Spam och spamskydd. Grundläggande metoder för skydd mot skräppost


Introduktion till problemet

Vi vet alla vad skräppost är eftersom vi antingen har stött på det eller läst om det. Vi vet alla hur spammare samlar in e-postadresser. Det är heller ingen hemlighet att spam inte kan besegras helt. Problemet är hur man maximalt kan skydda användare som lämnar sina kontaktuppgifter på din webbplats med minimal ansträngning.

Tidigare testade skyddsmetoder

Det största hotet mot brevlådor kommer från program som laddar ner webbplatser och tar postadresser från texten på sidor. De laddar antingen bara ned din webbplats eller roamar, som sökmotorer, genom hela nätverket. Om din webbplats är liten räcker följande skydd för automatiskt ersättning av text:

]+href=)([""]?)mailto:(+)()@".
"()(+.(2,4))2([ >])~i", "1"mailto: [e-postskyddad]"
onMouseover="this.href="mai" + "lto:3" + "4" + "%40" + "5" + "6";"7", $text); ?>

Tyvärr fungerar det inte om du har en stor sajt. Låt oss säga spectator.ru, vars författare var en av de första som använde denna metod. Om jag var en spammare skulle jag gå in i personliga inställningar, kryssa i kryssrutan "visa inte öron", 1000 recensioner på sidan och fånga cookies med Proxomitron. Sedan skulle jag, med hjälp av en rocker eller ett PHP-skript, ladda ner sidor med kommentarer (ersätta cookies med inställningar) och använda ett reguljärt uttryck för att fånga adresserna. Jag skulle få en liten bas för reklamutskick.

Det fanns ytterligare ett par skyddsmetoder där mailto:-länken automatiskt ersattes med någon annan, men effekten förblev densamma - när du klickade på den skulle systemklienten skapa ett brev till den önskade adressen. Båda stod inte emot kritiken.

Möt igelkottarna

Uppenbarligen är det svårt att komma på en annan skyddsmetod än den som redan har testats - att tillhandahålla ett formulär på sajten för att skicka ett meddelande. Låt oss börja designa det. Fördelarna med denna metod är uppenbara: ingen kommer att kunna få adresser till sin spamdatabas från din webbplats. Det kommer inte att vara möjligt att skicka meddelanden genom att dölja din adress, som spammare gör - webbservern kommer att registrera sin IP-adress. Listor över offentliga anonyma proxyservrar uppdateras regelbundet och det är lätt att blockera åtkomst från dem.

Formuläravsändare

Låt oss börja med detta, för det här är den svåraste delen.

När du installerar en formuläravsändare på en webbplats är det viktigt att skydda den från huliganattacker, vilket inte kan vara enklare än spam. Därför kommer vi att behöva göra stora ansträngningar i denna riktning.

Låt oss först skydda oss från dumma dubbelklick och skicka många identiska förfrågningar. Tanken är denna: meddelandet kommer inte att skickas om användaren inte tidigare har öppnat sidan med formuläret, och genom att öppna sidan med formuläret kan meddelandet bara skickas en gång. Detta kan göras med hjälp av sessioner inbyggda i PHP. När vi öppnar en sida med ett formulär kommer vi att starta en session där vi sparar en variabel, säg $flagga. Vi kommer att visa sessions-ID som ett dolt element i slutet av formuläret. Användaren anger ett meddelande och skickar formuläret. Vid mottagande av formuläret startar skriptet en session och kontrollerar närvaron och värdet av $flag-variabeln. Om variabeln inte finns är detta ett upprepat klick, brevet skickas inte och ett felmeddelande visas. Om variabeln finns, och formulärdata passar oss (de obligatoriska fälten är ifyllda), skickar skriptet ett brev och tar bort sessionen.

