Cпам и вредоносные программы

В этом разделе рассматриваются общие вопросы, касающиеся борьбы со спамом и вирусами, включая использование внешнего антивирусного инструмента amavis-new. Детали, относящиеся к конкретным транспортным агентам, описываются в соответству­ ющих разделах.

Прежде чем приступать к сканированию содержимого писем, следует ответить на сле­ дующие вопросы.

• Где производить сканирование: в зоне DMZ или во внутренней сети?

• Когда производить сканирование: при первом соединении или после получения сообщения?

• В каком порядке производить сканирование?

• Что делать с обнаруженными вирусами и спамом?

Входящая корреспонденция обычно сканируется на концентраторе поступающих со­ общений в зоне DMZ. В идеале ее следовало бы сканировать оперативно, чтобы вред­ ные сообщения можно было отбрасывать, пока исходное соединение SMTP остается разомкнутым. Исходящую почту можно сканировать на вирусы и спам на внутреннем специальном компьютере, выполняющем маршрутизацию всех сообщений.

Проверка корректности сообщения должна состоять из следующих действий.

• Проверяем, соответствует ли реализация протокола SMTP, по которому работает отправитель, документации RFC.

• Проверяем, существуют ли локальные получатели.

• Сравниваем адрес с черным списком IР-адресов.

• Проверяем репутацию.

• Верифицируем подпись DKIM и запись SPF.

• Фильтруем спам.

• Фильтруем вирусы.

Многие роботы для рассылки спама неточно следуют протоколу SMTP; они обыч­ но посылают сообщение еще до того, как получат ответ EHLO. Небольшая задержка на вашем сервере может выявить эту “несдержанность”. Эту информацию можно исполь­ зовать для того, чтобы либо разорвать соединение, либо увеличить рейтинг спама для полученных сообщений.

Проверка существования локальных получателей имеет смысл, если при дальнейшей проверке вы не искажаете их адреса. Ранняя проверка минимизирует работу почтового

808 Часть II. Работа в сети

сервера с недоставленной почтой. Кроме того, она исключает много “беспорядочного” спама. Однако она открывает доступ в ваше адресное пространство для зонда отправителя.

Порядок остальных проверок, в основном, зависит от связанных с ними затрат. Быстрые и простые проверки следует выполнять до более продолжительных и сложных, чтобы в среднем некорректные сообщения отфильтровывались на как можно более ран­ них стадиях.

Что делать с обнаруженным некорректным сообщением? Отклонить его, выбросить в мусорную корзину, отправить в карантин, заархивировать? Если вы тестируете настрой­ ки, мы рекомендуем отправлять их в карантин и архивировать. Если же система уже на­ строена так, как надо, отклоняйте или выбрасывайте в корзину все письма с вирусами, а также отклоняйте или архивируйте спам в соответствии с установленными вами пра­ вилами. Удаляйте заархивированный спам, срок давности которого превышает месяц; за это время пользователи смогут разобраться с письмами, которые были распознаны как спам по ошибке.

Спам

Спам — это жаргонное название макулатурной почты, которую также называют не­ прошеной коммерческой электронной почтой (unsolicited commercial email — UCE). Она стала серьезной проблемой, потому что, несмотря на невысокий процент отвечающих, стоимость ответа в расчете на доллар высока. (Список, состоящий из 30 миллионов адресов электронной почты, стоит около 40 долл.) Если бы это не было выгодно для спамеров, то проблема не достигла бы таких масштабов. Исследования показывают, что 95—98% всех почтовых отправлений являются спамом. Самые свежие данные на эту тему можно найти на специализированных сайтах, например spamlinks.net.

Для борьбы со спамом рекомендуем использовать превентивные меры и открытые черные списки, доступные для вас. Хорошим источником таких списков является сайт zen.spamhaus.org. Можно также перенаправлять входящую корреспонденцию аут­ сорсинговым компаниям по борьбе со спамом, таким как Postini (которая стала частью компании Google) или Message Labs (которая в настоящее время является частью ком­ пании Symantec). Однако это может повлечь за собой снижение производительности, уровня конфиденциальности и безопасности.

Посоветуйте своим пользователям просто удалять спам, который они получают. Многие сообщения, являющиеся спамом, содержат инструкции о том, как удалить свой адрес из списка рассылки. Если последовать этим инструкциям, спамеры могут действи­ тельно удалить ваш адрес из текущего списка, но они немедленно добавят его в несколь­ ко других списков с аннотацией “доставлено реальному человеку, прочитавшему это со­ общение”. С этого момента ваш электронный адрес будет стоить еще дороже.

