Россия, Владимир, Владимирский государственный университет, 2002 |
Контроль спама при помощи Domino 7
В этой лекции рассматриваются новые и усовершенствованные возможности, имеющиеся в Domino 7, которые помогут вам справиться со все возрастающей проблемой почтового спама.
За более подробной информацией о спаме и Domino обращайтесь к пуб- ликации "Lotus Domino 6 spam Survival Guide for IBM @server", SG24-6930, по адресу http://www.redbooks.ibm.com/abstracts/sg246930.html
Если вам нужно создать для вашей организации фильтр спама, вы можете использовать функции Domino для управления почтой. Мы предлагаем в этой лекции обзор всех связанных с этим вопросом параметров конфигурации, а также подробно рассматриваем новые возможности, относящиеся к "белым спискам"1Белый список – список благонадежных имен, противоположность "черному списку". Примеч. пер .. В некоторых случаях вы, возможно, захотите воспользоваться услугами сторонних производителей. Это может быть программное обеспечение, аппаратное обеспечение или услуги. Мы не включаем в эту книгу вопросы, связанные с использованием инструментов и услуг сторонних производителей.
Поскольку в Domino 7 появились "белые списки" для имен Domain Name System (DNS), мы включили в книгу информацию о том, как настроить DNS так, чтобы можно было применить ее для поиска благонадежных DNS-имен. Тема DNS заслуживает отдельной книги, но для наших целей мы используем лишь несколько шагов, связанных с ее работой, для чего не требуется (почти) предварительных знаний DNS. Мы применим для настройки необходимых файлов программное обеспечение DNS-сервера Microsoft и DNS Manager. Важно понимать, что в этих настройках не учитываются вопросы безопасности, связанные с обслуживанием DNS. Описываемые здесь "белые списки" DNS ориентированы на низкий и средний объем почтового трафика в полностью защищенной сети интранета. Помните, что доступ к "белым спискам" DNS нужен только вашему SMTP-серверу.
Новые параметры "белых списков" и улучшения, связанные с "черными списками", теперь доступны для правил сервера и правил почтового файла.
Фильтры спама – это не только техническая проблема: вам нужны политики, учитывающие все ваши почтовые нужды. За дополнительной информацией по этой теме обращайтесь к подразделу 8.3.1, "Почтовые политики и обучение пользователей".
8.1 SMTP
Понимание контроля спама начинается с понимания протокола Simple Mail Transfer Protocol (SMTP), а также присущих ему слабых мест. В примере 8.1 показано, как можно осуществлять взаимодействие с SMTP-сервером при помощи клиента Telnet и послать короткое, но полное с технической точки зрения и вполне корректное почтовое сообщение на этот сервер.
Строки, начинающиеся с >, являются командами от SMTP-сервера-отправителя . с именем dieter.stdi.com.
Строки, начинающиеся с <, являются ответами SMTP-сервера-получателя с именем whistler.groofty.com.
>Telnet whistler.groofty.com 25 <220 groofty.com ESMTP Service (Lotus Domino Release 7.0) ready at Thu, 3 Nov 20 05 >HELO dieter.stdi.com <250 groofty.com Hello dieter.stdi.com ([9.33.85.84]), pleased to meet you >MAIL FROM: <dstalder@stdi.com> <250 dstalder@stdi.com... Sender OK >RCPT TO: <system@whistler.groofty.com> <250 system@whistler.groofty.com... Recipient OK >DATA <354 Start mail input; end with <CRLF>.<CRLF> >From: dstalder@stdi.com >Subject: Test SMTP Message >Test line 1 >Test line 2 >. <250 Message accepted for delivery <221 groofty.com SMTP Service closing transmission channelПример 8.1. Простое SMTP-взаимодействие
Итак, по примеру 8.1:
- Когда соединение установлено, сервер Domino записывает информацию о соединении в файл журнала сервера и отвечает сообщением 220.
- Команда HELO. Сервер-отправитель посылает приветствие, сообщая собственное имя хоста. Спамеры часто сообщают фальшивое имя. Сервер-получатель отвечает сообщением 250.
- Команда MAIL FROM. Сервер-отправитель посылает e-mail-адрес отправителя. Спамеры почти всегда дают фальшивый адрес. Сервер Domino записывает эту информацию в файл журнала сервера (если logging level=verbose) и отвечает сообщением 250.
- Команда RCPT TO. Сервер-отправитель посылает e-mail-адрес получателя (получателей). Сервер Domino Domino записывает эту информацию в файл журнала сервера (если logging level=verbose) и отвечает сообщением 250. Сообщение будет доставлено по всем существующим адресам получателей, указанным в этой команде.
