Войти
Для предотвращения спама по электронной почте (незапрашиваемый) используются различные методы защиты от спама . массовая рассылка).
Ни один метод не является полным решением проблемы спама, и каждый имеет компромисс между неправильным отклонением законной электронной почты (ложные срабатывания ) и отказом от всех спам (ложноотрицательные ) - и связанные с этим затраты времени, усилий и затрат, связанных с неправомерным препятствием для получения хорошей почты.
Методы защиты от спама можно разделить на четыре большие категории: те, которые требуют действий отдельных лиц, те, которые могут быть автоматизированы администраторами электронной почты, те, которые могут быть автоматизированы отправителями электронной почты, и те, которые используются исследователями и правоохранительными органами. должностные лица.
Существует ряд методов, которые люди используют для ограничения доступности своих адресов электронной почты с целью снижения вероятности получения спама.
Совместное использование адреса электронной почты только ограниченной группой корреспондентов - это один из способов ограничить вероятность того, что адрес будет "собран" и нацелен на спам. Аналогичным образом, при пересылке сообщений нескольким получателям, которые не знают друг друга, адреса получателей могут быть помещены в «bcc: field », чтобы каждый получатель не получал список других получателей. адрес электронной почты.
Адреса электронной почты, размещенные на веб-страницах, Usenet или чатах, уязвимы для электронных сбор почтового адреса. Изменение адреса - это практика маскировки адреса электронной почты, чтобы предотвратить его автоматический сбор таким образом, но все же позволить читателю-человеку восстановить оригинал: адрес электронной почты, такой как "никто @ example.com "может быть записано, например, как" no one at example dot com ". Сопутствующий метод заключается в отображении всего или части адреса электронной почты в виде изображения или беспорядочного текста с восстановлением порядка символов с помощью CSS.
Обычный совет - не отвечать на спам-сообщения, поскольку спамеры могут просто рассматривать ответы как подтверждение того, что адрес электронной почты действителен. Точно так же многие спам-сообщения содержат веб-ссылки или адреса, по которым пользователь должен следовать для удаления из списка рассылки спамера - и они должны рассматриваться как опасные. В любом случае адреса отправителей часто подделываются в спам-сообщениях, поэтому ответ на спам может привести к сбою доставки - или может достигнуть совершенно невинных третьих лиц.
Компании и частные лица иногда избегают публикации адреса электронной почты, прося связаться с ними через «контактную форму» на веб-странице, которая затем обычно пересылает информацию по электронной почте. Однако такие формы иногда неудобны для пользователей, поскольку они не могут использовать предпочтительный почтовый клиент, рискуют ввести неверный адрес для ответа и, как правило, не получают уведомления о проблемах с доставкой. Кроме того, у контактных форм есть тот недостаток, что для них требуется веб-сайт с соответствующей технологией.
В некоторых случаях контактные формы также отправляют сообщение на адрес электронной почты, указанный пользователем. Это позволяет использовать контактную форму для рассылки спама, что может вызвать проблемы с доставкой электронной почты с сайта после того, как будет сообщено о спаме и отправляющий IP-адрес будет занесен в черный список.
Многие современные почтовые программы включают функции веб-браузера, такие как отображение HTML, URL-адресов и изображений.
Избегание или отключение этой функции не помогает избежать спама. Однако может быть полезно избежать некоторых проблем, если пользователь открывает спам-сообщение: оскорбительные изображения, отслеживаемые веб-ошибками, целью JavaScript или атаками на уязвимости безопасности в средство визуализации HTML. Почтовые клиенты, которые автоматически не загружают и не отображают HTML, изображения или вложения, имеют меньший риск, как и клиенты, настроенные так, чтобы не отображать их по умолчанию.
Пользователю электронной почты иногда может потребоваться указать адрес сайта без полной гарантии того, что владелец сайта не будет использовать его для рассылки спама. Один из способов снизить риск - предоставить одноразовый адрес электронной почты - адрес, который пользователь может отключить или отказаться от него, который пересылает электронную почту на реальную учетную запись. Ряд сервисов предусматривает одноразовую переадресацию адресов. Адреса могут быть отключены вручную, могут истечь через заданный интервал времени или могут истечь после пересылки определенного количества сообщений. Одноразовые адреса электронной почты могут использоваться пользователями для отслеживания того, раскрыл ли владелец сайта адрес или имел ли он нарушение безопасности.
