Jak walczyć ze Spamem?

Rozwijając nasz artykuł o funkcjonowaniu poczty www skupimy się tym razem na spamie, dlaczego on istnieje jak się z nim walczy i co robić, aby nie trafiał do naszej skrzynki, oraz co my robimy, żeby nie trafiał do skrzynek naszych klientów.

Czym jest SPAM?

Spam to niechciane wiadomości email o treści komercyjnej wysyłanej, aby zdobyć nowych klientów, lub zareklamować nową usługę. Spamem nie są wiadomości reklamowe wysyłane ze źródeł, w których podaliśmy swoje dane, takich jak na przykład newslettery. Tego typu wiadomości nie są i nie powinny być blokowane, gdyż otrzymuje je tylko klient, który się zapisał na listę mailingową danej organizacji lub sklepu. Tego typu wiadomości zazwyczaj w stópce powinny zawierać link do formularza, który pozwoli nam wypisać się z tej listy, w przypadku angielskiego będzie to na przykład „Unsubscribe”, trzeba jednak uważać przy klikaniu w ten link, gdyż może się zdarzyć, że jest to wiadomość spamowa, która przeniesie nas na stronę, która zawiera wirusy lub będzie próbowała wyciągnąć od nas dane na przykład do logowania.
Przykładem może być wiadomość od allegro zawierająca informacje o nowych aukcjach. Osoba, która to zobaczy pomyśli, że tak powinno być i będzie chciała się wypisać z tej listy kliknie w link na dole i zostanie przeniesiona do strony łudząco przypominającą oryginalną, ale będzie to stron nieszyfrowana lub z literówką w adresie url np.: a11egro.pl (jeden zamiast „l”). Należy uważać na takie wypadki poprzez najechanie myszką na linki przed jego kliknięciem.

Walka ze spamem

Oto kilka przykładów, które pomogą nam walczyć ze spamem w wiadomościach e-mail:

Listy RBL

Czyli blokowanie adresów IP przed próbą wysłania wiadomości, jeśli znajduje się ono na liście RBL. Działa to na zasadzie, jeśli komputer się łączy z naszym serwerem on automatycznie szybko sprawdza przez system DNS czy to IP jest na czarnej liście, jeśli komputer zdalny będzie chciał się zalogować na naszym komputerze (autoryzacja) to zostanie to zaakceptowane i będzie on mógł wysłać pocztę. Jeśli natomiast będzie na czarnej liście i będzie chciał przekazać wiadomość na konto pocztowe na naszym serwerze to zostanie odrzucony.
Listy RBL bardzo często zawierają w sobie dostawców internetu dla osób prywatnych co chroni serwery przed odbieraniem spamu z komputerów, które za pośrednictwem wirusów starają się wysyłać spam dla innych użytkowników internetu często bez wiedzy właściciela komputera. Zablokowanie na stałe takich adresów IP skończyłoby się, że prawie wszyscy użytkownicy w Polsce byliby odcięci od wysyłania poczty dlatego serwer jeszcze daje szansę, aby użytkownik się zalogował na konto i wysłał wiadomość z serwera jako użytkownik.

SPF

SPF jest wpisem DNS w rekordzie TXT, który przekazuje informacje o tym, jakie komputery są upoważnione do wysyłania poczty dla danej domeny na przykład nasza domena roan24.pl zawiera wpis v=spf1 +a +mx +ip4:178.33.3.224 -all (łatwo sprawdzić przez komendę w Linuksie dig roan24.pl txt). Co on oznacza? że dla danej domeny pocztę wysyłać może tylko serwer z ipv4 178.33.3.224 oraz serwery ze wpisów, a i mx. Nasz serwer przyjmuje pocztę na adresie ipv6 jednak wysyła tylko po ipv4, gdyż zdarza się, że ipv6 nie jest osiągalny, pomimo iż znajduje się w strefie dns.
Do każdej domeny można stworzyć taki wpis i jest on dobrym sposobem na walkę z podszywaniem się pod inne serwery w sieci i udawanie, że jest się kimś innym, co może sprawiać, że Twoje zaufanie wzrośnie (lub zmaleje).

DKIM

Trochę bardziej zaawansowane rozwiązanie niż spf, polega to na podpisywaniu wiadomości email przez serwer wysyłający, następnie każda osoba może pobrać klucz publiczny i sprawdzić, czy podpis jest prawidłowy. Pobieranie klucza DKIM odbywa się… przez DNS :-), klucz dla roan24.pl można pobrać poprzez komendę Linuksa: dig default._domainkey.roan24.pl txt. Trzeba zwrócić uwagę, że nasz klucz ma selektor default inne serwisy mogą mieć inne selektory, taki selektor jest podawany wraz z podpisem, sprawia to, że mając parę serwerów możemy każdemu dać inny selektor i nie wpłynąć przez to na jakość usług i od razu wiedzieć, z którego serwera pochodzi wiadomość. Szerzej o DKIM i problemach z nim związanymi.

