СПАМ и системи за защита от спам

Стефка Великова Маринова ф.н. 43217

Иглика Валентинова Мишева ф.н. 43175

- 0 -

Всички потребители на Internet навярно някога в своя живот са се сблъсквали с понятие като СПАМ. То може да се определи не само като “нежелана поща”, но и като генериране на никому ненужен трафик. Любопитно е от къде произлиза думичката "spam" . За първи път подобен термин се е появил преди години в скеч на Monty Python (група актьори от Великобритания), когато викинги нападнали някаква гостилница, чието меню се състояло единствено от "spam" (Spiced Pork and hAM), и келнерът започнал ентусиазирано да обяснява: "имаме спам, спам и яйца, яйца и спам, спам-спам и яйца, спам спам и спам...” и нищо не можело да се яде поотделно без спам.

Има няколко вида спам, според това каква услуга е решил да използва спамера, като всеки вид създава различни проблеми на потребителите на Интернет или просто на локалната мрежа. Услугите използвани от спамерите са mail, Usenet, IRC даже и FTP .

Общоизвестно е, че протокола FTP осигурява предаването на двоични и текстови файлове от и на FTP-сървъри. FTP-сървър може да бъде както компютър с Unix (Linux), така и компютър под Windows NT, на който работи FTP-сървър. Няма се предвид взлом на FTP-сървъри и всичко по-долу казано е в следствие на работа на възможностите на протокола FTP за предаване на файлове непряко между сървъри. Давайки на анонмни потребители на сървъра правото за запис ние правим своя сървър потенциално уязвим. В такава ситуация е напълно възможно някакъв шегаджия от мрежата да генерира значителен трафик от някакъв достатъчно мощен сървър към нашия злочест FTP-сървър. Това е напълно възможно, ако не сте ограничили трафика си. За за разберем как става всичко това на практика е необходимо от близо да разгледаме работат на FTP протокола.

Когато клиент FTP се свързва с FTP-сървър се създава така наречената управляема връзка. Клиентът отправя команда към сървъра чрез управляемата връзка, а сървърът връща отговора по същата. Когато потребителят забрани препращането на файла се открива оделна връзка с предаването на данни и по нея се изпраща файла. Обикновено сървърът използва порт 21 за управляемата връзка и порт 20 за връзката за препращане на данни. При открити връзки за препращане на файлове, клиента изпраща команда PORT, която идентифицира неговия IP-адрес (4 байта) и новия порт (2 байта), за да се използват тези значения при препращането на данни. Байтовете се преобразуват в десетичен формат и се разделят със зъпетаи. Например IP-адрес 128.36.4.22 ще бъде записан като 128,36,4,22, а порт 2613 - като 10,53.

-->PORT 128,36,4,22,10,53 200 PORT command successful

- 1 - Сървърът открива връзка по указания адрес socket. Сценарият за връзката е такъв: 1. Локалният клиент получава новия порт и използва управляващата връзка за да съобщи на съвръра FTP номера на своя порт. 2. FTP-сървърът се свързва с новия порт на клиента. 3. Данните се предават. 4. Съединението се закрива.

Може да се използва и друг сценарий. Ако клиентът изпраща PASV, сървърът връща номера на порта и преминава към прослушване на установените връзки за данни от клиента. По-рано, по-често се е използвала командата PORT. Сега клиентът може да изпраща команда PASV за препращане на файлове през проста система на защита (firewall). От казаното по-горе става ясно, че ако се създаде връзка с един сървър в пасивен режим, а с друг сървър в активен, при това предавайки към втория сървър, при открито съединени за препращане на данни, вместо IP-адреса и порта FTP- клиента връща на първия сървър IP-адреса и порта за инициализирана връзка с клиента, образува се пряка връзка за предаване на данни между FTP-сървърите.

Първи FTP-сървър: -->PASV 227 Entering Passive (x,x,x,x,7,254) Втори FTP-сървър: --> PORT x,x,x,x,7,254 200 PORT Command successful

FTP-протоколът започва своята работа по генериране на "съвършено ненужният" за получателя трафик и може да се каже, че всичко отива към спам.

Необходимо е да се добави, че за работата на по-горе казаното, FTP- сървърите трябва да могат да работят в пасивен режим, а също да не проверяват съответствието на IP-адреса на FTP-клиента, иницииращ връзка с IP-адреса, фактически предаваем в командния ред. Ако първото условие се изпълнява практически повсеместно, то второто е проблематично. С две думи: "който търси - намира" .

Услугата Usenet предлага механизъм за общуване чрез групи за дискусия, в които може да участва всеки потребител на интернет. За Usenet може да се мисли като организирана електронна поща, с тази разлика, че няма конкретен потребител, на който да се изпраща пощата. Подготвените съобщения или статии се изпращат на дадена група за новини (newsgroup). Спама по Usenet е съобщение изпратено до 20 или повече newsgroup-и, тъй като в повечето случаи съобщение изпратено до толкова много групи няма никакво касателство до повечето от тях. Usenet спам се цели в “криещите се” хора, които четат newsgroup-ите, но рядко или никога не публикуват (post-ват) и не закриват адреса си. Кара ги да спрат да употребяват тази услуга като ги задръства с реклама или неуместни поствания. Още – повече, Usenet

- 2 - спам затруднява работата на системните администратори с темите, които поддържат.

На 12 Април 1994 година, над 10000 отделни копия от едно досадно рекламно съобщение политaт към хилядите нюзгрупи на Usenet. Млада юридическа фирма, желаеща да посредничи в US лотарията за Зелени Карти, праща своето рекламно съобщение в почти всички известни немодерирани конференции в грубо нарушение на каквито и да е локални правила за дискусия. Нещо повече, може да се каже, че съобщението има измамнически характер, защото участието в лотарията Зелени Карти е свободно и не се изискват никакви такси.

Реакцията е мигновена и много по-ужасна от очакваната. Липсата на crossposting (CrossPosting е практиката да се задава един и същи въпрос на повече от едно място по едно и също време.) налага необходимостта да се почистват всеки път 10000 отделни съобщения, но главната, истинска неприятност са оплакванията от потребителите. Близо една седмица почти всички newsserver-и по света са задръстени от веригите съобщения на недоволните. Някои експерти поставят оценка над 50 мегабайта среден трафик в рамките на всеки отделен newsserver. Напомняме, че през 1994 година 100 мегабайта са били типичният капацитет на дисковото пространство на домашен компютър!

Белята е сторена, само за няколко месеца немодерираните нюзгрупи са заляти с подражание на първоначалното съобщение от множество различни автори, като всяко следващо е на все по-ниско (или низко) ниво. Приблизително по същото време започва да циркулира и електронният вариант на make-money-fast съобщенията и друг вид боклук, за който жителите на Интернет използват общото наименование спам.

През 1996 година желаещите "бърза печалба" измислят нова техника -- junk mail- овете. В подобни съобщения се рекламира какво ли не -- финансови пирамиди, еротични телефони, долнокачествен софтуер, "free stuff", "сайтове за възрастни - ако случайно сте под осемнадесет години, много ви моля да не четете това съобщение".

Мail e една от първите услуги в интернет В днешно време съвсем сериозно може да се твърди, че наличието на достъп до електронната поща е услуга, конкурентна на телефонните услуги. В голяма част от случаите, най-вече в университетските среди поради финансови съображения, електронната поща е предпочитана пред телефона за обмен на информация на големи разстояния. Освен това времето за получаване е доста добро – не повече от час до която и да е точка на света, а в рамките на една държава за десетина секунди. Има и още една причина това да е най-използваната услуга – освен че тя е най-достъпна за възприемане и обяснение, тя позволява обмен на различна по вид и тип информация. Потребителят може да изпраща, получава, архивира и класифицира или препраща документи от всякакъв тип до даден адрес в интернет. За целта са

- 3 - създадени подходящи портоколи и механизъм за маршрутизация на съобщенията от подателя до пощенската кутия на получателя. За мрежа, чийто базов портокол е TCP/IP, независимо дали става дума за Internet или Intranet схемата е една и съща. За изпращане на едно съобщение от локална машина се използва порткола SMTP (Simple Mail Transfer Protocol) с помощта на инсталираното Mail приложение (Mail клиент). Пътят на съобщението минава през SMTP сървър и от там по същия протокол в глобалната мрежа. Пристигащите съобщения се приемат от POP (Post Office Protocol) сървър, където е разкрита пощенската кутия за съответния кореспондент. Достъп до пристигащите съобщения осъществява съответното Mail приложение от локалната машина на кореспондента чрез извличането им от POP сървъра.