Люди, продающие электронные адреса спамерам, для сбора адресов используют специальный вид атаки с помощью словаря. Начиная со списка распространенных фа­ милий, сканирующие программы добавляют к ним разные инициалы в надежде обна­ ружить реальный электронный адрес. Для того чтобы проверить этот адрес, программа связывается с почтовыми серверами, принадлежащими, например, пятидесяти крупней­ шим интернет-провайдерам, и применяет команды VRFY, EXPN или RCPT к милли­ ардам адресов. Транспортные агенты могут блокировать команды VRFY и EXPN про­ токола SMTP, но не команду RCPT. Такие действия загружают ваш почтовый сервер и мешают быстро доставлять реальные почтовые сообщений. Для защиты от подобного рода атак транспортные агенты могут ограничивать количество выполнений команды RCPT, поступающих из одного источника.

Глава 20. Электронная почта 809

Подделки

Подделать электронное письмо очень просто; многие пользовательские агенты по­ зволяют заполнять поле адреса отправителя чем угодно. Транспортные агенты могут использовать механизм аутентификацию по протоколу SMTP между локальными сер­ верами, но они не могут этого сделать в масштабе всего Интернета. Некоторые транс­ портные агенты добавляют предупреждающие заголовки в исходящие локальные со­ общения, которые могут быть подделаны.

В электронном сообщении личность отправителя может быть фальсифицирована. Будьте очень осторожны, если в вашей организации электронные сообщения исполь­ зуются в качестве средства авторизации, например, ключей от дверей, карточек доступа и денег. Вы должны предупредить об этом администраторов и полагаться на то, что они просматривают подозрительные письма, поступающие от авторитетных отправителей, и проверяют корректность сообщений. Следует быть еще более осторожным, если в сооб­ щении предлагается предоставить необычной персоне непропорциональные привилегии.

Конфиденциальность сообщений

Более подробно пакеты PGP и GPG описаны в разделе 22.10.

Если вы не используете какой-либо внешний пакет для шифрования, например Pretty Good Privacy (PGP), его клон для GNU (GPG) или S/MIME, то о конфиденци­ альности сообщений говорить не приходится. По умолчанию вся почта посылается не­ зашифрованной. Шифрование требует специальной поддержки со стороны почтовых пользовательских агентов. Если ваши пользователи хотят сохранить свои сообщения в тайне, они должны применять собственное шифрование.

Пакеты S/MIME и PGP описаны в документах RFC, причем стандартом считается S/MIME. Однако мы предпочитаем пакеты PGP и GPG; они являются более доступны­ ми. Пакет PGP был разработан выдающимся криптографом Филом Циммерманом (Phil Zimmermann), которому мы доверяем.

Эти стандарты образуют основу для обеспечения конфиденциальности электронной почты, аутентификации, проверки целостности сообщений и гарантии сохранения ав­ торства. Однако анализ трафика по-прежнему возможен, потому что заголовки и кон­ верты пересылаются открытым текстом.

Фильтрация спама

Проблема спама привела к борьбе между борцами со спамом, с одной стороны, и спа­ мерами, с другой, причем обе стороны вооружены сложными технологиями. В настоя­ щее время для текущего контроля используются следующие показатели.

• “Серые” списки: временная отсрочка (форма проверки на соответствие докумен­ там RFC).

• SpamAssassin: эвристический инструмент для распознавания спама на основе срав­ нения с образцами.

• “Черные” списки: списки известных спамеров; часто на основе системы DNS.

• “Белые” списки: списки разрешенных отправителей на основе системы DNS, что­ бы избежать ложного распознавания спама.

• Почтовые фильтры, сканирующие заголовки и тело сообщения.



810 Часть II. Работа в сети

• Записи SPF и DKIM/ADSP для идентификации доменов отправителей и почтовых правил.

• Системы amavisd-new и MailScanner: антивирусные и антиспамовские фильтрую­ щие системы.

Боле подробно эти инструменты будут рассмотрены немного позже.

Когда следует фильтровать

Это фундаментальный вопрос, и на него нет однозначного ответа. Основная пробле­ ма заключается в том, следует ли выполнять фильтрацию одновременно с выполнением транзакции SMTP при соединении с отправителем или уже после получения сообще­ ния. Эти схемы имеют как преимущества, так и недостатки. Преимущества оперативной фильтрации (до размещения в очереди почтовой системы) заключаются в следующем.

• •

Вы можете отказаться от приема почты и не принимать на себя ответственность за ее доставку. (В некоторых странах это даже является юридическим требованием!)

Отправитель гарантированно уведомляется о причине, по которой его сообщение не могло быть доставлено. Вы не обязаны доверять отправителю сообщения; вы просто формулируете причину отказа и поручаете исходному почтовому серверу сообщить об этом отправителю. Это более аккуратный и надежный способ, чем прием почты и ее отправка обратно.

Однако у схемы обработки почты после ее размещения в очереди почтовой системы тоже есть свои преимущества.

