| «Бытовые» определения спама как «нежелательной почты» или «незапрошенной рекламной рассылки», которые можно услышать от пользователей, провайдеров или владельцев компьютерных сетей, не выдерживают критики. Поскольку при фильтрации спама главное — не навредить получателю почты, необходимо дать более взвешенное определение. Вот наиболее точное определение спама: спам — это анонимная массовая незапрошенная рассылка. Это определение довольно хорошо соотносится с мировой практикой и определениями спама, положенными в основу американского и европейского законодательства о спаме. Кроме того, это определение можно эффективно использовать на практике. Поясним его смысл. Анонимная рассылка: мы все страдаем в основном именно от автоматических рассылок, со скрытым или фальсифицированным обратным адресом. В настоящее время не существует спамеров, которые не скрывали бы своего адреса и места рассылки.
Массовая рассылка: именно массовые рассылки, и только они, являются настоящим бизнесом для спамеров и настоящей проблемой для пользователей. Небольшая рассылка, сделанная по ошибке человеком, не являющимся профессиональным спамером, может быть нежелательной почтой, но не спамом.
Непрошеная рассылка: очевидно, подписные рассылки и конференции не должны попадать в категорию «спама» (хотя условие анонимности и так в значительной мере это гарантирует). Важны также и категории, которые мы сознательно не включили в определение спама. Например, в определение спама часто включают словосочетания «рекламная рассылка» или «коммерческое предложение». На наш взгляд, это неправильно. Дело в том, что значительная часть спама не преследует рекламных или коммерческих целей. Существуют рассылки политического и агитационного спама, есть также «благотворительные» спамерские письма (призывающие помочь каким-нибудь несчастным). Отдельную категорию составляют мошеннические письма (так называемые нигерийские письма с предложениями обналичить большую сумму денег или вовлекающие в финансовые пирамиды), а также письма, направленные на кражу паролей и номеров кредитных карт («фишинг»). Еще бывают так называемые «цепочечные письма», то есть письма с просьбой переслать их знакомым («страшилки», «письма счастья») и т. п. Есть также вирусные письма, содержащие завлекательный текст и вирусы под видом игрушек, картинок, программ («настоящая история Белоснежки», «С Новым годом!» и т. п.). Все эти письма, как правило, нельзя отнести к рекламе, хотя они являются очевидным спамом. Спам и целевые коммерческие предложения Из данного выше определения следует, что коммерческое предложение, явно направленное на адрес получателя и с реальным обратным адресом, — это не спам. Таким образом, мы не считаем спамом непрошеное рекламное письмо, например, приглашение на семинар, посланное лично директору фирмы. Или предложение горнолыжного тура в Шамони с настоящим обратным адресом турфирмы. Кому-то это может показаться возмутительным, странным и нелогичным, но мы считаем, что делать это различие необходимо — и теоретически, и практически. Такое письмо также может быть нежелательным и вызывать раздражение. Заметим, что такие письма во многих случаях тоже можно распознать и отфильтровать технически, наряду со спамом. Например, Kaspersky Anti-Spam имеет рубрики «Семинары/Конференции», «Туризм» и тому подобные. Однако прежде чем удалять письма данных категорий, системному администратору стоит согласовать политику обработки спама с отделом маркетинга и PR. Вполне возможно, что им нужны подобные письма. Например, коммерческие сотрудники туристических фирм часто с интересом читают туристические предложения и даже спам, а организаторы семинаров и сотрудники кадровых отделов хотели бы получать все приглашения на семинары. Нежелательная почта Кроме спама и целевых коммерческих предложений существует еще один вид почтовых сообщений, который часто путают со спамом. Это нежелательная почта. В некоторых случаях незапрошенное и ненужное сообщение спамом не является. Вот некоторые примеры нежелательной почты, которую получатель не заказывал и/или не желает получать:
Разного рода ошибки: ошибки автоматических рассыльщиков — технический сбой службы рассылки, запросы на подтверждение подписки на рассылку или какой-то сервис; ошибки людей — например, человек ищет однокурсника, а получатель имеет ту же фамилию и похожий адрес.
Разнообразная техническая корреспонденция: сообщения о недоставке письма и других ошибках; автоматические сообщения от антивирусных программ о вирусах в отправленном с вашего адреса письме; экстраординарные или рутинные сообщения от администраторов сервисов (например, о том, что почтовый сервис будет недоступен, или о появлении вируса и пр.). Такие письма для получателя часто выглядят как незапрошенные.
