Spam определение, класификация и защита от spam

ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА

ПО

Безопасност и защита

Тема: Spam - определение, класификация и защита от spam

Изготвила: Проверили:

Цветина Ангелова Щерева Доц. Д-р. Стефан Дражев
Фак. № 11038, група 59 курс 5 х. Ас. Видилина Кръстева
спец. „Информатика“

гр.Варна
2013 г.

Spam - определение, класификация и защита от spam

Съдържание

1. Какво е спам? .................................................................................................................... 3
1.1.История на спам съобщенията. ..................................................................................... 3
1.2. Характеристики на спам съобщенията. ........................................................................ 5
1.3. Заплахата от спам съобщенията. ................................................................................. 6
2. Класификация на спам съобщенията .............................................................................. 8
3. Защита от спам ................................................................................................................12
3.1 Филтри за спам ..............................................................................................................13
3.2 Анти-спам софтуер ........................................................................................................20
4. Заключение ......................................................................................................................29
5. Използвана литература ...................................................................................................30

Цветина Ангелова Щерева ф.н. 11038, гр. 59 спец. „Информатика“ стр. 2-30


1. Какво е спам?

1.1. История на спам съобщенията.

Днес Интернет е навлязъл много трайно и непрекъснато разширява
присъствието си във всички области на развитите страни и тяхната икономика.
Наред с това обаче, интернет е среда, която крие доста рискове срещу
безопасността. Голяма част от проблемите на безопасността се коренят в
природата на Интернет. Още от самото начало тя е замислена като открита
глобална мрежа със свободен достъп до съдържащите се в нея информационни
ресурси при минимални ограничения за потребителите. В първоначалната
концепция на световната мрежа като единствена заплаха за безопасността на
информацията се разглежда заплахата от несанкционирано унищожаване или
модификация на публикуваната информация.
След 1996 г. започва интеграция на бизнес процесите в средата на Web,
появи се електронният бизнес и електронната търговия. Това коренно променя
ситуацията, свързана с осигуряване на безопасността, мащабното навлизане на
електронните транзакции и онлайн покупко-продажбите в бизнеса.
Електронната търговия обединява множество различни функции, базирани
на използването на съвременни ИКТ, като нови технологии за организиране на
контактите между купувачи и продавачи, методи за представяне, обсъждане и
формиране на поръчките, определяне условията на сделката, реда за продажбата
на стоки и услуги и процесите за осъществяване на онлайн разплащанията.
Специалисти на Microsoft констатират в края на 2008 г., че кибер
престъпността, в частност кражбата на персонални данни на потребителите,
застрашава сериозно развитието на онлайн търговията и отраслите на
финансовите услуги в Интернет. Нещо повече -Microsoft приема за „обществено
зло" атаките срещу ИТ средата и тайната на информацията на бизнес субектите и
обикновените потребители. В специален документ - „Online Identity Theft: Changing
the Game" те аргументират необходимостта от внедряване на нов модел за
осигуряване на надеждното съхраняване на персоналните данни на клиентите.
Ключов компонент на новата система, предлагана от експертите на Microsoft, е



технологията „Information Card", която трябва да помогне за създаването на по-
защитена онлайн среда за търговия и финансови операции.
Една от съществените заплахи, която се крие в интернет е спама. Терминът
“спам” придобива популярност през 80-те години на ХХ век сред играещите
онлайн в мрежовата игра MUD . Тогава думата е употребявана като синоним на
затрупване на някой от сървърите с твърде много съобщения или обекти.
През 80-те години на ХХ век са регистрирани първите случаи на масови
електронни съобщения, рекламиращи най-вече несъществуващи услуги. Така
става известно съобщението със заглавие “MAKE MONEY FAST” (“Спечелете
бързо пари”), изпратено от името Dave Rhodes. Рекламираната от него идея е
обратното проследяване на писмото (което всъщност технически не е възможно)
и получаване на определена сума, ако се препрати писмото на даден брой
абонати. Едно електронно съобщение се третира като нежелано (“спам”), ако е
изпълнено поне един от долните критерии:

 Личността на получателят и съдържанието на съобщението нямат пряка
взаимна връзка поради приложимост на съобщението към множество други
потенциални получатели, упоменати или не;
 Получателят не е дал по безспорно доказуем начин изричното си съгласие
съобщението да му бъде изпратено;

От гледна точка на получателя, изпращането и получаването на съобщението
носят на изпращача изгода, превишаваща изгодата на получателя.



1.2. Характеристики на спам съобщенията.