Системы, использующие «пароли для радиолюбителей», просят неопознанных отправителей включать в их электронной почте пароль, который демонстрирует, что сообщение электронной почты является «любительским» (не спамом). Обычно адрес электронной почты и любительский пароль описываются на веб-странице, а любительский пароль включается в строку темы электронного сообщения (или добавляется к части «имя пользователя» электронного адреса с помощью символа «плюс адресная "техника). Пароли радиолюбителей часто сочетаются с системами фильтрации, которые пропускают только те сообщения, которые идентифицированы как «радиолюбители».
Отслеживание интернет-провайдера спамера и сообщение о нарушении может привести к прекращение работы спамера и уголовное преследование. К сожалению, отследить спамера может быть сложно, и, хотя существуют некоторые онлайн-инструменты, такие как SpamCop и Network Abuse Clearinghouse, которые помогают, они не всегда точны. Исторически сложилось так, что сообщение о спаме таким способом не играет большой роли в борьбе со спамом, поскольку спамеры просто перемещают свою операцию на другой URL-адрес, ISP или сеть IP-адресов.
Во многих странах потребители также могут пересылать нежелательные и вводящие в заблуждение коммерческие электронные письма властям, например в США на адрес электронной почты (спам на uce.gov ), поддерживаемый Федеральной торговой комиссией США (FTC) или аналогичными агентствами в других странах.
В настоящее время существует большое количество приложений, устройств, служб и программных систем, которые администраторы электронной почты могут использовать для снижения нагрузки спама на свои системы и почтовые ящики. Как правило, они пытаются отклонить (или «заблокировать») большую часть спама прямо на этапе подключения SMTP. Если они все же принимают сообщение, они, как правило, затем анализируют его содержимое и могут принять решение «изолировать» любое сообщение, классифицированное как спам.
Был разработан ряд систем, позволяющих владельцам доменных имен идентифицировать электронную почту как авторизованную. Многие из этих систем используют DNS для составления списка сайтов, которым разрешено отправлять электронную почту от их имени. После многих других предложений, SPF, DKIM и DMARC теперь широко поддерживаются с растущим распространением. Хотя эти системы не атакуют напрямую спам, они значительно усложняют подделку адресов, распространенный метод спамеров, но также используемый в фишинге и других видах мошенничества с использованием электронной почты.
Метод, который могут использоваться поставщиками интернет-услуг, специализированными службами или предприятиями для борьбы со спамом, заключается в том, чтобы требовать от неизвестных отправителей прохождения различных тестов перед доставкой их сообщений. Эти стратегии называются «системами вызов / ответ».
Фильтр на основе контрольной суммы использует тот факт, что сообщения отправляются массово, то есть они будут идентичны с небольшими вариациями. Фильтры на основе контрольных сумм удаляют все, что может различаться между сообщениями, сокращают оставшееся до контрольной суммы и просматривают эту контрольную сумму в базе данных, такой как Distributed Checksum Clearinghouse, которая собирает контрольные суммы сообщений, которые получатели электронной почты считают спамом (у некоторых людей есть кнопка в почтовом клиенте, которую они могут нажать, чтобы определить сообщение как спам); если контрольная сумма находится в базе данных, вероятно, сообщение является спамом. Чтобы избежать обнаружения таким образом, спамеры иногда вставляют уникальную невидимую тарабарщину, известную как hashbusters, в середину каждого своего сообщения, чтобы каждое сообщение имело уникальную контрольную сумму.
Некоторые почтовые серверы никогда не будут связываться с определенными странами, из которых они получают много спама. Поэтому они используют фильтрацию по странам - технику, которая блокирует электронную почту из определенных стран. Этот метод основан на стране происхождения, определяемой IP-адресом отправителя, а не на каких-либо характеристиках отправителя.
Существует большое количество бесплатных и коммерческих черных списков на основе DNS или DNSBL, которые позволяют почтовому серверу быстро находить IP-адрес входящее почтовое соединение - и отклонить его, если оно там указано. Администраторы могут выбирать из множества DNSBL, каждый из которых отражает разные политики: некоторые списки сайтов, которые, как известно, рассылают спам; другие перечисляют открытые почтовые ретрансляторы или прокси; другие перечисляют ISP, которые, как известно, поддерживают спам.