- Команда/блок DATA. Сервер-отправитель посылает заголовки и тело сообщения. Это собственно само сообщение, и оно может иметь несколько разных форматов. Важно понимать, что сервер-получатель не производит доставку по адресам, указанным в заголовках To, Cc и Bcc.
- По завершении передачи прием блока DATA подтверждается сообщением 250. Сервер Domino записывает сообщение о завершении соединения в журнал сервера. В этот момент сообщение находится в файле MAIL.BOX сервера в ожидании доставки.
8.2 Технологии, используемые спамерами
Спамеры для передачи своих сообщений в ваш ящик применяют различные уловки. Им нужно, чтобы вы открыли письмо и щелкнули по ссылке. Их цель – продать вам продукты или услуги, обмануть вас, заставив выдать личную информацию, а иногда передать вам вирус или троянскую программу, с помощью которых они могут вовлечь ваш компьютер в передачу спама. Независимо от того насколько надежным кажется вам отправитель, вы должны различать "хорошие" и "плохие" сообщения.
Приведенный в этом разделе список методов никоим образом не является полным. Чтобы быть в курсе современных спамерских технологий, вы можете начать с проекта Spamhaus: http://www.spamhaus.org
Сбор e-mail-адресов
Сбор e-mail адресов (harvesting) – это получение адресов с Web-сайтов, сайтов Usenet, директорий LDAP и любых других мест, где хранятся e-mail-адреса.
Инструкции, которые вам предлагается выполнить, чтобы удалить свой адрес из списка рассылки, часто являются лишь методом проверки существования вашего адреса. Простого открытия сообщения может быть достаточно для проверки существования. Изображения в почтовом сообщении могут быть взяты со спамерского Web-сайта и могут содержать код для идентификации получателя.
Проверка существования адреса
Проверка существования адреса – это еще одна форма сбора адресов, в которой используются инструменты, проверяющие адрес путем соединения с SMTP-сервером. Эти инструменты не посылают почтовые сообщения. Они посылают команду RCPT TO и проверяют ответ сервера. В зависимости от ответа адрес принимается или отвергается. В примере 8.2 показаны 3 основных ответа: 250 Recipient OK (Пользователь существует), 550 No such user (Нет такого пользователя) и 554 Relay rejected (В передаче отказано).
>Telnet whistler.groofty.com 25 <220 groofty.com ESMTP Service (Lotus Domino Release 7.0) ready at Thu, 3 Nov 20 05 >HELO spammer.stdi.com <250 groofty.com Hello spammer.stdi.com ([9.33.85.84]), pleased to meet you >MAIL FROM: <spammer@groofty.com> <250 spammer@groofty.com... Sender OK >RCPT TO: <albert@toronto.stdi.com> <250 albert@toronto.stdi.com... Recipient OK >RCPT TO: <bob@toronto.stdi.com> <550 bob@toronto.stdi.com... No such user >RCPT TO: <bob@ibm.com> <554 Relay rejected for policy reasons. >QUIT <221 groofty.com SMTP Service closing transmission channelПример 8.2. SMTP-взаимодействие для проверки RCPT TO
Никаких сообщений не посылается. Взаимодействие завершается до посылки блока DATA. В файле журнала сервера регистрируются установление соединения и разрыв соединения (с нулем сообщений). Если для уровня журналирования (Logging level) не будет установлено значение Verbose (Подробный), то нигде не будет никаких указаний на то, что выполнялась проверка почтовых адресов. При подробном журналировании в файл журнала сервера записываются команды MAIL FROM и RCPT TO. См. подраздел 8.5.10 "Уровень журналирования".
Атаки на директории и угадывание имен
По умолчанию Domino доставляет сообщения, применяя имя или фамилию пользователя, если они уникальны. Спамеры часто посылают письма, употребляя наиболее популярные имена, и надеются, что такие имена найдутся. Найти список 500 самых популярных имен можно за один щелчок мышкой. Попробуйте ввести в Google строки "имена детей" или "данные переписи" – и вы получите массу информации.
Атаки на отказ в обслуживании (Denial-of-Service, DoS) перегружают ваш SMTP-сервер или сеть избыточным трафиком.
Такой атаке может подвергнуться кто угодно, даже хорошо известные организации и правительственные органы. Например, вы инсталлировали сервер и не запретили ретрансляцию на SMTP-сервере. Операционная система, возможно, не имеет самых последних исправлений. В некоторых случаях атакующий может за несколько минут найти вашу систему и получить над ней контроль. Всего за несколько минут в очередь на передачу писем вашей системы могут быть загружены тысячи спамерских сообщений. При такой нагрузке система не сможет осуществлять свои обычные почтовые функции.