Новые возможности общения и бизнеса: деловое письмо от частного лица (фирмы) частному лицу (фирме). Такое письмо часто может служить началом нового контракта, дела, бизнеса. Прямое письмо менеджеру корпорации от рекрутингового агентства — адрес обычно получен неофициально, само письмо справедливо трактуется компанией как угроза бизнесу, в то же время такие письма очень полезны рынку труда и капитала.
И, естественно, личные письма от тех, с кем получатель никогда ранее не переписывался: письма от старых знакомых, друзей, агитаторов (например, агитация жителей района против загрязнения парка, и т. п.). Любое из этих писем является незапрошенным, ибо принимающая сторона его явно не запрашивала. С другой стороны, выбрасывать подобную почту без прочтения нельзя. Из этого следует, что признаки массовости и анонимности являются необходимыми для распознавания тех, кто делает бизнес на спаме. Политика обращения со спамом и нежелательной почтой Итак, мы разделяем все незапрошенные сообщения, попавшие в ваш почтовый ящик, на следующие категории: 1. спам, имеющий все признаки анонимной массовой рассылки;
2. целевые коммерческие предложения;
3. нежелательная почта. Спам, несомненно, нужно фильтровать, а затем сохранять в особых папках или помещать в карантин, а иногда сразу удалять — согласно политике компании. Вторую и третью категорию писем также возможно распознавать и фильтровать, но с ними нужно обращаться более осторожно. В компании могут быть разные отделы, которые хотели бы получать различные категории непрошеной почты (администраторам нужны сообщения от сервисов и антивирусов, кадровикам — приглашения на семинары). Таким образом, системный администратор должен вводить тщательно продуманную политику обработки почты, включающую не только уничтожение спама, но маршрутизацию и хранение незапрошенной и даже нежелательной почты. Эволюция спам-рассылок Рассылки спама (нежелательной рекламы) появились в середине 90-х годов прошлого века — как только количество интернет-пользователей достигло такой величины, что рекламодатели стали заинтересованы в таких рассылках. К 1997 году начали говорить уже о «проблеме спама», в том же году появился первый черный список IP-адресов спам-машин. Эволюция методов рассылки спама Эволюция способов рассылки спама определялась эволюцией средств фильтрации. Как только один из методов рассылки начинает преобладать, находятся эффективные средства борьбы с ним, и спамерам приходится менять технологию. При этом, чем большей проблемой является спам, тем активнее ищутся пути противодействия, и тем быстрее меняются технологии спамеров — их бизнес растет и позволяет вкладывать больше средств в разработку. Прямые рассылки Спам начинался с прямых рассылок — спамеры рассылали сообщения от собственного имени с собственных почтовых серверов. Такой спам блокируется достаточно просто (по адресу почтового сервера или адресу отправителя). Как только такие блокировки стали распространенными, спамеры были вынуждены начать подделывать адреса отправителей и другую техническую информацию. Рассылки через «открытые релеи» Открытый релей (open relay) — это почтовый сервер, который позволяет произвольному пользователю отправить произвольное электронное письмо на произвольный адрес. В середине 90-х годов все почтовые серверы представляли собой открытые релеи, поэтому понадобилось изменять и перенастраивать программное обеспечение на всех почтовых серверах мира. Не все администраторы почтовых систем делали это достаточно быстро, поэтому появились сервисы поиска «открытых релеев», а затем и их списки (в том числе основанные на технологии DNS списки реального времени — RBL, realtime blackhole list) и блокировка приема почты с таких машин. На сегодняшний день этот метод рассылки все еще применяется, т. к. открытые релеи до сих пор существуют. Рассылки с модемных пулов Как только рассылки через открытые релеи перестали быть эффективными, спамеры стали применять рассылку с dialup-подключений, используя следующие возможности: как правило, почтовый сервер провайдера принимает почту от своих клиентов и пересылает ее дальше;
