Курсовая работа: Спам в электронной почте
В целом, белые списки не очень надежны. Подделать адрес отправителя очень просто, так как используемый протокол позволяет любому человеку выдать себя за другого. Поэтому мы часто можем получать спам от самих себя, так как многие пользователи вносят в белый список себя или своих друзей.
Черные списки. Следует выбрать надежного провайдера со встроенным спам-фильтром. Многие провайдеры работают с официальными базами, которые содержат многочисленную информацию о доменных именам, IP и email адресах, с которых шла или идет спам-рассылка. Провайдеры блокируют адреса из этих баз. Например, популярным сервисом с базами спам адресов является SpamHause. Если провайдер автоматически не фильтрует спам или делает это некачественно, а по каким-то причинам ящиком, на который ведутся атаки, приходится продолжать пользоваться, то можно попробовать установить защиту от спама самостоятельно, воспользовавшись базами SpamHause.
У большинства современных почтовых провайдеров существует опция «Черный список» или просто «Анти-спам». Для начала использования баз SpamHause необходимо прописать в соответствующем разделе адрес базы спам-адресов для фильтрации: zen.spamhaus.org. Это поможет исключить получение спама от адресатов, которые успели досадить назойливой рекламой другим пользователям и попасть в официальную базу.
Тем не менее, каждый день появляются новые спамеры, и база должна постоянно обновляться. Если фильтр не блокировал письмо, которое явно является спамом, то об этом стоит сообщить в соответствующее учерждение.
SpamHause ведет базы, рассматривает вопросы об удалении адресов из этих баз, но не принимает жалобы от пользователей по поводу спамовых рассылок. Каким же образом можно пожаловаться на спам?
Удобнее всего это делать через сайт http://spamcop.net. SpamCop определяет происхождение нежелательной почты и отправляет жалобу соответствующим сервис-провайдерам, которые, в свою очередь, блокируют спамеров, пользующихся их услугами.
Как сообщить о спаме, используя сайт SpamCop?
1) нужно перейти по ссылке Register now с главной страницы сайта;
2 )в форме снизу ввести своё имя и e-mail и нажать кнопку “Send authorization email”;
3) проверить почту на указанном email: на него должно быть отправлено письмо с паролем для входа в систему;
4) на странице Login нужно ввести полученные данные;
5)в открывшуюся форму необходимо скопировать текст письма со спамом, вместе с его полными заголовками.
В Outlook Express полный заголовок письма можно получить следующим образом:
— выделить сообщение со спамом в списке правой кнопкой мыши и выбрать пункт меню "Параметры сообщения";
— копировать информацию из поля «Заголовки Интернета»
6) вставить скопированные заголовки и тело письма в форму на сайте SpamCop;
7) нажать Send Spam Report(s) Now по мере обработки формы.
Эти действия не гарантируют моментальную блокировку злостного спамера, но, тем не менее, информация о нарушениях будет направлена его провайдеру, который сможет принять соответствующие меры. Более того, на сайте SpamCop сообщается, что жалобы на спам помогают в обновлении баз адресов для различных спам-фильтров. И, возможно, именно таким образом IP-адреса спамеров в последствии попадают в официальные базы спам-источников, которые используют различные почтовые провайдеры для предотвращения рассылки спама их многочисленным клиентам.
Серые списки. Метод серых списков основан на том, что «поведение» программного обеспечения, предназначенного для рассылки спама, отличается от поведения обычных почтовых серверов, а именно, спамерские программы не пытаются повторно отправить письмо при возникновении вре́менной ошибки, как того требует протокол SMTP. Точнее, пытаясь обойти защиту, при последующих попытках они используют другой релей, другой обратный адрес и т. п., поэтому это выглядят для принимающей стороны как попытки отправки разных писем.