Спамът е вид съобщение, което получателя не е желаел, но е получил в пощата
си, имащо най-често, но не задължително рекламен или информационен
характер. За спама е характерно следното:

- нежелано или неочаквано съобщение (т.е. липсва съгласие, изрично изразено
или подразбиращо се)
- липса на предварително установени отношения с изпращача.
- досадно или оскърбително съобщение (напр. “верижни” писма, заблуждаващи
съобщения, порнография, духовни послания, личностно самоизтъкване);
- има маркетингов или комерсиален характер;
- незаконно или измамническо съобщение (напр. детска порнография, схеми за
“бързо забогатяване”, подвеждаща реклама).
- невъзможност да се установи изпращача или пътя, който е изминало
съобщението;
- липсват данни за физически адрес и други подробности за изпращача.
- не дава възможност или е трудно да се “отпишеш” от получаването на
следващи съобщения;
- изпратено е в големи количества (масово) (напр. чрез автоматизирана система
или нецелево, безразборно);
- методът, използван за събирането на електронните адреси на получателите
(напр. “изгребване” (“harvesting”) на адреси от всички достъпни уеб-страници,
“речникови” атаки, чрез които се установяват адресите, до които като изпратиш
писма, те не биват връщани обратно);



1.3. Заплахата от спам съобщенията.

Основните видове заплахи и техните характерни проявления, имащи
отношение към електронната търговия, могат да бъдат дефинирани по следния
начин:
- вътрешни атаки от служители;
- проникване в системата отвън, през Интернет;
- вирусни атаки;
- отказ от обслужване;
- нарушаване целостта на данните или мрежите;
- повреда на персоналния компютър;
- финансово мошеничество;
- кражби и злоупотреби с търговска информация. Най-често различните
автори споделят мнението, че в по-едри щрихи многобройните видове заплахи
може да се обединят в няколко големи групи:
- заплахи, свързани с комуникационната среда;
- заплахи, свързани с техническите компоненти;
- заплахи, свързани с платежния процес;
- заплахи, свързани с прилаганите криптографски методи и технологии;
- други видове заплахи.

Наред с това обаче, спамът носи риска от повечето от посочените по –горе
заплахи, които могат да се дефинират както следва:
- намалена пропускателна способност (“bandwidth”) на каналите за комуникация;
- повишаване на разходите за оборудване поради необходимост от увеличаване
на капацитета за съхраняване на съобщенията (дисково пространство);
- повишени разходи за обработка на електронните съобщения (процесорно
време);
- загуби в производителността на труда на работещите с електронна поща ;
- загуби от измами и други незаконни действия, свързани със “спам”-а;



- щети поради промените, причинени от “спам”-а в начина, по който използваме
електронните съобщения (особено електронната поща);
- загуби поради причиненото от “спам”-а забавяне/ пропускане/ недоставяне на
полезни електронни съобщения.

Спамът може да доведе и до:
• подбуда към криминално действие на пълнолетни и непълнолетни лица;
• рекламиране водещо до покупка на стоки с несигурно или вредно
(неконтролирано) съдържание за човешкото здраве;
• разпространение и осигуряване лесен достъп до порнографски материали
на непълнолетни лица;
• разпространение и осигуряване лесен достъп до детска порнография на
пълнолетни и непълнолетни лица;
• разпространение на информация за лесен достъп до адреси съхраняващи и
популяризиращи расова нетърпимост или подтикващи към форми на нарушаване
на човешките права и свободи, вкл. подобни организации и членство в тях;
• нарушаване на правото на уединение и личен избор при получаване на
нежелана информация ;
• възможно разпространение или използуване на застрашаващи личното
електронно съдържание и пространство или личните данни, програми, вируси и
др.



2. Класификация на спам съобщенията

Спамът непрекъснато се развива и прилага много и най-различни подходи само и
само да достигне до потребителите в глобалната мрежа. По долу са изброени
само една малка част от превъплъщенията на съвременният спам:

 Е-mail спам

Известен също като нежелана поща („junk mail“) или нежелана поща в
голямо количество („unsolicited bulk email“ - UBE ) е подмножество на
електронният спам, който се характеризира с изпращане на идентични
съобщения до множество получатели по електронната поща . Кликването
върху връзките в спам имейл, може да изпрати потребителите до фишинг
уеб сайтове или сайтове, които може да съдържат зловреден софтуер .
Нежеланата поща, също може да съдържа зловреден софтуер като
скриптове или други изпълними файлове (еxe).

Спамерите събират имейл адреси от чатрумове, интернет страници,
списъци с клиенти, групи по интереси, и вируси, които преглеждат
адресните книги на потребителите, и се продават на други спамери. Те
също използват практика, известна като "имейл вмъкване" или "epending", в
която те използват известна информация за целта си (като пощенски адрес)
и я използват за търсене на имейл адреса на целта. Голяма част от спама
се изпраща на невалидни имейл адреси. Спамът заема около 78% от
всички изпратени имейли.

