Spam - támadás felhasználók és rendszergazdák ellen

Átírás

1 Spam - támadás felhasználók és rendszergazdák ellen Tartalom Pásztor Miklós, MTA SZTAKI/ASZI Az 1998-ban a Networkshop konferencián elhangzott elõadás (folyamatosan) javított változata * Mi is a spam? Mi a baj a spam-mal? Milyen "megoldást" javasolnak a spamküldõk? Hogyan mûködik a levelezés az Interneten? Reverse spam Mit tesznek a spam ellen? A védekezés módjai Relay megtiltás Spam szûrõk Fekete listák Valósidejû spam blokkolás RBL (Realtime Blackhole List) ORBD, RSS és egyéb spamforrás-listák Dialup felhasználók listája Végfelhasználók környezetének konfigurálása Álcímek Fehér listák Spam ellen jól konfigurálható levelezõ szerverek Spam ellenes lépések levelezési listákon Spam küzdelem hírcsoportokban Mit tehetünk mi? Spam kisszótár Néhány kapcsolódó hely az Interneten Mi is a spam? Az Internet egyik áldása, hogy felhasználók ezreihez, sõt millióihoz juttathatunk el információt könnyen és gyorsan. Ez éppen az Internet egyik vonzereje: levelezési listák, hálózati hírcsoportok szolgálják azt a célt, hogy ismeretlenül is eszmét cseréljenek, kapcsolatot teremtsenek egymással a "hálózati polgártársak". Azonban ezzel a lehetõséggel vissza is lehet élni: halbiológiai témájú levelezési listára is lehet olyan közleményt küldeni, mely szerint: "jó állapotú, 10 éves Zsiguli eladó". Néhány évvel ezelõtt egyre több levelezési listán jelentek meg oda nem illõ üzenetek. Attól sem riadtak vissza a szemtelen levélírók, hogy egyetlen mozdulattal tucatnyi különbözõ levelezési listára küldjék el - legtöbbször hírdetést tartalmazó -, oda nem illõ üzenetüket. Az ilyesfajta kéretlen, nem kívánt, nagy tömegben küldött elektronikus üzenet a spam. (A név konzerv löncshúst jelent, és egy angol komikus film alapján lett a "ránkerõltetett izé" neve). Kezdetben szokás volt levelezési listákon válaszolni a spam küldõjének. Általános vélemény volt, hogy ha a lista olvasói közül sokan írják meg, hogy helytelenítik a listára nem illõ, kéretlen levelet, az megteszi hatását. Manapság spam levélre válaszolni többnyire reménytelen vállalkozás, mert a feladó rendszerint hamisított. Nem csak levelezési listák és hírcsoportok váltak spam célpontokká. Az Interneten könnyûszerrel be lehet gyûjteni levelezési címeket pl. levelezési listák archívumából, web lapokról, hírcsoportokból. Ilyen címgyûjteményeket azután - ahhoz hasonlóan, ahogy az a papír levélnél használatos - reklámlevelek küldésére lehet használni. Akadnak olyanok is,

2 akik kifejezetten tömeglevelezõ programokat fejlesztenek, ilyen címlistákat árulnak, és éppen abból kívánnak üzletet csinálni, hogy hirdetõk leveleit juttatják el felhasználók millióihoz. Némelyek úgy vélik, hogy nincs ebben semmi rossz, ez éppen olyan, mint az ingyenes reklámújság. Az Interneten nagyon sok személyes információ gyûjthetõ be. Egy fajta jellemzõ spam olyan szolgáltatást ígér 25$-ért, ami kideríti az Internetrõl bárki kedvese, gyerekei nevét, lakása árát, autója színét, iskoláit, munkahelyeit, a web lapokat, amiket néz, levelezõpartnerei nevét, címét stb. Vannak olyan spam terjesztõ vállalkozások, amik a felhasználók egy bizonyos körét célozzák éppen ilyen, a hálózaton nyert információk felhasználásával, vagy azt ajánlják, hogy bizonyos szempontok szerint válogatott elektronikus levélcímeket bocsátanak a spam küldõ rendelkezésére, például csak egyetemisták, csak orvosok vagy politikusok címgyûjteményét. Mi a baj a spam-mal? A spam nem ingyenes Mivel a spam küldõje rendszerint nem fizet kifejezetten 1-1 levél elküldéséért, az a látszat, hogy a spam ingyenes. Ezt az ingyenességet azonban ahhoz lehet hasonlítani, mint amikor valaki az