В
США в декабре 2003 года вступил в силу закон, согласно которому
злостные отправители спама могут быть оштрафованы на сумму до 6 млн.
долл. и заключены под стражу на пять лет. Однако, согласно
исследованиям компании CipherTrust, 86% спама, полученного в период с
мая по июль этого года, пришло именно из США. Для получения этих
сведений компания исследовала около 5 млн. нежелательных писем,
отправленных одной тысяче клиентов CipherTrust. В то время как
американские спамерские IP-адреса составляют только 28% от общего
количества, с них рассылается во много раз больше спама, чем со
спамерских адресов в других странах. Похоже, спамеров из США не сильно
пугает вышеупомянутый закон.
Для сравнения: доля спамерских
адресов Южной Кореи составляет 29%, но оттуда приходит только 3%
сообщений от общего количества, из Китая и Гонконга — тоже 3%, из
Канады — 2%, а украинские спамеры вносят свой вклад в размере 1,5% от
всех полученных непрошеных сообщений.
Малоэффективными считают
законодательные меры по борьбе со спамом и в компании Sophos,
занимающейся разработкой программ для борьбы с вирусами и спамом. В
опубликованном компанией отчете о распространении спама в мире
говорится, что 42% спамерской корреспонденции рассылается из США, что,
по мнению экспертов компании, свидетельствует о бесполезности принятого
в этой стране запрета на спам.
Австралийский опыт, напротив,
говорит о положительном эффекте административных и законодательных мер
по борьбе со спамом. Недавно Министерство коммуникаций сообщило о
позитивных результатах борьбы со спамом вследствие введения крупных
штрафов — до 780 тыс. долл. в день.
Новые технологии борьбы со спамом.В
большинстве спамерских писем используются поддельные адреса. В
существенной мере этому способствуют открытость почтового протокола и
сложность определения реального отправителя письма. Попытаться
определить источник письма можно по следующим трем пунктам:
Envelope-from — заголовку, добавляемому в письмо почтовыми программами при доставке его конечному получателю;
From — значению поля «От кого» в сообщении;
другим служебным заголовкам, которые могут использоваться как справочная информация (Sender, Resent-To, Resent-From и т.п.).
Спамеры
могут пытаться фальсифицировать эти параметры: From — чтобы ввести в
заблуждение пользователей, Envelope-from — чтобы обмануть почтовые
серверы и антиспамовые системы. В последнее время для уменьшения
возможности подобного обмана была предложена технология идентификации
отправителя электронного сообщения — SPF (Sender Policy Framework),
разработанная компанией Meng Weng Wong. Эта технология позволяет
владельцу почтового домена описать, в какой степени он рекомендует
доверять тем или иным серверам, отправляющим почту от имени почтовых
адресов в этом домене, а получателю письма — проверить, соответствуют
ли два параметра — IP-адрес сервера отправителя и адрес, указанный в
письме, — политике домена, которому этот адрес принадлежит.
Еще
одна технология — Sender ID — была создана на стыке двух технологий:
Caller ID (предыдущая разработка Microsoft) и SPF. Стандарт Called ID
(анонсированный в марте) предписывает провайдеру, пропускающему через
себя почтовый трафик, маркировать каждое письмо настоящим IP-адресом, с
которого оно было послано. Сторона получателя проверяет эту маркировку
по своей базе данных и фильтрует почту.
Повсеместное внедрение
Sender ID позволит устранить серьезную брешь в безопасности электронной
почты, технологии которой сегодня не препятствуют любому человеку
подделать адрес отправителя, чем активно пользуются спамеры и
вирусописатели.
Проверка позволяет определить, был ли адрес подделан, что в дальнейшем можно учесть в антиспамовом фильтре.
Приемы обхода фильтров.Наиболее
стремительно увеличивается частотность использования графики в спаме,
тогда как количество писем с текстовыми модификациями, напротив,
сокращается.
Вставка в сообщение «нарисованного» текста
оказалась достаточно эффективным приемом, так как далеко не все фильтры
умеют работать с графикой. Еще в начале года появились «мутирующие»
письма-картинки, то есть графические письма с вносимыми при рассылке
незаметными модификациями. В результате каждая картинка несколькими
битами отличается от любой другой в рассылке, но на глаз никаких
различий не заметно.
За первое полугодие 2004 года изменилась
ситуация с модифицированными текстами спамерских сообщений. В конце
прошлого года появилось множество писем, в которых в слова вставлялись
случайным образом удвоенные буквы (например, слово «рассылка» могло
выглядеть как «раассылка», «раасссылка» или даже «раассыллкаа»).
Делалось это для обхода контентных фильтров, которые переставали
узнавать измененные типичные спамерские фразы и выражения. Сейчас
подобных писем осталось очень мало: эффективность этого приема
оказалась ниже предполагаемой, а заказчики спама начали возражать
против рассылки рекламы их товара/фирмы подобным образом, так как вид
безграмотно написанного текста подрывал имидж компании.
Другие виды текстовых модификаций, например случайные цитаты и т.п., продолжают активно использоваться в спамерских сообщениях.
В
целом список основных приемов спамеров для обхода фильтров не претерпел
существенных изменений по сравнению с прошлым годом. Это по-прежнему:
* представление текста письма в виде изображения (графического файла);
* модификация текста сообщения посредством добавления цитат и случайных последовательностей;
* HTML-трюки (невидимый текст и пр.).
Полная версия статьи:
http://computer.2xn.ru/viewtopic.php?f=37&t=489