• Производительность почтового сервера, имеющего выход в Интернет, не страда­ ет от интенсивной проверки спама. Это особенно ценно, когда одновременно со спамом почтовый сервер загружен полезными сообщениями.

• Фильтрация после размещения сообщения в очереди почтовой системы проще и надежнее.

На первый взгляд, может показаться, что следует предпочесть фильтрацию после раз­ мещения сообщения в очереди почтовой системы. Она не снижает производительность работы почтового сервера и легче управляется системными администраторами. Однако обратная отправка сообщения, генерируемая системой фильтрации после размещения в очереди почтовой системы, сама становится разновидностью спама, если адрес отправи­ теля был подделан, как это обычно бывает при рассылке спама.

Эта проблема называется “обратной рассылкой спама” (“backscatter spam”). Для борьбы с ней была изобретена система BATV (bounce address tag validation — проверка обратного адреса). Тем не менее проблема остается нерешенной. Система может опреде­ лить корректность обратного адреса (адрес отправителя на конверте), если отправитель сообщения подписал адрес на конверте. Фильтры системы BATV могут помочь сайтам отправлять сообщения только по корректным обратным адресам.

Разумным компромиссом было бы выполнение фильтрации вирусов и спама до раз­ мещения сообщений в очереди почтовой системы, а затем выполнение дополнительного сканирования после размещения сообщений в очереди.

"Серые" списки/DCC

“Серые” списки — это схема, в которой почтовый сервер конфигурируется так, что­ бы при установлении всех соединений с новыми, нераспознанными, IP-адресами воз-

Глава 20. Электронная почта 811

никала задержка, например, от 15 минут до часа. Сервер отказывается принимать почту, отправляя в ответ сообщение “повторите попытку позже”. Реальные транспортные аген­ ты, посылающие реальную почту реальных пользователей, подождут и затем повторят попытку; роботы для рассылки спама перейдут к следующему адресу в списке и не будут повторять попытку.

“Серые” списки были реализованы для компьютеров, на которых работают транс­ портные агенты; подробности можно найти на сайте greylisting.org. Они особенно эффективны в качестве компонентов системы борьбы со спамом под названием DCC (Distributed Checksum Clearinghouses; см. rhyolite.com/dcc), распознающей “массо­ вость” сообщения путем вычисления нечеткой контрольной суммы и проверки, сколько почтовых серверов имеют ту же самую контрольную сумму. Эта система распознает не спам как таковой, а массовые рассылки. Если вы поместите в белый список всю массо­ вую рассылку, которую хотите получать (например, списки рассылки, принадлежащие вам), то остальные распознанные сообщения образуют непрошеную почту, т.е. спам.

Система DCC также может работать с серыми списками; она используется как фильтр и может заносить в серые списки или отвергать письма до их постановки в очередь по­ чтовой системы во время сеанса SMTP. Поскольку система DCC не выполняет сравне­ ние с образцами, как инструменты типа SpamAssassin, ее невозможно обмануть, добав­ ляя случайные слова в свои сообщения, как делают спамеры, пытаясь обмануть системы, сравнивающие образцы.

Эффективность серых списков снизилась (с более чем 97% до 90%), когда роботы для рассылки спама восприняли их всерьез и привели в порядок свою реализацию про­ токола SMTP. Однако они по-прежнему остаются эффективными, если используются в сочетании с черными списками, потому что система автоматической поддержки черных списков часто управляется сайтами, специализирующимися на борьбе со спамом, пока не истечет период для повторной попытки.

Программа SpamAssassin

Программа SpamAssassin (spamassassin.apache.org) — это открытый модуль на языке Perl, написанный Хабибом Диу (Habeeb Dihu) и поддержанный Яном Джастманом (Ian Justman). Он прекрасно справляется с распознаванием спама. Эту программу можно вызвать с помощью фильтра и использовать во многих системах для борьбы со спамом.

Для распознавания спама программа SpamAssassin использует множество эмпири­ ческих правил. Эти правила постоянно обновляются, но в настоящее время они под­ держиваются все менее активно. Программа SpamAssassin перехватывает практически весь спам, но иногда принимает “ложноположительные” решения, особенно если она настроена с включенной опцией “авто-Байес”. При настройке программы SpamAssassin и выборе ее параметров внимательно изучите накопленный спам.

Программа SpamAssassin использует систему подсчета баллов для оценки сообщений. Если сообщение набирает слишком много баллов, количество которых зависит как от настроек сайта, так и от пользователя, то программа SpamAssassin помечает сообщение как спам. После этого подозрительные сообщения можно отправить в папку для спама, либо запустив на сервере фильтр, например фильтр sieve фирмы Cyrus, либо соответ­ ствующим образом настроив своего пользовательского агента. Программу SpamAssassin можно даже обучить распознавать хорошие и плохие сообщения (“ham” и “spam”), под­ ключив байесовский фильтр.

