Защита вашего компьютера
Шрифт:
70EC11C00085;
Wed, 15 Nov 2006 10:00:43 +0100 (CET)
X-ME-UUID: 20061115090043462.70EC11C00085@mwinf2004.orange.fr
Message-ID: <004601c708f8$d65bc08b$41fe7459@zrpizolrwlqh>
From: «=?windows-1251?B?UmljaGFyZA==?=» <Filip@g.com.ua>
Как видно из поля Received, письмо было отправлено из домена orange.fr, а в поле From указан почтовый адрес пользователя Filip@g.com.ua, принадлежащий интернет-провайдеру «Гудвин Онлайн», который не имеет к письму никакого отношения. Не удивляйтесь, если в один прекрасный день вы получите письмо от самого себя. Дело здесь обычно не в вирусе (хотя стопроцентной
Для отправки сообщений стандартом de facto стал протокол SMTP – простой протокол передачи почты (Simple Mail Transfer Protocol). Он в самом деле прост. Главная его цель – максимальная надежность, а не удобство. Общение почтового клиента и SMTP-сервера напоминает разговор двух людей в чате короткими фразами. В процессе такого общения сервер спрашивает, от чьего имени посылается почта. Это ему нужно не сколько чтобы вставить данные в поле От, сколько для отправки уведомления о невозможности доставки письма. Подтверждения, что адрес принадлежит именно вам, вводить не требуется. Этим и пользуются спамеры. Поэтому не удивляйтесь, если на ваш почтовый адрес будут приходить ответы сервера о недоставленной почте, которую вы никогда не отправляли. Это означает, что кто-то пользуется вашим адресом при рассылке спама.
С нежелательными сообщениями следует придерживаться следующих правил.
• Никогда не отвечайте на спам, не переходите по содержащимся в нем ссылкам, не отписывайтесь от спама и тем более не пересылайте его по цепочке. Сделав это, вы только подтвердите, что пользуетесь своим электронным адресом.
• Никогда не покупайте рекламируемый товар. Спам держится, пока он экономически оправдан. Нет покупок – нет спама.
• Удалите письмо, не открывая. Не рекомендуется использовать функции предварительного просмотра в почтовом клиенте. При выборе спамерского письма при этой включенной функции вы фактически прочитаете его.
Никогда не отвечайте «разъяренным пользователям», которые обвиняют вас в рассылке спама: это тоже может быть уловкой спамеров.
Совет
Для отключения предварительного просмотра писем в почтовом клиенте The Bat! следует выполнить команду Вид– > Автопросмотр писем или нажать сочетание клавиш Shift+Ctrl+E. В Mozilla Thunderbird – выполнить команду Вид– > Разбивка окна– > Область просмотра сообщений или нажать клавишу F8.
Принципы фильтрации
Борьба со спамом – хуже самого спама.
Спам стал все более досаждать пользователям и администраторам, которые отвечают за лишний трафик, и программные решения и применяемые технологии, предназначенные для борьбы со спамом, начали совершенствоваться. Чтобы разобраться в удобстве и эффективности предлагаемых сегодня продуктов, требуется хотя бы в общих чертах ознакомиться с принципами, используемыми при фильтрации спама.
До того как спам попадет в почтовый ящик пользователя, его можно отсеять как минимум в двух пунктах.
• На старте. При попытке отправить сообщение, например, ограничивая количество писем, отправляемых за минуту с одного адреса, заставляя пользователя подтверждать себя, закрывая доступ к внешним почтовым серверам. Здесь действуют в основном провайдеры, которые не хотят получать жалобы или попасть в «черные» списки.
• В конце пути. Блокирование приема почты из определенных доменов, использование различных эвристических анализаторов. Эти методы более эффективны, но процент ошибок у них выше.
