Раздел: Документация
0 ... 93 94 95 96 97 98 99 ... 102 превосходит убытки, непосредственно связанные со спамом? И не ногу, . думаться о совершенствовании алгоритмов фильтрации с целью доведецц до ума?я их НАЖИВКА ДЛЯ СПАМЕРА, ИЛИ ПРОДВИНУТЫЕ МЕТОДИКИ ФИЛЬТРАЦИИ Прежде чем обсуждать методики «правильной» фильтрации снама, следует в обязательном порядке дать спаму строгое определение, в рамках которого и будет действовать наш фильтр. На первый взгляд это выглядит бессмысленным бюрократизмом — все мы прекрасно знаем, как выглядит снам. Чего тут определять-то... Вот в этом-то и заключалась главная ошибка разработчиков оста:: ь-ных фильтрующих пакетов: не разобравшись с сутью предмета, они кинулись фильтровать то, чему нет ни названия, ни определения! Условимся считать спамом: непрошеную.массовую рассылку писем с близким или идентичным содержанием. Слово «непрошеная» здесь ключевое. Если мы сможем надежно отличить запрошенную рассылку от пезанрошенпой, то ключ к созданию оружия возмездия окажется в наших руках! А как ее отличить? Один из вариантов выглядит так: на одном или нескольких доступных вам серверах входящей почты вы регистрируете некоторое количество ящиков, единственной задачей которых будет накопление снамерской корреспонденции, используемой как образец для выявления снамерных сообщений на остальных ящиках. Поскольку ни для каких других целей данные «подсадные» адреса не используются, то вся приходящая на их имя корреспонденция автоматически попадает в разряд непрошеной, и, обнаружив аналогичные сообщения в остальных ящиках, фильтр вправе их удалить. Легко видеть, что эффективность фильтрации напрямую зависит от того, кто первым получит спамерское сообщение — легальные пользователи или сам фильтр. Для «оттягивания» снамерскогоогня на себя фильтр может предпринять следующие действия: 1.Имена подсадных ящиков должны состоять всего из одного-двух символов (многие спамеры находят своп жертвы методом тупого перебора адресов, и чем короче имя, тем интенсивнее на него сыплются непрошеные сообщения). 2.Имена подсадных ящиков должны быть равномерно распределены по всему алфавиту, поскольку заранее неизвестно, как отсортированы те или иные снамерные базы и отсортированы ли они вообще. 3.Имена подсадных ящиков желательно распределить по максимально достижимому количеству доменов, так как это увеличивает вероятность раннего обнаружения очередной спамерной атаки. 4. Фильтр должен автоматически отвечать на все приходящие непрошеные сообщения, чтобы спамеры пометили этот адрес как проверенный и стали слать на него снам с удвоенной энергией. 5. Фильтр должен периодически «светить» подсадные адреса на форумах, досках объявлений и телеконференциях, поскольку все они активно используются спамерами для пополнения своих баз. СПАМЕРНЫЙ ТРАФИК: ВОКРУГ ДА ОКОЛО Существенно уменьшить снамерпый трафик без вреда для остальных пользователем"! — невозможно. Почему? Да потому, что в сети Интернет для этого нет соответствующих механизмов! В момент установки TCP/IP-соединения с почтовым сервером последний не может однозначно сказать: является ли удаленный узел снамерским или нет. Даже если данный узел уже был замечен в массовой рассылке непрошеной корреспонденции, мы не имеем морального нрава отказывать ему в подключении! Ведь спамер мог использовать и какой-нибудь общедоступный узел (например, один из компьютеров Интернет-кафе), и динамический IP-адрес своего провайдера, выданный в данный момент совершенно другому лицу! Короче говоря, IP-адрес надежно идентифицирует снамера лишь тогда, когда с данного адреса не поступает ничего, кроме спама, что случается, прямо скажем, нечасто. Имя отправителя, вносимое в поле FROM, также ни о чем не говорит, поскольку никаких гарантий, что спамер не воспользовался чужим именем, у нас нет! И, как показывает практика, подавляющее большинство спамеров как раз и п- церез некоторое время реки спама начнут так и сыпаться в закрома вашего сервера Чтобы не оплачивать чужой трафик из своего кармана, лучше расположить такой сервер па самом медленном и дешевом Интернет-канале (все равно скорость приема спама для вас не критична). Естественно, лучше проводить потобную «коптртеррористпческую» акцию не в одиночку, а