Спам в электронной почте (стр. 3 из 6)
6) вставить скопированные заголовки и тело письма в форму на сайте SpamCop;
7) нажать Send Spam Report(s) Now по мере обработки формы.
Эти действия не гарантируют моментальную блокировку злостного спамера, но, тем не менее, информация о нарушениях будет направлена его провайдеру, который сможет принять соответствующие меры. Более того, на сайте SpamCop сообщается, что жалобы на спам помогают в обновлении баз адресов для различных спам-фильтров. И, возможно, именно таким образом IP-адреса спамеров в последствии попадают в официальные базы спам-источников, которые используют различные почтовые провайдеры для предотвращения рассылки спама их многочисленным клиентам.
Серые списки. Метод серых списков основан на том, что «поведение» программного обеспечения, предназначенного для рассылки спама, отличается от поведения обычных почтовых серверов, а именно, спамерские программы не пытаются повторно отправить письмо при возникновении вре́менной ошибки, как того требует протокол SMTP. Точнее, пытаясь обойти защиту, при последующих попытках они используют другой релей, другой обратный адрес и т. п., поэтому это выглядят для принимающей стороны как попытки отправки разных писем.
Простейшая версия серых списков работает следующим образом. Все ранее неизвестные SMTP-серверы полагаются находящимися в «сером» списке. Почта с таких серверов не принимается, но и не отклоняется совсем — им возвращается код временной ошибки («приходите позже»). В случае, если сервер-отправитель повторяет свою попытку не менее чем через некоторое время tg (это время называется задержкой), сервер вносится в белый список, а почта принимается. Поэтому обычные письма (не спам) не теряются, а только задерживается их доставка (они остаются в очереди на сервере отправителя и доставляются после одной или нескольких неудачных попыток). Программы-спамеры либо не умеют повторно отправлять письма, либо используемые ими серверы успевают за время задержки попасть в чёрные списки DNSBL.
Этот метод в настоящее время позволяет отсеять до 90 % спама практически без риска потерять важные письма. Однако его тоже нельзя назвать безупречным.
Могут ошибочно отсеиваться письма с серверов, не выполняющих рекомендации протокола SMTP, например, рассылки с новостных сайтов. Серверы с таким поведением по возможности заносятся в белые списки.
Задержка при доставке письма может достигать получаса (а то и больше), что может быть неприемлемо в случае срочной корреспонденции. Этот недостаток компенсируется тем, что задержка вносится только при посылке первого письма от ранее неизвестного отправителя. Также, многие реализации серых списков автоматически, после некоторого периода «знакомства», вносят SMTP-сервер в белый список. Есть и способы межсерверного обмена такими белыми списками. В результате, после начального периода «запоминания», фактически задерживается менее 20 % писем.
Крупные почтовые службы используют несколько серверов с разными IP-адресами, более того, возможна ситуация, когда несколько серверов по очереди пытаются отправить одно и то же письмо. Это может привести к очень большим задержкам при доставке писем. Пулы серверов с таким поведением также по возможности заносятся в белые списки.
Спамерские программы могут совершенствоваться. Поддержка повторной посылки сообщения реализуется довольно легко и в значительной степени нивелирует данный вид защиты. Ключевым показателем в этой борьбе является соотношение характерного времени попадания спамера в чёрные списки tb и типичного времени задержки «серых» списков tg. При
серые списки в перспективе бесполезны; при 
серые списки труднопреодолимы для спамеров.Другие методы. Общие ужесточения требований к письмам и отправителям, например — отказ в приеме писем с неправильным обратным адресом (письма из несуществующих доменов), проверка доменного имени по IP-адресу компьютера, с которого идет письмо, и т. п. С помощью данных мер отсеивается только самый примитивный спам — небольшое число сообщений. Однако не нулевое, поэтому смысл в их применении остается.
Сортировка писем по содержанию полей заголовка письма даёт возможность избавиться от некоторого количества спама. Некоторые клиентские программы (например, Mozilla Thunderbird или The Bat!) дают возможность проанализировать заголовки, не скачивая с сервера всё письмо целиком, и таким образом сэкономить трафик.
Системы типа «вызов-ответ» позволяют убедиться, что отправитель — человек, а не программа-робот. Использование этого метода требует от отправителя выполнения определённых дополнительных действий, часто это может быть нежелательно. Многие реализации таких систем создают дополнительную нагрузку на почтовые системы, во многих случаях они присылают запросы на поддельные адреса, поэтому в профессиональных кругах такие решения не пользуются уважением. Кроме того, такая система не может отличить робота, рассылающего спам, от любых других, например тех, которые рассылают новости.
Системы определения признаков массовости сообщения, такие как Razor и Distributed Checksum Clearinghouse. Встраиваемые в программное обеспечение почтового сервера модули подсчитывают контрольные суммы каждого проходящего через них письма и проверяют их на серверах служб Razor или DCC, которые сообщают количество появлений письма в сети Интернет. Если письмо появилось, например, несколько десятков тысяч раз — вероятно, это спам. С другой стороны, массовое сообщение может быть и легитимной почтовой рассылкой. Кроме того, спамеры могут варьировать текст сообщения, например, добавляя в конец случайный набор символов.
