi Fi доступ. Подключение от 3-х дней
www.ptl.ru · Санкт-Петербург
Рунет переходит на новый Firefox
Не отставай! Скачай его скорее
fx.yandex.ru
Все объявления
Дать объявлениеАрхив материалов
« Декабрь 2008 »
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
Отдых в Египте: вылеты из Спб!
Хургада - отдых, дайвинг, экскурсии. Финское качество. Спец. цены!
www.aurinkomatkat.ru - СПб
Отдых в Египте!
Туры в Египет. Все курорты Египта: Шарм-Эль-Шейх, Хургада, Дахаб.
mencey.ru - СПб
О проекте | Контактная информация | Реклама на сайте | Рассылки сайта | КПК–версия |
© ООО «Компьютерра–Онлайн», 1997 — 2008.
При цитировании и использовании любых материалов ссылка на портал «Компьютерра–Онлайн» обязательна (для Интернет–изданий — www.computerra.ru)
Редакция сайта: site@computerra.ru
Техподдержка сайта: websupport@computerra.ru
Редакция журнала: inform@computerra.ru
Отдел рекламы: reklama@computerra.ru
Телефон: (495) 232–22–61, (495) 232–22–63
Работает на «Битрикс: Управление сайтом»
Почта защищена сервером «СПАМОРЕЗ»
Трилан — продвижение сайта,
поисковая оптимизация сайта
Сайт работает на сервере DEPO Computers
прт апт мтмититиииииииииииии ииииииииии иииииииии ииииииии иииииииииии иииииии ииииииии иииии и
Вы сейчас не можете прокомментировать это сообщение.
Дневник Дневник MaggiRedFox | MaggiRedFox - Всё в этом мире рыжее! |
Лента друзей MaggiRedFox
/ Полная версия
Добавить в друзья
Страницы:
«позже
раньше»