GrayList

Czyli szara lista – używana przez wielu dostawców poczty działa na zasadzie zablokowania poczty od nieznanego adresata z wiadomością błędu numer 4xx przykład: „451 4.7.1 Greylisting in action, please come back later”. Oczywiście zablokowanie z numerem błędu 4xx jest tylko tymczasowe, oznacza, że nasza wiadomość nie mogła być teraz dostarczona i żeby spróbować ponownie za jakiś czas. Dlatego dobrze ustawiony serwer połączy się ponownie za np. 10 minut, wtedy też serwer odbiorcy przyjmie wiadomość, ponieważ pamięta, że już ktoś planował wysłać taką wiadomość. Co nie oznacza, że dalsze sprawdzenie spamu jej nie odrzuci.
Dlaczego tak jest? Jest to związane, z tym że często spamer jak już ma komputer, z którego wysyła spam idzie na ilość, czyli często próbuje wysłać wiadomość do odbiorcy tylko raz, jeśli się nie uda to trudno idzie dalej, zanim komputer zostanie zablokowany przez RBL. Dlatego czas np. 10 minut, zanim adres zejdzie z szarej listy może być wystarczającym, aby niektóre listy RBL zostały uaktualnione adresem ip spamera i zablokowane nie obciążając serwera.
Wadą takiego rozwiązania jest, że aby wiadomość doszła do odbiorcy musi upłynąć przynajmniej czas grey listy, czyli zazwyczaj 5~10 minut, jednak trzeba pamiętać, że serwer nadawcy może być ustalony, aby pierwsze ponowienie robił np. na dopiero za 30 minut co wydłuża stanowczo czas dostarczenia wiadomości. Osobiście nie korzystamy z tego rozwiązania, duże serwisy często wykorzystają je w połączeniu z lokalnie trzymaną listą kontaktów użytkownika.

Zawartość – załączniki

Często serwery blokują załączniki, które są za duże, lub nie odpowiednie – np. zawierają wirusa. Dodatkowym wyznacznikiem są ukrywanie rozszerzeń gdzie w systemach Windows domyślnie nie wyświetla się rozszerzenie co powoduje, że plik zdjęcie.jpg.exe wyświetli się jako zdjęcie.jpg gdzie po kliknięciu nie włączy się zdjęcie, tylko odpali się wirus. Dlatego serwer blokuje podwójne rozszerzenia, a zwłaszcza pdf, xml, exe, bat oraz com. Trzeba pamiętać, że nie wszystkie podwójne rozszerzenia są złe tak jak tar.gz gdzie mamy do czynienia z archiwum plików (.tar), spakowanych dodatkowo za pomocą gunzipa (.gz).
Dodatkowo system może blokować wszystkie pliki określonych typów na przykład pliki wykonywalne exe, com, bat itp. Dlatego, zanim wyślemy taki plik należy go spakować np. zipem. Taki plik dalej zostanie rozpakowany przez serwer i przeskanowany pod kątem wirusów, ale przyjmuje się, że jeśli użytkownik musi wykonać więcej niż 2 kliknięcia, żeby zainstalować sobie wirusa, to powinien on być bezpieczny. Nawet najlepsze zabezpieczenia nie zadziałają, jeśli użytkownik nie zareaguje w odpowiednim czasie.

Zawartość – treść

Czyli jeśli treść zawiera dużo linków, które często zawierają ukryty adres url (widoczny jest jeden adres, ukryty jest inny adres). Zawiera dużo znaków specjalnych lub podejrzany kod java script, który ma po samym włączeniu wiadomości już uruchomić złośliwe oprogramowanie to takie wiadomości zostaną odrzucone bez przechodzenia nawet do folderu spam, jednak nadawca, nawet jeśli jest spamerem zostanie poinformowany o tym fakcie, na wypadek jakby była to normalna wiadomość a nadawca nieświadomy ma wirusa i w tle do wiadomości zostanie podpięty jego kod taka wiadomość o tym, że próbował wysłać wirusa może sprawić, że zainstaluje program antywirusowy a internet stanie się bezpieczniejszym miejscem z mniejszą ilością spamu.

Podsumowanie

Co cię nie zabije to cię wzmocni i tak nasz serwer dostaje średnio jedną wiadomość na sekundę, z czego 80% to spam, który zostaje od razu odrzucony bez trafiania na konta pocztowe naszych klientów, z pozostałych 20% trafia do folderu spam, gdyż nie są niebezpieczne a mogą zawierać wiadomości pożądane przez klienta. Wiadomości niebezpieczne są odrzucane bez informowania odbiorcy jedyna informacja o odrzuceniu jest wysyłana do nadawcy.