 Instant Messaging спам
Понякога се нарича SPIM (неологизъм от спам и IM, кратко за „незабавен
пътник“) и се използва при бързи системи за съобщения като AOL Instant
Traveller, Xfire, ICQ, Yahoo traveller или Windows Resilient Courier. За да се
изпратят незабавни съобщения до милиони потребители се изисква
скриптиращ софтуер и IM потребителските имена на получателите.
Спамерите също така използват IRC ботове, които свързват канали и ги
атакуват с реклами.



 Usenet Newsgroup спам
Това е вид спам, чиято цел са Usenet нюзгрупите. Спамене на Usenet
групите всъщност предшества e-mail спама.

 Спам, насочен към интернет търсачките (Spam Targeting Search
Engines) – Използва се т. нар spamdexing (спам и индексиране), което
включва редица методи, като повтаряне на несвързани фрази, за да
манипулират значението или рекламата на ресурси, индексирани по начин,
несъвместим с целите на система за индексиране. Също така се използват
за трансформиране на HTML страници, с цел повишаване възможността да
бъдат разположени високо в официалните списъци за търсене. Тези
сайтове използват „black hat search engine optimization (SEO)“ техники за
непочтено повишаване на техният ранг в търсачките. Много актуални
търсачки са персонализирали техните алгоритми за търсене, с цел
отхвърляне на страници, използващи spamdexing тактики.

 Интернет форум спам
Характеризира се със създаване на съобщения, които са обидни, рекламни
или по друг начин безполезни за интернет форумите.
Това често се прави от автоматизирани спам ботове. Като цяло те
сърфират мрежата и търсят блогове, книги за гости, форуми, където да
публикуват спам линкове.
Форум спама обикновено се състои от връзки, които пренасочват към
външни сайтове с цел да се увеличи популярността на търсачката в
свързани и конкурентни области. Обикновено спам мненията съдържат
единствен линк, който пренасочва към множество различни линкове и
текстовото съдържание на съобщението ще бъде минимално, но ще
пренасочва страницата към няколко несвързани уеб сайтове.



 Mobile Phone Messaging спам
Спамът на мобилните телефони се планира в услугата за изпращане на
текстови съобщения. Това може да бъде главно изнервящо за клиентите.

 Online Game Messaging спам
Редица онлайн игри позволяват на играчите да се свържат чрез player-to-
player messaging, зони за публични дискусии или чатове, където спамерите
рекламират спам сайтове. Тези спам методи могат да провалят геймплей
преживяването на потребителите.

 Спам, насочен към уеб сайтове за споделяне на видео клипове –
Такива сайтове като YouTube, в днешно време са под често нападение от
спамерите. Често използван метод включва хора (или спам ботове),
разпространяващи връзки към сайтове, най-вероятно порнографски или
занимаващи се с онлайн запознанства, на секцията за коментари на
видеото или по профилите на потребителите.
Друг вид е действителният видео спам, който предоставя на качения филм
име и описание и понякога снимка (thumbnail) с популярна личност или
събитие, които е вероятно да грабнат вниманието на зрителите. Реалното
съдържание на видеото остава напълно несвързано.



 Спам, насочен към социалните мрежи
Това е спам, предназначен за интернет потребителите в социалните мрежи
като Facebook, MySpace или Linkedln. Потребителите могат да изпращат
помежду си съобщения, съдържащи вградени линкове към други социални
мрежи или други сайтове.

 Спам, предназначен към мрежата за споделяне на файлове
Този спам се дефинира като всеки файл, който умишлено се използва
грешно или представен по такъв начин, че да избегне признати методи за
извличане и класиране. Причината, спамът да е толкова често срещан в
P2P системите за споделяне на файлове, е че повечено споделени
файлове нямат собствено описание. Спамерите лесно могат да
преименуват файл и по този начин да контролират как той бива приет и
кларисан.



3. Защита от спам

Преди да разгледаме методите за защита от SPAM е удачно първо да отделим
внимание на метода за осъществяване на Мail услугата.

Тя e една от първите услуги в интернет. В днешно време съвсем сериозно може
да се твърди, че наличието на достъп до електронната поща е услуга,
конкурентна на телефонните услуги. В голяма част от случаите, най-вече в
университетските среди поради финансови съображения, електронната поща е
предпочитана пред телефона за обмен на информация на големи разстояния.
Освен това времето за получаване е доста добро – не повече от час до която и да
е точка на света, а в рамките на една държава за десетина секунди. Има и още
една причина това да е най-използваната услуга – освен че тя е най-достъпна за
възприемане и обяснение, тя позволява обмен на различна по вид и тип
информация. Потребителят може да изпраща, получава, архивира и класифицира
или препраща документи от всякакъв тип до даден адрес в интернет. За целта са
създадени подходящи портоколи и механизъм за маршрутизация на съобщенията
от подателя до пощенската кутия на получателя.