Но в началото е имало един основен проблем. И двата хоста е трябвало да са онлайн, за да разменят поща. За да се направи това има повече от един начин:

Host to Host връзка: Email-а се изпраща директно от host до host. Двата хоста трябва да са пуснали SMTP програма. Това означава, че двата хоста трябва да са пуснали сървър програма да изпраща и получава Email-и.

Клиент Клиент

Sendmail връзка: Осъществява се директно от хоста на изпращача до сървъра на получателя. За да се изпраща директно (без Mailserver), в Sendmail има интегрирана програма. Sendmail е много мощна програма, но конфигурирането й не е много трудно.

Клиент Сървър Клиент

Нормалния случай: Изпраща се от вашия хост до Mail-сървър и от там до mail-сървъръ на получатиля. От този сървър – до хоста на получателя.

- 4 -

Клиент Сървър Сървър Клиент

Relay: В началото, много сървъри са били онлайн само през нощта за няколко часа. И пращането и получаването на е-mail не винаги е било лесно. Решението е да се използва трети сървър, който през цялото време да е "online". Този сървър също е и backup сървър. И оттогава вече не е толкова важно да си в точното време онлайн за да вземеш еmail-а. Целият трафик преминава през третия сървър. Това се нарича Relay.

Клиент Сървър (Relay) Клиент Сървър

Обикновено за да се използва Relay е нужна аутентикация. Не би трябвало всеки да има възможност да изпраща поща от своя име през Mailserver. За съжаление някои Mailserver-и са конфигурирани като “open relay”, което означава, че всеки може да изпраща поща през него – даже без потребителско име и парола. И тъкмо това обстоятелство удовлетворява нуждите на спамера. Той праща спам-пощата до “open relay” сървъра като използва фалшиво име и e-mail адрес. За получателя изглежда сякаш изпращача има mail акаунт на сървъра. Ако не използвате пълния e-mail адрес, някои “relay” сървъри автоматично го допълват. (примерно ако адреса е просто “Q” сървъра го допълва до “Q@open_relay”).

Обикновено всеки сървър добавя свои собствени хедъри на “received” и ”send to”, но някои просто ги презаписват. Така не може да се разбере от къде е минало писмото преди това и от къде е било изпратено и ако се опитаме да отговорим, най- вероятно ще получим съобщение че няма такъв потребител на този сървър. Този метод работи отлично с Hotmail.

- 5 - Един от проблемите със спам и причината да има толкова от него е, че е много лесен за създаване. Даже и вие самите лесно можете да станете спамери. Да кажем, че имате рецептата на баба си за приготвяне на най-хубавите кифлички с боровинки, които някога сте яли. Приятел ви предлага да продаде рецептата за 10лв. Вие решавате че приятелят ви може да е открил златна мина и изпращате рецептата на 100-те души от вашата mail-листа като темата е: “Тези боровинкови кифлички са самото съвършенство – може да имате рецептата за 10лв”. В е-mail-а има връзка към вашия уебсайт на боровинковите кифлички. Като резултат от 100- те изпратени еmail-а вие получавате 2 поръчки и прибирате 20лв. “Уау” - си мислите вие- “нищо не ми струваше да изпратя онези 100 еmail-а и спечелих 20лв. Какво ли ще стане ако изпратя 1000 еmail-а, може да спечеля 200лв, ами ако изпратя 1 000 000 – печалбата нараства на 200 000лв. Само се чудя от къде да взема тези 1 000 000 адреса..... ”

На помощ идват ред компании, основани да пращат т.нар. “bulk e-mail”. Най- големите от тях са способни да изпратят милиарди спам email-а на ден. Разбира се сървърите на тези компании се намират в страни, където няма закон за спам. И победителят е... Китай – от там са регистрирани най-много спам mail-а. Един от петте най-големи спамери на света е Чарли Браун, по-известен като Алан Ралски (Alan Ralsky). Компютрите в сутерена му контролират 190 e-mail сървъра в Саутфилд, Далас, Канада, Китай, Русия и Индия. Той твърди, че всеки компютър е способен да изпрати 650 000 съобщения на всеки час – това прави повече от милиард писма на ден, маршрутизирани през чуждестранни компании, които според Ралски са нетърпеливи да си предлагат услугите.

Както се оказва, има хиляди компании, които ще ви продадат CD пълно с милиони валидни e-mail адреси. С MS Word примерно можете лесно да обработите тези адреси в редове от по 100 адреса всеки и после copy и paste в полето “To:” на всяка нормална e-mail програма. Всеки път, когато натискате бутона “Send”, което може да е веднъж на вски 5 секунди, може да печелите пари. Това е големия проблем със спама – много е лесно да се направи. И ако не вземете предвид че създавате ненужен трафик на милиони хора, нищо не ви пречи през целия ден да пращате email-и за кифличките на баба си.

Но как се сдобиват с адреса ни?

Всъщност не е толкова трудно. Затова и "ловът" на адреси достига невероятни мащаби. • Спамерите налучкват новa възможност -- вече newsgroup-ите се използват единствено за "лов" на email адреси, а съобщенията с реклама се пращат директно. • На сървъри се въртят spider програми, които обхождат хаотично web страниците и търсят за символа "@", в съмнителни IRC канали се предлагат изгодни "сделки", като цените понякога са достигали до няколко цента за

- 6 - адрес . Има практика, при която увеличаването на посещаемостта на някои сайт се постига чрез наемането на собствени спамери -- за всеки се отваря по една входна страница, броят се посещенията и се заплаща на click. • Интересен метод за лов на адреси са mass mail-и от типа на този: адресиран от "Американската Асоциация за Борба с Рака", която щяла да получи по три цента за всеки изпратен e-mail адрес, заради едно малко и срадащо момиченце на име Джесика ("моля, разпространете това съобщение наоколо"). Или пък "Ако това съобщение е достигнало до вас заради грешка, моля ПРОСТО отговорете с REMOVE в полето subject!" За съжаление, даже подобни абсолютно нелогични и нелепи лъжи често имат ефект. Обикновено подобни отговори имат точно обратния ефект - спамерът се убеждава, че адресът е активен и продължава да го разменя или продава. Това са така наречените "черни листи", излизането от тях понякога е едно единствено -- да си смените пощенската кутия. • Друг начин са сайтове, специално направени да привличат e-mail адреси. Например, някои създава сайт, на който пише “Спечелете 1 милион долара!!! Просто напишете вашия e-mail адрес тук!”. Имало е случаи, когато големи сайтове продават адресите на своите членове. Или пък други сайтове, в които е отбелязана опцията за “Искате ли да получавате новини от нашите партньори?” Разбира се хората са се погрижили тази опция да е добре скрита - някъде в дъното на страницата, с дребен шрифт... Ако отговорите “да”, т.е. не сте махнали опцията, то вашия e-mail вече е продаден на спамер. • Всъщност май най-разпространения начин за събиране на e-mail адреси е “речниковото” търсене в e-mail сървъри на големи e-mail хостингови компании като MSN, AOL или Hotmail. Речниковата атака използва софтуер, който отваря връзка с някой mail сървър и бързо пуска милиони e-mail адреси. Много от тези адреси имат съвем малки разлики, като "[email protected]" and “[email protected]”. След това програмата записва кои адреси за “живи” и ги добавя в спам-листите. Тези листи обикновено са препродавани на много други спамери.

Обикновено e-mail адресите не са тайна, т.е. всеки може да се добере до тях, също както всеки може да се добере до телефонният ви номер, ако е записан в някой телефонен указател. Веднъж спамерът добере ли се до адреса ви, много е вероятно да не се отървете скоро от спам.

Спам филтри

Справянето със спама, като цяло, е много трудна задача. Това е истина, защото спамерите имат широк набор от инструменти и обстоятелства под ръка , което ги улеснява да изпращат mail-и, но затруднява осъществяването на обратна връзка с тях или предявяването на някакви права. Със спама е трудно да се справиш, тъй като той почти винаги идва маскиран като съвсем нормално e-mail съобщение. Никаква технология не може автоматично да определи кое съдържание е нежелано,

- 7 - но има много начини да се използва технологията да редуцира обема на нежеланите email-и, които вие или вашите потребители получавате.

Спиране на спама

Най-добрата технология, понастоящем достъпна, е софтуера за филтриране на спам. Най-обикновените филтри изполват думи като "sex,", "xxx," "viagra," и т.н., в subject полето опитвайки се да идентифицират и изтрият спама. Тези обикновени филтри са лесни за заобикаляне, като например спелуваме "sex" така "s-e-x.". Има разбира се, хиляди начини да спелуваш “sex”, ако искаш да добавиш допълнителни символи, и се оказва трудно за обикновения филтър да се справи в този случай. Освен това, обикновените филтри е по-вероятно да блокират “истински” e-mail, който искате да получите. Например, ако ваша приятелка ви е пратила любимата си рецепта за печени пилешки гърди, то филтъра ще блокира писмото заради присъствието на думата “гърди”.

