Антиспам — це програмне забезпечення, метою якого є виявлення та блокування потенційно небезпечних електронних листів із скриньок вхідних повідомлень користувачів. Протоколи захисту від спаму визначають, що таке небажане та небажане повідомлення (спам); у багатьох випадках спам – це рекламований продукт, який багато з яких є законним (хоча все ще небажаним) або шкідливим.
Як працює програмне забезпечення для захисту від спаму
Програмне забезпечення для захисту від спаму використовує фільтри, які дозволяють лише відомим і схваленим адресам електронної пошти отримувати доступ до папок “Вхідні” користувачів. Програмне забезпечення для захисту від спаму зазвичай дозволяє переглядати електронну пошту, класифіковану як спам, у випадку, якщо вона неправильно визначила законну електронну пошту.
Важливість програмного забезпечення для захисту від спаму
Програмне забезпечення для захисту від спаму важливо з кількох причин:
- Програмне забезпечення для захисту від спаму «розчищає» скриньки вхідних повідомлень електронної пошти, зменшуючи кількість електронних листів, які відволікають і витрачають час.
- Програмне забезпечення для захисту від спаму також допомагає запобігти зловмисним електронним листам, які обманом змушують користувачів розкрити особисту та конфіденційну інформацію.
- Програмне забезпечення для захисту від спаму допомагає запобігти проникненню вірусів, шпигунського програмного забезпечення та програм-вимагачів у комп’ютерні мережі організації.
5 найпопулярніших функцій програмного забезпечення для захисту від спаму
5 найпопулярніших функцій програмного забезпечення для захисту від спаму:
- Зупиніть 99% спаму від потрапляння в мережеву систему організації, з 0,0001% помилкових спрацьовувань.
- Розчищайте папки “Вхідні” за допомогою простих інструментів для зберігання сірої пошти, як-от інформаційні бюлетені та списки розсилки.
- Зведіть до мінімуму технічну підтримку, надавши користувачам інструменти для керування власними списками заблокованих і дозволених відправників.
- Надайте адміністраторам централізований і детальний контроль над програмними політиками для захисту від спаму.
Популярні методи боротьби зі спамом
Загалом кажучи, програмне забезпечення для захисту від спаму використовує три методи боротьби зі спамом:
- Ініціоване користувачем визначення спам-адрес електронної пошти.
- Автоматична ідентифікація спаму адміністраторами та/або користувачами.
- Спам, виявлений дослідниками та представниками правоохоронних органів.
Зупиніть загрози електронною поштою за допомогою чудового програмного забезпечення для захисту від спаму
Програмне забезпечення для захисту від спаму є найважливішим пріоритетом для ІТ-безпеки. Незважаючи на те, що спам продовжує бути щоденною неприємністю, захаращуючи скриньки вхідних і впливаючи на сервери, він також є джерелом багатьох найнебезпечніших загроз безпеці вашої організації. Від фішингу та шахрайства електронною поштою з програмами-вимагачами до шахрайства з генеральним директором і зламу корпоративної електронної пошти – переважна більшість порушень безпеки сьогодні починається з електронної пошти чи спаму.
Щоб успішно боротися з шахрайськими електронними листами та загрозами, ваше програмне забезпечення для захисту від спаму має не допускати спаму та небезпечної електронної пошти в скриньку вхідних повідомлень користувачів. Ваше програмне забезпечення для захисту від спаму також має мати низький рівень помилкових спрацьовувань, щоб уникнути втрати важливих повідомлень і погіршення продуктивності користувача. А щоб спростити керування та зменшити навантаження на ІТ-адміністраторів, ваше програмне забезпечення для захисту від спаму повинно бути простим у впровадженні, використанні та обслуговуванні.
Вибираючи програмне забезпечення для захисту від спаму, яке відповідає цим вимогам і перевершує їх, все більше компаній у всьому світі звертаються до хмарних рішень для фільтрації спаму та безпеки електронної пошти від Mimecast, одного з найбезпечніших у галузі послуг електронної пошти.
Методи кінцевого користувача
Існує ряд методів, які люди можуть використовувати для обмеження доступності своїх електронних адрес, щоб зменшити ймовірність отримання спаму.
Дискретність
Спільне використання адреси електронної пошти лише для обмеженої групи кореспондентів є одним із способів обмежити ймовірність того, що адреса буде «зібрана» та націлена на спам. Подібним чином, під час пересилання повідомлень кільком одержувачам, які не знають один одного, адреси одержувачів можна вказати в полі «прихована копія:», щоб кожен одержувач не отримував список електронних адрес інших одержувачів.