Простейшая версия серых списков работает следующим образом. Все ранее неизвестные SMTP-серверы полагаются находящимися в «сером» списке. Почта с таких серверов не принимается, но и не отклоняется совсем — им возвращается код временной ошибки («приходите позже»). В случае, если сервер-отправитель повторяет свою попытку не менее чем через некоторое время tg (это время называется задержкой), сервер вносится в белый список, а почта принимается. Поэтому обычные письма (не спам) не теряются, а только задерживается их доставка (они остаются в очереди на сервере отправителя и доставляются после одной или нескольких неудачных попыток). Программы-спамеры либо не умеют повторно отправлять письма, либо используемые ими серверы успевают за время задержки попасть в чёрные списки DNSBL.
Этот метод в настоящее время позволяет отсеять до 90 % спама практически без риска потерять важные письма. Однако его тоже нельзя назвать безупречным.
Могут ошибочно отсеиваться письма с серверов, не выполняющих рекомендации протокола SMTP, например, рассылки с новостных сайтов. Серверы с таким поведением по возможности заносятся в белые списки.
Задержка при доставке письма может достигать получаса (а то и больше), что может быть неприемлемо в случае срочной корреспонденции. Этот недостаток компенсируется тем, что задержка вносится только при посылке первого письма от ранее неизвестного отправителя. Также, многие реализации серых списков автоматически, после некоторого периода «знакомства», вносят SMTP-сервер в белый список. Есть и способы межсерверного обмена такими белыми списками. В результате, после начального периода «запоминания», фактически задерживается менее 20 % писем.
Крупные почтовые службы используют несколько серверов с разными IP-адресами, более того, возможна ситуация, когда несколько серверов по очереди пытаются отправить одно и то же письмо. Это может привести к очень большим задержкам при доставке писем. Пулы серверов с таким поведением также по возможности заносятся в белые списки.
Спамерские программы могут совершенствоваться. Поддержка повторной
посылки сообщения реализуется довольно легко и в значительной степени
нивелирует данный вид защиты. Ключевым показателем в этой борьбе является
соотношение характерного времени попадания спамера в чёрные списки tb и
типичного времени задержки «серых» списков tg. При 
серые списки в перспективе
бесполезны; при 
серые списки труднопреодолимы для
спамеров.
Другие методы. Общие ужесточения требований к письмам и отправителям, например — отказ в приеме писем с неправильным обратным адресом (письма из несуществующих доменов), проверка доменного имени по IP-адресу компьютера, с которого идет письмо, и т. п. С помощью данных мер отсеивается только самый примитивный спам — небольшое число сообщений. Однако не нулевое, поэтому смысл в их применении остается.
Сортировка писем по содержанию полей заголовка письма даёт возможность избавиться от некоторого количества спама. Некоторые клиентские программы (например, Mozilla Thunderbird или The Bat!) дают возможность проанализировать заголовки, не скачивая с сервера всё письмо целиком, и таким образом сэкономить трафик.
Системы типа «вызов-ответ» позволяют убедиться, что отправитель — человек, а не программа-робот. Использование этого метода требует от отправителя выполнения определённых дополнительных действий, часто это может быть нежелательно. Многие реализации таких систем создают дополнительную нагрузку на почтовые системы, во многих случаях они присылают запросы на поддельные адреса, поэтому в профессиональных кругах такие решения не пользуются уважением. Кроме того, такая система не может отличить робота, рассылающего спам, от любых других, например тех, которые рассылают новости.
Системы определения признаков массовости сообщения, такие как Razor и Distributed Checksum Clearinghouse. Встраиваемые в программное обеспечение почтового сервера модули подсчитывают контрольные суммы каждого проходящего через них письма и проверяют их на серверах служб Razor или DCC, которые сообщают количество появлений письма в сети Интернет. Если письмо появилось, например, несколько десятков тысяч раз — вероятно, это спам. С другой стороны, массовое сообщение может быть и легитимной почтовой рассылкой. Кроме того, спамеры могут варьировать текст сообщения, например, добавляя в конец случайный набор символов.
Общее изменение идеологии работы электронной почты, при которой для принятия сервером получателя каждого сообщения система отправителя должна выполнить определенное «затратное» действие, например, сообщить результат работы относительно ресурсоемкого математического алгоритма. Для обычных пользователей, отправляющих десятки писем, это не составит затруднения, тогда как затраты спамера умножаются на количество отправляемых им писем, обычно измеряемое миллионами.