По-напредналите филтри, познати като евристични (heuristic) и Bayesian филтри, опитват да вземат това просто приближение малко по-надалече и статискически да идентифицират спама, базиран на шаблони от думи или честота на срещане на дума. Но пак има начини да се заобиколят и тези филтри.

Големите ISP (интернет доставчици) опитват да блокират множество email-и, които имат еднакви заглавия или текстове. Това обаче има нежелания ефект, че се блокират email новините, така че ИД направиха “бели списъци”, за да идентифицират легитимните изпращачи на новини. Това спамерите преодоляват като вмъкват различни случайни символи във всеки ред от заглавието и от текста на съобщението.

Има няколко организации, които публикуват списъци със IP адреси, използвани от спамерите. Веднъж уловен спам от някой IP адрес, този адрес се добавя в списък (Spamhaus.org е една от многото организации поддържащи подобни списъци). Компаниите, които предлагат e-mail акаунти могат да поглеждат за IP адреса на изпращача на всеки e-mail и да филтрират онези които са в списъка на Spamhaus.org.

Спамерите стават и по-агресивни. Например, счита се че скорошни вируси като SoBig.F са пращани специално, за да съберат “зомби машини” за спамерите. Зомби машините са всъщност лични компютри, притежавани от нищо неподозиращи частни лица, които са се заразили със вируса SoBig. Вируса отваря тяхната машина за спамерите, които пращат спам email-и. през нея. Тъй като IP адресите на тези машини са нови, те не присъстват в черните списъци с IP адреси и милиони спам email-и могат да бъдат пратени през тях, преди да бъдат добавени в черния списък. Зомби машините също се използват за denial of service атаки на места като Spamhaus.org.

- 8 - Какво е спам филтър? Спам филтърът е програма, която е web базирана, сървър базирана или локално инсталирана и предотвратява спам e-mail да бъде свален на вашият компютър. Спам филтъра работи върху база наречена правила. Програмата за борба със спама проучва вашата входяща поща и я сравнява със множество от дефинирани правила. Ако mail-а не съответства на тези правила, тогава той се: A. Изтрива B. Изолира за преглеждане наново

Повечето от днешните e-mail приложения пристигат със базов спам филтър, който ви позволява да блокирате поща от специфични e-mail адреси. Някой по-усложнен e-mail софтуер ви позволява да конфигурирате правила които се отнасят само до този софтуер.

Голяма част от спам филтрите, които са в момента на пазара се налага да бъдат инсталирани на твърдия ви диск. Има раздвижване в посока спам филтри, които вършат всичката работа онлайн преди дори да достигне компютъра ви. Засега 90% от спам филтриращия софтуер трябва да се инталира на вашия компютър.

Пример за онлайн спам филтър

Spam Arrest предлага умно решениеи посредством което, за mail от неизвестен изпращач се изпраща "challenge request" (покана за отговор), на която е необходимо да се отговори. Автоматизирания софтуер използван от 99% от спамерите не може да се справи с този “challenge request” така че ненужният e-mail остава на mail сървъра. Веднъж проверен и одобрен e-mail адрес от Spam Arrest, вече няма нужда повече да се ауторизира със Spam Arrest – умно нали?

Пример за сървър базиран спам филтър

Сървър базирания спам филтър е проектиран да проучва e-mail пратен до вашия интернет доставчик или локална мрежа и да филтрира ефективно преди email-а да ви се достави. Когато това работи, то работи наистина добре, а когато не работи, много истинска поща бива изтрита. Сървър базираните спам филтри, както тяхното име загатва, се съдържат в e-mail сървъри на компютърни мрежи. Пример за сървър-базиран спам филтър е iHate Spam Server.

Пример за РС базиран спам филтър

Mailwasher Pro е едно от най-популярните РС базирани спам решения по днешните пазари. Софтуера на Mailwasher Pro се инсталира на вашия хард диск. Всеки път когато проверявате e-mail-a си пускате Mailwasher Pro и той ви позволява да прегледате всички email-и и изтриете каквото е необходимо преди да свалите остатъка от вашата поща. Една от най-хубавите характеристики на Mailwasher Pro е, че ви позволява да изпратите отговор на спамера, което наподобява "mailer

- 9 - daemon" съобщение за грешка. Когато спамера получи своето съобщение от вас, той допуска че вашият e-mail вече не съществува. Просто, но ефективно.

Да обобщим, спам филтъра е програма, приложение или услуга, която предотвратява поща-боклук да бъде свалена на вашето РС или изпратена на вашия мейл акаунт. Софтуера на спам филтъра може да се разположи онлайн на mail сървър или може да бъде инсталиран на вашия компютър. Желания краен резултат е винаги същия – по-малко спам на вашето РС.

Повече и все повече софтуерни разработчици намират начини да се борят със спама. Продуктите за борба със спама имат много имена. Могат да бъдат наричани спам филтри или “spam-blockers” (които блокират спама). Други ги наричат е-mail филтри или дори спам убийци, но тяхната цел си остава същата – да елиминират спама от вашия компютър завинаги.

Има достъпни много различни типове спам филтри. Някои spam-blockers работят само със специфични видове компютри и операционни системи докато други ще работят за вас, дори и да не притежавате РС. Има спам филтри за домашни компютри ,а има и спам филтри проектирани за големи компании и интернет доставчици.

Как работи спам филтъра? Използвайки сложни алгоритми, спам филтъра сканира e-mail съобщения за ключови фрази и характеристики, които са били идентифицирани като “спам- определящи”. За всяка фраза и характиристика разпозната от филтъра, на e-mail съобщението се дава точка. След като съобщението е напълно анализирано, точките се сумират в крайно число. Това число определя какво се случва със съобщението по-нататък.

Спам филтъра има много мощни свойства и осигурява невероятен контрол относно това как да се справя със спама във вашия e-mail акаунт. Можете да включвате и изключвате филтъра. Ако го изключите, всякакви email-и, изпратени до вас ще бъдат доставени във входящата ви кутия.

Защо някой би изключил филтъра? Някои фирми предпочитат да имат акаунт, който е изцяло отворен... така че, да не рискуват да изгубят някое важно съобщение. Някои пък решават да изключат временно филтъра, ако друг опитващ се да им прати съобщение не успява заради него.

Настройте филтриращата система. Спам филтрите работят по точкова система. Всички входящи съобщения се анализират, за да бъде определено доколко съобщението е спам. За всеки тест на

- 10 - който съобщението “се провали” , му се дава точка. Накрая точките са сумират и според тях са установени две нива на контрол:

1. Първото ниво определя броя точки необходими да се маркира съобщение като спам. Добре е, това ниво да не е под 5 точки. 2. Второто ниво определя броя точки необходими да се изтрие съобщение. Ако съобщението бъде изтрито, вие изобщо няма да го видите. Точките за това ниво е добре да не са под 7.

Как да се отнесем към маркираните съобщения След като съобщенията са филтрирани и са им прибавени “спам точки” може да кажете на спам филтъра какво да прави със маркираните съобщения. Има два основни избора:

1. Първата възможност (която е и препоръчваната) е да преместите всички съобщения, маркирани като спам в специална папка. Ако изберете тази опция, никога няма да видите маркирани като спам съобщиния в пощенската си кутия.

2. Втората възможност е да оставите всички съобщения, маркирани като спам във вашата кутия. Когато проверявате пощата си, тези съобщения също ще бъдат там. Обаче в реда за тема на писмото ще е маркирано: ***** SPAM *****.

Бели списъци, и черни списъци

• Белия списък е просто списък с e-mail адреси, от които искате винаги да можете да получавате email-и. Ако e-mail съобщение от адрес в този списък пристигне, спам филтъра ще го достави. Вашия бял списък може да включва адреси на: o Приятели и членове на семейството o Пощенски списък за който сте абониран o Бизнес контакти.

• Черния списък е противоположен на белия списък. Това е списък от email адреси, от които не бихте желали да получите email никога. Ако пристигне email съобщение от адрес от този списък, Spam Filter ще го изтрие веднага. Вашия черен списък може да включва адреси на: o Изпращачи на junk mail o Търговски обяви o Хора, които искате да игнорирате

- 11 - Клиентски черни списъци Друга анти-спам характеристика включена в Norman Spam Control, е възможността за администраторите да създават техен собствен списък от нежелани домейни и e- mail адреси, от които не искат да получават поща.