За мрежа, чийто базов портокол е TCP/IP, независимо дали става дума за Internet
или Intranet схемата е една и съща. За изпращане на едно съобщение от локална
машина се използва порткола SMTP (Simple Mail Transfer Protocol) с помощта на
инсталираното Mail приложение (Mail клиент). Пътят на съобщението минава през
SMTP сървър и от там по същия протокол в глобалната мрежа. Пристигащите
съобщения се приемат от POP (Post Office Protocol) сървър, където е разкрита
пощенската кутия за съответния кореспондент. Достъп до пристигащите
съобщения осъществява съответното Mail приложение от локалната машина на
кореспондента чрез извличането им от POP сървъра.

В началото, много сървъри са били онлайн само през нощта за няколко часа. И
пращането и получаването на е-mail не винаги е било лесно. Решението е да се
използва трети сървър, който през цялото време да е "online". Този сървър също е
и backup сървър. И оттогава вече не е толкова важно да си в точното време
онлайн за да вземеш еmail-а. Целият трафик преминава през третия сървър. Това
се нарича Relay. Обикновено за да се използва Relay е нужна аутентикация. Не би
трябвало всеки да има възможност да изпраща поща от своя име през Mailserver.
За съжаление някои Mailserver-и са конфигурирани като “open relay”, което
означава, че всеки може да изпраща поща през него – даже без потребителско



име и парола. И тъкмо това обстоятелство удовлетворява нуждите на спамера.
Той праща спам-пощата до “open relay” сървъра като използва фалшиво име и e-
mail адрес. За получателя изглежда сякаш изпращача има mail акаунт на сървъра.
Ако не използвате пълния e-mail адрес, някои “relay” сървъри автоматично го
допълват. (примерно ако адреса е просто “A” сървъра го допълва до
“A@open_relay”). Обикновено всеки сървър добавя свои собствени хедъри на
“received” и ”send to”, но някои просто ги презаписват. Така не може да се разбере
от къде е минало писмото преди това и от къде е било изпратено и ако се опитаме
да отговорим, най-вероятно ще получим съобщение че няма такъв потребител на
този сървър. Този метод работи отлично с Hotmail.

3.1 Филтри за спам

Спамът е постоянно променящ се проблем, който изисква непрекъснато
динамично изменение на техниките за борба с него. Има няколко основни
политики, като част от тях включват настройки по самите МТА, които да намалят
количеството на получаваните спам съобщения, както и да предотвратят и
препращането на спам от нашия mail сървър. Последната версия на Microsoft
Exchange Server (2003) също има вградени анти-спам механизми.

В sendmail съществуват вградени спам филтриращи механизми:
- конфигурацията по подразбиране е сървърът да не е open relay (след версия
8.9);
- проверки на информацията за изпращача;
- писма се приемат или отхвърлят спрямо адресите в envelope-а (а не в хедърите
на съобщението) като се сравняват с бази от адреси;
- правила за проверка на хедърите на съобщението.

В част от последните версии на MUA също има вградени филтриращи механизми.
Въпреки споменатите възможности на самите МТА и MUA, те често са
недостатъчни за задоволително разпознаване на спам съобщения и затова
основният инструмент за борба със спама са филтрите. Една изключително
семпла техника за филтриране е от определени



изпращачи да не се приема поща.

Най-просто казано, филтърът разделя съобщенията на два вида - такива, които са
спам и такива, които не са. Има много техники за класифициране на съобщенията.
Те могат да бъдат проверени за известни и често срещани в спама думи, за
известни спамерски адреси или дали не са препратени от open relay сървър.
Хедърът, както и тялото на съобщението се проверяват за всяка една от
споменатите характеристики. Друг начин е всички съобщения, които идват от
непознат адрес, да бъдат определяни като спам. Още един начин е, те да се
сравняват с получени на други сървъри спам съобщения. Най-популярната
техника в момента е статистическо филтриране. То включва елементи от
машинно самообучение и като цяло - от изкуствения интелект.
Както вече бе споменато, филтри за спам могат да работят както на сървърната
страна, така и на клиентската страна. И двата вида обаче по-общо могат да се
класифицират на филтри по съдържание и филтри по изпращач.