Большинство спам-сообщений / фишинговых сообщений содержат URL-адреса, которые они побуждают жертв нажать. Таким образом, популярный метод с начала 2000-х годов состоит в извлечении URL-адресов из сообщений и их поиске в таких базах данных, как Spamhaus 'Domain Block List (DBL), SURBL и URIBL.
Многие спамеры используют плохо написанное программное обеспечение или неспособны соблюдать стандарты, потому что у них нет законного контроля над компьютером, который они используют для рассылки спама (зомби-компьютер ). Устанавливая более жесткие ограничения на отклонение от стандартов RFC, которые принимает MTA, администратор почты может значительно уменьшить спам - но это также создает риск отклонения почты от старых, плохо написанных или настроенных серверов.
Задержка приветствия - отправляющий сервер должен дождаться получения приветственного баннера SMTP, прежде чем отправлять какие-либо данные. Умышленная пауза может быть введена принимающими серверами, чтобы позволить им обнаруживать и отклонять любые рассылающие спам приложения, которые не ждут, чтобы получить этот баннер.
Временное отклонение - Техника серых списков основана на том факте, что протокол SMTP позволяет временно отклонять входящие сообщения. Серый список временно отклоняет все сообщения от неизвестных отправителей или почтовых серверов - используя стандартные коды ошибок 4xx. Все совместимые MTA продолжат повторную доставку позже, но многие спамеры и спам-боты этого не сделают. Обратной стороной является задержка доставки всех законных сообщений от отправителей, отправляющих впервые.
Проверка HELO / EHLO - RFC 5321 говорит, что SMTP-сервер «МОЖЕТ проверить, что аргумент имени домена в команде EHLO действительно соответствует IP-адресу клиент. Однако, если проверка не удалась, сервер НЕ ДОЛЖЕН отказываться принять сообщение на этом основании ». Однако системы можно настроить так, чтобы
Недопустимая конвейерная обработка - Допускается использование нескольких SMTP-команд помещается в один сетевой пакет и «конвейерно». Например, если электронное письмо отправлено с заголовком CC :, несколько команд SMTP «RCPT TO» могут быть помещены в один пакет вместо одного пакета на команду «RCPT TO». Однако протокол SMTP требует, чтобы ошибки были проверены и все синхронизировалось в определенные моменты. Многие спамеры отправляют все в одном пакете, так как они не заботятся об ошибках и это более эффективно. Некоторые MTA обнаруживают эту недопустимую конвейерную обработку и отклоняют электронную почту, отправленную таким образом.
Нелистинг - серверы электронной почты для любого заданного домена указываются в списке приоритетов с помощью записей MX. Техника nolisting - это просто добавление записи MX, указывающей на несуществующий сервер в качестве «основного» (то есть с наименьшим значением предпочтения) - это означает, что исходный почтовый контакт всегда будет терпеть неудачу. Многие источники спама не повторяют попытку при неудаче, поэтому спамер переходит к следующей жертве; легитимные почтовые серверы должны повторить попытку следующего по порядку номера MX, и обычная электронная почта будет доставлена с небольшой задержкой.
Обнаружение выхода - SMTP-соединение всегда должно закрываться командой QUIT. Многие спамеры пропускают этот шаг, потому что их спам уже был отправлен, и на то, чтобы правильно закрыть соединение, требуется время и пропускная способность. Некоторые MTA способны определять, правильно ли закрыто соединение, и использовать это как меру надежности другой системы.
Другой подход - просто создать имитацию MTA, которая выглядит как открытый почтовый ретранслятор, или имитация прокси-сервера TCP / IP, который выглядит как открытый прокси. Спамеры, которые проверяют системы на наличие открытых ретрансляторов и прокси-серверов, найдут такой хост и попытаются отправить через него почту, тратя впустую свое время и ресурсы и потенциально раскрывая информацию о себе и источнике спама, который они отправляют организации, которая управляет горшок меда. Такая система может просто отбрасывать попытки спама, отправлять их в DNSBL или сохранять их для анализа объектом, управляющим приманкой, который может позволить идентифицировать спаммера для блокировки.
