Jak bojovat proti SPAMU

Jak bojovat proti SPAMu - tuto otázku si dnes klade mnohý správce počítačové sítě a nejeden manažer podniku. Pokusíme se odpovědět na tuto otázku popisem účinných opatření.

SPAM blokujte – Začněte u sebe

Obvykle přichází rada, že uživatel musí začít u sebe. Musí se naučit chránit svou e-mailovou adresu. Kde tedy robot, který SPAM rozesílá, vezme vaší e-mailovou adresu?
Nejčastějším způsobem vykrádání e-mailových adres je extrahování tvaru e-mailové adresy z webových stránek. Roboti web pročítají na úrovni zdrojového kódu a rozeznávají, kde je v obsahu textu umístěn e-mail. Roboti procházejí nejen vaše webové stránky, ale i stránky on-line formulářů a diskuzní fóra. Proto neuvádějte svou e-mailovou adresu ani v on-line formulářích, ani v diskusních fórech.

Maskovaný formát e-mailové adresy

Na vlastních webových stránkách uvádějte e-mailové adresy v maskovaném formátu. Maskovaný formát e-mailové adresy může být text názvu adresy změněný na obrázek nebo nahrazení znaku @ nápisem „zavináč“. České slovo zavináč je zatím robotům nesrozumitelné, otázkou však zůstává, jak dlouho.

Jednorázová e-mailová adresa

Používat jednorázové e-mailové adresy je účinné, ale v praxi zcela nepoužitelné.

Hromadná korespondence

Dalším způsobem šíření seznamů e-mailových adres je rozesílání hromadné korespondence s mnoha adresáty v kopii. K tomu dochází vlivem špatné informovanosti a disciplíny odesílatele. Obdržíte-li e-mail s uvedením několika adresátů v kopii, důrazně informujte odesílatele, že si počíná nezodpovědně.

Anti-spamové nástroje

V boji proti SPAMu se nabízí ochrana proti SPAMu pomocí filtrů a anti-spamových nástrojů. Jednotlivci se mohou bránit pomocí anti-spamových pluginů integrovaných do e-mailových klientů, které většinou pracují na principu jednoduchých filtrů. Velké firmy se však musí bránit pomocí pokročilých anti-spamových řešení.

hostovaný e-mailový server

Bez antispamových filtrů by emailová komunikace přestala být naprosto použitelnou. Většina společností má vlastní emailové servery. Hostované řešení poštovního serveru u providera je sice efektivní z pohledu cena/výkon ale hostované řešení neumožňuje plnohodnotnou správu serveru. Dále zde hrozí jistá nebezpečí, protože e-maily jsou uložené u třetí společnosti. Vnímáme hostované řešení jako významné ohrožení firemní bezpečnosti.

Vlastní e-mailový server

Vlastní e-mailový server je možné chránit před SPAMem pomocí pluginů přímo v programu (třeba GFI MailEssentials pro Exchange nebo plugin Kerio) nebo můžete anti-spamový filtr provozovat jako bránu zařazenou před server (například SpamAssassin/Linux). Brána transparentně předřazená stávajícímu e-mailovému serveru má velkou výhodu v naprosté jednoduchosti implementace. V případě serverových pluginů, ale také v případě softwarové brány, dochází k vysokému zatížení serveru.

Appliance

Jako nejvýhodnější řešení je použít specializované appliance - brány, které jsou navrženy a dimenzovány pro zpracování desítek až stovek tisíc emailů za hodinu. Appliance samozřejmě může plnit i služby antiviru a anti-spywaru nebo plnohodnotného email serveru.
Anti-spamová řešení rozeznávají SPAM pomocí způsobu doručení nebo podle obsahu emailu. Obvykle se tyto metody vzájemně kombinují v rámci heuristické analýzy. Jednotlivé testy přidělují určité skóre a to je na závěr vyhodnoceno a e-mail je buď zahozen, označen nebo doručen.
Prvním testem, který obvykle probíhá při testování přijatého e-mailu, je test shody s pravidly protokolu SMTP, kontrola reverzního záznamu odesílacího serveru v DNS, kontrola zda existuje doména a MX záznam, kontrola shody komunikace s RFC pravidly. Nepříliš často používanou, ale výbornou funkcí je kontrola existence příjemce pomocí dotazu na LDAP.

Blacklisty

Dalším testem je kontrola Blacklistů. IP adresa a doména odesílatele, která je uvedená v hlavičce emailu, je porovnána v databázi (DNSBL, RBL). Kontrola Blacklistů je nejvíce používaným a nejúčinnějším testem. Tento test má však velmi vysokou úroveň falešně označených zpráv (false positive), protože je snadné, aby se doména na Blacklist dostala omylem. Navíc řada běžných poskytovatelů konektivity je na Blacklistech uvedena jako nedůvěryhodná (např. 02 ADSL).

Whitelisty

Opakem Blacklistů jsou Whitelisty. Ty mohou být vytvořeny buď ručně (důvěryhodné domény) nebo pomocí automatické kontroly. Tato kontrola vychází z principu, že pokud z určité email adresy přicházejí různé emaily v různých časových odstupech, nejedná se o robota.

Graylisty

Když se přijatý e-mail kontroluje podle IP adresy a domény odesílatele uvedené v hlavičce, je vhodnější používat Graylist – brána si udržuje seznam zdrojových a cílových adres ve vztahu se zdrojovou a cílovou adresou. Pokud email vyhoví pravidlu kombinace adresy a IP, je propuštěn. Pokud nevyhoví, je odmítnut způsobem, který odesílací server vnímá jako dočasný problém a pokusí se o doručení později. Opakované zaslání je pak již propuštěno. Spamovací robot se obvykle o opětovné zaslání nepokusí.

Filtrování příloh

Přijímání SPAMu můžeme dále předcházet filtrováním příloh emailů – zahozeny jsou takové e-maily, které obsahují nepovolenou přílohu (exe, scr). Filtrování e-mailů podle obsahu se vytváří pomocí učení anti-spamového filtru a pomocí pravidel. Filtry jsou založeny na teorii podmíněné pravděpodobnosti a pracují na základě učení a statistiky. E-mail je rozdělen na malé části a ty jsou porovnány s databází vzorků. Potom se stanoví pravděpodobnost výskytu SPAMu v e-mailu a e-mail se ohodnotí. Pokud se email vyhodnotí jako SPAM, jsou vzorky zpětně uloženy do databáze. Tento způsob filtrování může být vysoce efektivní, pokud je propojen e-mail klient s anti-spamovým filtrem, anti-spamový filtr se navíc učí ještě od uživatele.

Řada výrobců také implementuje do zařízení vlastní filtry napojené na databázi výrobce – ta se pravidelně aktualizuje a stahuje do zařízení. To je také výborná a účinná funkce.

Filtrování pomocí pravidel

Filtrování pomocí pravidel je jednoduché vyhledávání zakázaných řetězců, přítomnost HTML tagů v textu, zvláštní fonty a typická slova.
Vysoce účinná je kontrola pomocí hashe – vypočítaný otisk emailu. Známé SPAMy mají svoje otisky – ať už celé emaily nebo jejich části. Otisky jsou uloženy v databázi a každý kontrolovaný otisk e-mailu je s databází otisků porovnán.

SPAM repellent

Výborným způsobem ochrany je také odrazování SPAMmerů – spam repellent. Anti-spamový filtr zpozdí potvrzení o připravenosti na převzetí pošty, běžný odesílací server by měl čekat až 5 minut. SPAMový robot musí zpracovat obrovské množství požadavků, proto nečeká a komunikaci ukončí, nebo robot začne vysílat bez potvrzení a komunikaci je zahozena.

Ochrana před SPAMem z vnitřní sítě

Anti-spamová brána musí ochránit i proti šíření SPAMu z vnitřní sítě v případě, že se uživatelé nakazí a jejich počítače začnou rozesílat SPAM. Síť se pak velmi rychle dostane na Blacklisty. Předejít nakažení vnitřní sítě je vhodné použitím ochrany před šířením škodlivého software IPS – Intrusion Prevention System.

Ochrana proti DoS útokům

Nejpokročilejší anti-spamové brány obsahují vestavěnou ochranu proti DoS útokům (Denial of Services) , aby nedošlo k jejich vyřazení z činnosti a zablokování emailové komunikace. Důležitou funkcí je možnost použíití interní nebo externí karantény s možností třídění podle e-mailové schránky uživatele.
Výše uvedené testy se u jednotlivých výrobců mohou lišit ve funkcích, priority kontroly nebo mohou být doplněny o další technologie (nastavení firemního vzhledu emailů či správa politik).

Přestože řada výrobců běžných firewallů uvádí, že jejich appliance obsahuje anti-spamové filtry, v drtivé většině případů se jedná pouze o kontrolu pomocí Blacklistů. Jednoduché firewally totiž nemají potřebný výkon a nic více nezvládnou.

Máte zájem o vlastní poštovní server?

Pokud máte zájem o vlastní poštovní server a účinně tak bojovat s přijímáním nevyžádané pošty, zavolejte nám » 602 333 335 « nebo kontaktujte naší technickou podporu.