Зміна адреси
Адреси електронної пошти, розміщені на веб-сторінках, у мережі Usenet або в чатах, уразливі до збирання адрес електронної пошти. Підміна адреси — це практика маскування адреси електронної пошти, щоб запобігти її автоматичному збиранню таким чином, але все ще дозволяє людині-читачеві відтворити оригінал: адресу електронної пошти, наприклад, «no-one@example. com”, можна записати як “no-one at example dot com”, наприклад. Пов’язана техніка полягає у відображенні всієї адреси електронної пошти або її частини у вигляді зображення чи перемішаного тексту з відновленим порядком символів за допомогою CSS.
Уникайте відповідей на спам
Загальною порадою є не відповідати на спам-повідомлення, оскільки спамери можуть просто сприймати відповіді як підтвердження того, що адреса електронної пошти дійсна. Подібним чином багато спам-повідомлень містять веб-посилання або адреси, за якими користувач повинен перейти, щоб бути видаленими зі списку розсилки спамера, і їх слід розглядати як небезпечні. У будь-якому випадку адреси відправників часто підроблюються в спам-повідомленнях, тому відповідь на спам може призвести до невдалих доставок або може охопити зовсім невинних третіх осіб.
Контактні форми
Компанії та приватні особи іноді уникають оприлюднення адреси електронної пошти, просять зв’язатися через «контактну форму» на веб-сторінці, яка потім зазвичай пересилає інформацію електронною поштою. Однак такі форми іноді незручні для користувачів, оскільки вони не можуть використовувати бажаний клієнт електронної пошти, ризикують ввести неправильну адресу відповіді та зазвичай не отримують сповіщення про проблеми з доставкою. Крім того, контактні форми мають той недолік, що для них потрібен веб-сайт із відповідною технологією.
У деяких випадках контактні форми також надсилають повідомлення на електронну адресу, надану користувачем. Це дозволяє використовувати контактну форму для надсилання спаму, що може спричинити проблеми з доставкою електронної пошти із сайту після того, як буде повідомлено про спам, а IP-адресу відправника буде внесено в чорний список.
Вимкнути HTML в електронній пошті
HTML електронна пошта
Багато сучасних поштових програм включають такі функції веб-браузера, як відображення HTML, URL-адрес і зображень.
Уникнення або вимкнення цієї функції не допоможе уникнути спаму. Однак це може бути корисним, щоб уникнути деяких проблем, якщо користувач відкриває спам-повідомлення: образливі зображення, заплутані гіперпосилання, відстеження веб-помилками, націлювання на JavaScript або атаки на вразливі місця системи обробки HTML. Поштові клієнти, які не завантажують і не відображають автоматично HTML, зображення чи вкладення, мають менше ризиків, так само як і клієнти, які налаштовано не відображати їх за замовчуванням.
Одноразові електронні адреси
Одноразова електронна адреса
Користувачеві електронної пошти іноді може знадобитися надати адресу сайту без повної впевненості, що власник сайту не використовуватиме її для розсилання спаму. Один із способів зменшити ризик — надати одноразову адресу електронної пошти — адресу, яку користувач може вимкнути або залишити, яка пересилає електронну пошту на справжній обліковий запис. Ряд сервісів надають одноразову переадресацію адрес. Адреси можна вимкнути вручну, вони можуть закінчуватися через заданий проміжок часу або можуть закінчуватися після пересилання певної кількості повідомлень. Одноразові адреси електронної пошти можуть використовуватися користувачами, щоб відстежувати, чи власник сайту розкрив адресу чи стався порушення безпеки.
Паролі радіолюбителів
Системи, які використовують «паролі любителів», просять нерозпізнаних відправників включити в свою електронну пошту пароль, який демонструє, що повідомлення електронної пошти є «любимим» (а не спамом). Зазвичай адреса електронної пошти та пароль радіолюбителя описуються на веб-сторінці, а пароль радіолюбителя включається в рядок теми електронного листа (або додається до частини «ім’я користувача» електронної адреси за допомогою техніки « плюсової адресації ». ). Паролі радіолюбителів часто поєднуються з системами фільтрації, які пропускають лише ті повідомлення, які ідентифікуються як “любимці”.