SpamAssassin, Policyd-weight и другие используют некоторые или все различные тесты на спам и присваивают каждому тесту числовую оценку. Каждое сообщение сканируется на предмет этих шаблонов, и соответствующие баллы суммируются. Если общая сумма превышает фиксированное значение, сообщение отклоняется или помечается как спам. Убедившись, что ни один тест на спам сам по себе не может пометить сообщение как спам, можно значительно снизить количество ложных срабатываний.
Защита от исходящего спама включает сканирование почтового трафика при его выходе из сети, определение спам-сообщений и последующее действие, например блокирование сообщения или отключение источника трафика. В то время как спам в первую очередь влияет на получателей спама, отправляющие сети также испытывают финансовые затраты, такие как потеря полосы пропускания и риск блокировки их IP-адресов принимающими сетями.
Защита исходящего спама не только останавливает спам, но также позволяет системным администраторам отслеживать источники спама в своей сети и устранять их, например, удаляя вредоносные программы с компьютеров, зараженных вирусом или участвуете в ботнете.
Записи PTR DNS в обратном DNS могут использоваться для ряда вещей, в том числе:
Методы фильтрации содержимого основываются на спецификации списков слов или регулярных выражений запрещено в почтовых сообщениях. Таким образом, если сайт получает спам, рекламирующий «травяную виагру», администратор может поместить эту фразу в конфигурацию фильтра. После этого почтовый сервер отклонит любое сообщение, содержащее эту фразу.
Фильтрация заголовков проверяет заголовок электронного письма, который содержит информацию о происхождении, месте назначения и содержании сообщения. Хотя спамеры часто подделывают поля в заголовке, чтобы скрыть свою личность или попытаться сделать электронное письмо более легитимным, многие из этих методов подделки могут быть обнаружены, и любое нарушение Стандарт RFC 5322 о том, как должен формироваться заголовок, также может служить основанием для отклонения сообщения.
Поскольку большой процент спама содержит поддельные и недействительные адреса отправителя («от»), некоторый спам можно обнаружить, проверив, что этот «от» адрес действителен. Почтовый сервер может попытаться проверить адрес отправителя, установив SMTP-соединение обратно к почтовому обменнику для адреса, как если бы он создавал возврат, но останавливался непосредственно перед отправкой любого электронного письма.
Проверка обратного вызова имеет различные недостатки: (1) поскольку почти весь спам содержит подделанные адреса возврата, почти все обратные вызовы поступают на невинные сторонние почтовые серверы, не имеющие отношения к спаму; (2) Когда спаммер использует адрес ловушки в качестве адреса отправителя. Если принимающий MTA пытается выполнить обратный вызов, используя адрес прерывания в команде MAIL FROM, IP-адрес принимающего MTA будет занесен в черный список; (3) Наконец, стандартные команды VRFY и EXPN, используемые для проверки адреса, были настолько использованы спамерами, что лишь немногие почтовые администраторы включают их, в результате чего получающий SMTP-сервер не может эффективно проверить адрес электронной почты отправителя.
Прокси-серверы SMTP позволяют бороться со спамом в реальном времени, комбинируя средства управления поведением отправителя, обеспечивая немедленную обратную связь законных пользователей, устраняя необходимость в карантине.
Улавливание спама - это заполнение адреса электронной почты таким образом, чтобы спамеры могли его найти, а обычные пользователи - нет. Если используется адрес электронной почты, то отправитель должен быть спамером, и они занесены в черный список.
Например, если адрес электронной почты «[email#160;protected] » помещен в исходный HTML-код веб-сайта таким образом, что он не отображается на веб-странице, посетители веб-сайта не видел бы этого. С другой стороны, спамеры используют парсеры веб-страниц и ботов для сбора адресов электронной почты из исходного кода HTML, чтобы они могли найти этот адрес. Когда спамер позже отправляет на адрес, спамоловка знает, что это, скорее всего, спамер, и может предпринять соответствующие действия.
Статистическая или байесовская фильтрация после настройки не требует административного обслуживания как такового: вместо этого пользователи отмечают сообщения как спам или не спам, и программное обеспечение для фильтрации учится на этих оценках. Таким образом, он соответствует потребностям конечного пользователя, и до тех пор, пока пользователи постоянно помечают / помечают электронные письма, они могут быстро реагировать на изменения в содержании спама. Статистические фильтры обычно также проверяют заголовки сообщений, учитывая не только содержание, но и особенности транспортного механизма электронного письма.