Общее изменение идеологии работы электронной почты, при которой для принятия сервером получателя каждого сообщения система отправителя должна выполнить определенное «затратное» действие, например, сообщить результат работы относительно ресурсоемкого математического алгоритма. Для обычных пользователей, отправляющих десятки писем, это не составит затруднения, тогда как затраты спамера умножаются на количество отправляемых им писем, обычно измеряемое миллионами.
Глава 2. СПАМ В РОССИИ. ПРОБЛЕМА СПАМА С ДРУГОЙ СТОРОНЫ
2.1 РОССИЙСКАЯ СТАТИСТИКА
«Лаборатория Касперского» подвела итоги исследования активности спамеров в Рунете по итогам 2010 года. В опубликованном отчете отмечается, что наибольшее количество спама в почтовом трафике в 2010 году было зафиксировано 21-го февраля и составило 90,8%, наименьшее — 70,1% — наблюдалось 28 октября. Средняя доля спама в почтовом трафике в 2010 году составила 82,2%. Наибольшее количество спама в 2010 году было разослано из США (11,3%), на втором месте Индия (8,3%), на третьем — Россия (6,0%). Как и в 2009 году, в TOP 20 достаточно широко представлены страны Восточной Европы и Азиатского региона, в то время страны Западной Европы — в меньшинстве. 2010 год назван революционным в том, что касается борьбы со спамом на разных уровнях. Прежде всего, он примечателен успехами правоохранительных органов разных стран в борьбе с киберпреступлениями, в том числе связанными с рассылкой спама.
В 2010 году были закрыты командные центры таких спамерских ботнетов, как Waledac, Pushdo/Cutwail, Lethic и Bredolab, заведено несколько крупных уголовных дел на подозреваемых в киберпреступлениях, прекратила свою деятельность спамерская партнерская программа SpamIt. Следствием этих событий стали изменения в распределении основных географических источников спама и в его тематическом содержании. Так, к концу года беспрецедентно уменьшилась доля спама, рассылаемого из США, и увеличилась доля спама, рассылаемого из Восточной Европы. Впервые за всю историю наблюдений мы видим продолжительное снижение доли спама в почтовом трафике. Однако есть и плохая новость: спам стал намного более опасен. В 2010 году спам стал источником многочисленных вредоносных атак: за год количество вредоносных вложений в почте увеличилось в 2,6 раз.
Тенденция объединения спамерских и хакерских технологий наметилась еще в 2003 году, когда спамерское ПО впервые было применено для массированной вирусной атаки. Эпидемии вирусов приводят к росту спамерского трафика. Они провоцируют появление большого количества не только содержащих вирусы писем, но и других видов нежелательной почты, например безобидных писем, от которых вирус был «отрезан» каким-либо антивирусом, или многочисленных автоматических отказов в доставке, информирующих пользователя о наличии вируса в корреспонденции с его машины.
Тематика коммерческих рассылок меняется в зависимости от многих факторов, например от сезона: летом спамеры предлагают кондиционеры и отдых в Турции.
По данным «Лаборатории Касперского», по итогам 2010 года лидирующая тематическая категория русскоязычного спама «Образование» и основная рубрика англоязычного спама «Медикаменты; товары/услуги для здоровья» оказались в нашем рейтинге на как никогда ранее близких позициях: «Образование» обошло своего конкурента лишь на 0,2%.
По сравнению с 2009 годом заметно уменьшилась доля рубрик «Реклама спамерских услуг» (-6,1%) и спама «для взрослых» (-4,6%). Количество сообщений, содержащих признаки компьютерного мошенничества, увеличилось почти вдвое (+3,8%).
В десятке лидирующих тематик в 2010 году появился «новичок» — рубрика «Коллекции фильмов на DVD». Это сообщения, в подавляющем большинстве случаев русскоязычные, с рекламой коллекций фильмов и мультфильмов на DVD, а также обучающих дисков. Такие сообщения приходили в почтовые ящики пользователей и раньше, но в 2010 году их количество стало столь заметным, что мы выделили их в отдельную рубрику. Отметим, что распространяется такая продукция с помощью партнерских программ и, как правило, является пиратской.
В течение года неоднократно менялась тематическая структура спама. Особо отметим резкий взлет и высокие позиции спама, объединенного в тематическую рубрику «Медикаменты», произошедший в августе. А также довольно большую его долю в мусорном трафике в сентябре-октябре — прямо перед закрытием партнерской программы SpamIt, специализировавшейся на рассылке рекламы фармацевтической продукции. Возможно, часть спамеров была в курсе надвигающейся угрозы закрытия этой программы и пыталась под конец получить на SpamIt максимальную прибыль.