3.1.1 Основните техники при филтрите по съдържание:

- филтриране по списъци от думи – използват се статично генерирани списъци,
които съдържат думи, чието наличие е предпоставка, съобщението да е спам;

- филтриране на HTML тагове – често тактика на спамерите е да объркват
филтрите като “скриват” съдържанието на съобщенията си в невалидни HTML
тагове и коментари. Такъв вид съобщение изглежда напълно нормално за
читателя, но могат сериозно да заблудят филтъра. Затова добър подход е
филтърът да изважда видимото съдържание от html-a и тогава да извършва
какъвто и да било друг вид филтриране;

- регулярни изрази – в комбинация със списъците от думи те дават наистина
добра възможност за блокиране на спам. Например съобщение, което в Subject-a



си има главни букви, малки букви, интервали, точки, тирета и т.н. “D i F.F e R E
nT”;

- статистически анализ – думите се оценяват с предварително зададен брой
точки, анализът изразява се в оценка на съобщението, получена от точни
съвпадения с думи в писмото с думи, за които съръврът има информация;

- търсене на URL-та, които са включени в съдържанието на е-mail-a и
индикират спам – това често са адреси на рекламни или порнографски сайтове.
Най-често спам съобщенията са кратки, не повече от няколко килобайта, които са
напълно достатъчни за един линк;

- филтри, отнасящи се до езика, на който е написано съобщението –
съобщения на чужд език може автоматично да се приемат за спам и да се
отхвърлят.

- филтри, проверяващи дали хедърите на e-mail-а са съвместими с RFC
стандартите.

3.1.2 Филтри според изпращача

Черни списъци на спамерите- RBL (Realtime Blackhole Lists) са списъци от IP
адреси, които са публикувани от RBL доставчик с цел да информира своите
абонати, че дадени хостове са източници на спам или на open relay.
Съдържанието на такъв списък се публикува и е достъпно онлайн. Всеки mail,
който идва от домейн в този списък, е възможно да бъде веднага отхвърлян. Този
подход е ефективен и до голяма степен може да намали количеството
съобщения, който трябва да се обработват по-нататък от филтрите по
съдържание.Това са някои адреси, които поддържат RBL.



Черни списъци
Локален списък от имена/адреси на домейни, които са често срещани
като адреси, от които се изпращат спам съобщения. Ако освен тази, се поддържат
и други политики за филтриране на спам, и адресът на изпращача на
съобщението бъде открит в черния списък, то това дава значително по-голяма
сигурност при окончателното определяне дали писмото е или не е спам, както и
при вземане на решение за последващите действия; “Кандидатите” за черния
списък се определят, като се вземе под внимание адресът на изпращача в SMTP
хедъра, в комбинация с FROM клаузата на писмото. Често имената на домейните
в двете полета са различни. Спамерите обикновено
използват временни акаунти, което пък ги прави неоткриваеми.
С помощта на черните списъци може още на ниво сървър да бъдат отхвърлени
всички пристигащи съобщения от хост или мрежа. Вероятно е, това да се окаже
много полезно, когато, когато нашата мейл система получава значителни
количества спам от някоя конкретна мрежа. Често по-бързо и по-лесно е да се
блокира самата SMTP връзка, отколкото се настройва firewall-ът да прави това.
При вземане на такова решение трябва да се има предвид, че никакви съобщения
от тази мрежа няма да могат да достигат до нас.
Ако съществуват много МХ записи в DNS-а на нашия домейн, то трябва да сме
сигурни, че всеки от тези сървърите, стоящи зад записите, отхвърля съобщенията
от гореописаните мрежа или хост. В противен случай отхвърлените съобщения
ще бъдат приети от алтернативните mail сървъри.

Бели списъци

Белият списък е списък от имена на домейни или на индивидуални адреси, към
които няма да се прилагат анти-спам политиките, когато съответния домейн/адрес
бъде срещнат като адрес на изпращач. Ако анти-спам политиките често спират и
не-спам съобщения, за които е особено важно да бъдат получени, тогава е добре
да се използва бял списък.



Използването на бял списък има един значителен недостатък – адресите на
изпращача лесно могат да бъдат spoof-нати в SMTP съобщението. Така
ефективно могат да се заобикалят анти-спам политики.

Списъци с адреси за проверка на получателя

Поддръжката им позволяват да се проверяват входящите съобщения спрямо
валидни или невалидни получатели. Не позволява на спамерите да извършват
dictionary атаки за откриване на валидни адреси.

Начини за проверка на изпращача

Една от основните причини спамът да се превърне в толкова голям проблем е, че
често използването на SMTP (за разлика от POP3) протокола не изисква
изпращачът да се аутентикира. Това пък от своя страна много улеснява
изпращането на съобщение от името на друг човек. Възможно е такъв човек да
или пък да не съществува, както е възможно е-mail адресът или да е валиден или
да е невалиден.

RDNS (Reverse DNS) заявката може да бъде използвана за да бъде открито
името на хоста, съответстващо на определен IP адрес. Тази възможност може да
бъде използвана за намаляване на количеството нежелани писма. Правят се
следните проверки:
 прави се RDNS заявка за IP-то на SMTP клиента, за да се провери дали
името на хоста може да бъде намерено;
 прави се RDNS заявка за IP адреса на SMTP клиента, за да се провери
дали той
съответства на името на домейна на SMTP изпращача.