dialup-подключение получает динамический (меняющийся после каждого нового соединения) IP-адрес, таким образом, спамер может рассылать почту с множества IP-адресов. В качестве ответной меры провайдеры стали вводить лимиты на число писем, посланных от одного пользователя, появились списки dialup-адресов и блокировка приема почты с «чужих» модемных пулов. Рассылки с proxy-серверов В начале 2000-х годов одновременно с распространением высокоскоростных подключений (ADSL, Cable) спамеры стали использовать уязвимости в клиентском оборудовании. Многие ADSL-модемы имели встроенный SOCKS-сервер или HTTP proxy (программное обеспечение, позволяющее осуществлять разделение интернет-канала между многими компьютерами), причем доступ к ним дозволялся со всего мира без паролей и контроля доступа (для упрощения настройки конечным пользователем). Таким образом, можно было произвести любое действие (в том числе и рассылку спама) с IP-адреса ADSL-пользователя. Так как таких пользователей по всему миру — миллионы, то проблема была частично решена только усилиями производителей оборудования — открытые всему миру «посредники» последние годы в состав оборудования не входят. Взлом пользовательских машин В настоящее время основная масса рассылок производится с пользовательских компьютеров, на которые тем или иным способом установлено «троянское» программное обеспечение, позволяющее спамерам (и прочим недобросовестным людям) осуществлять доступ к пользовательским машинам без ведома и контроля пользователя. Для взлома пользовательских машин используются следующие методы: троянские программы, распространяемые вместе с пиратским ПО по файлообменным сетям (Kazaa, eDonkey и пр.);
использование уязвимостей в различных версиях Windows и широко распространенного ПО (в первую очередь MSIE и MS Outlook) для установки бэкдоров на пользовательских компьютерах;
email-черви последних поколений, также используемые для установки бэкдоров. По самым скромным оценкам троянские программы установлены на нескольких миллионах машин по всему миру. На сегодняшний день эти программы достаточно хитроумны — они могут обновлять свои версии, получать инструкции с заранее подготовленных сайтов или каналов IRC, рассылать спам, осуществлять DDoS-атаки и т. п. Эволюция содержания писем Появление средств обнаружения спама, основанных на анализе содержания письма (контентный анализ), привело к эволюции содержания спамерских писем — их готовят таким образом, чтобы автоматический анализ был затруднен. Как и в случае изменения методов рассылки, спамеры вынуждены бороться с антиспам-средствами. Простые текстовые и HTML-письма Первые спам-сообщения были одинаковыми — всем получателям рассылался один и тот же текст. Такие сообщения тривиально фильтруются (например, по частоте повторения одинаковых писем). Персонализированные сообщения Следующим шагом было добавление персонализации (например, «Hello, joe!» — в начале письма на адрес joe@user.com), что сделало все сообщения разными. Теперь для их фильтрации нужно было выискивать неизменяющуюся строчку и заносить ее в список правил фильтра. В качестве метода борьбы были предложены нечеткие сигнатуры — устойчивые к небольшим изменениям текста и статистические обучаемые методы фильтрации (Байесовская фильтрация и т. п.). Внесение случайных текстов, «шума», невидимых текстов В начало или конец письма спамер может поместить отрывок из классического текста или просто случайный набор слов. В HTML-сообщение можно внести «невидимый» текст (очень мелким шрифтом или цветом, совпадающим с цветом фона). Эти добавления затрудняют работу нечетких сигнатур и статистических методов. В качестве ответной меры появился поиск цитат, устойчивый к дополнениям текстов, детальный разбор HTML и другие методы углубленного анализа содержания письма. Во многих случаях можно определить сам факт использования «спамерского трюка» и отклассифицировать сообщение как спам, не анализируя его текст в деталях. Графические письма Рекламное сообщение можно прислать пользователю в виде графического файла — что крайне затруднит автоматический анализ. В качестве ответной меры появляются способы анализа изображений, выделяющие из них текст. Перефразировка текстов Одно и то же рекламное сообщение составляется во множестве вариантов одного и того же текста. Каждое отдельное письмо выглядит как обычный связный текст, и только имея много копий сообщения, можно установить факт перефразировки. Таким образом, эффективно настроить фильтры можно только после получения существенной части рассылки. На сегодняшний день широко используются три последних метода — далеко не все антиспам-средства могут с ними нормально бороться, что дает возможность доставлять спам тем пользователям, которые используют недостаточно продвинутые средства фильтрации. Как уменьшить поток спама Проблемы с рекламными рассылками (спамом) у частного пользователя начинаются в тот момент, когда его email-адрес попадает в базу данных к спамерам. Выполнение приводимых ниже рекомендаций специалистов помогут максимально отдалить этот момент. Откуда спамеры узнают ваш адрес Спамеры находят email-адреса своих жертв различными способами: сканируя веб-сайты;
сканируя доски объявлений, форумы, чаты, Usenet News и так далее;
подбирая «легкие» адреса (jonh@, mary@, alex@, info@, sales@, support@) по словарю имен и частых слов;
подбирая «короткие» адреса (aa@, an@, bb@, abc@) простым перебором. Исходя из этого, частному пользователю можно порекомендовать следующие меры: 1.