Глава 2. СПАМ В РОССИИ. ПРОБЛЕМА СПАМА С ДРУГОЙ СТОРОНЫ
2.1 РОССИЙСКАЯ СТАТИСТИКА
«Лаборатория Касперского» подвела итоги исследования активности спамеров в Рунете по итогам 2010 года. В опубликованном отчете отмечается, что наибольшее количество спама в почтовом трафике в 2010 году было зафиксировано 21-го февраля и составило 90,8%, наименьшее — 70,1% — наблюдалось 28 октября. Средняя доля спама в почтовом трафике в 2010 году составила 82,2%. Наибольшее количество спама в 2010 году было разослано из США (11,3%), на втором месте Индия (8,3%), на третьем — Россия (6,0%). Как и в 2009 году, в TOP 20 достаточно широко представлены страны Восточной Европы и Азиатского региона, в то время страны Западной Европы — в меньшинстве. 2010 год назван революционным в том, что касается борьбы со спамом на разных уровнях. Прежде всего, он примечателен успехами правоохранительных органов разных стран в борьбе с киберпреступлениями, в том числе связанными с рассылкой спама.
В 2010 году были закрыты командные центры таких спамерских ботнетов, как Waledac, Pushdo/Cutwail, Lethic и Bredolab, заведено несколько крупных уголовных дел на подозреваемых в киберпреступлениях, прекратила свою деятельность спамерская партнерская программа SpamIt. Следствием этих событий стали изменения в распределении основных географических источников спама и в его тематическом содержании. Так, к концу года беспрецедентно уменьшилась доля спама, рассылаемого из США, и увеличилась доля спама, рассылаемого из Восточной Европы. Впервые за всю историю наблюдений мы видим продолжительное снижение доли спама в почтовом трафике. Однако есть и плохая новость: спам стал намного более опасен. В 2010 году спам стал источником многочисленных вредоносных атак: за год количество вредоносных вложений в почте увеличилось в 2,6 раз.
Тенденция объединения спамерских и хакерских технологий наметилась еще в 2003 году, когда спамерское ПО впервые было применено для массированной вирусной атаки. Эпидемии вирусов приводят к росту спамерского трафика. Они провоцируют появление большого количества не только содержащих вирусы писем, но и других видов нежелательной почты, например безобидных писем, от которых вирус был «отрезан» каким-либо антивирусом, или многочисленных автоматических отказов в доставке, информирующих пользователя о наличии вируса в корреспонденции с его машины.
Тематика коммерческих рассылок меняется в зависимости от многих факторов, например от сезона: летом спамеры предлагают кондиционеры и отдых в Турции.
По данным «Лаборатории Касперского», по итогам 2010 года лидирующая тематическая категория русскоязычного спама «Образование» и основная рубрика англоязычного спама «Медикаменты; товары/услуги для здоровья» оказались в нашем рейтинге на как никогда ранее близких позициях: «Образование» обошло своего конкурента лишь на 0,2%.
По сравнению с 2009 годом заметно уменьшилась доля рубрик «Реклама спамерских услуг» (-6,1%) и спама «для взрослых» (-4,6%). Количество сообщений, содержащих признаки компьютерного мошенничества, увеличилось почти вдвое (+3,8%).
В десятке лидирующих тематик в 2010 году появился «новичок» — рубрика «Коллекции фильмов на DVD». Это сообщения, в подавляющем большинстве случаев русскоязычные, с рекламой коллекций фильмов и мультфильмов на DVD, а также обучающих дисков. Такие сообщения приходили в почтовые ящики пользователей и раньше, но в 2010 году их количество стало столь заметным, что мы выделили их в отдельную рубрику. Отметим, что распространяется такая продукция с помощью партнерских программ и, как правило, является пиратской.
