Techniky boje proti nevyžádané poště

V tomto článku bych se chtěl zaměřit na různé metody ochrany:

1. whitelist/blacklist
2. challenge-response
3. tagged message delivery
4. rozpoznávání obsahu
5. bayesianská statistická metoda

Metody založené na seznamech (whitelist, blacklist) fungují tak, že si udržují seznamy řetězců, které porovnávají s emailovou adresou odesílatele, a na základě příslušnosti k seznamu povolených nebo zakázaných adres poštu buď doručí, nebo odmítnou (případně zahodí). U této metody je nutné poznamenat, že je v podstatě nepoužitelná, protože velká část spamu chodí buď z velkých domén typu hotmail.com nebo yahoo.com, případně jsou adresy odesílatelů náhodně voleny ze seznamu, který mají spammeři k dispozici.

Challenge-Response metody využívají toho faktu, že za většinou legitimních emailů sedí člověk, který zvládne reagovat na podnět ze strany příjemce. Na základě příchozího emailu je systémem vygenerován email, ve kterém je po odesílateli žádáno potvrzení původního emailu. Tyto systémy jsou většinou kombinovány s whitelist/blac­klist metodou – po úspěšném potvrzení prvního emailu je odesílatel přidán do whitelistu a při další komunikaci již po něm ověření není požadováno. Tato metoda však trpí falšováním hlaviček odesílatele, kde dochází k sekundárnímu obtěžování nezúčastněných třetích stran ve chvíli, kdy si jejich adresu spammer uvede jako zdroj hromadných emailů.

Metody označkované adresy (tagged address) používají formát adresy, který obsahuje speciální značku, na základě níž je určena legitimnost emailu. Značky mohou záviset na:

• čase – email má platnost jen po určitou dobu
• odesílateli – jen určený odesílatel může na tuto adresu zasílat poštu, vhodné pro emailové konference
• klíčovém slově – fungují, dokud chcete, vhodné pro adresy zadávané do webových formulářů. Ve chvíli, kdy na tuto adresu začnete dostávat spam, ji jednoduše zahodíte.

Metody založené na rozpoznáváním obsahu využívají toho, že spammeři potřebují světu sdělit nějaký, většinou velmi podobný obsah. Pokud byste k vaší poště posadili živého člověka, aby odmazával nevyžádané zprávy, neměl by s tím větší problémy. Zautomatizovat tuto činnost už tak snadné není. Jednoduchá varianta této metody je sada pravidel ve vašem poštovním programu, na základě kterých se například odmazávají zprávy, jež mají ruské kódování nebo obsahují slova „Dear Friend“. Složitější metody mají takovéto pravidla již nadefinována v sobě. Pracují na základě ohodnocení jednotlivých příznaků číselnou hodnotou. Jako spam jsou označeny pouze zprávy, jejichž ohodnocení překročí určitou mez. Tak se stane, že vás může např. vaše anglická kamarádka oslovovat „Drahý příteli“ a vy přesto takovou zprávu dostanete.

Bayesianská statistika je v současnosti nejoblíbenější a zároveň nejúspěšnější používanou metodou boje proti nevyžádaným zprávám. Tuto statistickou metodu navrhl v 18. století Thomas Bayes a slouží k určení pravděpodobnosti budoucích jevů na základě již shromážděných vzorků s tím, že každý další vzorek přispívá k bližšímu učení. Výsledky metody se tak na základě vzrůstajícího množství vzorků vylepšují. Implementace pro klasifikaci pošty fungují tak, že se na základě slov z existujícího vzorku normálních a nevyžádaných emailů vytvoří databáze pravděpodobností, že email obsahující toto slovo je spam. Když přijde nový email, tak se rozdělí na slova a na základě těchto slov se určí, zdali je email vyžádaný, či ne (spam). Po určení skupiny jsou na základě nového emailu poopraveny hodnoty pravděpodobností v databázi a další podobný email bude lépe kategorizován. Díky tomu nemusíte ručně procházet nevyžádané emaily a pozorovat jejich vlastnosti. Bayesianský filtr si sám povšimne, že slovo ‚cash‘ se často vyskytuje v nevyžádaných emailech, což vám jistě přijde samozřejmé, ale slova jako ‚modalities‘ (vyskytuje se ve velké části nigerijských spamů) nebo ‚ff0000‘ (html barva pro jasně červenou) již snadno přehlédnete. Filtry používající tuto metodu jsou velmi efektivní, ukazuje se, že i nejjednodušší statistické filtry dokážou po zaučení odchytávat 99 % veškerého spamu, ty lepší se dostávají až na 99.8 %. Vzhledem k tomu, že tato metoda se nezaměřuje pouze na analýzu špatných slov, ale i těch dobrých, dosahuje výborných výsledků i na poli falešných poplachů, tedy zpráv, které jsou legitimní, ale jsou označeny jako nevyžádané. Toto je pro uživatele mnohem horší, než když mu do schránky dorazí nevyžádaný email, proto je potřeba této problematice věnovat velkou pozornost.

Použitím statistických filtrů (a samozřejmě přísnou politikou správců poštovních serverů) by se časem mohlo podařit tento nešvar současného internetu omezit, případně vymýtit. Co spammery hlavně zajímá, je počet reakcí na jejich emaily. Pokud se podaří snížit na minimum počet nevyžádaných emailů, které budou doručeny do uživatelovy schránky, klesne i počet reakcí na tyto emaily. Pak pro spammery přestane být jejich obchod výnosný a časem od něj možná upustí.

V dalším dílu se zaměříme na praktické ukázky konfigurace antispamových prostředků.

Zajímavé čtení k tématu boje proti nevyžádané poště (anglicky):

• www.paulgraham­.com/spam.html
• www.paulgraham­.com/better.html
• www.paulgraham­.com/wfks.html

Software používající metodu označkované adresy:

• tmda.sourcefor­ge.net

Software používající metodu rozpoznávání obsahu:

• www.spamassas­sin.org (filter)

Software používající bayesianskou statistickou metodu:

• popfile.source­forge.net (POP3/IMAP proxy)
• bogofilter.sou­rceforge.net (filter)
• spamprobe.sou­rceforge.net (filter)
• www.mozilla.org (Mozilla Mailer)
• www.spamassas­sin.org (filter)