Защита вашего компьютера - Сергей Яремчук

• использование изображений, как правило, незаметных пользователю и небольшого размера, автоматически загружаемых при открытии письма с сайтов, контролируемых спамерами.

Некоторые почтовые клиенты, например Mozilla Thunderbird, автоматически запрещают загрузку изображений из Интернета (рис. 8.1).

Рис. 8.1. Сообщение о блокировке изображения

Чтобы загрузить изображение, необходимо нажать кнопку Показать изображения.

Нередко спамерам помогают сами пользователи, щелкая на ссылках в таких письмах или пытаясь отменить рассылку, послав письмо по указанному в письме почтовому адресу. Как только спамеры получают подтверждение, что почтовый адрес используется, поток спама на него может многократно увеличиться. Причем часто люди, которые занимаются сбором адресов, необязательно сами рассылают спам. Базы адресов являются востребованным товаром, и их часто продают заинтересованным лицам.

Для отправки спама могут использоваться open relay SMTP-серверы, которые не требуют аутендификации пользователя при отправке почты или с простой аутендификацией, которую могут выполнить программы-роботы. Такие серверы создают специально или находят неправильно настроенный администратором общедоступный сервер. Для массовых рассылок спама с использованием троянцев создаются целые зомби-сети.

8.2. Способы борьбы со спамом

Если полистать подшивки журналов конца 1990-х – начала 2000-х годов, можно обнаружить, что статей, описывающих борьбу со спамом, в них нет. Пик спамерской активности приходится на 2002–2003 годы. В это же время началась активная разработка систем защиты.

Простые шаги противодействия спаму

Спасение утопающих – дело рук самих утопающих.

Мероприятия по борьбе со спамом можно разделить на организационные и технические. Начнем с первых.

Чтобы не «засветить» свой почтовый ящик, придерживайтесь следующих советов.

• Хотя ваш провайдер дал вам адрес электронной почты, обязательно заведите себе почтовый ящик на одном из бесплатных серверов. Этот адрес можно безболезненно использовать для публикации в открытых источниках: при регистрации на форумах, для рассылок, при общении с незнакомыми людьми и в прочих ситуациях, когда нужно будет указать адрес электронной почты.

• Свой основной адрес электронной почты сообщайте только хорошим знакомым.

• Используйте адрес, состоящий из букв и цифр (например вместо grinder можно написать gr1nder, то есть вместо буквы i можно применять цифру 1, вместо буквы «о» – цифру 0) либо составные слова. На экране такие адреса читаются без труда, запомнить их легко, тем более что большинство пользователей просто занесут ваш адрес в адресную книгу почтового клиента. Подобрать такой адрес непросто, и их обладатели получают на порядок меньше нежелательной почты.

• Оставляя на форуме даже свой неосновной адрес, обязательно маскируйте его так, чтобы человек понял, а робот нет. Вариантами могут быть grinder (at) ua.fm, [email protected].

• Часто в форме, выводимой при регистрации программного продукта или услуги, установлен флажок вроде Да, я хочу получать сообщения при…. Обязательно обращайте внимание на наличие подобных пунктов и снимайте эти флажки, если не хотите, чтобы с вами в дальнейшем связывались по электронной почте.

При получении спама часто возникает желание написать этому плохому человеку, в двух (возможно, и в трех) предложениях объяснив, что вы о нем думаете. Не делайте этого. Спамер только и ждет, чтобы вы ему ответили, и как только он узнает, что ящик работает, поток писем увеличится. Спам рассылается не для того, чтобы прочитать ответ получателя. Задача спамера – сделать так, чтобы максимальное количество писем было доставлено по назначению. Чтобы обойти спам-фильтры и обмануть получателя, в поле От письма может стоять адрес человека, непричастного к рассылке спама. Вот пример заголовка одного из спам-сообщения, пришедшего на мой адрес.

Received: from smtp20.orange.fr ([80.12.242.26]

helo=smtp-msa-out20.orange.fr)

by top.trumo.net with esmtp (Exim 4.43)

id 1GkGdY-0003xD-DH

for [email protected]; Wed, 15 Nov 2007 11:00:52 +0200

Received: from SRVLAN (LSt-Amand-152-32-1-246.w82-127.abo.

wanadoo.fr [82.127.16.246])

by mwinf2004.orange.fr (SMTP Server) with SMTP id

70EC11C00085;

Wed, 15 Nov 2006 10:00:43 +0100 (CET)

X-ME-UUID: [email protected]

Message-ID: <[email protected]>

From: «=?windows-1251?B?UmljaGFyZA==?=» <[email protected]>

Как видно из поля Received, письмо было отправлено из домена orange.fr, а в поле From указан почтовый адрес пользователя [email protected], принадлежащий интернет-провайдеру «Гудвин Онлайн», который не имеет к письму никакого отношения. Не удивляйтесь, если в один прекрасный день вы получите письмо от самого себя. Дело здесь обычно не в вирусе (хотя стопроцентной гарантии нет): вполне вероятно, что распространители нежелательных сообщений подделали заголовок письма, включив в него ваш адрес электронной почты.