В программных средствах могут использоваться два различных подхода, позволяющие распознать спам. Первый заключается в попытке распознать отправителя как спамера. Для этого адреса известных open relay-серверов и диапазоны адресов модемных соединений, на которых не может быть SMTP-серверов, заносятся
в «черные» списки. Такие списки можно составлять самому. Существуют также специальные организации, занимающиеся этим в реальном времени – Real-time Blackhole Lists.При всей простоте метода у него есть недостатки. Спамеры меняют адреса быстрее, чем их заносят в «черные» списки. В такие списки могут также попасть вполне легальные сервисы – как по ошибке, так и от злого умысла. Альтернативой «черных» списков являются «белые», которые больше подходят для конкретной системы, хотя их использование возможно и на сервере. Суть проста: пропускаются только письма с известными программе адресами, например записанными в Адресной книге. Как правило, в этот список автоматически заносятся те, кому пользователь отправил сообщение. Недостаток один: если знакомый захочет написать вам с другого адреса, его письмо не дойдет.
«Белый» и «черный» вместе – это «серый». Истина всегда посередине, и метод основан на различии в поведении обычного SMTP-сервера, отвечающего за отправку писем, и программ для рассылки спама. Все неизвестные серверы или отправители изначально заносятся в «серый» список. При первой попытке послать сообщение отправителю высылается код временной ошибки. Если по истечении некоторого времени он повторяет попытку, сообщение принимается, а отправитель заносится в «белый» список. Спамерские программы либо не умеют повторно отправлять сообщение, либо делают это через другой промежуточный сервер или адрес, что выглядит как другое сообщение, либо успевают за это время попасть в известные списки, поэтому данный метод считается одним из самых эффективных и позволяет отсеивать до 90 % спама. Однако он тоже не лишен недостатков: увеличивается время доставки корреспонденции, а серверы, не выполняющие рекомендации протокола SMTP или имеющие несколько адресов, могут быть приняты за спамерские. Кроме того, спамерские программы постоянно совершенствуются, и включить в них функцию повторной пересылки корреспонденции несложно, что фактически может обесценить данный метод защиты.
Вторым вариантом борьбы со спамом является использование статистических алгоритмов, анализирующих заголовок и тело сообщения, в результате чего делается вывод о том, спам это или нет. Данный метод чаще всего применяется в конце пути – на сервере и клиентском компьютере. Его недостатком является необходимость предварительного обучения фильтров, то есть первоначально нужно использовать рассортированные вручную нормальные письма и спам. Эта технология рассмотрена в главе 5 при описании настроек модуля Анти-Спам программы Kaspersky Internet Security. После обучения удается отсечь до 95–97 % спама.
Существуют другие технологии, анализирующие изображения и заголовок. Отправителю полезного сообщения незачем скрывать свой реальный почтовый адрес и используемую почтовую программу. Он также не будет использовать специальные программы, которые изменяют идентификатор сообщения и путь его прохождения через почтовые серверы.
Борьба со спамом имеет и негативные последствия. Появляются предложения сделать электронную почту платной, и хотя они пока не нашли большой поддержки, кто знает, что произойдет в будущем. По разным подсчетам, в антиспам-фильтрах сегодня остается около 1 % нормальных писем, и это притом, что электронная почта гарантирует стопроцентную доставку сообщений. Хорошим тоном стало подтверждение получения письма: «Письмо получил, прочитаю, отвечу».
8.3. Подручные средства
Программы для борьбы с нежелательными почтовыми сообщениями, ориентированные на конечного пользователя, могут быть реализованы в виде плагинов к известным почтовым клиентам или самостоятельных решений. Одни приложения позволяют удалять спам прямо с почтового сервера, экономя время пользователя и трафик. При работе они анализируют только заголовки писем, поэтому не отличаются высокой точностью. Другие программы загружают письмо полностью и если обнаруживают, что это спам, помечают его особым образом. Используя созданное правило сортировки, помеченные письма в почтовом клиенте можно складывать в отдельную папку.