Повідомити про спам
Повідомлення про спам
Відстеження провайдера спамера та повідомлення про правопорушення може призвести до припинення служби спамера та кримінального переслідування. На жаль, може бути важко відстежити спамера, і хоча існують деякі онлайн-інструменти, такі як SpamCop і Network Abuse Clearinghouse, які можуть допомогти, вони не завжди точні. Історично так склалося, що повідомлення про спам у такий спосіб не зіграло великої ролі в зменшенні спаму, оскільки спамери просто перенесли свою роботу на іншу URL-адресу, Інтернет-провайдера або мережу IP-адрес.
У багатьох країнах споживачі також можуть повідомляти органи влади про небажану та оманливу комерційну електронну пошту, наприклад у США до Федеральної торгової комісії США (FTC) або подібних установ в інших країнах.
Автоматизовані методи для адміністраторів електронної пошти
Зараз існує велика кількість програм, пристроїв, служб і систем програмного забезпечення, які адміністратори електронної пошти можуть використовувати для зменшення навантаження спаму на свої системи та поштові скриньки. Зазвичай вони намагаються відхилити (або «заблокувати») більшість спам-електронних повідомлень прямо на етапі підключення SMTP. Якщо вони приймуть повідомлення, вони, як правило, далі проаналізують вміст і можуть вирішити «помістити на карантин» будь-який вміст, класифікований як спам.
Автентифікація
автентифікація електронної пошти, структура політики відправника, DKIM і DMARC.
Було розроблено ряд систем, які дозволяють власникам доменних імен ідентифікувати електронну пошту як авторизовану. Багато з цих систем використовують DNS для переліку сайтів, уповноважених надсилати електронні листи від їх імені. Після багатьох інших пропозицій SPF, DKIM і DMARC тепер широко підтримуються, і їх поширення зростає. Хоча ці системи безпосередньо не атакують спам, вони значно ускладнюють підробку адрес, що є поширеною технікою спамерів, але також використовується для фішингу та інших видів шахрайства через електронну пошту.
Системи виклик/відповідь
фільтрація спаму за запитом
Метод, який можуть використовувати інтернет-провайдери, спеціалізовані служби чи підприємства для боротьби зі спамом, полягає в тому, щоб вимагати від невідомих відправників проходити різні тести, перш ніж їхні повідомлення будуть доставлені. Ці стратегії називаються “системами виклик/відповідь”.
Фільтрування на основі контрольної суми
Фільтр на основі контрольної суми використовує той факт, що повідомлення надсилаються масово, тобто вони будуть ідентичними з невеликими варіаціями. Фільтри на основі контрольної суми видаляють усе, що може відрізнятися між повідомленнями, зменшують те, що залишається, до контрольної суми та переглядають цю контрольну суму в базі даних, наприклад Distributed Checksum Clearinghouse, яка збирає контрольні суми повідомлень, які одержувачі електронної пошти вважають спамом (деякі люди мати кнопку на клієнті електронної пошти, яку вони можуть натиснути, щоб позначити повідомлення як спам); якщо контрольна сума є в базі даних, повідомлення, ймовірно, є спамом. Щоб уникнути виявлення таким чином, спамери іноді вставляють унікальну невидиму тарабарщину, відому як hashbusters, у середину кожного свого повідомлення, щоб кожне повідомлення мало унікальну контрольну суму.
Фільтрування на основі країни
Деякі сервери електронної пошти очікують, що ніколи не будуть спілкуватися з певними країнами, з яких вони отримують велику кількість спаму. Тому вони використовують фільтрацію на основі країни – техніку, яка блокує електронну пошту з певних країн. Цей метод базується на країні походження, визначеній IP-адресою відправника, а не будь-якою рисою відправника.
Чорні списки на основі DNS
DNSBL
Існує велика кількість безкоштовних і комерційних чорних списків на основі DNS або DNSBL, які дозволяють поштовому серверу швидко шукати IP-адресу вхідного поштового з’єднання та відхиляти її, якщо вона є в списку. Адміністратори можуть вибирати з безлічі DNSBL, кожна з яких відображає різні політики: деякі перераховують сайти, які, як відомо, розсилають спам; інші перераховують відкриті поштові ретранслятори або проксі; інші перераховують провайдерів, які, як відомо, підтримують спам.
Фільтрування URL-адрес
DNSBL § URI DNSBL
Більшість спаму/фішингових повідомлень містять URL-адресу, яку спонукають жертви натиснути. Таким чином, популярна техніка з початку 2000-х років складається з вилучення URL-адрес із повідомлень і їх пошуку в базах даних, таких як Spamhaus ‘Domain Block List (DBL), SURBL і URIBL.