Автоматично управляване на белия списък Norman Spam Control включва също инструмент за автоматично управляване на белия списък. Тази характеристика премахва необходимостта администраторите ръчно да добавят адреси в белия списък, защото например всички бизнес партньори се добавят автоматично. По този начин, техния mail се пропуска от спам филтъра.

DNS Черни списъци Измежду най-популярните и общоприети инструменти за борба със спама са DNS черните списъци, които помагат на mail сървъра да отхвърли SMTP сесии от хостове които са известни като изпращащи или препращащи спам. Най-известните DNS черни списъци се поддържат от MAPS (Mail Abuse Protection System – Система за защита срещу злоупотреба с пощата), компания, чиято цел е да се бори със спама. Друг поддържащ черен списък е ORBS (Open Relay Behaviour- modification System).

Mail сървъра проверявя IP адрес в DNS черния списък опитвайки се да разгадае специално конструираните измамни хост имена. В някои случаи адреса до който е сведено името е специално пазена стойност, която осигурява допълнителна информация относно защо хоста е в списъка. ORBS, например, връща 127.0.0.2, ако хоста е в черния списък по причина – тест за препращане. Връща 127.0.0.3 , ако хоста е включен в базата данни ръчно, 127.0.0.4 ако хоста не е могъл да бъде тестван, и 127.0.0.5 ако адреса е в блок от IP адреси, контролирани от някой известен спамер.

Два препоръчвани DNS черни списъка са поддържаните от Norman Spam Control на адрес www.ordb.org и www.spamhaus.org. Осъществявайки достъп до тези списъци, системните администратори могат да изберат да приемат или отхвърлят размяна на поща със сървъри на тези адреси.

SpamHaus блокиращия списък (SBL) е безплатна DNS-основана база данни от IP адреси на потвърдени спамери и спам услуги. Използва се от интернет доставчиците и корпоративни мрежи по света. SBL към момента защитава около 100 милиона mail-кутии от постоянни спам източници.

Има много конкурентни черни списъци. Въпреки това, всички те разчитат на блокирането на mail от обвинени или потвърдени спамери, обръщайки внимание на критерия за доказване и дефинициите за спам.

- 12 - Филтриращи комбинации основани на съдържание и изпращач

Съществуват много опции за усещане и филтриране на спам. Много от опциите изискват детайлно техническо познаване или готовност да се прекара много време за доуправяне на употребените методи, така че, те остават текущи за познатите спам стратегии, достъпни черни списъци и т.н.

Същетвуват няколко опции които се опитват да комбинират и балансират всички тези методи, и премахват техническите сложнотии, които често се явяват бариера – спирачка за потребителите.

• SpamAssassin, използва широка област от евристични тестове върху mail заглавията и текста , за да идентифицира спама. Веднъж идентифициран, mail-а може избираемо да бъде маркиран като спам за по-късно филтриране, използвайки собственото МUA . • SpamBouncer, обширно множество от предписания (recipe) за procmail, проектирано за procmail потребители. За да използвате SpamBouncer, следвайте инструкциите придружаващи софтуера. След като SpamBouncer е инсталиран, можете да променяте списъка на добрите и лошите изпращачи, за да пасва на вашия вкус.

Анти-спам софтуер

Има разнообразни начини да се спре спама. За съжаление няма нито един перфектен спам-убиец (spam killer) или филтриращ инструмент който да ни осигури защита от спам. Станало е като игра на котка и мишка за спамерите (spammers) и останалата част от нас. Някои предпочитат server-side email филтри, които хващат спама преди той да достигне вашата пощенска кутия. Единствения спорен въпрос относно тези спам прегради (spam blockers) е, че самите вие (като отделен човек) не можете да ги настройвате и обикновено не може да видите дали спам преградата спира и email-и, които не са спам. Задължение на вашия инернет доставчик или мрежов администратор е да уреди този въпрос. Втори вариант е да имате софтуеър, който да се изпълнява на вашия домашен компютър и да помага с филтриранането на спама. По този начин можете да се уверите че филтъра блокира истинския спам и не важните email-и. Недостатък е че все още трябва да се свали цялата поща. Трети вариант е да се използва third-party системa която си служи с challange система. В основни линии, всеки път когато някой ви прати mail, той трябва да отиде на специален website (web страница) и да потвърди че ви познава. Това е чудесен начина да се спрат спамерите. Можете също да го нагласите да позволява на всички от address book-a (книгата с адреси) да ви праща email.

- 13 - Spam Arrest Лесно е да се започне с него.Няма софтуер за инсталиране и услугата започва да работи за вас незабавно. Spam Arrest работи с какъв да е POP3 mail server (почти всички ISP поддържат такъв). Поддръжка за MSN, Hotmail, и AOL ще има скоро. Как работи той: Spam Arrest се свързва с вашия сървър (server) на всеки две минути, премествайки вашите нови email-и на Spam Arrest сървъра. Новите email-и се обработват от Spam Arrest системата. Съобщения от потвърдили (verified) изпращачи и mailing list-и се препращат към inbox-а на Spam Arrest. Съобщения от непотвърдили (unverified) изпращачи остават задържани, в очакване на потвърждение (verification). След потвърждение, съобщението се доставя до вашия Spam Arrest inbox. Непотвърдено писмо можете да прегледате на website-а по всяко време.Проверявате си email-а на Spam Arrest inbox. Няма спам!

SpamWeed Anti-Spam Filter Този anti spam филтър заимства статистическа филтрираща технология и изчистени алгоритми. Неговия вграден филтър механизъм блокира спама и изолира вирусите преди те да се доберат до потребителския inbox. Само-обучаващата се способност подсигурява че неговата база знания е винаги up-to-date (осъвременена) без значение как се променя спама. SpamWeed поддържа всички POP3 email клиенти. Осигурява whitelist и дава рапорт за полечения junk mail за някакъв период от време. Изолираните съобщения могат също да бъдат възстановени ако е необходимо.

Spam Inspector - Anti Spam Filter за Outlook Express Тази програма спира нежеланите email-и от влизане във вашата Outlook Express кутия. Той се конфигурира автоматично след като се инсталира и ви позволява да управлявате всички ваши identities заедно или независимо. Той също се update-ва всеки път когато се стартира. Можете да създадете block-list-и (за блокиране на всичко идващо от добавени в този списък) и safe-listи за максимална защита от нежелани комерсиални email-и и subscription (абонаментни списъци) list-и. Тази програма осигурява също множество изолиращи действия като триене на mail, поставяне на флагове на mail-ите и преместване на mail в специална папка.

CoffeeCup Spam Blocker 3.0 Към CoffeeCup Software са включени Phone и Live Chat support, и Безплатни Upgrades до живот. С повече от 8,000,000 потребители в 79 страни по целия свят, CoffeeCup е от най-сваляния (downloaded) software в Internet. Те имат също над 20 други software-ни програми за създаване на website-ове и много други. CoffeeCup предлага също Web hosting и Search Engine Submission (предоставяне на машини за търсене). CoffeeCup има всичко за всеки. Ето някои от чудесните й възможности: • Спира 98% от нежеланата поща (веднага след инсталиране!!) • Спира вирусите преди те да стигнат вашия inbox • Изпраща 'Bounce Back' съобщение до спамерите • Създава филтри чрез ваши думи за спиране на лоша поща • Проверява Email-ите с много получатели

- 14 - • Блокира дадена страна от която ви се пращат писма • Има черен списък (Blacklist) на e-mail адреси и пълни завършени домейни • Създава Приятелски Email списъци за предпазване на желаната поща • Чете mail –и написани и двата вида текст TEXT и HTML

iHateSpam Този инструмент филтрира спама работейки вътре във вашата e-mail програма. Няма отделна програма която да се стартира и не е нужна техническа информация за да се настрои. Версии на Outlook Express и Outlook versions са подходящи да работят с нея.