För det andra, låt oss skydda oss från smarta huliganer genom att spela in meddelandeloggar. Om användaren skickar in ett korrekt ifyllt formulär kommer skriptet att titta på loggarna och kontrollera vad som finns där. Ja, det borde förbjudas

* skicka meddelanden till samma adress oftare än en viss period
* skicka samma text till olika adresser
* och använd helt enkelt formulärets avsändare för ofta - säg inte mer än 10 meddelanden per dag och användare

Vi visar sessions-ID:t i slutet av formuläret, så att hackaren skulle behöva ladda ner hela formuläret och analysera det, vilket är mer komplicerat än att bara skicka HTTP-förfrågningar. Naturligtvis kommer formuläravsändaren att skicka meddelanden om fel i skrivningen av meddelandet, krav på att ange returadress etc.

Den resulterande formulärets avsändarkod visade sig vara för stor för att inkluderas i texten. Den har arkiverats på hemsidan. Det verkar som att skriptet fungerar och skickar meddelanden.

Ersätter adresser i text

Nu är formuläravsändaren klar och du måste ersätta alla e-postmeddelanden med länkar till den. Naturligtvis ska du inte göra detta manuellt. Till mig själv skrev jag ett skript som automatiskt ersätter adresser med länkar till formulärets avsändare.

...Nackdelar: mer tid för att ordna länkar (kompenseras av länkkatalogen), när användaren håller markören över en länk, ser inte vilken adress han kommer att gå till. (Dmitry Smirnov, "Ideal författares projekt, hypertextualitet")

Alla nämnda nackdelar kan enkelt elimineras om du använder kod som liknar den jag nu kommer att beskriva och visa.

Det är inget komplicerat här om dessa är länkar, så krävs inte "mer tid för arrangemang". På min sida använder jag ett motorskript som anropas av alla sidor, så det är inga problem att lägga till kod till det eller kalla det från det som ersätter adresser. Mailadresser var och skrivs direkt i texten på sidorna, men innan de visas för användaren ersätts de med den text som krävs. Att sammanställa en databas med länkar eller e-postadresser är inget problem.

Så vad gör en adressersättare? Den söker efter "mailto:"-länkar i texten, väljer adresser från dem, skickar en fråga till databasen för att räkna (count(*)) hur många adresser från de på sidan som finns i en speciell tabell. Om det finns nya adresser på sidan kommer deras antal att vara större än sökresultatet. I det här fallet görs en fråga där adressvärden väljs och de som redan finns i tabellen exkluderas från listan. Den återstående listan skickas till tabellen med en INSERT-fråga.

När det gäller ID-adresser är det enligt min mening bättre att använda något som en webbplatsbesökare inte kunde hitta. Kan du föreställa dig länken /email.php?id=10 som leder till formulärets avsändare? Vilken frestelse att sätta 11, 12 osv där. och försök skicka ett meddelande till dem alla. Därför bestämde jag mig för att använda md5-hash för adresserna som identifierare. Det är osannolikt att någon åtar sig att välja hash. När det gäller en katalog med länkar kan du klara dig med ID, men då måste du välja alla värden från databasen, och att ersätta adresser med deras hash är mycket enklare.

Ett kommando av formuläret exekveras

]+href=)". "([""]?)mailto:(+@+". ".(2,4))2(.*?>)~ie", ""12"/email.php ?email=". urlencode(md5("3")). ""4", $text); ?>

...som ersätter adresser med deras hash. Jag vågade inte ersätta de återstående adresserna i texten med länkar, utan gjorde en enkel ersättning med adresser som vasya_at_pupkin_dot_ru. Autoersättningskoden finns också i arkivet.

Slutsats

Att dölja e-postadresser för besökare är ganska enkelt. Den automatiska korrigeringsmekanismen kräver ingen ytterligare ansträngning, och du kan fortsätta skriva webbplatssidor som om ingenting hade hänt. Svårigheter uppstår när man skyddar formuläravsändaren från webbhuliganer. Detta skydd kräver mycket ansträngning och komplex kod, så jag har ännu inte använt skriven kod på sajten. Du kan ladda ner ett arkiv med en adressersättning och en formuläravsändare, men jag ber dig mycket: lägg det inte på din webbplats i den form du laddade ner det i, jag vet inte själv hur tillförlitligt det fungerar.