építkezési sittõl úgy szabadul meg, hogy nem pénzért szállíttatja el, hanem lerakja közterületen: a költség megjelenik, csak nem a küldõt terheli. John Quarterman, a "Matrix" címû klasszikus hálózati kiadvány atyja kiszámolta, hogy ha csak a kéretlen levelek kitörlésére fordított idõveszteséget számítjuk és a legszerényebb módon, akkor ez is napi 350 ezer, évi 87 millió dollár veszteség! A spam pazarolja, sokszor megbénítja a hálózati és számítástechnikai erõforrásokat. Elõfordult, hogy egy-egy szolgáltatógép órákra megbénult a rázúdított spam miatt. Nem beszéltünk még az adatátviteli vonalak terhelésének költségérõl, a diszkhasználatról, vagy arról, hogy sokan minden egyes vett levélért fizetnek. A spam tönkreteheti az Internet kommunikációt Az utóbbi idõben annyi a kéretlen, bosszantó üzenet sokak levelesládájában és a usenet csoportokban, hogy sokan egyszerûen inkább nem használnak drótpostát, nem olvasnak hírcsoportokat. A tapasztalat az, hogy - mint sok más is az Interneten -, a küldött spam-ek száma exponenciálisan nõ. Ha nem teszünk semmit a spam ellen, akkor hamarosan használhatatlanná válik az elektronikus levelezés az Interneten. Milyen "megoldást" javasolnak a spamküldõk? A tiltakozások nem hatják meg a spamküldõket, õk inkább különféle megoldásokat javasolnak arra, hogy mit tegyenek a többiek, ha spam levelet kapnak. A legismertebb érvek közül az egyik, hogy a spam levelek végére általában odaírják "Press Replay and Type Remove", vagyis válaszlevelet küldjünk, aminek a Tárgy mezejébe írjuk be a "Remove" szót. Ez az érv sok sebbõl vérzik: elõször is miért kell egy olyan listáról töröltetni magunkat, ahova nem jelentkeztünk. Ha jobban belegondolunk, akkor evvel a módszerrel kéretlen levelek száma közel megduplázódik. Arról nem is beszélve, hogy a listáról - a kérés ellenére - sem mindig törlik az címet. Gyakran hamisított a feladó címe, akkor pedig hiába a válaszlevél. Ehhez hasonló az a javaslat, hogy küldjük vissza az ilyen leveleket. Az eredménye az lehet, hogy a levelezési szolgáltató gépe - és nem a feladó - annyi üzenetet kap egyszerre, hogy egyéb szolgáltatásait nem tudja végezni (ún. Denial of Service jellegû támadás). További javaslat szokott lenni, hogy aki nem akarja olvasni a spam-et, alkalmazzon szûrést (szûrésrõl késõbb részletesen lesz szó) a saját gépén, alkalmazzon szûrést a szolgáltató stb. Mivel a spam-ek száma napról napra nõ, ez azt jelenti, hogy a felhasználó illetve a szolgáltató gépének egyre több idõt kell arra szánnia, hogy az üzenetekbõl a szemetet kiválogassa. Sajnos, a szûrés nem lehet tökéletes, tehát a címzettnek még így is bõven jut a "kézi" törlésbõl.

3 Hogy jobban megérthessük, hogyan is terjed a spam, és mit tehetünk ellene, szükséges ismernünk a levéltovábbítás Interneten használatos protokollját. Hogyan mûködik a levelezés az Interneten? Az internetes levelezés két pillére az RFC821 és RFC822. Az RFC822 írja le a levél fejrész formátumát, az RFC821 pedig az SMTP protokollt. Ez az a szabályhalmaz, ami levéltovábbításra szolgál két levelezõgép közt. E beszélgetés elemeit szokták elektronikus borítéknak is nevezni. Egy példán szemléltetjük a mûködést. A hívott gép üzeneteit aláhúzás különbözteti meg: 220 helka.iif.hu IC 122 PP 122 Here - Pleased to meet you HELO HUGBOX.SZTAKI.HU 250 helka.iif.hu: HUGBOX.SZTAKI.HU looks good to me MAIL FROM:< @usa.net> 250 OK RCPT TO:<h12184sch@ella.hu> 250 Recipient OK. DATA 354 Enter Mail, end by a line with only '.' Received: from tas.vain.hu by HUGBOX.SZTAKI.HU (MX V4.1 VAX) with SMTP; Mon, 29 Sep :44:26 gmt+1 Received: from mos.vain.hu (root@mos.vain.hu [ ]) by tas.vain.hu (8.8.5/8.8.5) with SMTP id BAA29005 for <h12184sch@ella.hu>; Tue, 30 Sep :43: Received: from csrlink.net (sallybrown.csrlink.net) by mos.vain.hu (5.x/SMI-SVR4) id AA15758; Mon, 29 Sep :43: Received: from (ad compuserve.com [ ]) by csrlink.net (8.8.5/8.8.5) with SMTP id RAA11806; Mon, 29 Sep :32: (EST) Date: Mon, 29 Sep 97 16:38:23 EST To: Friend@public.com From: @usa.net Subject: Let's talk dirty. Message-ID: <> LAUNDRY!!! $20,000,000 (Million) IN SALES In Just (5) Months!!! HELP...WE NEED MORE DEALERS!! Megfigyelhetjük, hogy az SMTP beszélgetés elején a két partner kölcsönösen "bemutatkozik". Tudnunk kell azonban, hogy a hívó domain neve a "HELO" üzenetben hazugság is lehet. Ezért - különösen a spam ellen felvértezett - levelezõ szerverek nem a bemutatkozó nevének, hanem az IP címe alapján kapott névnek "hisznek". Figyeljük meg a "MAIL FROM:" és a "RCPT TO:" protokollelemeket. Ezek az elektronikus boríték "feladó" illetve "címzett" elemei. Az SMTP szabvány megengedi, hogy a "RCPT TO:" ne csak olyan címet tartalmazzon, ami a felhívott levelezõgép domain-jába tartozik, hanem lehet tetszõleges cím. A hívott levelezõgép aztán a saját konfigurációjának megfelelõen továbbítja az ilyen címekre is a levelet. Fontos tulajdonsága még a "RCPT TO:" elemnek, hogy elvben akárhány lehet belõle. Ezekkel a tulajdonságokkal élnek vissza a spam küldõk. Legtöbbször nem a saját gépeiket használják a levelek szétküldésére, hanem ugródeszkaként óvatlan rendszergazdák által karbantartott gépeket használnak, amik a spam áradat elõtti idõknek megfelelõen vannak konfigurálva, és nyílt levelezési átjáróként (open mail relay) hajlandók mûködni. Az ilyen nyílt relék ön- és közveszélyes eszközök:

4 spam küldõk teljesen lebéníthatják a levelezõ szerver, a környezõ hálózat mûködését, és a szerveren keresztül más gépek és felhasználók ezreit bombázzák küldeményeikkel. A borítékon szereplõ feladó, a "MAIL FROM:" elem rendszerint nem látszik a címzett levelezõprogramjából. A levelezõprogram már csak az SMTP beszélgetésben a DATA elemmel továbbított részt, magát a levelet mutatja a felhasználónak. Ez két fõ részbõl áll: fejbõl és törzsbõl. A fejet a törzstõl egy üres sor választja el. A fejrész szerkezetét az RFC822 szabvány írja le. Néhány jellemzõ fejrész elem: Date: From: To: Sender: Reply-to: Subject: Received: Ezen elemek tehát a "DATA" RFC821 protokollelem részeként érkeznek, ezért a spam küldõ azt ír ezekbe, amit akar. Spam esetén a fejrészben szereplõ domain és user nevek rendszerint nem létezõk, sõt esetenként ártatlan áldozatokat takarnak. A hamisítást az is könnyíti, hogy a levél kézbesítését nem ezek az elemek, hanem az RFC821 szerinti RCPT TO: határozza meg. Talányos tehát, hogy egy spam kitõl jön. A 'Received:' sorok szolgálhatnak némi támpontul. Ilyennel ugyanis minden levelezõ gép megtoldja a levél fejrészét, és beírja, hogy mikor, honnan vette a levelet. A levelezõ kliensek általában nem mutatják ezeket a sorokat, de sokszor van lehetõség arra, hogy valamilyen paranccsal elõhívjuk ezt az információt. (Pegazus esetén pl. ez a CTRL/H, Netscape Communicator esetén View -> Headers -> All). Persze a spam küldõk hamisítják a 'Received:' sorokat is, gyakorlott szem azonban ezeket rendszerint észreveszi. Reverse spam Gyakori, hogy spam küldõ 'csomagok' minden kiküldött üzenetbe ugyanazt a hamisított 'From:' címet teszik. Ezzel nem csak a spam célpontjául választott felhasználóknak okoznak bosszúságot, hanem annak a gyanútlan felhasználónak is, akinek nevében a levelet küldik. Ilyenkor az áldozat hatalmas mennyiségû panaszlevelet kaphat - ártatlanul. Ezt a jelenséget nevezik reverse spam-nak. Az, akinek címét a 'From:' sorokban használták, kétségbeesetten védekezik rendszergazdájával