Открытая ретрансляция (open relay)
Ретрансляция – это нормальная функция SMTP, которая позволяет серверу принять сообщение и передать его другому серверу. Большая доля почтового спама распространяется через серверы-ретрансляторы, которые не проверяют, имеет ли отправитель право использовать их. Если ваш SMTP-сервер является открытым ретранслятором, который принимает почту и распространяет ее без аутентификации, спамеры могут использовать его для своих целей.
Интернет-провайдеры, лояльные к спамерам
Интернет-провайдеры (ISP) обеспечивают связь между континентами, между городами и в конечном счете связь с вашим домом и офисом. Большинство провайдеров Северной Америки и Европы имеют политики допустимого использования (acceptable use policies, AUP), согласно которым распространение больших объемов почты является нарушением, ведущим к завершению обслуживания, но бывают и исключения. Большинство спама исходит из Соединенных Штатов, однако Интернет позволяет спамерам выбирать провайдеров в любом месте мира. Очень часто американские спамеры используют серверы, предоставленные провайдерами других стран, где политики AUP не являются такими строгими.
Подделка заголовка RECEIVED
При маршрутизации сообщения SMTP-сервер-получатель добавляет в сообщение заголовок RECEIVED. В Domino эти заголовки хранятся в полях с именем RECEIVED почтового сообщения. Интернет-сообщение имеет как минимум один заголовок, RECEIVED (который был добавлен вашим собственным SMTP-сервером), а иногда намного больше. Эти заголовки обычно фальсифицируются спамерами, и их редко можно рассматривать как указание на реальный источник спамерских сообщений.
В примере 8.3 показаны 3 заголовка. Первый заголовок (т. е. последний SMTP-сервер в пути маршрутизации) – это ваш собственный SMTP-сервер, и этой информации можно доверять. В данном примере IP-адресом сервера является 32.97.182.142, а имя – e2.ny.us.ibm.com. Этот адрес также используется для контроля входящих соединений и для проверки по "белым спискам" и "черным спискам" DNS-имен.
"from e2.ny.us.ibm.com ([32.97.182.142]) by notes5.stdi.com with ESMTP id 2005092615444927-4653 ; Mon, 26 Sep 2005 15:44:49 -0400" "from d01relay04.pok.ibm.com (d01relay04.pok.ibm.com [9.56.227.236]) by e2.ny.us.ibm.com (8.12.11/8.12.11) with ESMTP id j8QJkTDg009592 for <dstalder@stdi.com>; Mon, 26 Sep 2005 15:46:29 -0400" "from d01av02.pok.ibm.com (d01av02.pok.ibm.com [9.56.224.216]) by d01relay04.pok.ibm.com (8.12.10/NCO/VERS6.7) with ESMTP id j8QJkTEZ063346 for <dstalder@stdi.com>; Mon, 26 Sep 2005 15:46:29 -0400"Пример 8.3. Заголовок RECEIVED
Поддельные адреса и домены отправителя
В поле адреса отправителя может стоять все, что угодно. Стандарт SMTP предъявляет очень мало требований, выходящих за рамки технической проверки формата сообщения, поэтому технических барьеров для фальсификации не существует. Спамеры используют это для того, чтобы представиться доверенным отправителем, например ibm.com. Когда вы откроете такое сообщение, вы можете обнаружить, что оно вовсе не от IBM. Существует две инициативы по вводу стандартов, которые будут решать эту проблему. Первая инициатива – DomainKeys использует что-то вроде цифровой подписи в почтовом сообщении. Другая инициатива – Sender Policy Framework (SPF) использует DNS для идентификации хоста-отправителя. За дополнительной информацией об этих предлагаемых стандартах обращайтесь . к разделу 8.7, "Будущее спама".
Фишинг и фарминг
Фишинг (phishing) стал популярен в начале 2004 г. Мошенники-фишеры пытаются убедить вас, что им нужно проверить кое-какую вашу персональную информацию (кредитную карту, банковский PIN-код, номер социального страхования и т. п.). Предоставленная ссылка ведет на сайт-ловушку, похожий на официальный Web-сайт организации, которой, по их мнению, вы доверяете. Вся информация, введенная ничего не подозревающим пользователем, применяется для преступных целей. За дополнительной информацией обращайтесь на сайт Anti-Phishing Working Group (APWG) по адресу http://www.antiphishing.org