Enligt statistiken tränger mer än 80 procent av skadlig programvara in i det lokala nätverket via e-post. E-postservern i sig är också en välsmakande bit för hackare - efter att ha fått tillgång till dess resurser får angriparen full tillgång till arkiv med e-postmeddelanden och listor med e-postadresser, vilket gör att de kan få mycket information om företagets liv, projekt och arbete som utförts i den. Trots allt kan även listor med e-postadresser och kontakter säljas till spammare eller användas för att misskreditera ett företag genom att attackera dessa adresser eller skriva falska e-postmeddelanden.

Vid första anblicken är spam ett mycket mindre hot än virus. Men:

  • Ett stort flöde av skräppost distraherar de anställda från att utföra sina uppgifter och leder till en ökning av icke-produktionskostnader. Enligt vissa uppgifter behöver en anställd efter att ha läst en bokstav upp till 15 minuter för att komma in i en fungerande rytm. Om mer än hundra oönskade meddelanden kommer in per dag, stör deras behov av att se dem avsevärt nuvarande arbetsplaner;
  • skräppost underlättar inträngningen av skadlig programvara i organisationen, förklädd som arkiv eller utnyttjar sårbarheter hos e-postklienter;
  • ett stort flöde av brev som passerar genom e-postservern försämrar inte bara dess prestanda, utan leder också till en minskning av den tillgängliga delen av internetkanalen och en ökning av kostnaden för att betala för denna trafik.

Spam kan också användas för att utföra vissa typer av attacker med hjälp av sociala ingenjörsmetoder, särskilt nätfiskeattacker, när användaren får brev förklädda som meddelanden från helt lagliga individer eller organisationer som ber dem att utföra någon åtgärd - till exempel ange ett lösenord för sitt konto.

I samband med allt ovanstående kräver e-posttjänsten skydd utan att misslyckas och först och främst.

Beskrivning av lösningen

Den föreslagna lösningen för att skydda ett företags e-postsystem ger:

  • skydd mot datavirus och annan skadlig programvara som distribueras via e-post;
  • skydd mot skräppost, både som kommer till företaget via e-post och distribueras över det lokala nätverket.

Moduler kan installeras som ytterligare moduler i skyddssystemet;

  • skydd mot nätverksattacker på e-postservern;
  • antivirusskydd för själva e-postservern.

Lösningskomponenter

Skyddssystemet för e-posttjänsten kan implementeras på flera sätt. Valet av lämpligt alternativ baseras på:

  • den informationssäkerhetspolicy som antagits av företaget;
  • operativsystem, hanteringsverktyg, säkerhetssystem som används i företaget;
  • budgetrestriktioner.

Rätt val gör att du inte bara kan bygga ett pålitligt skyddssystem, utan också spara en betydande summa pengar.

Som exempel ger vi alternativen "Ekonomi" och "Standard"

Alternativet "Economy" är byggt på operativsystemet Linux och utnyttjar gratisprodukter maximalt. Variantens sammansättning:

  • antivirus- och anti-spam-undersystem baserat på produkter från Kaspersky Lab, Dr.Web, Symantec. Om ditt företag använder en demilitariserad zon, rekommenderas det att flytta in e-posttrafikskyddssystemet till den. Det bör noteras att produkter utformade för att fungera i den demilitariserade zonen har större funktionalitet och större möjligheter för att upptäcka spam och attacker än standardprodukter, vilket förbättrar nätverkssäkerheten;
  • brandväggsundersystem baserat på iptables2 brandvägg och standard för hanteringsverktyg för operativsystemet Linux;
  • attackdetekteringsundersystem baserat på Snort.

E-postserversäkerhetsanalys kan göras med Nessus

Lösningen baserad på alternativet "Standard" inkluderar följande delsystem:

  • delsystem för att skydda e-postserver och e-postgatewaytjänster från skadlig programvara baserad på lösningar från Kaspersky Lab, Dr.Web, Eset, Symantec eller Trend Micro;
  • brandvägg och attackdetekteringssystem baserat på Kerio Firewall eller Microsoft ISA.

