Это данные, видимые пользователю. Помимо того, в специальных разделах электронного письма (обычно не показываемых пользователю почтовыми программами) сохраняется служебная информация, в том числе и запись о сетевом адресе отправителя. Он является единственным полем, идентифицирующим отправителя, которое спамер не может подделать. Правда, он способен подставить вместо себя другого, но об этом ниже.
Программы, выполняющие роль секретаря-референта, сортирующего поток входящей корреспонденции на легитимную почту и незапрашиваемые рекламные объявления, называются спам-фильтрами. Их работа основана на анализе как почтового и сетевого адреса отправителя, так и содержимого письма.
Почтовый адрес отправителя — весьма ненадежный критерий фильтрации почты. Из-за уязвимости сетевого протокола отправки почтовых сообщений (Simple Mail Transfer Protocol, SMTP) обратный адрес легко подделывается. Поэтому вносить в черный список почтовые адреса отправителей спама — занятие малоэффективное. Для каждого нового письма в спамерской рассылке обратный адрес может подбираться случайным образом.
Сетевой адрес отправителя — более надежный показатель, его нельзя подделать. В Интернете существует ряд проектов, публичных или платных, специализирующихся на проверке сетевых адресов, подозреваемых в спамерских рассылках. Одно из названий подобных ресурсов — DNSBL-списки (в переводе с англ. — «черные списки доменных имен Интернета»). Получив письмо, почтовый фильтр связывается по Интернету с одним или несколькими (в зависимости от настроек) DNSBL-ресурсами и на основании ответа принимает решение: помечать данное письмо как спам или нет. Информацию DNSBL-ресурсы собирают различными способами, например, получают образцы спамерских писем от пользователей проекта (в частности, достаточно трех жалоб от различных людей на рассылку спама с некоего адреса, и этот адрес попадает в черный список). Кроме того, можно анализировать почту, приходящую на почтовые ящики-«ловушки», адреса которых специально подкидывались спамерским поисковым программам, просеивающим Интернет в поисках новых адресов.
Эффективность такого способа фильтрации ограничена тем, что спамеры меняют сетевые адреса. Спустя десяток минут после начала рассылки сетевой адрес, с которого идет спам, попадает в базы данных DNSBL-ресурсов, но за это время успевают уйти сотни тысяч писем. А следующая рассылка пойдет уже с другого адреса, не занесенного в черные списки. Немалую роль в успешной рассылке спама играет и уязвимость ко взлому огромного количества ПК, подключенных к Интернету. Рассылая спам через захваченный компьютер, злоумышленники не только скрывают свои адреса от занесения в DNSBL (в них попадает сетевой адрес взломанной системы), но и перекладывают накладные расходы по оплате трафика на сторонних людей.
Третий по распространенности инструмент фильтрации электронной почты — математический анализ текста письма. Способов анализа множество. Не углубляясь в детали, отмечу их общую черту: на основании текста писем составляется статистика употребления слов, словосочетаний и их комбинаций в спаме и легитимной корреспонденции. Следовательно, чем чаще в новом письме встречаются слова, употребляемые в ранее полученном спаме, тем больше вероятность того, что данное письмо будет отмечено фильтром как спам. Для описанной методики анализа требуется первоначальная настройка, когда пользователь, разбирая почту, отвечает на запрос программы-фильтра: считать данное письмо спамом или нет.
Закончим на этом с теорией и перейдем к знакомст-ву с персональными фильтрами для Windows-платформ, начав с проекта SpamPal, свободно и бесплатно предлагающего одноименный спам-фильтр.
Установка программы проста и не требует глубоких знаний сетевой казуистики. Предлагаемая по умолчанию конфигурация оптимальна для большинства случаев, что позволяет сразу начать фильтрацию почтовой корреспонденции. Естественно, потребуется настройка почтовой программы (The Bat!, Outlook и т. п.). В свойствах почтового ящика в качестве имени почтового сервера входящей корреспонденции (POP3, IMAP4) следует указать сетевой адрес типа 127.0.0.1 (локальный сетевой адрес данного компьютера), а в поле для ввода регистрационного имени — строку вида name@mail.myispserver.ru, где name — имя учетной записи, mail.myispserver.ru — доменное имя или сетевой адрес запрашиваемого почтового сервера.
Обратите внимание, что SpamPal наряду с персональным использованием предлагает возможность коллективной работы. Для этого на удаленных компьютерах, имеющих сетевой доступ к ПК (TCP/IP) с установленным SpamPal, в учетных записях почтовых ящиков в поле
«Почтовый сервер» следует указать сетевой адрес компьютера со SpamPal (например, 192.168.0.1), соответствующим образом изменив значения имен в учетных записях.
Процесс настройки и последующего сопровождения работы программы хорошо документирован, что немаловажно, поскольку SpamPal многофункционален и позволяет вести фильтрацию электронной корреспонденции по многим параметрам, и прежде всего по DNSBL-спискам. Пройдем по пунктам главного меню «Инструменты • Настройки • Обнаружение спама • Черные списки • Общие черные списки» и получим доступ к списку DNSBL-ресурсов, против названия части которых уже стоят отметки. При получении письма SpamPal будет опрашивать данные ресурсы, не внесен ли сетевой адрес отправителя в список спамеров.
Следует понимать, что у каждого ресурса своя собственная политика оценки источников спама. Были прецеденты, когда адреса всех сетей российских провайдеров оказывались внесены в черные списки отдельных DNSBL-ресурсов из-за агрессивности применяемых ими мер оценки. Поэтому, когда к списку используемых DNSBL-ресурсов добавляются новые проекты, следует осведомиться о декларируемой ими политике. Также увеличение числа опрашиваемых ресурсов приводит к увеличению времени проверки корреспонденции.
Помимо проверки по DNSBL-спискам можно ужесточить критерии фильтрации почты, поставив условие считать спамом всю почту, приходящую из определенных стран, в том числе из Китая, Кореи… и России. Но тогда нужно быть уверенным, что доверенных корреспондентов в этих странах нет.
Если в процессе анализа письма SpamPal расценивает его как спам, то не удаляет его, а лишь добавляет слово **SPAM** в начало строки темы сообщения. Дальнейшую фильтрацию почты следует проводить на основании этой метки с помощью сортировщиков писем, включенных в инструментарий большинства почтовых клиентов.
Функциональность SpamPal значительно расширяется при подсоединении дополнительных модулей, включающих в инструментарий программы новые методы анализа электронной корреспонденции. Таким образом можно добавить более 20 различных модулей, среди которых есть и анализатор регулярных выражений (RegEx Filter — методика расширенного поиска в тексте), и байесовский фильтр (Bayesian — статистическая оценка частоты употребления слов в теле писем).
Более подробно с методикой работы байесовских фильтров познакомимся на примере разработки компании Agnitum, предложившей к услугам общественности Agnitum Spam Terrier — модуль расширения почтовых клиентов Microsoft Outlook и Microsoft Outlook Express. Как уже было отмечено, байесовский фильтр построен на вероятностном алгоритме. Анализируя в процессе «обучения» ответы пользователя на вопрос, являются ли некие письма спамом или нет, Agnitum Spam Terrier составляет список употребленных в этих письмах слов, вычислив для каждого из них коэффициент частоты употребления. Получив новое письмо, спам-фильтр сопоставляет содержащийся в нем текст со своим списком. Затем, определив совпадающие слова, на базе их коэффициентов вычисляет вероятность того, может ли данное письмо быть спамом. Если полученное значение больше заданного порога, письмо расценивается как спам или как вероятный спам. Если спам-фильтр допустил ошибку, пользователь может вручную внести исправления, пометив требуемое письмо, после чего спам-фильтр автоматически проведет коррекцию своих данных.
Недостатком спам-фильтра компании Agnitum является отсутствие возможности вручную администрировать его словарь. На практике в него зачастую попадают служебные термины, не несущие смысловой нагрузки, из-за чего искажаются результаты анализа.
Компания GOTO Software представляет еще один модуль расширения почтовых программ корпорации Microsoft — Vade Retro. Работа с ним в значительной степени аналогична применению Agnitum Spam Terrier: точно так же составляется персональная база данных на основании ответов пользователя. Сравнительно новой чертой спам-фильтра стал ежедневно обновляемый набор правил анализа электронной корреспонденции, загружаемый с сайта проекта. К сожалению, заглянуть «за кулисы» программы не удастся. Нельзя увидеть ни информацию из персональной базы данных, ни правила, за регулярное обновление которых придется заплатить (базовая версия программы бесплатна). Пользователю доступны лишь команды Allow («это письмо не спам») и Block («это спам»). По мнению разработчиков, их вполне достаточно.
Поиск в Интернете выдает более сотни различных проектов, посвященных фильтрации спама, но методики их работы в целом аналогичны приведенным выше, различаясь лишь деталями реализации. Поэтому советую сразу же после установки фильтра создать «белый список», куда будут внесены адреса личной и деловой корреспонденции. Вероятность получить письмо спамерской рассылки с адресом доверенного корреспондента невелика, а возможность того, что автоматический анализатор текста или какой-либо иной инструмент расценит обычное письмо как спам, напротив, достаточно высока. Все упомянутые программы при работе с настройками по умолчанию допускали ложные срабатывания, пропуская спам и удаляя деловую переписку. Дополнительная настройка уменьшала число ошибок, но не устраняла их совсем. Это следует учитывать, чтобы пословица «хуже спама только борьба с ним» в вашем случае не оправдалась.
Таблица сравнительных характеристик Спам-фильтров
Письма лично на почту ношу
Поскольку прикладной протокол отправки электронных сообщений текстовый, то, чтобы отослать письмо (впрочем, как и получить его) достаточно воспользоваться встроенной в состав операционной системы программой Telnet и знать десяток простых команд. Ниже приведен листинг сеанса связи с неким почтовым сервером, в процессе которого было отправлено тестовое электронное письмо.
В контексте статьи особый интерес представляет команда mail from, указывающая адрес отправителя. Как видно из ответа сервера, проверяется лишь корректность формы введенного адреса, а не его истинность -– подобного инструмента нет в основной архитектуре протокола, что и позволяет существовать спамерам.
C:>telnet mail.server-example.org 25
220 mail.server-example.org
mail from: author@this-article.org
250is syntactically correct
rcpt to: readers@this-article.org
250is syntactically correct
data
354 Enter message, ending with “.” on a line by itself
Subject: Example message
Testing, testing, 1-2-3....
.
250 OK id=1ITHP5-0001IH-00
quit
Кто кого
Спам гораздо больше, чем досадная неприятность для обычных пользователей. Это и вирусные эпидемии, и перегружающий сети трафик, и огромные временные и финансовые затраты, которые несут все — от крупных корпораций до владельцев ПК. Распространение незапрашиваемой рекламы давно превратилось в одну из глобальных проблем Интернета. Спам достаточно просто подавить в закрытых корпоративных сетях, но в Интернете без коренного изменения архитектуры почтовых протоколов спам будет существовать до тех пор, пока приносит прибыль своим заказчикам. Сейчас спам — наиболее эффективный метод рекламы.
О пользе спама предлагаю также задуматься сторонникам мнения, что к виртуальному пространству неприменима этика обычного мира.
При желании можно занять активную позицию в борьбе с непрошеными рекламными рассылками, став участником какого-либо из специализированных проектов. Например, работая со SpamCop. net, легко сообщать данному ресурсу информацию о полученном спаме, пересылая электронные письма на специальный почтовый ящик либо вводя информацию из заголовка письма в веб-форму на сайте проекта.
Dr. Web Антивирус + Антиспам
Оценка: 3
Системные требования: 128-Мбайт ОЗУ, х86 процессор (AMD или Intel) с частотой 300 МГц или выше, 100 Мбайт свободного пространства на жестком диске.
Поддерживаемые ОС: Microsoft Windows 98/Me/2000/XP.
Размер дистрибутива: 13,3 Мбайт.
Особенности: Поддержка SMPT/POP3/IMAP4 почтовых клиентов.
Язык интерфейса: Русский.
Условия распространения: 30 дней бесплатного использования для тестовых целей.
ЦЕНА: 1390 руб. Стоимость годовой лицензии
Разработчик: Санкт-Петербургская антивирусная лаборатория И.Данилова, http://www.drweb.ru.
PC Tools Spam Monitor
Оценка: 5
Системные требования: 64-Мбайт ОЗУ, х86 процессор (AMD или Intel) с частотой 300 МГц или выше.
Поддерживаемые ОС: Microsoft Windows 98/Me/2000/XP.
Размер дистрибутива: 3,29 Мбайт.
Особенности: Поддержка SMPT/POP3/IMAP4 почтовых клиентов.
Язык интерфейса:Английский.
Условия распространения:30 дней бесплатного использования для тестовых целей.
ЦЕНА:29,99 долл. Стоимость годовой лицензии.
Разработчик:PC Tools Ltd., http://www.pctools.com.
AGAVA AntispamServant
Оценка: 3
Системные требования: 64-Мбайт оперативной памяти, х86 процессор (AMD или Intel) с частотой 300 МГц или выше.
Поддерживаемые ОС: Microsoft Windows 98/Me/2000/XP.
Размер дистрибутива: 2,46 Мбайт.
Особенности: Поддержка SMPT/POP3/IMAP4 почтовых клиентов.
Язык интерфейса: Английский, немецкий, польский, чешский, словацкий, испанский, венгерский.
Условия распространения: Базовая версия программы бесплатна.
ЦЕНА: 29,95 долл. Стоимость годовой лицензии.
Разработчик: АGAVA Software Company, http://www.antispamservant.com.
CA Antispam 2007
Оценка: 4
Системные требовани: 128-Мбайт ОЗУ, х86 процессор (AMD или Intel) с частотой 300 МГц или выше.
Поддерживаемые ОС: Microsoft Windows 98SE/2000 (SP4+)/Vista.
Размер дистрибутива: 7,76 Мбайт.
Особенности: Поддерживаемые почтовые клиенты: Microsoft Outlook 2000, 2002, 2003, 2007; Microsoft Outlook Express 5.5, 6.0; Microsoft Windows Mail.
Язык интерфейса: Английский, немецкий, французский, итальянский, испанский, португальский, китайский, японский, корейский.
Условия распространения: 30 дней бесплатного использования для тестовых целей.
ЦЕНА: 29,99 долл.
Разработчик: CA Inc, http://home.ca.com.
SpamPal
Оценка: 5
Системные требования: 64-Мбайт ОЗУ, х86 процессор (AMD или Intel) с частотой 300 МГц или выше, 10 Мбайт свободного пространства на жестком диске.
Поддерживаемые ОС: Windows 95/98/Mе/NT/2000/2003/XP.
Размер дистрибутива: 0,7 Мбайт.
Особенности: Поддержка SMPT/POP3/IMAP4 почтовых клиентов.
Язык интерфейса: Русский, английский, немецкий, французский, итальянский, китайский, датский.
Условия распространения: Бесплатно.
Разработчик: Джеймс Фармер (James Farmer), http://www.spampal.org.
Spam Terrier
Оценка: 4
Системные требования: 128-Мбайт ОЗУ, х86 процессор (AMD или Intel) с частотой 300 МГц или выше, 100 Мбайт свободного пространства на жестком диске.
Поддерживаемые ОС: Windows 98/Mе/2000/XP/2003 Server.
Размер дистрибутива: 1,58 Мбайт.
Особенности: Поддерживаемые почтовые клиенты: Microsoft Outlook 2000, 2002, 2003; Microsoft Outlook Express 5.0, 5.5, 6.0.
Язык интерфейса: Русский, английский, немецкий, испанский, французский.
Условия распространения: Бесплатно.
Разработчик: Agnitum Ltd., http://www.agnitum.ru.
Vade Retro
Оценка: 4
Системные требования: -Мбайт ОЗУ, х86 процессор (AMD или Intel) с частотой 300 МГц или выше, 2 Мбайт свободного пространства на жестком диске.
Поддерживаемые ОС:Microsoft Windows 98/Me/2000/XP.
Размер дистрибутива:7,57 Мбайт.
Особенности Поддерживаемые почтовые клиенты: Microsoft Outlook 2000, 2002, 2003 и Microsoft Outlook Express 5.5, 6.0.
Язык интерфейса:Английский, французский, немецкий.
Условия распространения:37,37 долл. за обновление программы в течение года.
Разработчик:GOTO Software FRANCE, http://www.goto-software.com.
MailWasher Pro
Оценка: 5
Системные требования: 256-Мбайт ОЗУ, х86 процессор (AMD или Intel) с частотой 300 МГц или выше.
Поддерживаемые ОС: Microsoft Windows 98/Me/2000/XP.
Размер дистрибутива: 3,34 Мбайт.
Особенности: Поддержка SMPT/POP3/IMAP4 почтовых клиентов.
Язык интерфейса: Английский, испанский, немецкий.
Условия распространения: 30 дней бесплатного использования для тестовых целей.
ЦЕНА: 37 долл.
Разработчик: Firetrust Ltd, http://www.mailwasher.net.