Spam Crusher – ето някои негови характеристики:

• Конфигуриране колко често Spam Crusher проверява за email • Лесно добавяне на нови приятели директно от Trash Can • Добавяне на нови филтри от Inbox • Автоматично стартиране на Spam Crusher когато Windows стартира • Нагласяване на “mail в кутията” и “спам филтриран” звуци за всеки акаунт • Включване и изключване на звуци за акаунтите • Насочване на вашата mail програма да получава вашите mail-и • Преглеждане на еmail-а директно от Вход ната кутия на Spam Crusher • Изключване звука на ВСИЧКИ акаунти • Преглеждане на някой mail директно от Trash Can • Нагласяване Spam Crusher да трие стария спам на всеки няколко дни • Трие някои или всички филтрирани mail-и незабавно • Проверява Всички акаунти на момента! • Филтрите са защитени със пароли от достъп от деца • Може да спира действието си за пауза • Live Update за автоматично обновяване с най-новата версия • Обновяване на филтрите всеки 14 дни

Да се запознаем с SpamAssassin! SpamAssassin е mail филтър който се опитва да идентифицира спам използвайки текстов анализ и няколко интернет-базирани актуални черни списъци. Употребявайки своята база от правила, той използва широка област от евриистични тестове върху mail headers (заглавия) и текста на тялото за идентифициране на спам, също известен като нежелан комерсиален email. Веднъж идентифициран, mail-а може да бъде избираемо маркиран като спам за по- нататъшно филтриране като се използва MUA (mail user-agent) приложението на потребителя. SpamAssassin обикновено успешно прави разлика между спам и не-спам в около 95% и 99% от случаите, в зависимост какъв мейл си получил.

- 15 - Craig Hughes допринася със "spamd", демонизирана версия на SpamAssassin, която върви непроменимо. Използването на "spamc", олекотен С клиент, позволява на MTA (mail transfer agent) да обработва големи обеми от поща през SpamAssassin без да имаме fork/exec с perl интерпретатор за всеки един. За онези sites които са пуснали qmail като ваш MTA, директорията "qmail" съдържа два начина да интегрира spamc с вашата система. Ian R. Justman е допринесъл със "spamproxy", спам-филтриращ SMTP proxy Сървър. SpamAssassin е напълно преработен с ново, значително подобрено множество от правила, различен код модел и инсталация, и да се надяваме че ще бъде лесно да се адаптира за различни приложения.

Борба срещу спама със Sendmail, SpamAssassin, и Procmail за Red Hat Linux 9.0

Следващия текскт предполага, че вече сте инсталирали Red Hat Linux 9.0 и че сте избрали "Install Everything" (както би направил всеки обичащ Linux). Също допуска, че успешно сте конфигурирали Sendmail да доставя вашата поща локално. И също предполага, че не сте влезли като root и не сте пълен глупак.

Стъпка 1: Активирайте spamassassin услугата.

В конзолата напишете:

/sbin/services spamassassin start

за да активирате spamd, SpamAssassin демона (daemon). Използвайте gnome-config- services за да се подсигурите, че той ще се появи автоматично следващия път като рестартирате.

Не е строго необходимо да стартирате SpamAssassin като услуга; това се прави само за производителност. Една алтернатива е предложена в Стъпка 2

Стъпка 2: Конфигуриране глобалното поведение на Procmail.

Procmail е програма, която Sendmail използва да достави локалната пощаl mail. Тази опрерация е управлявана глобално от конфигурационния файл /etc/procmailrc and per-user by ~/.procmailrc. Ще разгледаме глобалното конфигуриране първо.

По подразбиране, няма /etc/procmailrc на прясно инсталирания Red Hat Linux 9.0. Има нужда да се създаде такъв. (Номерата на редовете не са част от файла, са за ориентиране)

1 # изпращане на поща през SpamAssassin 2 :0 fw

- 16 - 3 * < 256000 4 | /usr/bin/spamc -f

Ред 1 е, разбира се, коментар.

Ред 2, започвайки със двоеточие-нула, отбелязва началото на това, на което се казва "Procmail recipe." Recipe е условие, следвано от действие. За повече информация относно Procmail recipe, погледнете: man procmailrc. 'fw' дава знак на Procmail, че това recipe е филтър, което означава, че то може да модифицира оригиналното email съобщение.

Ред 3, започвайки със звездичка, е условие. То казва на Procmail, че това recipe се прилага само ако съобщението е по-малко от 256,000 байта като размер. Тъй като 99% от всичкия спам е по-малък от това, такова залагане е надеждно. Не искаме да забатачим нашата система карайки я да проверява съобщения които може би не са спам.

Ред 4 казва на Procmail да филтрира текстовите съобщения през SpamAssassin. С други думи, оригиналното съобщение се замества с изхода от действието на SpamAssassin. Ако SpamAssassin определи че съобщението е спам, subject (относно) реда ще бъде пренаписан с включен в него спам таг. (Други, по-малко видими промени ще бъдат направени на съобщението)

spamc е дубликат на spamd. Първият се пуска като клиент, докато вторият се пуска като сървър. Вярва се, че тази конфигурация е най-ефикасния начин да се стартира SpamAssassin в повечето случаи. Ако предпочитате да стартирате SpamAssassin в stand-alone вид, винаги можете да спрете spamd услугата като замените филтъра в реда на procmailrc със:

| /usr/bin/spamassassin

Но не е препоръчително.

Флагът '-f' в ред 4 инструктир spamc да върне оригиналното съобщение ако не може да се свърже със spamd. Пова подсигурява, че съобщението ще бъде доставено подразбиране ако не може да бъде сканирано за спам.

Стъпка 3: Конфигуриране поведението на per-user Procmail.

След стъпка 2, всички входящи email-и автоматично се проверяват за спам и им се слага флаг ако се предполага, че са такива. За много sendmail администратори това поведение е достатъчно. Ако все пак, искате да отхвърлите (bounce) спама със недружелюбно съобщение за грешка, нужна ви е стъпка 3.

Тази стъпка се препоръчва по две причини:

- 17 - 1. Съобщението за грешка ще накара някои спамери да премахнат email адреса на получателя от техния спам списък. Като резултат, те никога няма да ви спамват отново. Освен това, те може да премахнат email адреса на получателя преди да са продали списъка си на някой другe. Резултата от това ще е по-малко спам за повече време, освобождаване на ресурсите на системата ви. 2. Получателите на спам-маркиран email могат да придобият навика да трият маркиран спам без действително да го проверяват. Това означава че ако има фалшиво открит спам, получателят никога няма да го отвори и законния изпращач никога няма да се усъмни, че съобщението не е било получено. От друга страна ако отхвърлите съобщение изпращача ще получи известие и така ще може да предприеме някакво действие.

Ета как можете да нагласите Procmail. Това е файлът "~/.procmailrc":

1: MAILDIR=$HOME/mail 2: 3: :0 H 4: * ^X-Spam-Status:.*Yes 5: { 6: EXITCODE=67 7: :0: 8: spam 9: }

Ред 1 казва на Procmail къде държите вашите mail папки. В случая, те се пазят в директория "mail" в home директорията.

Ред 3 отбелязва старта на recipe-то. 'H' индикира че теста на ред 4 трябва да се направи само на заглавието на email-а, а не и на тялото, където е текста, евентуално. (Това е за ефективност.)

Ред 4, условие на recipe-то определя дали SpamAssassin е маркирал входящото събщение като спам. Това е регулярен израз, който търси за mail header "X-Spam- Status" с подстринг "Yes" някъде в значението на заглавието.

Редове 5 до 9 са действия. Скобите са необходими и маркират тяхното съдържание като "съставно действие" (понеже всяко recipe позволява само едно действие

Ред 6, който се изпълнява само когато спам е открит, казва на Procmail да завърши с код за грешка 67. Това показва на Sendmail че потребителя не съществува. И така Sendmail ще върне спама, създавайки илюзия на изпращача, че никога не е доставено.

В Procmail, съставните действия могат да съдържат допълнителни recipe. Ред 7 стартира едно такова "recipe гнездо". Двоеточието и нулата казват на Procmail да

- 18 - заключи файла за доставки преди да се достави съобщението. Това ще избегни проблеми, ако два спама пристигнат едновременно.

Ред 8 е действието за вътрешния recipe. Забележете,че в този recipe, няма условие (няма ред започващ със звездичка). Действието казва на Procmail да достави съобщението в папка наречена "spam" (която, според ред 1, е в ~/mail).

Сега вече, от гледна точка на изпращача, съобщението съобщението както изглежда е било отхвърлено. Въпреки че всъщност е било доставено, то се намира в папката за спам на потребителя, което е много по-добро място от кутията за съобщения. А може спам съобщенията да се записват в /dev/null, откъдето никакви данни не могат да се възстановят.

Ако не искате да филтрирате спам за всички потребители, а вместо това желаете да оставите всеки сам да направи избор, можете да пропуснете стъпка 2 и да сложите recipe от стъпка 2 точно над recipe описан в стъпка 3.

Стъпка 4: Конфигуриране на DNS черни списъци

Ако искате да бъдете дори по-настойчив с вашия спам филтър, можете да конфигурирате Sendmail напълно да игнорира изпращачи, които имат лоша репутация.

Редактирайте файла /etc/mail/sendmail.mc, вмъкнете следните редове някода в FEATURE секцията на файла:

dnl # dnl # Here are Sharky's favorite DNSBL definitions. dnl # FEATURE(`dnsbl', `list.dsbl.org')dnl FEATURE(`dnsbl', `bl.spamcop.net')dnl FEATURE(`dnsbl', `sbl.spamhaus.org')dnl FEATURE(`dnsbl', `blackholes.mail-abuse.org')dnl FEATURE(`dnsbl', `relays.mail-abuse.org')dnl

Запишете файла и изпълнете следните команди:

cd /etc/mail make all /sbin/service sendmail restart

От този момент всеки път, когато SMTP клиент се свърже към Sendmail, Sendmail ще се обърне към черния списък където сте добавили репупация на клиентите и ще провери. Ако клиента е записан като имащ неясна репутация Sendmail ще прекъсне връзката с него.

- 19 - Конфигуриране на sendmail: кратък обзор

Конфигурационния файл на sendmail , sendmail.cf, има изключително сбит и тайнствен синтаксис; всеизвестно е че е трудно за който и да е човек да го редактира без да допусне грешки. Ето защо най-добре е да се редактира един .mc файл, който съдържа някакви по четими макроси, и да го подадете на макро процесора да генерира нов файл sendmail.cf.

Може да ви се наложи да потършувате малко, за да намерите директорията, където е скрит оригиналният .mc файл във вашата операционна система. (Да погледнеш най-отгоре на подразбиращия се sendmail.cf е често полезно, тъй като ще ви посочи местонахождението на .mc файла на машината където sendmail.cf е бил създаден.) Може дори да откриете, че .mc файла по подразбиране го няма!! Например, реализациите на FreeBSD до 4.1.1 не инсталираха подразбиращия се .mc файл (freebsd.mc), нито компонентите които се изискваха за възстановяване на sendmail.cf от него, освен ако някой не е инсталирал целия source .

Ако можете да намерите оригиналния .mc файл на вашата система, Makefile който да генерира .cf файл от него в същата директория, направете копие на подразбиращия се файл (cp default.mc localhost.mc) и редактирайте копието. Можете да използвате командата make localhost.cf ,за да построите нов .cf файл. Най-накрая, изпълнете командата kill -HUP `head -1 /var/run/sendmail.pid` за да рестартирате главния sendmail процес.

Борба срещу спама с Qmail

Изпълнение

Най добрия инструмент който открива дали дадена част от mail е спам е spamassassin. Той не е труден за инсталиране.

Ако просто искате да дадете възможност на всеки да работи с него, qmail-scanner прави точно това.

1. Инсталирайте spamassassin, и се уверете, че spamd е пуснат да работи 2. Сдобийте се с ifspamh (James Grinter). Това е Korn shell script, така че просто го вземете и копирайте на някое разумно място, като /usr/bin, и се уверете, че първия ред сочи там където вашия ksh е инсталиран. Ако вашата система няма ksh, опитайте да инсталирате пакета pdksh, или редактирайте ifspamh, така че да използва bash или /bin/sh. 3. Нагласете вашия mail да минава през ifspamh, и ако е спам – да се съхранява някъде другаде различно от това в което отива по подразбиране.

Стъпка 3 е тарикатската. Ако осъществявате достъп до вашата поща през IMAP, ще искате да филтрирате спама в отделна IMAP папка.

- 20 - Например, ако използвате courier-imap тази папка може да бъде нещо от рода на ~/Maildir/.spam, която създавате с командата maildirmake ~/Maildir/.spam (или просто използвайте вашия ІМАР клиент)

Ifspamh работи използвайки вашия ~/.qmail файл да филтрира съобщенията.

Sample ~/.qmail

|ifspamh ralsina-spam ./Maildir/

Това, което горния пример прави е да пренасочи всичкия спам на адреса на ralsina- spam, и да достави останалото на ./Maildir/

Тъй като ralsina-spam е просто под-адрес на ralsina (нечий акаунт), собственика може да избере къде да отиват, създавайки ~/.qmail-spam файл, който доставя всичкви съобщения на ralsina-spam в ~/Maildir/.spam/:

Sample ~/.qmail-spam for IMAP users

./Maildir/.spam/

Ако вместо това използвате POP3 няма да можете да осъществите достъп до подобни папки, така че най-добрия вариант е да маркирате спама с нещо в полето за subject и тогава да използвате филтриране, за да преместите писмото в папка от вашата клиентска кутия.

Запазете ~/.qmail като по-горе, но използвайте това ~/.qmail-spam:

Sample ~/.qmail-spam for POP3 users

./Maildir/

Слаба черта е обаче, че спама използа две локални доставки вместо една повишаваща използването на ресурсите до известна степен, но това е незначително. Spamassassin има поддръжка на Bayesian филтъра, който казва какво е спам и какво не е.

Спама използва ресурси в qmail сървъра. Как?

SMTP връзки: Спамерите отварят връзка до вашия SMTP сървър, като по този начин се увеличава броя на SMTP процесите, които сте пуснали.

- 21 - Локални доставки: Ако спама достигне до ifspamh филтъра, който преди това сме инсталирали, той вече е доставен локално, и ако е спам, ще трябва отново да бъде доставен в нукоя от папките отредени за спам.

Bounces (Подскоци, връщане): Qmail не проверява дали локалните получатели са активни преди да приеме съобщение. Това е сериозен проблем. Например, ако вашията сървър се занимава с mydomain.com домейна, и qmail получи съобщения за потребител [email protected], който не съществува, те са приети, добавени в опашката, и се правят опити да бъдат доставени локално (което всъщност дава грешка), тогава възниква отскок (bounce), който се опитват да доставят отдаличено. Ако оригиналното съобщение е било спам, този подскок вероятно ще бъде върнат, предизвиквайки втора доставка (може би локална, може би отдалечена, зависи от конфигурационните файлове doublebounceto и doublebouncehost на qmail).

Това е особено страшно, ако спамера реши да събира адреси като прави всякакви буквени комбинации. В този случай qmail може да му се наложи да се справи с хиляди (дори десетки хиляди) допълнителни доставки!

Инсталиране на qpsmtpd

Първо, сдобийте се с qpsmtpd.

Perl модули

Qpsmtpd изисква двойка perl модули, които може бе нямате инсталирани, Net::DNS и Mail::Address .

Ако вашата версия на perl е по стара от 5.8.0, ще се неждаете също от Data::Dumper и File::Temp

За да накарате qpsmtpd да използва PPerl вместо Perl, редактирайте ~smtpd/qpsmtpd/qpsmtpd и направете първия ред такъв: #!/usr/bin/pperl -Tw. Нещо досадно относно използването на pperl е, че когато свалите от работа услугата и после отново я върнете, qpsmtpd процесите може да са същите, като тези които преди това сте спрели. Така че се уверете, че сте убили всички съставки след като спрете услугата, или някои промени в конфигурирането няма да имат ефект.

Инсталиране на qpsmtpd

Добавете потребител наречен smtpd, и разширете qpsmtpd там:

adduser smtpd -s /sbin/nologin -m

- 22 - cd ~smtpd wget http://develooper.com/code/qpsmtpd/files/qpsmtpd-0.26.tar.gz tar xzvf qpsmtpd-0.26.tar.gz mv qpsmtpd-0.26 qpsmtpd

Стартиране на qpsmtpd

Сложете IP адреса където qpsmtpd ще слуша за конекции в ~smtpd/qpsmtpd/config/IP (обикновено просто 0, и слуша на всички адреси).

На smtpd потребителя е нужно да осъществи достъп до ~smtpd/tmp/ и някоя друга директория, затова направете нещо такова:

chown -R root.smtpd ~smtpd find -t d ~smtpd -exec chmod -R 750 {} \; mkdir ~smtpd/tmp chown -R smtpd ~smtpd/tmp chmod -R g+rx ~smtpd chmod 700 ~smtpd/tmp

С помоща на наблюдаващи инструменти за пускане на qmail, qpsmtpd може да бъде управляван така:

svc-add ~smtpd/qpsmtpd/

По подразбиране, qpsmtpd би трябвало да работи със заместване за qmail's smtpd. Така че, това което трябва да направите е да спрете smtpd и да пуснете qpsmtpd. Става по подобен начин:

[root@localhost root]# svc-stop smtpd Stopping smtpd: smtpd svcsmtpd/log done. [root@localhost root]# svc-start qpsmtpd Starting qpsmtpd: qpsmtpd/log qpsmtpd done.

Ако qpsmtpd се стартира правилно, би трябвало да видите нещо такова:

[root@localhost root]# telnet localhost 25 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 localhost.localdomain ESMTP qpsmtpd 0.26 ready; send us your mail, but not your spam.

- 23 - Ако не работи, лога на qpsmtpd се намира в /service/qpsmtpd/log/main/current прочетете го внимателно!

Конфигуриране на qpsmtpd

Това което се заслужава да се инсталира от qpsmtpd са неговите plugin-и:

check_badmailfrom Поддържа badmailfrom файла на qmail. check_badrcptto Като badmailfrom но за адреси на получатели. check_earlytalker Някои спамери осъществяват връзка, и без да чакат поздрава, просто почвато да прехврлят mail-и през канала на връзката. И правят това бързо. through the connection. They do it to work faster. Е, никой разумен и честен писач на mail-и не прави така, така че защо пък да не отхвърлим mail-а, ако изпращача се опита да “говори” с нас прекалено скороА? Точно това забелязва plugin. check_relay Позволява препращане (relaying) ако променливата RELAYCLIENT е установена. Това е обикновения механизъм използван в qmail за да се позволи препращане, така че от този plugin определено се нуждаете! (освен ако не използвате check_rcptto) count_unrecognized_commands Затваря връзката, ако изпращача направи грешки. dnsbl and rhsbl Използва публични списъци с хостове които изпращат спам. check_rcptto Този е най-важния... и не е включен в qpsmtpd по подразбиране! Добре е да се използва вместо check_relay.

Имайте в предвид, че този plugin работи само ако използвате qmail инсталация за обикновени потребителски акаунти.

Инсталирането и конфигурирането на qpsmtpd не е тривиално усилие, а крайния резултат е smtp сървър, който използва по-малко мрежови ресурси, може би на цената на по-голямо използване на CPU (централния процесор) или паметта. Клиент се справя всеки ден с хиляди съобщения, които биха били върнати обратно (bounce), много по-ефективно с qpsmtpd's check_rcptto.

Що се отнася до малки сървъри, може би не си заслужава усилието. Но за големи, направо си е задължително. Дано скоро някой patch-не обикновения qmail-smtpd , така че той да прави нещо подобно на check_rcptto .

- 24 - Spamrule За да пуснете нещо между qmail-smtpd и qmail-queue, qmail-smtpd трябва да бъде patch–нат. Patch-а ще направи qmail-smtpd да използва програмата в променливата QMAILQUEUE вместо qmail-queue, когато доставя съобщение. qmail-qfilter може да бъде използван като сигурен начин да се направи това в промеждутъчните работи. Настройте QMAILQUEUE към някой скрипт който използва qmail-qfilter, за да прекарате входящата поща през множество филтриращи програми. Той знае, какви изходни кодове очаква qmail-smtpd, така че ако някоя от тези програми завърши с ненулева стойност, той може да прати нещо подходящо до qmail-smtpd. Ако всички филтри работят успешно, qmail-qfilter ще предаде съобщението на qmail-inject, където то бива вкарано в опашката.

Инсталация

Инсталирането на Spamrule минава през няколко стъпки:

1. Настройте QMAILQUEUE за входящи qmail-smtpd сесии, обикновено осъществявани през tcpserver управляващ файл. Например, нека QMAILQUEUE е нагласен на /var/qmail/bin/qfilter-spamrule:

:allow,QMAILQUEUE="/var/qmail/bin/qfilter-spamrule"

2. qfilter-spamrule трябва да зареди spamrule скрипта. В този пример, qmail- qfilter се използва да направи това:

/var/qmail/bin/qmail-qfilter /var/qmail/bin/spamrule -- /var/qmail/bin/qmail-inject -n

3. Създава spamrules файл и дефинира филтиращи правила за адресите на получателите на e-mail. Като минимум, трябва да има поне едно извикване на филтриращ скрипт. Например:

:deny,SPAMFILTER="/var/qmail/bin/spamrule-rblblock"

4. Създайте SPAMFILTER скрипта. Ето някои примери: o spamrule-rblblock – блокира поща от изпращачи, които са в RBL черните списъци o spamrule-rblheaders – вмъква заглавия базирани на резултатите от претърсванията в RBL черните списъци, но в действителност не блокира нито един mail

Е, вече спам филтриращата ви SMTP система би трябвало да работи!

SpamFilters за Sendmail

SpamFilters е колекция от групи правила, които разширяват възбожностите на sendmail анти-спам средствата. Той се обединява със sendmail според начина на

- 25 - изграждане на йерархията на дистрибуцията на m4. Тези групи от правила очакват mail заглавия "To", "From", "Reply-To", "Received", "Subject", и SpamAssassin's "X- Spam-Status" и отхвърлят mail базиращ се на тяхното съдържание.

SpamFilters изисква конфигурирана sendmail инсталация, версия 8.10 или по-нова, компилирана със базаданни и regex поддръжка.

Инсталация.

Осигурете си (свалете от интернет ) дисрибуция, “разопаковайте я”, преместете я в създадена директория и стартирайте конфигуриращия скрипт:

$ gunzip -c SpamFilters-2003121201.tar.gz |tar -xovf - $ cd SpamFilters-2003121201 $ ./configure.sh SpamFilters очаква неговата базаданни да съществува в конфигурационната директория по време на изпълнение на sendmail, /etc/mail. Също, групите правила и имена на макроси на SpamFilters може да си противоречат със съществуващите вече групи правила и имена на макроси, ако вече има присъединени други локални групи правила. (няма известни конфликти в sendmail дистрибуцията box-stock). Този shell script ще опита да преодолее каквито и да е несъответствия.

По нататък, допускаме, че никакви промени не са правени на configure.sh. Ако такива се направят, всички обръщания към SpamFilters.mc трябва да бъдат заменени с новия, конфигуриран SpamFilters.mc, а не оригиналния.

Ако интегрирате SpamFilters в m4 изграждащата йерархия на sendmail, копирайте SpamFilters.mc във вашата sendmail конфигурационна директория, включително вашия m4 конфигурационен файб, и посройте наново конфигурационния файл на sendmail. Например, от как е в "box-stock" на FreeBSD-4.5 системата: # cp src/SpamFilters.mc /usr/share/sendmail/cf/cf # cd /usr/share/sendmail/cf/cf # cp /etc/mail/freebsd.mc local-config.mc # echo "include(SpamFilters.mc)" >>local-config.mc # m4 ../m4/cf.m4 local-config.mc >/etc/mail/sendmail.cf Това е просто пример. В други операционни системи ще бъде различно. Под SuSE Linux, например, конфигурационната директория на sendmail е /usr/share/sendmail/cf. Структурата на директорията и местонахождението й могат да са различни, също и командите. Така че ще трябва и вие да направите нещо.

Red Policy Patrol 2.5

Може би няма проблем заразил Internet толкова дълбоко, като на нежеланите отпадъчни (junk) еmail-и, или SPAM. Докато няма съмнение, че спама може да бъде дразнещ за крайните потребители, той може да причини проблеми и за администраторите на мрежата и за тези които притежават или управляват

- 26 - компания. Причината за това е че спама краде от производителността на вашата компания или от системните ресурси.

Един от най-стойностните ефектовен стам контролиращ софтуер е Policy Patrol на Red Earth Software. Policy Patrol е обширен инструмент за email-филтриране, който предлага съвременни анти-спам, анти-вирус, проверка по съдържание и прикачени файлове, архивиране и докладване на резултатите. Policy Patrol работи със Microsoft Exchange Server 2003/2000/5.5, Lotus Domino и някои други SMTP mail сървъри.

Защо използването на Policy Patrol да спира спама?

Policy Patrol предлага обширен и мощен комплект от характеристики , които да ви помогнат да сложите край на нежеланите мейли, докато пазенето на фалшиви добри резултати е минимално: • Policy Patrol се бори със спама като проверява за спам думи, спам заглавия, домейн на изпращача, IP адрес на изпращача, брой на получателите на мейла, езикови символни настройки, нелегален HTML и отсъствието на body част (за съдържанието на мейла) написана в plain текст (чист текст без форматиране). • Policy Patrol е един от малкото продукти, който може да премахне HTML тагове преди да провери текста на email-а. Затова продуктът е в състояние успешно да спре спамерите, които се опитват да надхитрят филтрите, проверяващи съдържанието, като слагат HTML тагове за коментар в текста. • Policy Patrol може да използва множество Спам Черни списъци (black list) и уникално включва възможността да различава съобщения от IP адреси от различни списъци. • Policy Patrol е продукт, който предлага възможността да предприема различни действия в зависимост от върнатото от Черния списък (много списъци включват различни връщания, например за да се направи разлика между потвърдили и подозрителни open relays). • Policy Patrol е един от малкото продукти който освен да отхвърли (), може също да свали съобщения произлизащи от (определени) real-time черни списъци или open relay списъци, и тогава да предприеме специфични действия като изолиране (слагане под карантина) или изтриване (с възможност за обратното действие ). Въпреки, че този метод не съхранява някакъв bandwidth, той позволява да се подсигурите, че истински съобщения няма да бъдат отхвърлени. • Освен отхвърляне на спам съобщения, Policy Patrol може да изолира, добавя тагове (флагове) или заглавия (header) на, или изтрива спам съобщения (с възможност за обратното действие ). • С добавянето на header към спам съобщение, може да настроите правила в Outlook, което да поставя тези съобщения в “Спам” папката, за да може потребителя да ги прегледа.