E-postserversäkerhetsanalys kan göras med XSpider

Båda alternativen ovan inkluderar inte säkerhetsmoduler för snabbmeddelanden och webbmail som standard
Både alternativet "Economic" och alternativet "Standard" kan implementeras på basis av mjukvaruprodukter certifierade av FSB och FSTEC, vilket gör att de kan levereras till statliga myndigheter och företag med ökade säkerhetskrav.

Fördelar med den föreslagna lösningen

  • lösningen ger tillförlitligt skydd mot penetrering av skadlig programvara och spam;
  • Optimalt urval av produkter gör att du kan implementera ett skyddssystem som tar hänsyn till en specifik kunds behov.

Det bör noteras att ett fullfjädrat säkerhetssystem endast kan fungera om företaget har en informationssäkerhetspolicy och ett antal andra dokument. I detta avseende erbjuder Azone IT tjänster inte bara för implementering av mjukvaruprodukter, utan också för utveckling av regulatoriska dokument och revision.

Du kan få mer detaljerad information om de tjänster som tillhandahålls genom att kontakta specialisterna på vårt företag.

Detta är en ny Kaspersky Lab-produkt designad för ett omfattande skydd av din hemdator. Detta program ger samtidigt tillförlitligt skydd mot virus, hackare och spam. Kaspersky Anti-Spam-modulen är en av delarna i detta hemdatorskyddssystem. Först och främst bör det noteras att Kaspersky Anti-Spam inte är en oberoende produkt och inte fungerar separat från Kaspersky Personal Security Suite. Till viss del kan detta kallas en nackdel, eftersom användare inte kan använda Kaspersky Anti-Spam separat, men ett omfattande skydd har också sina otvivelaktiga fördelar.

Antivirusskydd och brandvägg har diskuterats mer än en gång på sidorna i vår publikation. Därför kommer vi i den här artikeln uteslutande att titta på hur antispammodulen fungerar.

Grunden för Kaspersky Anti-Spam är den intelligenta SpamTest-tekniken, som ger: otydlig (det vill säga utlöses även om det finns en ofullständig matchning) jämförelse av brevet som kontrolleras med exempel - brev som tidigare identifierats som spam; identifiering av fraser som är karakteristiska för spam i brevets text; upptäckt av bilder som tidigare använts i skräppostmeddelanden. Utöver kriterierna ovan används också formella parametrar för att identifiera spam, inklusive:

  • "svarta" och "vita" listor som användaren kan underhålla;
  • olika funktioner i postmeddelanderubriker som är karakteristiska för spam, till exempel tecken på förfalskning av avsändarens adress;
  • tekniker som används av spammare för att lura e-postfilter - slumpmässiga sekvenser, ersättning och dubblering av bokstäver, vit-på-vit text och annat;
  • kontrollera inte bara texten i själva brevet, utan också bifogade filer i vanlig text, HTML, MS Word, RTF och andra format.

Installation av antispam-modulen

Modulen installeras under installationen av Kaspersky Personal Security Suite. När du väljer installationsalternativ kanske en användare som använder andra e-postklienter än Microsofts e-postprogram inte installerar modulen för Microsoft Outlook.

Det bör noteras att Kaspersky Anti-Spam skannar all korrespondens som tas emot via SMTP-e-postprotokollet. Tack vare detta kan den filtrera bort spam i alla e-postprogram, men mer om det nedan.

Integrering i Microsoft Outlook Express

Programmet har inte ett eget gränssnitt som sådant. I Microsoft Outlook Express är Kaspersky Anti-Spam-modulen integrerad som en meny och som en extra panel.

Man kan notera en del besvär när man använder den här panelen, även om det inte har något att göra med själva antispam-modulen. På grund av funktionsprinciperna för Microsoft Outlook Express-programmet kan Kaspersky Anti-Spam-panelen inte fixas på en plats som är bekväm för användaren. Varje gång du startar programmet kommer panelen att visas på tredje plats. Du måste hela tiden flytta den till en lämplig plats eller komma överens med detta tillstånd.