Суворе дотримання стандартів RFC
стандарти SMTP RFC
Багато спамерів використовують погано написане програмне забезпечення або не можуть відповідати стандартам, оскільки вони не мають законного контролю над комп’ютером, який вони використовують для надсилання спаму ( комп’ютер-зомбі ). Встановлюючи суворіші обмеження на відхилення від стандартів RFC, які прийматиме MTA, адміністратор електронної пошти може значно зменшити кількість спаму, але це також створює ризик відхилення пошти зі старіших або погано написаних чи налаштованих серверів.
Затримка привітання – сервер-відправник повинен зачекати, доки він не отримає банер-привітання SMTP, перш ніж надсилати будь-які дані. Сервери-одержувачі можуть ввести навмисну паузу, щоб дозволити їм виявити та заборонити будь-які програми, що надсилають спам, які не очікують отримання цього банера.
Тимчасове відхилення – техніка сірого списку заснована на тому, що протокол SMTP дозволяє тимчасово відхиляти вхідні повідомлення. Додавання до сірого списку тимчасово відхиляє всі повідомлення від невідомих відправників або поштових серверів із використанням стандартних кодів помилок 4xx. Усі сумісні MTA повторять спробу доставки пізніше, але багато спамерів і спам-ботів цього не зроблять. Недоліком є те, що всі легітимні повідомлення від відправників, які відправили вперше, матимуть затримку в доставці.
Перевірка HELO/EHLO – RFC 5321 говорить, що SMTP-сервер «МОЖЕ перевірити, чи аргумент імені домену в команді EHLO дійсно відповідає IP-адресі клієнта. Однак, якщо перевірка не вдається, сервер НЕ ПОВИНЕН відмовлятися прийняти повідомлення на цій основі». Однак системи можна налаштувати на
- Відмовлятися від з’єднань із хостами, які надають недійсний HELO – наприклад, HELO, який не є повним доменним ім’ям або IP-адресою, не в квадратних дужках.
- Відмова від з’єднань з хостами, які дають явно шахрайський HELO
- Відмова приймати електронну пошту, чий аргумент HELO/EHLO не вирішується в DNS
Недійсна конвеєрна передача – кілька команд SMTP можна помістити в один мережевий пакет і “конвеєрувати”. Наприклад, якщо електронний лист надіслано із заголовком CC:, кілька команд SMTP “RCPT TO” можуть бути розміщені в одному пакеті замість одного пакета на команду “RCPT TO”. Проте протокол SMTP вимагає перевірки помилок і синхронізації всього в певних точках. Багато спамерів надсилають усе в одному пакеті, оскільки їх не хвилюють помилки, і це ефективніше. Деякі MTA виявлять цей недійсний конвеєр і відхилять електронний лист, надісланий таким чином.
Без списку – сервери електронної пошти для будь-якого певного домену вказуються в пріоритетному списку за допомогою записів MX. Техніка Nolisting — це просто додавання запису MX, який вказує на неіснуючий сервер як «основний» (тобто сервер із найнижчим значенням параметра), що означає, що початковий контакт електронної пошти завжди буде невдалим. Багато джерел спаму не повторюють спробу в разі невдачі, тому спамер переходить до наступної жертви; законні сервери електронної пошти повинні повторити наступний MX із вищим номером, і звичайна електронна пошта буде доставлена лише з короткою затримкою.
Виявлення завершення – з’єднання SMTP завжди має бути закрите за допомогою команди QUIT. Багато спамерів пропускають цей крок, оскільки їхній спам уже надіслано, а час, щоб належним чином закрити з’єднання, потребує часу та пропускної здатності. Деякі MTA здатні визначати, чи правильно закрито з’єднання, і використовувати це як міру надійності іншої системи.
Honeypots
Honeypot (обчислювальна техніка)
Інший підхід полягає в простому створенні імітації MTA, яка створює вигляд відкритого ретранслятора пошти, або імітації проксі-сервера TCP/IP, який створює вигляд відкритого проксі. Спамери, які перевіряють системи відкритих ретрансляторів і проксі-серверів, знайдуть такий хост і спробують надіслати пошту через нього, витрачаючи свій час і ресурси, і потенційно відкриваючи інформацію про себе та походження спаму, який вони надсилають, організації, яка керує горщик для меду. Така система може просто відкидати спроби спаму, надсилати їх до DNSBLs або зберігати для аналізу суб’єктом, який керує приманкою, що може дозволити ідентифікувати спамера для блокування.
