42. Функционирование почтовой системы на основе smtp/esmtp, envelope и header адреса, различные технологии защиты от спама.

Семёнов [4] – 4.5.10 Электронная почта.doc и 4.4.14 Протокол электронной почты SMTP.doc

4.4.14.6 SPAM.doc

Электронная почта - наиболее популярный и быстро развивающийся вид общения. Широко используются протоколы электронной почты UUCP (unix-to-unix copy protocol, RFC-976) и SMTP (simple mail transfer protocol; RFC-821, -822, -1351, -1352). Один из протоколов (RFC-822) определяет формат почтовых сообщений, второй (RFC-821) управляет их пересылкой. Имея механизмы промежуточного хранения почты (spooling) и механизмы повышения надежности доставки, протокол smtp базируется на TCP-протоколе в качестве транспортного и допускает использование различных транспортных сред. Он может доставлять сообщения даже в сети, не поддерживающие протоколы TCP/IP. Протокол SMTP обеспечивает как транспортировку сообщений одному получателю, так и размножение нескольких копий сообщения для передачи по разным адресам. Обычно в любом узле Интернет имеется почтовый сервер (MX), который принимает все сообщения и устанавливает их в очередь. Далее производится раскладка сообщений по почтовым ящикам ЭВМ пользователей. Если какая-то ЭВМ не включена, сервер попытается доставить почту позднее (например, через 30 мин). После заданного числа неудачных попыток или по истечении определенного времени (> 4-5 дней) сообщение может быть утрачено. При этом отправитель должен получить уведомление об этом. Над SMTP располагается почтовая служба конкретных вычислительных систем (например, POP3(RFC-1460), IMAP (RFC-2060), sendmail (UNIX), pine, elm (надстройка над sendmail), mush, mh и т.д.).

Существует множество реализаций электронной почты. Имеются версии практически для всех ЭВМ, операционных систем и сред.

Адреса электронной почты уникальны и однозначно определяют адресата, обладая иногда даже некоторой избыточностью. Символьные адреса электронной почты вполне соответствуют IP-нотации. Электронный почтовый адрес содержит две части, местную и доменную, например, vanja.ivanov@itep.ru (vanya.ivanov - местная). Доменная часть обычно совпадает с символьным IP-именем домена.

Главной целью протокола Simple Mail Transfer Protocol (SMTP, RFC-821, -822) служит надежная и эффективная доставка электронных почтовых сообщений. SMTP является довольно независимой субсистемой и требует только надежного канала связи. Средой для SMTP может служить отдельная локальная сеть, система сетей или весь Интернет.

SMTP базируется на следующей модели коммуникаций: в ответ на запрос пользователя почтовая программа-отправитель устанавливает двухстороннюю связь с программой-приемником (TCP, порт 25). Получателем может быть оконечный или промежуточный адресат. SMTP-команды генерируются отправителем и посылаются получателю. На каждую команду должен быть отправлен и получен отклик.

Когда канал организован, отправитель посылает команду MAIL, идентифицирую себя. Если получатель готов к приему сообщения, он посылает положительное подтверждение. Далее отправитель посылает команду RCPT, идентифицируя получателя почтового сообщения. Если получатель может принять сообщение для оконечного адресата, он выдает снова положительное подтверждение (схема формирования откликов помещена в приложении 10.14). В противном случае он отвергает получение сообщения для данного адресата, но не вообще почтовой посылки.

SMTP-отправитель и SMTP-получатель могут вести диалог с несколькими оконечными пользователями (рис. 4.4.14.1). Любое почтовое сообщение завершается специальной последовательностью символов. Если получатель успешно завершил прием и обработку почтового сообщения, он посылает положительное подтверждение.

SMTP обеспечивает передачу почтового сообщения непосредственно конечному получателю, когда они соединены непосредственно. В противном случае пересылка может выполняться через одного или более промежуточных "почтовых станций".

Рис. 4.4.14.1 Схема взаимодействия различных частей почтовой системы

СПАМ –. Методы борьбы 4.4.14.6 SPAM.doc (интересную инфу о спаме см. в этом файле)

Фильтрация, стат. анализ, "черные" списки, блокировка доменов, аппаратные ср-ва, юридические меры

Профессионалы могут попытаться с помощью специального запроса проверить, какой тип операционной системы установлен на машине-отправителе. Если это, например, Windows-ХР, вероятно, эта мошина входит в состав botnet и участвует в рассылке спам.