В първия случай е много възможно, конекцията да е направена от спамер, ако той
не може да бъде намерен по DNS. На практика обаче този подход не работи
добре, защото много организации използват различни хостове за изпращане и
приемане на поща. Информацията за хостовете, които приемат поща, е
публикувана в DNS, затова проверките за МХ записите ще бъдат успешни, но не е
необходимо да се публикуват записи за изпращащите сървъри. Хубавото във
втория случай е, че когато адресът на изпращача не съвпада с SMTP името на
клиента е много вероятно съобщението да има подправен адрес на изпращача,
което от своя страна е характерно за спама. Целта е да се направи опит да се
установи, че изпращачът поне изпраща от домейн, за чийто потребител се
представя. Това отново не е особено добра техника, защото някои домейни
изпращат пощата си през сървъри на други домейни (през доставчик). Проблеми,
свързани със закъснения по мрежите и неправилно конфигурирани мрежи или
сървъри също може да стане причина за отхвърляне на истински съобщения от
филтъра. При своята работа всеки филтър трябва да има определен критерий, за
да определя съобщения като спам или пък не-спам (наричат ги понякога ham).
Случва се съобщения, които са ham да имат по-висок индекс за спам, отколкото
истински спам съобщения, както и обратното. Неправилно класифицирани като
спам съобщения се наричат false positives, а пропуснатите спам съобщения –
miss. Теоретично процентът и видът на грешно разпознатите съобщения може да
бъде променен по два начина. По-лесният начин е да се променят критериите.
Например, преди съобщението да бъде определено като спам, то трябва са
съдържа не 10, а 11 или 12 “подозрителни” думи. Така типът на грешките се
променя, но като цяло може да се постигне и намаляване на броя на грешките.
Има лесен начин да се постигне 100% откриване на спам съобщенията, просто
всички съобщения да бъдат класифицирани като спам. Това обаче води до
нежелан страничен ефект - процентът на false positive- ите също ще е 100.



Позволяване на потребителя да вземе решение - Една добра практика е
понякога, в допълнение в всички сървър базирани техники за защита от спам, в
зависимост от съдържанието на писмото организацията да може да избере
различни решения. В случаите, когато съобщението попада в "сивата зона",
получателят трябва да има възможността да вземе крайното решение дали
съобщението е спам. Разбира се, това не трябва да се случва в 100% от
случаите, но всичко зависи тук от самата система.
Съществува и статистика, която измежду 500 спам-съобщения, анализира хедъра
на фалшивите писма. Тя дава трети метод (най-несигурен, обаче) за
идентификация на Интернет боклука.

Спам характеристики %

Получателят не фигурира в To: или Cc: 64%
To: полето липсва 34%
To: полето съдържа невалиден е-майл адрес 20%
No message ID 20%
Подозрително ID 20%
Cc: съдържа повече от 15 получателя 17%
From: е същото като To: полето 6%
Cc: съдържа 5-15 получателя 3%
To: съдържа 5-15 получателя 2%
To: съдържа повече от 15 получателя 1%
Bcc: съществува 0%
To: празно 0%
From: празно или не съществува 0%

Какво се случва със съобщението, когато то бъде класифицирано като
спам?
Обикновено съществуват следните възможности: съобщението може да бъде
изтрито, маркирано или преместено.
- Изтриването на съобщение като цяло не е добра идея, защото винаги
съществува вероятност от false positives.
- В хедъра на съобщението се добява маркировка. SpamAssassin например
поставя маркировка ***SPAM*** в Subject хедъра, по която потребителят лесно
може да се ориентира.



- Подозрителните писма могат да бъдат автоматично премествани в друга
пощенска кутия и да се преглеждат по-рядко, отколкото останалите съобщения.
По този начин се създават допълнителни усложнения и се изразходват
допълнителни ресурси.

3.2 Анти-спам софтуер

Има разнообразни начини да се спре спама. За съжаление няма нито един
перфектен спам-убиец (spam killer) или филтриращ инструмент който да ни
осигури защита от спам.

Някои предпочитат server-side email филтри, които хващат спама преди той да
достигне вашата пощенска кутия. Единствения спорен въпрос относно тези спам
прегради (spam blockers) е, че самите вие (като отделен човек) не можете да ги
настройвате и обикновено не може да видите дали спам преградата спира и email-
и, които не са спам. Задължение на вашия инернет доставчик или мрежов
администратор е да уреди този въпрос.

Втори вариант е да имате софтуеър, който да се изпълнява на вашия домашен
компютър и да помага с филтриранането на спама. По този начин можете да се
уверите че филтъра блокира истинския спам и не важните email-и. Недостатък е
че все още трябва да се свали цялата поща.

Трети вариант е да се използва third-party системa която си служи с challange
система. В основни линии, всеки път когато някой ви прати mail, той трябва да
отиде на специален website (web страница) и да потвърди че ви познава. Това е
чудесен начина да се спрат спамерите. Можете също да го нагласите да
позволява на всички от address book-a (книгата с адреси) да ви праща email.

На следващата страница са разгледани и описани няколко примера за анти-спам
софтуер.



 SpamBayes използва сложен анализ с помощта на Бейс статистики, за да
отърве Вашата електронна поща от нежелани съобщения по прецизен и без
усилия начин.

Характеристики Предимства Недостатъци
1. SpamBayes филтрира спам в SpamBayes точно и SpamBayes не може да
POP и IMAP имейл акаунти и се ефективно открива класифицира или
включва директно към Outlook и спам. приоритизира
Mozilla Thunderbird. нормалните съобщения.
2.POP проксито добавя Благодарение на Найстройката може да
класифициращ хедър, който POP прокси и IMAP бъде малко проблемна
програмата за електронна поща модул, SpamBayes за имейл програми, в
може да използва, за да работи с повечето които SpamBayes не
премести входящи нежелани имейл акаунти. може да се включи
съобщения, чрез използване на директно.
правило.
3. За да се обучи SpamBayes, Лесни за
можете да използвате уеб използване plug-ins
интерфейс или да препратите за Outlook и Mozilla
нежеланото съобщение към Thunderbird са на
специален SpamBayes адрес. разположение.



4. С IMAP акаунти, SpamBayes
движи спама право към сървъра.
За да тренирате филтъра,
можете също да преместите
съобщенията.
5. В Outlook и Mozilla Thunderbird,
можете да използвате лентата с
инструменти да се обучават
SpamBayes.
6. Outlook може да бъде
конфигуриран да показва на спам
SpamBayes вероятността в
пощенската кутия.
7. SpamBayes може да покаже
подробен анализ за всеки имейл.

8. SpamBayes поддържа Windows
98/ME/NT/2000/3/XP/Vista.

 POPFile е мощна и гъвкава POP имейл класификация и NNTP прокси, които
можете да използвате, за да филтрирате спама ефективно и да
категоризирате нормалната поща автоматично.



1. POPFile е автоматичен POPFile филтрира Липсва помощна
класификатор на електронна пощата по програма за
поща и инструмент за изключително гъвкав почистване и
филтриране на спам с общо начин. оптимизиране на
предназначение. POPFile данните.
2. Като POP прокси, POPFile Достоверно POPFile заема доста
работи прозрачно между Вашия класифициране и спам от паметта на
имейл клиент и сървър за филтриране чрез компютъра.
електронна поща. използване на Бейс
статистиката
3. Можете да използвате POPFile POPFile работи Работи най-добре
с IMAP акаунти, като входящ безпроблемно като само за един
SMTP филтър или за NNTP POP и NNTP прокси и потребител.
новини. може да се контролира
чрез уеб интерфейс
4. POPFile използва
статистическият анализ на Бейс,
за да класифицира входящите
съобщения в категории,
дефинирани от потребителя.
5. Може да се използва
съществуващата поща да обучи
POPFile и тя се учи със всяко
ново входящо съобщение.
6. Има лесен за използване уеб
интерфейс при POPFile
настройка и обучение.
7. Игнорира определен HTML код
и дефинирани от потребителя
думи, използва псевдо-думи, за
да съхрани мета информация.



8. POPFile поддържа Windows
9x/ME/NT/2000/3/XP/Vista/7, Mac
OS X, Linux, BSD, UNIX.

 BullGuard Spamfilter се поставя в Outlook, Outlook Express и Mozilla
Thunderbird да филтрира спама много ефективно и без много усилия от страна
на потребителите.

1. BullGuard филтрира нежелана Филтрира нежелана Не работи като
поща в Outlook, Outlook Express, поща доста ефективно, прокси или
Windows Mail и Mozilla без много поддръжка. самостоятелно
Thunderbird. приложение с никоя
програма за
електронна поща.
2. Входящ спам от POP акаунти Интеграцията с Outlook, IMAP акаунти не се
автоматично се подава в папката Outlook Express и филтрират дори и в
за нежелана поща. Mozilla Thunderbird поддържаните
прави BullGuard лесен програми за
за използване електронна поща
3. Използва своята
потребителска общност за да
идентифицира спам.
4. Има удобни "Това е спам" и
"Това не е спам" бутони, които



позволяват да се поправят
грешките и да се декларира
нежеланата поща.
5. Включва бели и черни
списъци, за да се даде дава и
отстранява достъп на изпращачи
6. Бялият списък може да бъде
запълнен с контакти от
адресната книга и адреси от
изпратените имейли.

7. Преглежда изходящата поща
за нови контакти и може да се
добави към белия списък Cc:
получателите на нормална поща

8. Поддържа Windows
98/ME/2000/XP/Vista.