В течение года неоднократно менялась тематическая структура спама. Особо отметим резкий взлет и высокие позиции спама, объединенного в тематическую рубрику «Медикаменты», произошедший в августе. А также довольно большую его долю в мусорном трафике в сентябре-октябре — прямо перед закрытием партнерской программы SpamIt, специализировавшейся на рассылке рекламы фармацевтической продукции. Возможно, часть спамеров была в курсе надвигающейся угрозы закрытия этой программы и пыталась под конец получить на SpamIt максимальную прибыль.
В прошлом году наиболее интересные трюки использовались, в основном, распространителями вредоносных программ. Чтобы заставить пользователя пройти по вредоносной ссылке, они рассылали спамовые письма, очень умело подделанные под уведомления известных ресурсов: банков, магазинов, почтовых провайдеров, социальных сетей, популярных хостингов и многих других (подробно об этом спаме здесь). Подделаны были даже технические заголовки в письмах, не видимые пользователю, но важные для работы антиспам-фильтра.
Обычно фишинговые послания построены таким образом, чтобы запугать пользователя и, сыграв на его опасениях, вынудить его ввести логин и пароль на фишерской странице. Хотя распространители вредоносных программ, как и фишеры, рассылали подделки под письма от легальных ресурсов, они не использовали приёмы запугивания. Часть сообщений просто копировала стандартные уведомления, рассылаемые пользователям/клиентам с легитимных ресурсов.
Если говорить о рассылке вредоносного кода, то июнь стал одним из самых заметных месяцев 2010 года. В первый летний месяц интернет наводнили спамовые письма, содержащие html-вложения с прописанными в них скриптовыми зловредами (в том числе Trojan-Downloader.JS.Pegel.g, который по итогам года занял второе место в рейтинге вредоносного ПО, распространяемого в почте). Письма были подделаны под уведомления от различных легитимных сервисов, в том числе онлайн-магазинов и социальных сетей. Злоумышленниками была использована довольно сложная схема распространения зловредов с помощью такого спама и подключения компьютеров пользователей к зомби-сети. Подробнее про эту схему можно прочитать здесь.
В августе и сентябре доля рассылок с вредоносными вложениями достигла своих пиковых значений (6,29% и 4,33% соответственно). Столь высокий процент вредоносных сообщений в почте был обусловлен несколькими мощными краткосрочными вбросами вредоносного кода в почтовый трафик. Всего таких вбросов было шесть — по три в августе и в сентябре. В эти дни злоумышленники принимались активно рассылать новые модификации различных зловредов, в том числе и нашумевшего Zbot.
Одним из следствий массированных вредоносных рассылок августа и сентября стало резкое увеличение количества сообщений с zip-вложениями. Обычно такой спам составляет не более половины процента от общего объема нелегитимной почты. Однако в третьем квартале доля сообщений с zip-вложениями достигла рекордных 2,6% от всего спама. В четвертом квартале количество сообщений с zip-вложениями сократилось до более привычных значений (порядка 0,3% от всего спама). Тем не менее, пользователям необходимо помнить важное правило сетевой безопасности — никогда не открывать непонятные архивы в подозрительных письмах.
2.2 ОБРАТНАЯ СТОРОНА ПРОБЛЕМЫ
Миллионы пользователей, получающих ненужную им рекламу. Это явление их весьма раздражает, но, как правило, нет средств и желания судиться со спамерами - проще удалить письмо.
Тысячи предприятий, у которых просмотр ненужных писем и фильтрация спама забирает огромное количество рабочего времени сотрудников, понижая тем самым доход.
Организации, владеющих каналами связи и почтовыми серверами - рассылки спама составляют значительную долю траффика в условиях перегруженного канала, приводят к снижению числа пользователей сервисов, что негативно сказывается на бизнесе.
Отдельные крупные корпорации, занимающиеся разработкой программного обеспечения - для них разработка антиспамерского ПО является выгодным бизнесом.
Группы программистов-энтузиастов, которых спам как явление просто достал.
Представители первой группы не теряют ничего, кроме нервов, предпочитая методы пассивной защиты, которые были описаны выше. Остальные настроены перейти к активной защите:
