- •Практическая работа № 3. Особенности использования электронной почты
- •Перечислите известные Вам услуги, обеспечиваемые почтовыми программами (кроме передачи и приёма сообщений);
- •Классификация почтовых сервисов, их достоинства и недостатки;
- •Какие протоколы сети используются при работе электронной почты?
- •Причиняемый вред
- •Методы идентификации спама;
- •Сравнительная оценка различных способов защиты от спама;
- •Перечислите возможности фильтрации нежелательной корреспонденции, предоставляемые Outlook Express;
- •Технологии, применяемые для защиты электронной почты и размещение комплексов защиты.
Сравнительная оценка различных способов защиты от спама;
Все современные методики борьбы со спамом можно условно разделить на следующие категории:
методы, основанные на анализе письма — их задача состоит в изучении письма с целью его классификации. Подобный метод решает две задачи: обнаруживает спам и выявляет письма, которые гарантированно не являются спамом. Известно несколько наиболее распространенных методов анализа:
- по формальным признакам,
- по содержимому с использованием сигнатурного анализа. Данный метод основан на поиске в тексте письма определенных сигнатур, описанных в обновляемой базе данных,
- по содержимому с применением статистических методик. Большинство современных методов данного класса основано на теореме Байеса,
- по содержимому с использованием SURBL (Spam URL Realtime Block Lists — списка блокировки спамерских URL). Идея метода состоит в поиске расположенных в теле письма ссылок и их проверке по базе SURBL. Этот метод эффективен против спама, в котором для обхода фильтров вместо рекламы применяется ссылка на сайт с рекламой;
детекторы массовой рассылки — как следует из названия, их задачей является обнаружение рассылки похожего письма большому количеству абонентов;
методы, основанные на признании отправителя письма в качестве спамера — они опираются на различные черные списки IP- и почтовых адресов. Как и в предыдущем случае, возможно решение обратной задачи — опознание доверенных пользователей или почтовых серверов, от которых необходимо принимать почту в любом случае. Достоинством данного метода является то, что для опознавания отправителя в качестве спамера почтовому серверу не требуется принимать письмо, что существенно экономит трафик. Опознавание отправителя производится по его IP-адресу. Для проверки адреса можно применять собственные черные и белые списки и использовать сервисы RBL (Real-time Blackhole List) и DNSBL (DNS-based Blackhole List). Сервис DNSBL идеологически похож на DNS — существуют серверы, содержащие динамически обновляемые черные списки. Использующий технологию DNSBL почтовый сервер или спам-фильтр обращается к серверу DNSBL с запросами на проверку IP-адреса;
методы, основанные на верификации обратного адреса отправителя и его домена, — простейшим методом защиты является обычный DNS-запрос по имени домена отправителя письма. Если выясняется, что домен отправителя не существует, то, вероятнее всего, адрес отправителя является поддельным. Однако этот метод малоэффективен, поскольку в качестве адреса отправителя спамеры могут использовать реальные адреса, случайным образом выбранные из базы рассылки. Более сложная технология предполагает проверку, допустима ли отправка письма с указанным обратным адресом с данного IP-адреса. В качестве примера можно рассмотреть технологию SenderID (http://www.microsoft.com/mscorp/safety/technologies/senderid/default.mspx). Она основана на защите от подделки обратного адреса отправителя путем публикации в DNS так называемой политики использования домена, то есть, по сути, списка IP-адресов, с которых могут отправляться письма с данным доменом отправителя. Другим примером является технология SPF (Sender Policy Framework), описанная в RCF-4408. Она также предполагает использование протокола DNS для верификации адреса отправителя, а принцип ее работы сводится к тому, что если владелец домена желает поддерживать SPF-верификацию, то он добавляет в DNS-записи для своего домена особую запись, в которой указываются версия SPF и диапазоны IP-адресов, с которых может приходить почта от пользователей данного домена. Принцип проверки тоже достаточно прост: в ходе анализа письма определяются IP-адрес отправляющего его пользователя и записанный в заголовках письма обратный адрес. Для верификации делается DNS-запрос для домена отправителя и изучается ответ. При обнаружении в нем SPF-записи спам-фильтру остается только сравнить IP-адрес отправителя с правилами, записанными в SPF-записи: если IP-адрес не проходит контроль, то с высокой степенью вероятности можно считать, что обратный адрес подделан и письмо является спамом. Выполнять SFP-запросы можно вручную, без специальных программных средств. Для примера рассмотрим получение SPF-записи для домена mail.ru. Для этого нам потребуется запустить встроенную в Windows XP утилиту nslookup и выполнить команду set type=any для настройки запроса всех типов DNS-записей.
Кроме перечисленных методик, существует ряд других, например методика, основанная на эмуляции устранимой ошибки пересылки почты на SMTP-сервере. Реальный SMTP-сервер отправителя при обнаружении подобной ошибки должен выдержать некоторую паузу (обычно 1-2 часа) и повторить попытку. Большинство спам-ботов этого не делают, поэтому для защиты от них используется данная методика. Однако SMTP-серверы не обязаны следовать протоколу и повторять попытки, что может привести к потере почты.
Другая методика связана с тем, что после получения подозрительного письма антиспам-фильтр может попытаться связаться с отправителем письма и предложить ему тем или иным способом доказать, что он не является спамером. Обычно проверка сводится к посещению некоторой страницы и заполнению на ней web-формы. Подобную методику, в частности, практикует фильтр спама на mail.ru.