 MailWasher Pro е високо компетентнен, достъпен, сигурен и спестяващ време
инструмент за филтриране на спам. Чрез комбиниране на множество подходи,
MailWasher Pro постига солиден процент за откриване на спам и ви предпазва
от вируси до известна степен.



1. MailWasher Pro е филтър за MailWasher Pro може да MailWasher Pro не
нежелана поща за POP, IMAP, филтрира спама може да
MSN, Hotmail и AOL имейл коректно като използва категоризира и
акаунти. статистически данни и приоритизира
черно / бели списъци нормалната поща.
2. Може да се провери, Поддържа POP и IMAP Пощата не може да
безопасно да се прегледа и акаунти, както и се разглежда, да се
изтрие поща в сървъра. Hotmail, MSN и AOL. скрива или групира
по статус.
3. Използва мощни базирани на Не предлага POP и
правила и статистиката на Бейс IMAP прокси
филтри за откриване на спам. филтриране.
4. Като допълнителна опция,
MailWasher Pro проверява
FirstAlert! общностно-
ориентирана база данни на
известният спам.
5. Всяко спам съобщение,
изпратено на FirstAlert! се
проверява, така че неверни
положителни резултати са
практически невъзможни.
6. Филтърът, използван от
MailWasher Pro се обучава с ново
всяко съобщение.

7. Лесно може да се подаде спам
от MailWasher Pro към Blue
Security за активно възпиране.



8. MailWasher Pro поддържа
Windows
9x/ME/NT/2000/3/XP/Vista.

 Spamato 0.99 филтрира POP и IMAP акаунти за спама с потенциал за висока
точност и плъгини, които го правят лесен за използване в Outlook и Mozilla
Thunderbird.

1. Spamato филтрира POP и Филтрира спама Множеството от
IMAP акаунти като прокси услуга прецизно като използва опции, статистики и
за всяка програма за електронна множество стратегии. опции за промени
поща. могат да объркат
потребителите.
2. Включва се в Outlook и Mozilla Включва се в Outlook и
Thunderbird за по-лесно Mozilla Thunderbird, но
конфигуриране и експлоатация. също така работи като
прокси други програми
за електронна поща
3. Съчетава местен Bayesian Може да се променя,
филтър с общностни филтри, разширявя и
търсещи характеристики на конфигурира по
съобщения и лоши връзки. желание на
потребителя.



4. Ако не се използва като плъг-
ин, Spamato се контролира
дистанционно, ако е необходимо,
чрез уеб интерфейс.
5. Чрез IMAP акаунтите, Spamato
премества нежеланите
съобщения в специална папка,
което заедно с папката
"Входящи" може да се използва
за обучение на програмата.
6. Spamato поддържа Windows
2000/XP/Vista, Mac OS X и Linux.



4. Заключение

И накрая, няколко думи за това как спамерите все пак стигат до електронните
адреси. Източниците на адреси за спамерите са няколко: нюзгрупи, в които
обикновено потребители "новаци" оставят истинските си електронни адреси.
Самият интернет - има огромно количество сайтове и спамерите създават
търсачки (spambots), които ги претърсват за наличието на знака "@", който е
сигнал за присъствие на елекронен адрес. Друг източник са сайтове,
създадени специално, за да събират адреси. Популярна практика от миналото
е "Win $1 million!!! Just type your e-mail address here!".

Вероятно най-разпространения начин е dictionary претърсване на големи e-mail
хостинг компании като MSN. AOL или Hotmail. При dictionary атака се използва
софтуер, който се свързва към мейл сървър и “се преструва“, че иска да
изпраща до множество произволно генерирани адреси. След това този
софтуер записва кои адреси са валидни и ги добавя в списъка на спамера.
Този списък най-често бива препродаван и на други спамери.

Затова - бъдете внимателни къде оставяте електронния си адрес. Не го
публикувайте на широко достъпни места или ако това се налага - използвайте
формат, подобен на този:

my_address_AT_ my_domaiп,

не отваряйте подозрителни писма, защото така може да потвърдите
съществуването на вашия е-mail адрес и използвайте филтри за защита.



5. Използвана литература

1. http://en.wikipedia.org/wiki/Spam_(electronic)
2. http://www.iseca.org/
3. http://www.ripandscam.com/types-of-spams.php
4. “Anti-Spam Tool Kit”– Paul Wolfe, Charlie Scott, Mike Erwin
5. http://email.about.com/od/windowsspamfightingtools/tp/anti-spam.htm
6. http://spamlinks.net/


Spam определение, класификация и защита от spam

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Spam определение, класификация и защита от spam

Similar to Spam определение, класификация и защита от spam (20)

Spam определение, класификация и защита от spam