совместно с несколькими компаниями — это снизит неизбежные издержки борьбы каждой из компаний альянса по отдельности. И чем больше «приманочных» серверов будет участвовать в накоплении образцов спамерскнх сообщений, тем выше вероятность, что к моменту поступления непрошеной корреспонденции на ваш основной почтовый сервер у вас уже будет ее образец. Тривиальная проверка всех поступающих писем на их принадлежность к сна-мерской базе позволяет надежно идентифицировать спам, сводя процент ложных срабатываний к минимуму. ПРИМЕЧАНИЕ-- Некоторые фильтры пытаются отсекать письма, одновременно пришедшие на адреса нескольких сотрудников, полагая, что массовость рассылки — это явный признак спама. Увы! Такая фильтрация только мешает! Дублирование корреспонденции — вполне законное и достаточно широко распространенное явление, не имеющие никакого отношения к спаму. К тому же существует и такая вещь, как запрошенные рассылки, на которые может быть подписана добрая половина всех сотрудников. Однако своевременно удалить непрошеные сообщения из почтовых ящиков своих клиентов — это только полдела! Хорошо бы вообще воспрепятствовать их поступлению на сервер, тем или иным способом уменьшая паразитный трафик до разумного минимума. 298 Приложение Б. Борьба со ™ --- пак)ом редночитаот пользоваться чужими или фиктивными именами, а некоторые них никогда не используют одно и то же имя дважды.Из Содержимое письма — это тот ключ, который позволяет надежно отождеств лять спамерские сообщения, автоматически отделяя зерна от плевел. Обнап-v жив, что несколько первых строк тела (не заголовка!) письма совпадают с чта лонными образцами из базы спамерских сообщений, сервер может моментально разорвать TCP/IP-соедннение, избежав «удовольствия» от получения всего сообщения целиком. Однако поскольку заголовок электронного письма зачастую составляет внушительную часть от его общего объема, значительного снижения паразитного трафика добиться не удастся. Скорее всего, он даже возрастет, поскольку реакция удаленного узла на разрыв TCP/IP-соединенпя будет вполне адекватной, и тот попытается передать ненужное нам сообщение вновь Поэтому лучше не разрывать TCP/IP-соединение, а «замораживать» его, имитируя глубокую задумчивость сервера и периодически «пробуждаться» на короткое время. Если интервалы между такими побуждениями окажутся меньше, чем максимальное время неактивности, допускаемое удаленным узлом, то ему н в голову не придет разрывать установленное соединение до окончания передачи письма, которое будет поступать па наш сервер со скоростью порядка 1 IP пакет в секунду, ничуть не напрягая ваш Интернет-канал. Удерживая снамера на линии, по не давая ему «кислорода», мы некоторым образом затрудняем рассылку непрошеных сообщений, делая ее неэффективный и экономя драгоценный трафик, а вместе с ним и пропускную способность своих каналов. В качестве превентивной оборонительной меры мы можем притормозить и остальные ТС Р/ТР-соеди нения, устанавливаемые в данный момент со «спамерским» сервером, поскольку с вероятностью, близкой к единице по ним также поступает снам (особенно если адреса отправителя, заносимые в поле FROM, совпадают со спамерным сообщением). Открытое, но «замороженное» TCP/IP-соединенис карман не тянет (если только сервер настроен правильно, так как большое количество одновременно установленных TCP/IP-соедипений увеличивает расход оперативной памяти и даже может вызвать отказ в обслуживании), но на некоторое время выводит спамерекпй сервер из игры, тем самым уменьшая трафик. Эта простая мера предотвращает затопление сервера непрошеной корреспонденцией, практически никак не влияя на остальных пользователей тех узлов, чггими услугами воспользовались спамеры для массовой рассылки сообщений. Конечно, полностью свести спамерский трафик к нулю такими путями не удастся, и в лучшем случае он сокращается в 3-5 раз, а в среднем — в 2 раза, что, в принципе, тоже неплохо. РЕЗУЛЬТАТЫ ПРАКТИЧЕСКИХ ИССЛЕДОВАНИЙ Антнспамовый фильтр, реализованный автором по заказу определенных ком папин, уже больше года находится в активной эксплуатации, и за это время вы явлено множество его сильных сторон, как, впрочем, и недостатков. 0 ... 93 94 95 96 97 98 99 ... 102
|