Заведите себе два адреса — частный, для переписки (приватный и малоизвестный, который вы никогда не публикуете в общедоступных источниках), и публичный — для публичной деятельности (форумов, чатов и так далее). 2.
Адрес для переписки никогда не должен публиковаться в открытом доступе. 3.
Адрес для переписки не должен быть легким в запоминании или «красивым». Ваше имя или красивое слово — не подходят. Vasily.M.Pupkin-IV — подходит вполне. Чем длиннее адрес и чем менее он удобочитаем — тем лучше. 4.
Если нужно сообщить свой приватный адрес (в конференции, на сайте) — делайте это способом, непригодным для автоматического прочтения сборщиком адресов. «Ivan-точка-Susanin-собака-mail-точка-ру» — хороший способ. «Ivan.Susanin at mail.ru» — гораздо хуже, Ivan.Susanin@mail.ru — никуда не годится. Если речь идет о публикации на сайте, можно опубликовать адрес в виде картинки. 5.
Адрес для публикации нужно заранее считать временным. Не стоит его жалеть — вы всегда можете завести новый. Как правило, спам начинает приходить на него через несколько дней после публикации. Поскольку этот адрес могут использовать не только спамеры (туда будет приходить и нормальная почта), стоит его периодически просматривать. Вы можете читать почту, приходящую на него, раз в неделю или раз в месяц. Регистрации на сайтах Некоторые интернет-магазины, конференции, форумы и т. п. требуют регистрации с указанием работающей электронной почты. Иногда переданные таким образом адреса попадают к спамерам. Далеко не всегда это злой умысел, но пользователям от этого не легче. Поэтому: 6.
При регистрациях всегда указывайте публичный адрес. Он все равно может считаться потерянным. Можно на каждую регистрацию заводить новый адрес на бесплатных почтах — тогда вы будете знать, кто из магазинов и форумов «продал» ваш адрес спамерам. Спам все равно приходит. Что делать? Если спама приходит немного и с ним еще можно мириться, то следует придерживаться простых правил: 7.
Никогда не отвечайте спамеру. Возможно, ничего плохого не произойдет. Но может случиться и так, что ваш ответ прочитает «робот» и пометит ваш адрес как «живой» — в результате спама будет приходить еще больше. 8.
Не пытайтесь воспользоваться ссылкой «отписаться», если вы не уверены, что она сработает. Возможно, вас действительно отпишет данный конкретный рассыльщик. Но при этом ваш адрес могут пометить как действующий... и спама станет больше. Узнать, что случится, можно, только попробовав. Но хотите ли вы этого? Если мириться со спамом уже никак нельзя: 9.
Смените свой «частный» адрес. На некоторое время это поможет. Я никому не давал адрес, кроме самых близких знакомых, но на него приходит спам К сожалению, ваш адрес мог быть украден из адресной книги вашего знакомого почтовым вирусом (который рассылается по адресной книге). Какого-либо разумного способа уберечься от этого не существует — даже если у всех знакомых есть антивирусная программа, у нее должны быть обновленные базы данных и т. д. Мне нужен адрес, куда всякий желающий мог бы написать! Если вы хотите все-таки иметь общеизвестный и общедоступный адрес, приготовьтесь получать туда сотни спам-сообщений в сутки. Если не повезет — то тысячи в сутки. Если от такого адреса вы не хотите отказываться, то остается последний совет: 10.
Используйте антиспам-фильтр — или на сервере, выбрав провайдера с услугой фильтрации спама, или у себя на компьютере, выбрав средство, подходящее для вашего почтового клиента. Современные фильтры обладают достаточно высоким качеством (процент фильтруемого спама у хороших и хорошо настроенных фильтров достигает 95-99%), и их использование резко снизит остроту проблемы. Информация взята с http://www.viruslist.com
| 
Каталог статей