Гібридна фільтрація
SpamAssassin, Policyd-weight та інші використовують деякі або всі різні тести на спам і призначають числову оцінку кожному тесту. Кожне повідомлення перевіряється на наявність цих шаблонів, і відповідні бали підсумовуються. Якщо загальна сума перевищує фіксоване значення, повідомлення відхиляється або позначається як спам. Переконавшись, що жоден тест на спам сам по собі не може позначити повідомлення як спам, можна значно зменшити кількість помилкових спрацьовувань.
Захист від вихідного спаму
Захист від вихідного спаму передбачає сканування трафіку електронної пошти під час його виходу з мережі, виявлення спам-повідомлень і виконання таких дій, як блокування повідомлення або відключення джерела трафіку. Хоча основний вплив спаму на одержувачів спаму, мережі-відправники також зазнають фінансових витрат, таких як марна пропускна здатність і ризик блокування їхніх IP-адрес приймальними мережами.
Захист від вихідного спаму не тільки зупиняє спам, але й дозволяє системним адміністраторам відстежувати джерела спаму в їхній мережі та виправляти їх, наприклад, видаляючи зловмисне програмне забезпечення з комп’ютерів, які заражені вірусом або беруть участь у ботнеті.
PTR/зворотні перевірки DNS
Додаткова інформація:
зворотний пошук DNS і
зворотний DNS із підтвердженням пересилання
Записи PTR DNS у зворотному DNS можна використовувати для багатьох речей, зокрема:
- Більшість агентів передачі електронної пошти (поштових серверів) використовують зворотну перевірку DNS (FCrDNS), підтверджену вперед, і якщо є дійсне доменне ім’я, введіть його в поле заголовка трасування «Отримано:».
- Деякі агенти передачі електронної пошти виконають перевірку FCrDNS на доменному імені, указаному в командах SMTP HELO та EHLO. Див. #Strict enforcement of RFC standards § HELO/EHLO.
- Щоб перевірити доменні імена в rDNS, щоб побачити, чи ймовірно вони належать користувачам комутованого з’єднання, динамічно призначених адрес або домашніх клієнтів широкосмугового зв’язку. Оскільки переважна більшість електронних листів, які надходять із цих комп’ютерів, є спамом, багато поштових серверів також відхиляють електронні листи з відсутніми або «загальними» іменами rDNS.
- Зворотна перевірка DNS із прямим підтвердженням може створити форму автентифікації того, що існує дійсний зв’язок між власником доменного імені та власником мережі, якій надано IP-адресу. Незважаючи на те, що ця автентифікація залежить від інфраструктури DNS, яка має відомі вразливості, вона достатньо надійна, щоб її можна було використовувати для цілей білого списку, оскільки спамери та фішери зазвичай не можуть обійти цю перевірку, коли використовують комп’ютери-зомбі для підробки доменів.
Фільтрування на основі правил
Методи фільтрації вмісту ґрунтуються на специфікації списків слів або регулярних виразів, заборонених у поштових повідомленнях. Таким чином, якщо сайт отримує спам-рекламу «Віагра на травах», адміністратор може розмістити цю фразу в конфігурації фільтра. Тоді поштовий сервер відхилив би будь-яке повідомлення, що містить цю фразу.
Фільтрування заголовків розглядає заголовок електронного листа, який містить інформацію про джерело, адресата та вміст повідомлення. Хоча спамери часто підробляють поля в заголовку, щоб приховати свою особу або спробувати зробити електронний лист більш легітимним, ніж насправді, багато з цих методів підробки можна виявити, і будь-яке порушення стандарту RFC 5322 щодо того, як заголовок також може бути підставою для відхилення повідомлення.
Перевірка зворотного виклику SMTP
Оскільки великий відсоток спаму має підроблені та недійсні адреси відправника («від»), деякий спам можна виявити, перевіривши, чи адреса «від» є дійсною. Поштовий сервер може спробувати перевірити адресу відправника, встановлюючи SMTP-з’єднання назад до поштового обмінника для адреси, як якщо б це створювало відмову, але зупиняючись безпосередньо перед надсиланням електронної пошти.