Программное обеспечение, реализующее статистическую фильтрацию, включает Bogofilter, DSPAM, SpamBayes, ASSP, CRM114, почтовые программы Mozilla и Mozilla Thunderbird, Mailwasher и более поздние версии SpamAssassin.
A tarpit - это любое серверное программное обеспечение, которое намеренно очень медленно реагирует на команды клиента. Запуская tarpit, который обрабатывает приемлемую почту нормально и известный спам медленно или который выглядит как открытый почтовый ретранслятор, сайт может снизить скорость, с которой спамеры могут вводить сообщения в почтовое средство. В зависимости от сервера и скорости интернета брезент может замедлить атаку примерно в 500 раз. Многие системы просто отключаются, если сервер не отвечает быстро, что устраняет спам. Однако несколько законных систем электронной почты также не смогут правильно справиться с этими задержками. Основная идея состоит в том, чтобы замедлить атаку, чтобы злоумышленник терял время без какого-либо значительного успеха.
Организация может успешно развернуть tarpit, если она способна определить диапазон адресов, протоколов и портов для обман. В этом процессе маршрутизатор передает поддерживаемый трафик на соответствующий сервер, в то время как трафик, отправленный другими контактами, отправляется в tarpit. Примеры тентов: тенты Labrea, Honeyd, тенты SMTP и тенты уровня IP.
Отправители электронной почты используют множество методов, чтобы убедиться, что они не рассылают спам. Неспособность контролировать объем рассылаемого спама, по оценке получателей электронной почты, часто может привести к блокировке даже законной электронной почты и к включению отправителя в DNSBL.
Поскольку учетные записи спамеров часто отключаются из-за нарушений политики злоупотреблений, они постоянно пытаются создать новые учетные записи. Из-за ущерба, нанесенного репутации интернет-провайдера, когда он является источником спама, многие интернет-провайдеры и поставщики веб-электронной почты используют CAPTCHA в новых учетных записях, чтобы убедиться, что учетная запись регистрируется реальным человеком, а не автоматическим система рассылки спама. Они также могут проверить, не украли ли кредитные карты, прежде чем принимать новых клиентов, проверить список проекта Spamhaus ROKSO и выполнить другие проверки биографических данных.
Злоумышленник может легко попытаться подписать другого пользователя на список рассылки - чтобы запугать его или создать компанию или организация рассылает спам. Чтобы предотвратить это, все современные программы управления списками рассылки (такие как GNU Mailman, LISTSERV, Majordomo и qmail 's ezmlm) по умолчанию поддерживает "подтвержденное согласие". Всякий раз, когда адрес электронной почты предоставляется для подписки на список, программа отправляет подтверждающее сообщение на этот адрес. Подтверждающее сообщение не содержит рекламного контента, поэтому оно не считается спамом, и адрес не добавляется в текущий список рассылки, пока получатель не ответит на подтверждающее сообщение.
Отправители электронной почты обычно теперь проводят такие же проверки на защиту от спама для электронной почты, исходящей от своих пользователей и клиентов, что и для входящей электронной почты, исходящей из остальной части Интернета. Это защищает их репутацию, которая в противном случае могла бы пострадать в случае заражения вредоносным ПО, рассылающим спам.
Если принимающий сервер изначально полностью принимает электронное письмо и только позже определяет, что сообщение является спамом или адресовано несуществующему получателю, он будет генерировать возврат сообщение обратно предполагаемому отправителю. Однако, если (как это часто бывает со спамом) информация об отправителе во входящем электронном письме была сфальсифицирована, чтобы принадлежать несвязанной третьей стороне, тогда это сообщение о недоставке будет спамом с обратным рассеянием. По этой причине, как правило, предпочтительно, чтобы большая часть отклонения входящей электронной почты происходила на этапе подключения SMTP с кодом ошибки 5xx, когда отправляющий сервер все еще подключен. В этом случае отправляющий сервер точно сообщит о проблеме настоящему отправителю.