Можно попытаться создать отправителю почтовых сообщений нештатную ситуацию, например, послв отклик 451 (временная недоступность) Please try again later. Нормальный почтовый сервер прервется и обязательно повторит попытку позднее. Сервер рассылки SPAM обычно этого не делает.

Вообще тщательный контроль следованию SMTP-протоколу может быть указанием на добротность почтового сервера. Например, при установлении соединения получатель должен послать отклик 200 mail.example.com ESMTP Service ready. Машина-отправитель должна подождать этого отклика и не должна ничего посылать до этого. Если SPAM-фильтр задержит этот отклик, а отправитель начнет посылку сообщения, не дожидаясь отклика, получатель может решить, перед ним типичный спамер.

Распознать спам-сообщение можно и после его получения. Например, если для большого числа клиентов сети с одного и того же адреса пришли идентичные или почти идентичные сообщения, это может считаться признаком SPAM. Кроме того, отправитель спам-сообщения должен предоставит адресату какую-то контактную информацию (номер телефона, почтовый адрес или URL). Нужно свериться с репутационной базой данных и проверить, нет ли там этих координат. Иногда спамеры оформляют свои сообщения как ответ на запрос клиента локальной сети. Можно проверить, был ли такой запрос и, если такого запроса не было, пометить такое сообщение как SPAM.

Часто спамеры вводят в текст сообщений некоторые символы или слова, чтобы сообщения, направленные разным адресатам отличались. Таким образом они надеются обойти входной спам-фильтр. Но так как эти символы/слова вводит программа, они повторяются и сами могут стать признаками SPAM, которые сможет использовать фильтр.

Продвинутые фильтры используют статистический анализ сообщений (частота использования определенных слов и т.д.). Конечно, это не может дать 100%-ного распознавания, но в сочетании с другими критериями и методами может поднять эффективность фильтрации.

Спамеры используют множество разнообразных приемов, чтобы SPAM-фильтры их не распознали. Это и замена обычного или HTML-текста рисунком, размещение SPAM-сообщения внутри произвольного изменяемого текста, напечатанного супермелкими буквами и т.д. и т.д.

Некоторые методы фильтрации SPAM используют специальные "черные" списки машин, вовлеченных в такую рассылку. В такой список может попасть и машина, владелец которой об этом может и не подозревать (просто его ЭВМ была взломана ранее). Хозяин такой машины может столкнуться с проблемой недоставки своих сообщений (некоторые почтовые серверы будут считать их спамом). Если такая машина была ранее использована хакером для попыток взлома других машин, ее IP-адрес может быть включен в ACL или репутационный список. В этом случае доставка может блокироваться маршрутизатором или сетевым шлюзом. Так что пользователям имеет смысл следить за состоянием своей машины (например, использовать встроенный Firewall, который может детектировать попытки несанкционированного выхода машины в Интернет), иначе не избежать побочных неприятных эффектов. Обычно SPAM-фильтры производят оценку вероятности того, что конкретное сообщение является спамом по совокупности параметров.

В последнее время фильтрацией SPAM начали заниматься сервис-провайдеры, предоставляя этот вид услуг как SaaS.

Следует, впрочем, понимать, что спамеры внимательно изучают принципы построения SPAM-фильтров и предпринимают контрмеры. Botnet с числом машин 600.000 позволяет рассылать до 40 миллиардов SPAM-сообщений в сутки. Пока наиболее эффективным средством борьбы со SPAM является блокировка доменов, участвующих в рассылке таких сообщений. 80% всего объема SPAM приходится на эти десять botnet. Эти сети посылают до 135 миллиардов SPAM-сообщений в день.

В последнее время появилось достаточное число коммерческих и общедоступных программ фильтрации SPAM. Разработаны и поступили в продажу и аппаратные средства противодействия, которые среди прочего существенно снижают загрузку локального DNS.

Учитывая доходность рассылки SPAM, вряд ли удастся победить это явление число аппаратно-программными способами. Здесь нужны юридические меры, которые сделают этот бизнес более рискованным. Рискованность должна перекрывать возможность получения дохода от нелегальной рассылки.