Перевірка зворотного виклику має ряд недоліків: (1) оскільки майже весь спам має підроблені зворотні адреси, майже всі зворотні виклики спрямовані на невинні сторонні поштові сервери, які не мають відношення до спаму; (2) Коли спамер використовує адресу перехоплення як адресу свого відправника. Якщо MTA-одержувач намагається здійснити зворотний виклик, використовуючи адресу перехоплення в команді MAIL FROM, IP-адресу MTA-одержувача буде занесено в чорний список; (3) Нарешті, стандартні команди VRFY та EXPN, які використовуються для перевірки адреси, були настільки використані спамерами, що небагато поштових адміністраторів увімкнули їх, не залишаючи SMTP-серверу-одержувачу ефективного способу перевірити адресу електронної пошти відправника.
SMTP проксі
SMTP проксі
Проксі-сервери SMTP дозволяють боротися зі спамом у режимі реального часу, об’єднуючи елементи керування поведінкою відправника, забезпечуючи миттєвий зворотній зв’язок законним користувачам, усуваючи потребу в карантині.
Перехоплення спаму
Spamtrap
Перехоплення спаму – це заповнення адреси електронної пошти, щоб спамери могли її знайти, а звичайні користувачі – ні. Якщо використовується адреса електронної пошти, відправник має бути спамером, і його занесено до чорного списку.
Наприклад, якщо адреса електронної пошти “[email protected]” розміщена у вихідному HTML веб-сайту таким чином, що вона не відображається на веб-сторінці, відвідувачі веб-сайту не побачать її. З іншого боку, спамери використовують скребки веб-сторінок і ботів, щоб отримати адреси електронної пошти з вихідного коду HTML, щоб вони могли знайти цю адресу. Коли спамер згодом надсилає на адресу, спамловка знає, що це, швидше за все, спамер, і може вжити відповідних заходів.
Фільтрування статистичного вмісту
Статистична або байєсовська фільтрація після налаштування не потребує адміністративного обслуговування як такої: натомість користувачі позначають повідомлення як спам або неспам, а програмне забезпечення для фільтрації вчиться на цих судженнях. Таким чином, він відповідає потребам кінцевого користувача, і якщо користувачі постійно позначають/тегують електронні листи, вони можуть швидко реагувати на зміни у вмісті спаму. Статистичні фільтри зазвичай також переглядають заголовки повідомлень, враховуючи не лише вміст, але й особливості транспортного механізму електронної пошти.
Програмне забезпечення, яке реалізує статистичну фільтрацію, включає Bogofilter, DSPAM, SpamBayes, ASSP, CRM114, програми електронної пошти Mozilla та Mozilla Thunderbird, Mailwasher та пізніші версії SpamAssassin.
Тарпіти
Tarpit — це будь-яке серверне програмне забезпечення, яке навмисно дуже повільно реагує на команди клієнта. Запустивши тарпіт, який обробляє прийнятну пошту нормально, а відомий спам повільно або який виглядає як відкритий ретранслятор пошти, сайт може сповільнити швидкість, з якою спамери можуть вставляти повідомлення в пошту. Залежно від сервера та швидкості Інтернету, tarpit може уповільнити атаку приблизно в 500 разів. Багато систем просто відключаться, якщо сервер не відповідає швидко, що усуне спам. Однак деякі законні системи електронної пошти також не справляються належним чином з цими затримками. Основна ідея полягає в тому, щоб уповільнити атаку, щоб зловмиснику довелося втрачати час без будь-яких значних успіхів.
Організація може успішно розгорнути tarpit, якщо вона здатна визначити діапазон адрес, протоколів і портів для обману. Процес передбачає передачу маршрутизатором підтримуваного трафіку на відповідний сервер, тоді як трафік, надісланий іншими контактами, надсилається до tarpit. Приклади tarpits включають tarpit Labrea, Honeyd, tarpit SMTP та tarpit рівня IP.
Побічний збиток
Заходи захисту від спаму можуть завдати побічної шкоди. Це включає:
- Ці заходи можуть споживати ресурси як на сервері, так і в мережі.
- Коли поштовий сервер відхиляє законні повідомлення, відправнику потрібно зв’язатися з одержувачем поза каналом.
- Коли законні повідомлення потрапляють до папки спаму, відправник не повідомляється про це.
- Якщо одержувач періодично перевіряє свою папку зі спамом, це буде коштувати йому часу, а якщо спаму багато, легко пропустити кілька легітимних повідомлень.
- Заходи, які накладають витрати на сторонній сервер, можуть вважатися зловживанням і призвести до проблем із доставкою.