- 27 - • Съобщения маркирани като спам могат да бъдат препращани кам публична папка. • С конфигурирането на известяващо съобщение в Policy Patrol, изпращачите на подозрителни спам съобщения могат да бъдат известени, че техните съобщения са изтрити или изолирани. В случай че съобщение погрешно е било третирано като спам, изпращача може да се свърже с вашата организация. • Policy Patrol може да блокира мейли които използват определени групи от символи, като например китайски или корейски символи. • Policy Patrol може да бъде конфигуриран да блокира определени IP адреси или области от IP адреси за които е известно че са спам изпращачи. • Потребителските черни списъци и бели списъци (white lists) могат да бъдат конфигурирани. Policy Patrol може автоматично да добавя домейни или email адреси към тези списъци. Например Policy Patrol може да добавя домейн(и) на получатели към белия списък всеки път, когато потребителя изпрати email, or Policy Patrol може автоматично да добавя domain на изпращач към черния списък когато разпознае email-а като спам. • Policy Patrol е един от малкото продукти който може да блокира NDR спам атаки. • Policy Patrol включва прост спам филтър на думи, но също позволява да го редактирате и/или да създавате свои собствени филтри. • Policy Patrol блокира спама на ниво сървър, спестявайки инсталацията на софтуер вза спам филтър на клиентската машина. • С използването на клиентски правила, спам-блокиращите характеристики могат да бъдат нагласени да отговарят на специфичните нужди на вашата организация.

Policy Patrol 2.5 характеристики

Отделно от поддръжката за Exchange 2003, Policy Patrol версия 2.5 включва следните нови характеристики: • Проверява съобщенията за група от знаци (полезно при блокирането на спам mail-и). • Блокира отделни IP адреси или групи от IP адреси. • Показва намерени условия, включително индивидуални думи и техния брой. • Защита с пароли за локално и отдалечено Policy Patrol управление. Към момента, Policy Patrol е единственото one-stop решение, което може да филтрира вътрешни, така добре както и външни mail-и (ако е инсталиран на Exchange Server 2000 или 2003), докато предлагането на пълен комплект от характеристики включва спам черни списъци и свойства за отхвърляне на мейла (disclaimer features), и възможността да се проверяват различни правила в зависимост от това дали mail-а е вътрешен или външен.

- 28 - Продукта се инсталира със съответната лекота и с неговите пренаписани примерни правила, администратора ще може да стартира защитата на мрежата почти веднага. Policy Patrol пристига с голям избор от вградени филтри и правила, които всеки може да използва, така че той ще заработи инсталиран out-of-the-box. Някои от най-известните филтри са: • Филтър на редици от букви и измислици • Спам думи • Неприятно съдържание, включващо ругатни • Вирус думи И още много. Като цяло, това решение осигурява ефективно филтриране, а има полза и от анти-вирус проверката за по-голяма защита на вашата мрежа и от двете познати и потенциално опасни заплахи, докато се уверим, че съдържанието на полученото от нас е едновременно легално и подходящо.

Как да конфигурирам Exchange Server 2003 да блокира спам?

Microsoft Exchange Server 2003 сега има вграден Open Relay Filter (ORFilter) или DNS Blacklist (черен списък) и Realtime Blackhole List (DNSBL, RBL) възможности, които ни освобождоват от нуждата да разчитаме на third-party software за филтрирането на спама. Тези характеристики не му осигуряват завършеност и използването на софтуер като Policy Patrol и други е все още препоръчетелно, но за малки компании които не могат да си позволят тези продукти - Exchange Server 2003 сега може да се справи с повечето работа. Например – една слаба черта на Exchange Server 2003 е, че опциите за защита от спам са причината задето няма GUI-easy начин да се вмъкнат или измъкнат email адреси или да се изпратят домейни (domains). Друга слаба черта е, че няма начин по подразбиране за виждане дали филтрите работят и колко спам е блокирана.

За да конфигурирате email блокиране направете следното:

1. Отидете на properties на Message Delivery настройките.

- 29 - 2. Натиснете new за да добавите филтър за свързване.

3. Добавете желания RBL service и натиснете ОК

4. Можете да конфигурирате също изключения от тези правила. Натиснете Exceptions и въведете своите настройки. 5. Получавате предупреждение че трябва да направите възможно филтрирането на SMTP virtual сървърите.

6. Отидете на properties на вашия SMTP Virtual Server.

- 30 -

7. В папката General , натиснете бутона Advanced

.

8. Натиснете бутона Edit .

9. Сложете отметка на кутийката 'Apply Connection Filter'.

- 31 -

10. Натиснете ОК във всеки прозорец по пътя наобратно

SpamMover за MS Exchange 2000/2003

Цел Това приложение може да създаде папка наречена Spam във всяка Exchange 2000/2003 mail-кутия и да премести всякакви входящи съобщения, които са маркирани със специфичен mail header от анти-спам софтуер, като SpamAssasin, в тази папка. Предимства

• SpamMover can work for multiple Exchange server mailbox stores • Няма нужда да конфигурирате спам правилата на всяка работна станция където върви Outlook • Приложението е сървър-центрирано, така че няма нужда да инсталирате допълнителен софтуер на клиентската машина • Дори да бъде изтрита инцидентно, Spam папката ще бъде възстановена автоматично, когато бъде получено входящо съобщение

Инсталация

На компютъра, който е Exchange 2000 Server :

1. Създайте нов mail-enabled потребителски акаунт и се уверете че псевдонима на mail-кутията е SMTEST

- 32 -

2. Изберете (или създайте) потребителски акаунт който е член на групите local Administrators, Domain Admins, Domain Users иExchange Domain Servers . Този акаунт трябва да има пълни права върху mail-кутията. Отворете ESM (Exchange System Manager) и стигнете до mail-кутията отговаряйки на въпросите. Сега отворете properties и изберете Security папката. Добавете вашия акаунт и позволете пълен контрол. 3. Влезте (log on) като този потребител 4. Създайте директория C:\Program Files\SpamMover\. 5. Свалете SpamMover-Demo.zip архивния файл в директория C:\Program Files\SpamMover\ и разархивирайте файловете. 6. Стартирайте C:\Program Files\SpamMover\SpamMoverSetup.exe 7. Отметнете Install COM+ object. Сложете #2 име на account (използвайте \ синтаксиса) и парола в съответните полета. Модифицирайте Spam header полето, ако желаете

Натиснете бутона CHANGE.

- 33 - 8. Изберете в първия (горния) списък SMTEST mailbox и отбележене Register в следващите Mailboxes

Натиснете бутона CHANGE. SMTEST mailbox ще бъде разположена на втория (долния) списък с кутии.

9. Натиснете бутона Exit .

Спама е невероятно неприятен, особено в големи количества. Ако имате публичен e-mail адрес може да получите хиляди нежелани съобщения от които даже и чрез хубави спам-филтри не можете да се отървете. Освен това понякога филтрите могат да изтрият и някои желани съобщения.

С две думи: “Спам вилнее”. А с подобряването на анти-спам технологиите се подобряват и разбира се тези за спам. Има разработен софтуер, който може да се нарече “спам тихомълком” (stealth spam).

- 34 - Това е програма, която може да засича компютри, които са онлайн и да им праща спам-съобщения. Много наподобява онзи софтуер, който показва кога някой уебсайт е отворен.

Но това е даже още по-добре. Въобще няма нужда да бъдете на някой уебсайт. Просто трябва да е включен компютъра ви, да сте вързани към интернет, да четете някой e-mail или просто да бездействате и....”Бам!” - тази програма засича вашето присъствие и изкарва спам-съобщението на екрана ви, минавайки firewalls, анти- спам програми, минавайки всичко по пътя си.”

Не е ли технологията велика?

- 35 -