812 Часть II. Работа в сети

Черные списки

Более подробная информация о системе DNS приведена в главе 17.

Несколько организаций (например, spamhaus.org) составляют списки спамеров и публикуют их в системе DNS. Транспортные агенты можно настроить так, чтобы они проверяли эти черные списки (известные также как Realtime Black Lists, или RBL) и от­ вергали почту, приходящую с указанных адресов.

Они также составляют списки открытых почтовых станций, т.е. почтовых серверов, предназначенных для пересылки сообщений из Интернета пользователю, находящему­ ся вне локальной сети, без аутентификации сервера-отправителя. Спамеры используют открытые почтовые станции для маскировки источников сообщений и перепоручения рассылки огромного количества сообщений другим сайтам.

Белые списки

Белые списки — это репутационные списки, основанные на системе DNS, которые, по существу, являются противоположностью черных списков, описанных выше. Они ис­ пользуются для сокращения количества “ложноположительных” ответов, генерируемых фильтрами спама. Один из белых списков, поддерживаемых на сайте dnswl.org, оце­ нивает домены следующим образом.

• Высокий рейтинг — никогда не посылает спама.

• Средний рейтинг — редко посылает спам, исправляет проблемы, связанные со спамом, если они возникают.

• Низкий рейтинг — иногда посылает спам, медленно исправляет проблемы.

• Нет рейтинга — законный почтовый сервер, но может рассылать спам.

Белые списки рекомендуют пропускать часть обычной процедуры сканирования по­ чты с учетом рейтинга отправителя в белом списке.

• Не искать в черном и сером списках домены, имеющие рейтинг.

• Не выполнять фильтрацию спама для доменов с высоким или средним рейтингом.

• Никогда не игнорировать сканирование на вирусы.

Веб-сайт dnswl.org содержит подробную информацию о том, как использовать бе­ лый список для каждого транспортного агента, рассмотренного в нашей книге. Анализ выполняется на основе системы DNS, как и для черных списков. Например, если вы хотите узнать рейтинг IP-адреса 1.2.3.4, должны выполнить DNS-запрос для псевдоузла 4.3.2.1.list.dnswl.org. В ответ вы получите IP-адрес в форме 127.0.x.у, где x - число, идентифицирующее общую категорию бизнеса для данного домена (например, финансовые услуги или маркетинг электронной почты), а — рейтинг сайта в белом списке по шкале 0-3 (0 — нет, 3 — высокий).

Для ускорения работы белых списков можно загрузить данные для полного белого списка и ежедневно выполнять команду rsync; каждый час или каждые полчаса это де­ лать не следует.

Можно также оценить рейтинг своей организации на веб-сайте dnswl.org. Ниже приводится типичный вывод для сайта caida.org, не рассылающего спам.

IP range 192.172.226.32/32

Domain/Hostname jungle.caida.org

Score med



Глава 20. Электронная почта 813 IP range

IP range

192.172.226.36/32

Domain/Hostname

fido.caida.org

med

Score

Domain/Hostname

Score

192.172.226.78/32

rommie.caida.org

med

Домен hotmail.com порождает около десяти страниц, содержащих записи, которые имеют рейтинг “нет”.

Фильтрация почты

Разработчики программы sendmail создали прикладной интерфейс, позволяющий программам сторонних производителей фильтровать заголовки и содержимое почтовых сообщений так, будто они обрабатываются транспортным агентом.

Эти почтовые фильтры используются для борьбы со спамом, распознавания виру­ сов, статистического анализа, шифрования и многих других целей. Почтовые филь­ тры поддерживаются как утилитой sendmail, так и транспортными агентами сервера Postfix; вместо них сервер Exim использует обычные фильтры и списки контроля досту­ па. Каталог доступных почтовых фильтров, сопровождаемый рейтингами пользователей, лицензионной информацией и статистическими показателями о загрузках и обновлени­ ях, находится на сайте milter.org.

Транспортные агенты применяют почтовые фильтры к входящим сообщениям, пока те еще остаются на связи с сайтом-отправителем. Почтовые фильтры могут распознать профиль вируса или спама и сообщить об этом транспортному агенту, игнорировать со­ общение, создать записи в журнале или предпринять другое действие, которое вы со­ чтете приемлемым. Почтовые фильтры имеют доступ и к метаданным, и к содержимому сообщения.

Почтовые фильтры представляют собой потенциально мощные инструменты как для борьбы со спамом и вирусами, так и с попытками нарушить конфиденциальность пере­ писки. Когда менеджеры узнают, что по электронной почте из их организации проис­ ходит утечка конфиденциальной информации, возникает щекотливая ситуация, потому что сотрудники полагают, будто их сообщения должны считаться приватными. В согла­ шениях с сотрудниками следует четко указывать, что вы имеете право выполнять любое сканирование их электронных сообщений.

Поиск по сайту: