В США в декабре 2003 года вступил в силу закон, согласно которому злостные отправители спама могут быть оштрафованы на сумму до 6 млн. долл. и заключены под стражу на пять лет. Однако, согласно исследованиям компании CipherTrust, 86% спама, полученного в период с мая по июль этого года, пришло именно из США. Для получения этих сведений компания исследовала около 5 млн. нежелательных писем, отправленных одной тысяче клиентов CipherTrust. В то время как американские спамерские IP-адреса составляют только 28% от общего количества, с них рассылается во много раз больше спама, чем со спамерских адресов в других странах. Похоже, спамеров из США не сильно пугает вышеупомянутый закон.

Для сравнения: доля спамерских адресов Южной Кореи составляет 29%, но оттуда приходит только 3% сообщений от общего количества, из Китая и Гонконга — тоже 3%, из Канады — 2%, а украинские спамеры вносят свой вклад в размере 1,5% от всех полученных непрошеных сообщений.

Малоэффективными считают законодательные меры по борьбе со спамом и в компании Sophos, занимающейся разработкой программ для борьбы с вирусами и спамом. В опубликованном компанией отчете о распространении спама в мире говорится, что 42% спамерской корреспонденции рассылается из США, что, по мнению экспертов компании, свидетельствует о бесполезности принятого в этой стране запрета на спам.

Австралийский опыт, напротив, говорит о положительном эффекте административных и законодательных мер по борьбе со спамом. Недавно Министерство коммуникаций сообщило о позитивных результатах борьбы со спамом вследствие введения крупных штрафов — до 780 тыс. долл. в день.

Новые технологии борьбы со спамом.

В большинстве спамерских писем используются поддельные адреса. В существенной мере этому способствуют открытость почтового протокола и сложность определения реального отправителя письма. Попытаться определить источник письма можно по следующим трем пунктам:
Envelope-from — заголовку, добавляемому в письмо почтовыми программами при доставке его конечному получателю;
From — значению поля «От кого» в сообщении;
другим служебным заголовкам, которые могут использоваться как справочная информация (Sender, Resent-To, Resent-From и т.п.).

Спамеры могут пытаться фальсифицировать эти параметры: From — чтобы ввести в заблуждение пользователей, Envelope-from — чтобы обмануть почтовые серверы и антиспамовые системы. В последнее время для уменьшения возможности подобного обмана была предложена технология идентификации отправителя электронного сообщения — SPF (Sender Policy Framework), разработанная компанией Meng Weng Wong. Эта технология позволяет владельцу почтового домена описать, в какой степени он рекомендует доверять тем или иным серверам, отправляющим почту от имени почтовых адресов в этом домене, а получателю письма — проверить, соответствуют ли два параметра — IP-адрес сервера отправителя и адрес, указанный в письме, — политике домена, которому этот адрес принадлежит.

Еще одна технология — Sender ID — была создана на стыке двух технологий: Caller ID (предыдущая разработка Microsoft) и SPF. Стандарт Called ID (анонсированный в марте) предписывает провайдеру, пропускающему через себя почтовый трафик, маркировать каждое письмо настоящим IP-адресом, с которого оно было послано. Сторона получателя проверяет эту маркировку по своей базе данных и фильтрует почту.

Повсеместное внедрение Sender ID позволит устранить серьезную брешь в безопасности электронной почты, технологии которой сегодня не препятствуют любому человеку подделать адрес отправителя, чем активно пользуются спамеры и вирусописатели.

Проверка позволяет определить, был ли адрес подделан, что в дальнейшем можно учесть в антиспамовом фильтре.

Приемы обхода фильтров.

Наиболее стремительно увеличивается частотность использования графики в спаме, тогда как количество писем с текстовыми модификациями, напротив, сокращается.

Вставка в сообщение «нарисованного» текста оказалась достаточно эффективным приемом, так как далеко не все фильтры умеют работать с графикой. Еще в начале года появились «мутирующие» письма-картинки, то есть графические письма с вносимыми при рассылке незаметными модификациями. В результате каждая картинка несколькими битами отличается от любой другой в рассылке, но на глаз никаких различий не заметно.

За первое полугодие 2004 года изменилась ситуация с модифицированными текстами спамерских сообщений. В конце прошлого года появилось множество писем, в которых в слова вставлялись случайным образом удвоенные буквы (например, слово «рассылка» могло выглядеть как «раассылка», «раасссылка» или даже «раассыллкаа»). Делалось это для обхода контентных фильтров, которые переставали узнавать измененные типичные спамерские фразы и выражения. Сейчас подобных писем осталось очень мало: эффективность этого приема оказалась ниже предполагаемой, а заказчики спама начали возражать против рассылки рекламы их товара/фирмы подобным образом, так как вид безграмотно написанного текста подрывал имидж компании.

Другие виды текстовых модификаций, например случайные цитаты и т.п., продолжают активно использоваться в спамерских сообщениях.

В целом список основных приемов спамеров для обхода фильтров не претерпел существенных изменений по сравнению с прошлым годом. Это по-прежнему:

* представление текста письма в виде изображения (графического файла);
* модификация текста сообщения посредством добавления цитат и случайных последовательностей;
* HTML-трюки (невидимый текст и пр.).

Полная версия статьи: http://computer.2xn.ru/viewtopic.php?f=37&t=489