Как бороться со спамом?

Продолжая нашу статью о функционировании веб-почты, на этот раз мы сосредоточимся на спаме: почему он существует, как с ним бороться и что делать, чтобы он не попадал в наши почтовые ящики, и что мы делаем, чтобы он не попадал в почтовые ящики наших клиентов.

Что такое СПАМ?

Спам – это нежелательная электронная почта с коммерческим содержанием, рассылаемая с целью привлечения новых клиентов или рекламы новой услуги. Рекламные сообщения, отправленные из источников, в которых вы указали свои данные, например, информационные бюллетени, не являются спамом. Эти типы сообщений не блокируются и не должны блокироваться, поскольку их получают только клиенты, подписавшиеся на список рассылки организации или магазина. Обычно сообщения такого типа должны содержать в нижнем колонтитуле ссылку на форму, которая позволит нам отписаться от этого списка, в случае английского языка это будет, например, „Unsubscribe”, однако, будьте осторожны при нажатии на эту ссылку, потому что может случиться так, что это будет спам, который Например,он приведет нас на сайт, содержащий вирусы или пытающийся получить наши данные для входа в систему.
Примером может быть сообщение от allegro, содержащее информацию о новых аукционах. Человек, который увидит это, подумает, что так и должно быть, и захочет отписаться от списка, нажмет на ссылку внизу и попадет на страницу, очень похожую на оригинальную, но незашифрованную или с опечаткой в url, например: a11egro.pl (один вместо „l”). Чтобы избежать таких случайностей, наводите курсор мыши на ссылки, прежде чем щелкнуть по ним.

Борьба со спамом

Списки RBL

То есть, блокирование IP-адресов от попыток отправки сообщения, если они находятся в списке RBL. Она работает по принципу: когда компьютер подключается к нашему серверу, он автоматически быстро проверяет через систему DNS, не находится ли этот IP в черном списке, если удаленный компьютер хочет войти на наш компьютер (авторизация), он будет принят и сможет отправлять почту. С другой стороны, если он находится в черном списке и хочет переслать сообщение на почтовый аккаунт на нашем сервере, ему будет отказано.
В списки RBL очень часто включаются интернет-провайдеры для частных лиц, что защищает серверы от получения спама с компьютеров, которые с помощью вирусов пытаются рассылать спам другим пользователям Интернета, часто без ведома владельца компьютера. Постоянная блокировка таких IP-адресов привела бы к тому, что почти все пользователи в Польше были бы лишены возможности отправлять почту, поэтому сервер по-прежнему дает пользователю возможность войти в систему и отправлять сообщения с сервера как пользователь.

SPF

SPF – это запись DNS в TXT-записи, передающая информацию о том, какие компьютеры авторизованы для отправки почты для данного домена. Например, наш домен roan24.pl содержит запись v=spf1 +a +mx +ip4:178.33.3.224 -all (легко проверить командой dig roan24.pl txt в Linux). Что это значит? что для данного домена только сервер с ipv4 178.33.3.224 и серверы с записями a и mx могут отправлять почту. Наш сервер принимает почту на ipv6 адрес, но отправляет только на ipv4, потому что бывает, что ipv6 недоступен, несмотря на то, что находится в зоне dns.
Вы можете создать такую запись для любого домена, и это хороший способ борьбы с самозванством других серверов в Интернете и выдачей себя за кого-то другого, что может повысить (или понизить) доверие к вам.

DKIM

Несколько более продвинутое решение, чем spf, предполагает, что сервер-отправитель подписывает электронное письмо, после чего любой может загрузить открытый ключ и проверить правильность подписи. Загрузка ключа DKIM завершена… через DNS :-), ключ для roan24.pl можно загрузить через команду Linux: dig default._domainkey.roan24.pl txt. Обратите внимание, что наш ключ имеет селектор По умолчанию другие сервисы могут иметь другие селекторы, такой селектор передается вместе с подписью, это делает так, что если у нас есть несколько серверов, мы можем давать друг другу разные селекторы и таким образом не влиять на качество обслуживания и сразу знать, с какого сервера пришло сообщение. Более подробно о DKIM и связанных с ним проблемах.

GrayList

То есть, greylisting – используемый многими почтовыми провайдерами, работает, блокируя почту от неизвестного адресата с сообщением об ошибке с номером 4xx, например: „451 4.7.1 Greylisting in action, please come back later”. Конечно, блокировка с номером ошибки 4xx является временной, это означает, что наше сообщение не может быть доставлено сейчас и повторите попытку через некоторое время. Поэтому хорошо настроенный сервер подключится снова, например, через 10 минут, тогда сервер получателя также примет сообщение, потому что он помнит, что кто-то уже планировал отправить такое сообщение. Это не означает, что дальнейшая проверка спама не отклонит его.
Почему? Это связано с тем, что часто спамеры, получив компьютер, с которого они рассылают спам, стремятся к количеству, т.е. они часто пытаются отправить сообщение получателю только один раз, если это не удается, то дальше дело не идет, прежде чем компьютер блокируется RBL. Поэтому времени, например, 10 минут до выхода адреса из серого списка может быть достаточно, чтобы некоторые списки RBL успели обновить ip-адрес спамера и заблокировать его без перегрузки сервера.
Недостатком этого решения является то, что для того, чтобы сообщение дошло до получателя, должно пройти как минимум время серого списка, которое обычно составляет 5~10 минут, но нужно помнить, что сервер отправителя может быть настроен на то, чтобы сделать первую повторную попытку, например, через 30 минут, что значительно увеличивает время доставки сообщения. Мы лично не используем это решение, но крупные службы часто применяют его в сочетании с локальным списком контактов пользователей.

Содержание – Приложения

Часто серверы блокируют слишком большие или неподходящие вложения – например, содержащие вирус. Дополнительным фактором является скрытие расширений, когда в системах Windows расширение не отображается по умолчанию, что приводит к тому, что файл zdjęcie.jpg.exe отображается как photo.jpg, при нажатии на который фотография не активируется, но запускается вирус. Поэтому сервер блокирует двойные расширения, особенно pdf, xml, exe, bat и com. Обратите внимание, что не все двойные расширения плохи, например tar.gz, где мы имеем дело с архивом файлов (.tar), дополнительно упакованным с помощью gunzip (.gz).
Кроме того, система может блокировать все файлы определенных типов, например, исполняемые файлы exe, com, bat и т.д. Поэтому перед отправкой такого файла его следует запечатать. Такой файл все равно будет распакован сервером и проверен на вирусы, но предполагается, что если для установки вируса пользователю нужно сделать более 2 кликов, то он должен быть безопасен. Даже самые лучшие меры безопасности не сработают, если пользователь не отреагирует вовремя.

Контент – содержание

То есть, если контент содержит много ссылок, которые часто содержат скрытые url (один адрес виден, другой адрес скрыт). Оно содержит много специальных символов или подозрительный код java script, который должен запустить вредоносное ПО после открытия сообщения, тогда такие сообщения будут отклонены, даже не попав в папку спама, но отправитель, даже если это спамер, будет проинформирован об этом факте, в случае если это обычное сообщение и отправитель не знает о вирусе, на фоне сообщения будет прикреплен код вируса.

Резюме

Наш сервер получает в среднем одно сообщение в секунду, 80% из которых – спам, который немедленно отбрасывается, не попадая на электронные почтовые ящики наших клиентов. Оставшиеся 20% попадают в папку спама, поскольку они не представляют опасности, но могут содержать сообщения, желательные для клиента. Опасные сообщения отклоняются без уведомления получателя, информация об отклонении отправляется только отправителю.