Для отправки сообщений стандартом de facto стал протокол SMTP – простой протокол передачи почты (Simple Mail Transfer Protocol). Он в самом деле прост. Главная его цель – максимальная надежность, а не удобство. Общение почтового клиента и SMTP-сервера напоминает разговор двух людей в чате короткими фразами. В процессе такого общения сервер спрашивает, от чьего имени посылается почта. Это ему нужно не сколько чтобы вставить данные в поле От, сколько для отправки уведомления о невозможности доставки письма. Подтверждения, что адрес принадлежит именно вам, вводить не требуется. Этим и пользуются спамеры. Поэтому не удивляйтесь, если на ваш почтовый адрес будут приходить ответы сервера о недоставленной почте, которую вы никогда не отправляли. Это означает, что кто-то пользуется вашим адресом при рассылке спама.

С нежелательными сообщениями следует придерживаться следующих правил.

• Никогда не отвечайте на спам, не переходите по содержащимся в нем ссылкам, не отписывайтесь от спама и тем более не пересылайте его по цепочке. Сделав это, вы только подтвердите, что пользуетесь своим электронным адресом.

• Никогда не покупайте рекламируемый товар. Спам держится, пока он экономически оправдан. Нет покупок – нет спама.

• Удалите письмо, не открывая. Не рекомендуется использовать функции предварительного просмотра в почтовом клиенте. При выборе спамерского письма при этой включенной функции вы фактически прочитаете его.

Никогда не отвечайте «разъяренным пользователям», которые обвиняют вас в рассылке спама: это тоже может быть уловкой спамеров.

Совет

Для отключения предварительного просмотра писем в почтовом клиенте The Bat! следует выполнить команду Вид → Автопросмотр писем или нажать сочетание клавиш Shift+Ctrl+E. В Mozilla Thunderbird – выполнить команду Вид → Разбивка окна → Область просмотра сообщений или нажать клавишу F8.

Принципы фильтрации

Борьба со спамом – хуже самого спама.

Спам стал все более досаждать пользователям и администраторам, которые отвечают за лишний трафик, и программные решения и применяемые технологии, предназначенные для борьбы со спамом, начали совершенствоваться. Чтобы разобраться в удобстве и эффективности предлагаемых сегодня продуктов, требуется хотя бы в общих чертах ознакомиться с принципами, используемыми при фильтрации спама.

До того как спам попадет в почтовый ящик пользователя, его можно отсеять как минимум в двух пунктах.

• На старте. При попытке отправить сообщение, например, ограничивая количество писем, отправляемых за минуту с одного адреса, заставляя пользователя подтверждать себя, закрывая доступ к внешним почтовым серверам. Здесь действуют в основном провайдеры, которые не хотят получать жалобы или попасть в «черные» списки.

• В конце пути. Блокирование приема почты из определенных доменов, использование различных эвристических анализаторов. Эти методы более эффективны, но процент ошибок у них выше.

В программных средствах могут использоваться два различных подхода, позволяющие распознать спам. Первый заключается в попытке распознать отправителя как спамера. Для этого адреса известных open relay-серверов и диапазоны адресов модемных соединений, на которых не может быть SMTP-серверов, заносятся в «черные» списки. Такие списки можно составлять самому. Существуют также специальные организации, занимающиеся этим в реальном времени – Real-time Blackhole Lists.

При всей простоте метода у него есть недостатки. Спамеры меняют адреса быстрее, чем их заносят в «черные» списки. В такие списки могут также попасть вполне легальные сервисы – как по ошибке, так и от злого умысла. Альтернативой «черных» списков являются «белые», которые больше подходят для конкретной системы, хотя их использование возможно и на сервере. Суть проста: пропускаются только письма с известными программе адресами, например записанными в Адресной книге. Как правило, в этот список автоматически заносятся те, кому пользователь отправил сообщение. Недостаток один: если знакомый захочет написать вам с другого адреса, его письмо не дойдет.