AntiSpam home
Novinky
Podstata problému
Informace, články
Názory na spamming
Návody - jak se bránit spammingu
Odhlašování
Stížnosti
Filtrace
Pro správce sítí
Kudy cesta nevede
Další odkazy
Diskusní fórum ke spammingu
Černá listina
Další informační zdroje
Navrat (nahoru) Spamming: Návody AntiSpam Home
odhlašování | stížnosti | filtrace | pro správce | co nedělat | odkazy
Pro správce:

Pro obranu před spammingem je k dispozici množství různých nástrojů. Hned v úvodu je potřeba zdůraznit, že pro obranu nejsou důležité pouze samotné techniky blokování příjmu spamu, ale poněkud širší množina, která zahrnuje:

  • prostředky pro blokování příjmu spam zpráv
  • prostředky pro zastavení již spuštěného/probíhajícího spamu
  • prostředky pro zaznamenání (včetně vypátrání identity odesílatele) již proběhlého spamu
  • technická dokumentace a znalost prostředků využívaných autory spamu
  • pokusy/metody o zatajení (osobních) adres před autory spamu

 

Prostředky pro blokování spamu

Prostředky pro blokování spamu je možné rozdělit do tří oblastí.

 

Blokování na úrovni síťového protokolu IP

Pokud jsou známé IP adresy autorů spamu, je možné znemožnit komunikaci mezi těmito adresami a adresami Vaší sítě (ať už koncového uživatele nebo ISP). Je možné zakázat komunikaci úplně nebo pouze pro vybrané služby. Přesto je tato metoda spíše "hrubšího zrna", protože nedovoluje omezovat komunikaci podle obsahu přenášených dat (např. podle jména odesílatele zprávy nebo jiné charakteristiky).

V zásadě je potřeba změnit směrovací tabulky na směrovačích. Podle rozsahu je možné zvolit jeden z přístupů (seřazeno sestupně podle rozsahu důsledků):

  • BGP (Border Gateway Protocol)

Tento způsob může použít pouze provozovatel autonomního systému (nejčastěji tedy větší ISP). Umožňuje ochránit před spamem celý autonomní systém. Změna v konfiguraci BGP bude mít však větší důsledky něž jen ochranu před spamery - znemožní veškerou komunikaci s autonomním systémem, ze kterého pocházejí spameři. Zvolit tuto metodu doporučujeme pouze po důkladném zvážení.

  • Filtrování na směrovačích

Umožňuje provést mnohem selektivnější filtrování komunikace a proto umožňuje přesněji odfiltrovat nevyžádaný provoz. Je možné zakázat komunikaci mezi sítí (nebo i jedním uzlem) spamerů a Vaší sítí anebo zakázat pouze komunikaci určeným protokolem mezi  síti (nebo i jedním uzlem) spamerů a Vaší sítí.

Na směrovačích nebo směrujících uzlech/serverech se k této funkci používají rozšířené směrovací tabulky (tzv. filtrovací tabulky) tvořené pomocí access-listů (seznamů povolených/nepovolených paketů).

  • Filtrování na serverech/uzlech

Na konkretních serverech je možné využít prostředků pro filtrování anebo samotného směrování pro odstranění nežádoucí komunikace. V případě použití filtrování je možné provést selekci komunikace, v případě změn směrování se zakazuje celá komunikace z daných IP adres.

Prostředkem pro filtrování může být například v prostředí operačního systému Linux příkaz ipfwadm, který umožňuje nastavit zahazování paketů podle definovaných filtrovacích pravidel.

ipfwadm -I -a deny -S 2.3.4.0/24 -D 0.0.0.0/0

Úpravu směrování lze provést například příkazy

route add -host 2.3.4.0 gw 127.0.0.1
route add -net 2.3.4.0 gw 127.0.0.1 netmask 255.255.255.0

které znemožní komunikovat Vašemu systému se spamerským uzlem s adresou 2.3.4.0.

  • TCP wrapper

Použití TCP wrapperu na unixové platformě umožňuje blokovat/povolovat provoz vybraných aplikací v závislosti na IP adrese odesílatele (žadatele o službu). Použití TCP wrapperu se podobá filtrování paketů na směrovačích, ale navíc umožňuje další funkce, jako například vedení žurnálových (logových) souborů se statistikou o provozu. Při použití TCP wrapperu pro omezení zasílání elektronické pošty (protokolem SMTP) se nemusí vždy dosáhnout kýženého cíle - viz odstavec o Blokování e-mailových zpráv.

TCP wrapper používá konfigurační soubory (/etc/hosts.allow, /etc/hosts.deny), které v následujícím formátu umožňují definovat pro jednotlivé uzly/domény povolení/zakázání určité služby, případně další akce.

service : badsite.com .badsite.com : DENY

 

Blokování e-mailových zpráv (zasílaných protokolem SMTP)

Blokování spamu ve formě e-mailových zpráv lze provádět několika způsoby. Všechna řešení jsou však pokusem o odstranění nežádoucích zpráv a zatím neposkytují (a vzhledem ke stavbě protokolu SMTP ani v blízké budoucnosti asi nebudou) stoprocentní ochranu za současného splnění podmínky, že pro ne-spamový mail fungují běžným způsobem.