Автоматизовані методи для відправників електронної пошти
Відправники електронної пошти використовують різні методи, щоб переконатися, що вони не надсилають спам. Неспроможність контролювати кількість надісланого спаму, на думку одержувачів електронної пошти, часто може призвести до блокування навіть легітимної електронної пошти, а відправника – до DNSBL.
Перевірка репутації нових користувачів і клієнтів
Оскільки облікові записи спамерів часто відключаються через порушення політики щодо зловживань, вони постійно намагаються створити нові облікові записи. Через шкоду, завдану репутації інтернет-провайдера, коли він є джерелом спаму, багато інтернет-провайдерів і веб-провайдерів електронної пошти використовують CAPTCHA для нових облікових записів, щоб переконатися, що обліковий запис реєструє справжня людина, а не автоматична система розсилання спаму. Вони також можуть переконатися, що кредитні картки не вкрадено, перш ніж приймати нових клієнтів, перевірити список Spamhaus Project ROKSO та виконати інші перевірки даних.
Підтверджено згоду на списки розсилки
Зловмисник може легко спробувати підписатися на список розсилки іншого користувача, щоб переслідувати його або створити враження, що компанія чи організація розсилає спам. Щоб запобігти цьому, усі сучасні програми керування списками розсилки (такі як GNU Mailman, LISTSERV, Majordomo та ezmlm qmail ) за замовчуванням підтримують «підтверджену згоду». Щоразу, коли адреса електронної пошти представлена для підписки на список, програмне забезпечення надсилатиме повідомлення з підтвердженням на цю адресу. Повідомлення з підтвердженням не містить рекламного вмісту, тому воно не вважається спамом, а адреса не додається до списку активних листів, якщо одержувач не відповість на повідомлення з підтвердженням.
Фільтрація вихідного спаму
Відправники електронної пошти зазвичай перевіряють електронні листи від своїх користувачів і клієнтів на захист від спаму так само, як і вхідні електронні листи з решти Інтернету. Це захищає їхню репутацію, яка інакше може постраждати в разі зараження шкідливим програмним забезпеченням, що надсилає спам.
Обмежте зворотне розповсюдження електронної пошти
Якщо сервер-одержувач спочатку повністю прийме електронний лист і лише пізніше визначить, що повідомлення є спамом або надіслано неіснуючому одержувачу, він створить повідомлення про відмову назад передбачуваному відправнику. Однак якщо (як це часто буває зі спамом) інформацію про відправника у вхідній електронній пошті було підроблено як інформацію про непов’язану третю сторону, тоді це повідомлення-відмову є зворотним спамом. З цієї причини, як правило, краще, щоб більшість відхилень вхідної електронної пошти відбувалося на етапі з’єднання SMTP із кодом помилки 5xx, коли сервер-відправник усе ще підключений. У цьому випадку сервер- відправник чітко повідомить про проблему справжньому відправнику.
Блокування порту 25
Брандмауери та маршрутизатори можна запрограмувати так, щоб вони не дозволяли трафік SMTP (TCP-порт 25) від машин у мережі, які не повинні запускати агентів передачі пошти або надсилати електронні листи. Ця практика є дещо суперечливою, коли провайдери блокують домашніх користувачів, особливо якщо провайдери не дозволяють вимкнути блокування за запитом. Електронну пошту все ще можна надсилати з цих комп’ютерів на призначені розумні хости через порт 25 та на інші розумні хости через порт подання електронної пошти 587.
Перехоплення порту 25
Трансляцію мережевих адрес можна використовувати для перехоплення всього трафіку на порту 25 (SMTP) і спрямування його на поштовий сервер, який забезпечує обмеження швидкості та фільтрацію вихідного спаму. Це зазвичай робиться в готелях, але це може спричинити проблеми з конфіденційністю електронної пошти, а також унеможливити використання STARTTLS і SMTP-AUTH, якщо порт подання порту 587 не використовується.
Обмеження швидкості
Машини, які раптово почали надсилати багато електронної пошти, цілком могли стати комп’ютерами-зомбі. Обмежуючи швидкість надсилання електронної пошти приблизно до типової для даного комп’ютера, легітимну електронну пошту все одно можна надсилати, але великі спам-повідомлення можна сповільнити, доки не можна буде провести перевірку вручну.
Петлі зворотного зв’язку звіту про спам
Відстежуючи звіти про спам із таких місць, як spamcop, цикл зворотного зв’язку AOL і Network Abuse Clearinghouse, доменну поштову скриньку abuse@ тощо, провайдери часто можуть дізнатися про проблеми до того, як вони завдадуть серйозної шкоди репутації провайдера та занесуть свої поштові сервери до чорного списку.