Programdrift

När Kaspersky Anti-Spam tar emot e-post analyserar den inkommande korrespondens. Om spam upptäcks är brevet märkt med en speciell etikett [!! SPAM] i fältet "Ämne" och placeras i mappen "Deleted Items". Meddelanden som identifieras som icke-spam är inte märkta med någonting och behandlas av e-postprogrammet i enlighet med fastställda regler. Om programmet inte är säker på att brevet är skräppost, då [?? Trolig skräppost] och brevet placeras i inkorgen så att användaren kan fatta ett slutgiltigt beslut. Dessutom använder programmet ytterligare två typer av etiketter: - för brev med obscent innehåll och - för automatiskt genererade brev, till exempel brev från e-postrobotar.

Tack vare sådana etiketter kan du organisera arbetet med Kaspersky Anti-Spam med vilket annat e-postprogram som helst. Det räcker med att skapa regler i din e-postklient för att sortera e-postmeddelanden efter dessa taggar. I själva Microsoft Outlook skapas sådana mappar med ett klick på en knapp i inställningsfönstret för antispammodulen.

Träningsprogram

Programmet kan tränas på två sätt: genom att klassificera meddelanden som användaren tar emot som spam - inte spam, och genom att ladda ner uppdateringar från Laboratory-servern. Den första metoden låter dig träna programmet för användarens personliga e-post, den andra låter dig snabbt svara på massiva spamhändelser på Internet.

När du startar den för första gången extraherar Kaspersky Anti-Spam alla adresser från Microsoft Outlook-adressboken för att placera dem i "Vänlistan". Alla brev från dessa mottagare kommer att uppfattas av antispammodulen som inte spam och kommer att skickas igenom utan kontroll. Därefter kan användaren redigera denna lista genom att lägga till eller ta bort mottagare till den. Utöver "Vänlistan" finns även en "Fiendelista". All korrespondens som tas emot från mottagare på fiendelistan kommer tydligt att klassificeras som spam.

Att lägga till mottagare till dina vänner- eller fiendelistor görs genom att helt enkelt klicka på en speciell knapp på Kaspersky Anti-Spam-panelen. Där bedrivs också utbildning. Om du missar ett skräppostmeddelande behöver du bara klicka på knappen "Detta är skräppost". Ett fönster visas där användaren måste tala om för programmet vad det ska göra med detta meddelande.

Kommandot "Skicka som exempel på skräppost" genererar ett brev till Kaspersky Lab med ett meddelande om skräppost för vidare utbildning. Detta kommando kan ignoreras. Du kan försumma att lägga till författaren till fienderna, men du bör definitivt lägga till brevet i spamproverna. Så tränas programmet för personlig korrespondens.

Eftersom Kaspersky Anti-Spam inte integreras i andra e-postklienter, är dess utbildning i dessa program endast möjlig genom uppdateringar som tas emot från laboratorieservern. Tyvärr gör det här träningsalternativet det inte möjligt att träna programmet för detaljerna i personlig post.

inställningar

I programinställningarna kan du: ange platsen för moduldatabaserna, om användaren vill att de ska lagras på en icke-standardplats; inaktivera eller aktivera filtrering; ställ in uppdateringsparametrar och visa statistik.

Kaspersky Anti-Spam-modulen ger ett ganska fullständigt skydd av användarens e-post från skräppost. Som alla andra program kräver det träning. Och medan denna inlärning äger rum, kan korrekta e-postmeddelanden av misstag identifieras som spam och vice versa. En relativ nackdel är att modulen inte tillåter dig att radera meddelanden på servern som är uppenbar spam. Användaren måste fortfarande spendera sin trafik på dessa onödiga brev. Å andra sidan, med denna metod för skräppostfiltrering, kommer inte ett enda värdefullt meddelande att gå förlorat. I alla andra avseenden förtjänar Kaspersky Anti-Spam den största uppmärksamheten, särskilt med tanke på integrationen av modulen med andra program som säkerställer säkerheten för användarens dator.