Filtrování e-mailu lze provádět podle IP adresy fyzického odesílatele (tj. v rámci SMTP spojení) nebo podle obsahu zprávy (tj. podle údajů v hlavičce zprávy nebo podle vlastního obsahu). V prvním případě je potřeba aplikovat ochranné prostředky přímo na MTA (message trasnfer agent, tj. modul, který se stará o doručování pošty). Ve druhém případě je potřeba aplikovat ochranné  prostředky na UA (user agent, tj. modul, který slouží pro zpracování/čtení zpráv uživatelem). První varianta se většinou opírá o existenci tzv. blacklistu (černé listiny), což je seznam IP adres, resp. uzlů/domén, odkud spameři odesílají spamové e-maily. V druhé variantě je možné kromě blacklistu používat také heuristické metody otipování spamového mailu pomocí slovníku frekventovaných slov/výrazů, které se vyskytují především ve spamových zprávách.

  • TCP wrapper a např. SMAP/SMAPD

TCP wrapper umožňuje definovat uzly, ze kterých je přijímání e-mailu protokolem SMTP zakázáno. Nabízí se také použití prostředků SMAP/SMAPD, které realizují bezpečné přijímání e-mailu namísto standardního démona sendmail. (Ve starších verzích sendmailu byly objeveny bezpečnostní díry, které bylo možné využít zadáním příslušných sekvencí v protokolu SMTP. Kombinace démonů SMAP a SMAPD řeší tento problém rozdělením přijímání pošty do několika oddělených fází tak, že samotne přijímání zprávy ze sítě provádí výrazně jednoduchý proces SMAP, který neobsahuje žádné bezpečnostní problémy.)

Obdobnou variantou je také použití jiných MTA namísto nejrozšířenějšího sendmailu, např. systém qmail apod.

Obecným problémem při odmítání SMTP komunikace z vymezených IP adres je možnost nechtěného přerušení dodávky i například chtěných zpráv. Situace se komplikuje také systémem relay-ování e-mailu v Internetu obecně. Implicitně totiž většina SMTP uzlů funguje jako relay brána pro jakoukoliv zprávu, tzn. že je možné daný uzel využít jako meziskok při doručování libovolného  e-mailu. Toho můžou spameři využít - provedou rozeslání hromadné zprávy za pomoci náhodně vybraného SMTP uzlu, který umožňuje relay zpráv.

Cílem je tedy aplikovat taková opatření, aby k tomuto jevu nedocházelo, resp. funkce relay u SMTP uzlů byla používána pouze u oprávněných případů. Oprávněné případy jsou uzly, které jsou definovány jako sekundární záložní mail servery (backup mail servery) nebo brány zprostředkovávající výměnu e-mailu mezi např. privátní sítí a Internetem. Tyto oprávněné případy lze poznat podle konfigurace DNS, kde jsou uvažovaného uzly uvedeny ve formě MX záznamů pro jistou doménu nebo uzel. O této konfiguraci by měl v každém případě vědět administrátor uvažovaného uzlu.

  • Úpravy sendmailu

Existuje několik postupů, které umožňují nakonfigurovat sendmail tak, aby odmítal zprávy ze serverů spamerů. Definice serverů spamerů se provádí pomocí blacklistu (pouze převedeného do vnitřní podoby pro sendmail). Druhou změnou v konfiguraci je vytvoření pravidel pro povolení funkce relay pro vybrané domény (opět se definuje seznam domén, který se převede do vnitřní podoby pro sendmail).

Oficiální konfigurační změny a podpora anti-spamových úprav sendmailu je k dispozici od autora sendmailu na této adrese http://www.sendmail.org/antispam.html.

Popis jiných metod nastavení MTA (sendmailu, apod.) je k dispozici na adrese http://spam.abuse.net/tools/mailblock.html.

Některé metody umožňují nastavení, při kterých se nevyžádaná zpráva odesílá zpět na uzel odesílatele. V případě odmítnutí zprávy (obsah zprávy je typicky zahozen) může ještě MTA signalizovat uzlu odesílatele (v rámci protokolu SMTP), že funkce relay není podporována.

  • Řešení na úrovni UA

Řešení na úrovni UA, tj. modulu, který slouží pro zpracování/čtení e-mailových zpráv uživatelem, umožňuje odstranit, příp. odfiltrovat stranou (do jiného folderu) nevyžádané zprávy. Při vyšším stupni filtrování může docházet i k odfiltrování běžných zpráv (systém detekce spamových mailů je přeci jen spíše heuristický pokus), doporučuje se "vadné" zprávy nemazat ale přesouvat do jiného folderu, kde můžou být zpětně dohledány v případě dodatečného zjištění ztráty zprávy.

Filtrování příchozích zpráv se může odehrávat při doručování zprávy do lokálního mailboxu (schránky) uživatele anebo až při aktivním čtením (zpracováním mailboxu) uživatelem. V obou případech je možné aplikovat filtrovací pravidla v závislosti na obsahu zprávu (podle údajů v hlavičce nebo ve vlastní zprávě). Filtrovat pomocí blacklistu (seznamu uzlů/domén používaných spamery) lze na základě údajů v položkách Received v hlavičkách zpráv.

Odfiltrovat je také možné podezřelé zprávy, které jsou doručeny do mailboxu ve více exemplářích.

 

Blokování spam příspěvků v Usenetu

Záleží na konkrétním použitém systému - ve všech případech lze v konfiguraci systému definovat jména uzlů/domén, ze kterých budou příspěvky odmítány. Více informací zde.

 

Další informace v anglickém jazyace je možné najít na adrese http://spam.abuse.net/.
Sepsal: Josef Chomyn, e-mail: Josef.Chomyn@telenor.cz, Telenor Česká republika s.r.o.
Poslední aktualizace: 30. listopadu 1997

Víte-li o nějakém řešení či opatření na ochranu proti spammingu, o kterém se zde nezmiňujeme, dejte nám vědět.
infoadmin@antispam.cz