FROM field control
Як зловмисне програмне забезпечення, так і люди, які відправляють спам, часто використовують підроблені адреси FROM під час надсилання спам-повідомлень. На серверах SMTP може застосовуватися контроль, щоб гарантувати, що відправники можуть використовувати лише правильну адресу електронної пошти в полі FROM вихідних повідомлень. У базі даних користувачів електронної пошти кожен користувач має запис із адресою електронної пошти. Сервер SMTP має перевірити, чи адреса електронної пошти в полі FROM вихідного повідомлення збігається з обліковими даними користувача, які надаються для автентифікації SMTP. Якщо поле FROM підроблено, поштовому клієнту буде повернено повідомлення про помилку SMTP (наприклад, «Вам не належить адреса електронної пошти, з якої ви намагаєтеся надіслати»).
Суворі угоди AUP і TOS
Більшість інтернет-провайдерів і постачальників веб-пошти мають Політику прийнятного використання (AUP) або Умови обслуговування (TOS), які перешкоджають спамерам використовувати їхню систему та дозволяють швидко припинити роботу спамерів за порушення.
Правові заходи
Починаючи з 2000 року, багато країн прийняли спеціальне законодавство для кримінальної відповідальності за спам, і відповідне законодавство та правозастосування можуть мати значний вплив на спам. Якщо законодавство передбачає спеціальний текст, який мають містити розсилки, це також полегшує ідентифікацію «законної» масової електронної пошти.
Зусилля по боротьбі зі спамом дедалі частіше призводять до координації між правоохоронними органами, дослідниками, великими компаніями, що надають фінансові послуги споживачам, і постачальниками Інтернет-послуг у моніторингу та відстеженні спаму електронної пошти, викрадення особистих даних і фішингових дій, а також збору доказів для кримінальних справ.
Аналіз сайтів, рекламованих певним спамом, часто може бути проведений реєстраторами доменів із хорошими результатами.
Нові рішення та триваючі дослідження
Було запропоновано кілька підходів для вдосконалення системи електронної пошти.
Системи на основі витрат
Оскільки надсилання спаму сприяє тому, що надсилання великих обсягів електронної пошти є дуже недорогим, один запропонований набір рішень вимагатиме від відправників певних витрат для надсилання електронної пошти, що робить її надмірно дорогою для спамерів. Активіст боротьби зі спамом Деніел Балсам намагається зробити спам менш прибутковим, порушуючи судові позови проти спамерів.
Системи на основі машинного навчання
Методи штучного інтелекту можна використовувати для фільтрації спаму, наприклад алгоритми штучних нейронних мереж і байєсівські фільтри. У цих методах використовуються імовірнісні методи для навчання мереж, такі як перевірка концентрації або частоти слів у спамі проти законного вмісту електронної пошти.
Інші техніки
Електронна пошта каналу – це нова пропозиція для надсилання електронної пошти, яка намагається поширити дії проти спаму шляхом примусової перевірки (імовірно, використовуючи повідомлення про відмову, щоб не відбувалося зворотного розсилання), коли перше повідомлення електронної пошти надсилається для нових контактів.
Поширені запитання про програмне забезпечення для захисту від спаму
Навіщо потрібна програма для захисту від спаму?
Вам потрібне програмне забезпечення для захисту від спаму, щоб запобігти:
- Відволікаюча та трудомістка «смітна» електронна пошта, яка захаращує скриньки вхідних повідомлень користувачів і відволікає від робочої діяльності.
- Вражання всієї організації зловмисним програмним забезпеченням, програмами-вимагачами, шпигунським програмним забезпеченням та іншим зловмисним програмним забезпеченням, яке часто надсилається через спам.
Що робить програмне забезпечення для захисту від спаму ефективним?
Ефективністю програмного забезпечення для захисту від спаму є здатність:
- Запобігти надходженню 99% спаму до вашої системи з 0,0001% помилкових спрацьовувань.
- Безпечно надсилайте електронну пошту та великі вкладені файли (до 2 ГБ), не турбуючись про програмне забезпечення для шифрування електронної пошти або користуючись службами обміну файлами споживчого рівня.
- Запобігання користувачам натискати зловмисні URL-адреси, відкривати збройні вкладення та піддаватися спробам видати себе за іншу особу.
- Зупиніть витік даних і покращте дотримання нормативної бази та корпоративної політики.