Vilka metoder finns det för att bekämpa spam?

Det finns två huvudsakliga metoder för att skydda en e-postserver från skräppost: att skydda mot skräppost när det tas emot av e-postservern och att separera skräppost från resten av e-postmeddelandet efter att det tagits emot av e-postservern.

Bland de första metoderna är de mest populära metoderna användningen av DNS Black List (DNSBL), Greylisting och olika förseningar vid sändning av e-post; med hjälp av olika tekniska medel, som att kontrollera existensen av en användare på den sändande sidan (återuppringning), kontrollera "riktigheten" av den sändande servern med metoder som närvaron av en post i den omvända DNS-zonen, namnets laglighet när du ställer in en SMTP-session (hej), kontrollera SPF-posten (för arbete Detta betyder att DNS-posten för värden använder motsvarande post för de legitima sändningsservrarna).

Bland metoderna för att analysera innehållet i ett brev är de mest populära metoderna att kontrollera med hjälp av olika algoritmer, som att söka efter speciella reklamsökord eller baserat på Bayes sats. Algoritmen baserad på Bayes teorem innehåller element av sannolikhetsteori, tränas initialt av användaren på meddelanden som enligt hans åsikt är skräppost, och separerar därefter meddelanden som innehåller skräppost baserat på karaktäristiska egenskaper.

Så låt oss ta en närmare titt på dessa e-postfiltreringsmetoder.

Svarta listor eller DNSBL (DNS Black Lists)

Svarta listor inkluderar adresser från vilka skräppost skickas. Ofta använda listor är "öppna reläer" och "öppna proxyservrar", och olika listor med dynamiska adresser som tilldelas av leverantörer till slutanvändare. På grund av deras enkla implementering görs användningen av dessa svarta listor via DNS-tjänsten.

Grålistor eller grålistor

Funktionsprincipen för grålistning är baserad på skräpposttaktik. Som regel skickas skräppost på mycket kort tid i stora mängder från någon server. Arbetet med en grålista är att medvetet fördröja mottagandet av brev under en tid. I detta fall läggs adressen och tiden för vidarebefordran in i grålistans databas. Om fjärrdatorn är en riktig e-postserver måste den lagra brevet i en kö och skicka det igen inom fem dagar. Spambots sparar som regel inte bokstäver i kön, så efter en kort tid slutar de att försöka vidarebefordra brevet. Det har experimentellt fastställts att det i genomsnitt tar drygt en timme att skicka skräppost. Vid återsändning av ett brev från samma adress, om den nödvändiga tiden har gått sedan första försöket, accepteras brevet och adressen läggs till den lokala vita listan under en tillräckligt lång period.

Prestandaanalys

De två första metoderna låter dig filtrera bort cirka 90 % av skräpposten vid leverans till brevlådan. Redan levererad post kan markeras med hjälp av att analysera brevets innehåll, till exempel med hjälp av programmet SpamAssassin. Denna produkt gör det möjligt, baserat på speciella algoritmer, att lägga till motsvarande rader till brevhuvuden, och användaren, baserat på e-postfilter i e-postklienten, kan filtrera e-post till de nödvändiga mapparna i e-postprogrammet.

Slutsats

Naturligtvis finns det andra sätt att skydda mot skräppost, tyvärr, för tillfället är förebyggande åtgärder, som att inte lämna din riktiga e-postadress på webbplatser, forum och anslagstavlor, använda tillfälliga adresser för sådana behov; senare kan raderas, om det är nödvändigt att publicera brevlådan på webbplatsen, använd en grafisk bild och liknande åtgärder istället för text.

Du kan ansluta och konfigurera GreyListing via ISPmanager-panelen i avsnittet "Funktioner".

Du kan ta reda på mer om hur du ställer in anti-spam-metoder genom kontrollpanelen här DNSBL och här Greylisting.


2024 gtavrl.ru.