Межсетевые экраны и маршрутизаторы можно запрограммировать так, чтобы не пропускать SMTP трафик (TCP-порт 25) с компьютеров в сети, которые не предполагается запускать агентов пересылки почты или отправлять электронную почту. Эта практика является несколько спорным, когда Интернет-провайдеры блокируют домашних пользователей, особенно если интернет-провайдеры не позволяют блокирующее быть выключен по запросу. Электронная почта по-прежнему может быть отправлена с этих компьютеров на указанные интеллектуальные узлы через порт 25 и на другие промежуточные узлы через порт отправки сообщений электронной почты 587.
Трансляция сетевых адресов может использоваться для перехвата всего трафика через порт 25 (SMTP) и направления его на почтовый сервер, который обеспечивает ограничение скорости и фильтрацию исходящей спама. Обычно это делается в отелях, но это может вызвать проблемы с конфиденциальностью электронной почты, а также сделать невозможным использование STARTTLS и SMTP-AUTH, если отправка через порт 587 порт не используется.
Машины, которые внезапно начинают отправлять много писем, вполне могли стать компьютерами-зомби. За счет ограничения скорости отправки электронной почты, которая типична для рассматриваемого компьютера, можно по-прежнему отправлять легитимные сообщения электронной почты, но можно замедлить рассылку большого количества спама до тех пор, пока не будет проведено расследование вручную.
Путем мониторинга сообщений о спаме из таких мест, как spamcop, петля обратной связи AOL и Network Abuse Clearinghouse, злоупотребление доменом @ почтовый ящик и т. д., провайдеры часто могут узнать о проблемах до того, как они серьезно повредят репутации провайдера и их почтовые серверы будут занесены в черный список.
Отправители спама как вредоносного ПО, так и люди часто используют поддельные адреса FROM при отправке спам-сообщений. На SMTP-серверах можно принудительно контролировать, чтобы отправители могли использовать только свой правильный адрес электронной почты в поле FROM исходящих сообщений. В базе данных пользователей электронной почты у каждого пользователя есть запись с адресом электронной почты. Сервер SMTP должен проверять, совпадает ли адрес электронной почты в поле FROM исходящего сообщения с учетными данными пользователя, предоставленными для аутентификации SMTP. Если поле FROM подделано, почтовому клиенту будет возвращена ошибка SMTP (например, «Вы не владеете адресом электронной почты, с которого пытаетесь отправить»).
Большинство интернет-провайдеров и провайдеров веб-почты имеют либо Политику допустимого использования (AUP), либо Условия Соглашение об обслуживании (TOS), которое не позволяет спамерам использовать их систему и позволяет быстро устранить спамера за нарушения.
Начиная с 2000 года многие страны приняли специальные законы, криминализирующие спам, и соответствующие законы и правоприменительные меры могут оказать значительное влияние на рассылка спама. Там, где законодательством предусмотрен конкретный текст, который должны включать массовые рассылки, это также упрощает идентификацию «законных» массовых рассылок.
Усилия по борьбе со спамом все чаще приводят к координации между правоохранительными органами, исследователями, крупными компаниями, предоставляющими финансовые услуги, и поставщиками услуг Интернета в мониторинге и отслеживании спама в электронной почте, идентификации кража и фишинг и сбор доказательств для уголовных дел.
Анализ сайтов, рекламируемых спамом с помощью определенного спама, часто может сопровождаться регистраторы доменов с хорошими результатами.
Было предложено несколько подходов для улучшения системы электронной почты.
Поскольку рассылку спама способствует то, что отправка больших объемов электронной почты обходится очень недорого, один предлагаемый набор решений потребует, чтобы отправители платили определенную плату за отправку электронная почта, что делает ее непомерно дорогой для спамеров. Активист по борьбе со спамом Дэниел Бальзам пытается снизить прибыльность рассылки спама, подав судебные иски против спамеров.
Для фильтрации можно использовать методы искусственного интеллекта спам-сообщения, например алгоритмы искусственных нейронных сетей и байесовские фильтры. Эти методы используют вероятностные методы для обучения сетей, такие как изучение концентрации или частоты встречаемости слов в спаме по сравнению с допустимым содержанием электронной почты.
Канальная электронная почта - это новое предложение для отправка электронной почты, которая пытается распространить действия по борьбе со спамом путем принудительной проверки (возможно, с использованием рикошетов, чтобы не происходило обратное рассеяние), когда первое письмо отправляется для новых контактов.
Спам является предметом нескольких исследовательских конференций, в том числе:
.