együtt. Ismét csak a 'Received' sorok azok, amik eligazíthatnak. Mit tesznek a spam ellen? Az Internet történetében nem egyszer elõfordult, hogy valamilyen "betegségébõl" saját magát sikerült kigyógyítania: ilyen volt például a DNS bevezetése, amikor a host táblák már kezelhetetlenné kezdtek válni, vagy újabban a proxy-k bevezetése a forgalom kímélése érdekében. Éppen így az Internet nemcsak a spam forrása, hanem forrása a spam ellenes eszközöknek, segítségnek is. (Érdemes azért zárójelben megjegyezni, hogy van egy lényeges különbség az eddigi betegség/gyógyszer analógiákhoz képest: itt a baj gyökere nem technikai természetû, hanem magában az emberben van. Ezért a gyógyulás is elsõsorban nem a technikai eszközökön, hanem az emberek viselkedésén múlik.) Nem egy hálózati hírcsoport, levelezõlista, web hely kifejezetten a spam kiküszöbölését célozza. A CAUCE (Coalition Against Unsolicited Commercial ) olyan szervezõdés, mely a jog eszközeivel is fel kíván lépni a spam ellen. Nagy Internet szolgáltatók spamkidobó munkatársakat foglalkoztatnak, ilyen eszközöket fejlesztenek. Valóságos harc alakul ki, amely talán sosem ér véget, mert a spam készítõk mindig újabb és egyre trükkösebb módjait találják ki leveleik célbajuttatásának.

5 Amerikai elképzelések a jogi szabályozásra A legtöbb spam Amerikából származik, de ott a legélénkebb a spam ellenes tevékenység is. A spam hívei ezért megalakították az IEMCC nevû szervezetet (Internet Marketing Council). Ez fennen hirdette, hogy ha valaki küld egy REMOVE tárgyú levelet bizonyos meghatározott címre, akkor nem kap több spam-et. Ezt a spam küldési mechanizmust így nevezik: opt-out. Opt-out tehát azt jelenti, hogy mindenki kérheti, kíméljék meg a spam-ektõl. A tapasztalat azonban az, hogy sokszor nemhogy kevesebb, még több spam érkezik az ilyen címekre. Az IEMCC remove listája tehát nem bizonyult sikeresnek, és 1997 õszén fel is oszlott a szervezet. Az opt-out spam szemlélettel szemben áll az opt-in. Ez lényegében levelezési lista szolgáltatást jelent. Ha engem érdekelnek mondjuk a mosópor reklámok, akkor küldhetek egy levelet egy meghatározott címre, és ettõl kezdve az ilyen témájú hirdetésekkel lesz tele a postaládám. Az ilyesfajta kereskedelmi/reklám tevékenység jogossága nem vonható kétségbe. Sikeres ilyen vállalkozás például a Netcreations. ( A Smith-féle törvénytervezet Az Egyesült Államokban több képviselõ/szenátor nyújtott be törvénytervezetet a spam megfékezésére. A Smith-féle törvénytervezet abból indul ki, hogy a spam olyan, mint a kéretlen reklámfax. Az ilyet már évek óta küldeményenként 500$-1500$ pénzbírsággal sújthatják az USÁ-ban, amit a küldõ a fogadónak (!) köteles fizetni. E törvény következtében a reklámfax gyakorlatilag meg is szûnt. A Smith-féle törvénytervezet kiterjesztené a törvény hatályát mindenfajta elektronikus üzenetre, megengedné azonban az opt-in típusú reklámozást. Az egyes államok az USA-ban külön is hoznak spam ellenes törvényeket. Virginiában 1999 februárja óta szigorú törvény érvényes. Nem csak a spam küldést, hanem a spam céljára szolgáló szoftverek árusítását és más gépének relézésre való felhasználását is tiltja. Aki spam-et kap, az a küldõt levelenként 10$ bírságra perelheti, a direkt fax küldéshez hasonló módon. Az USA-ban, az Európai Unióban és a tagállamokban elfogadott spamellenes törvények itt megtalálhatók. A védekezés módjai Relay megtiltás A legfontosabb, amit a levelezõ szerverek gazdáinak meg kell tenniük, az annak megakadályozása, hogy a spam küldõk ugródeszkának használhassák rendszerüket. Aki ezt elmulasztja, az nemcsak azt kockáztatja, hogy a szervere erõforrásait elrabolják, és ezzel a szolgáltatásait bénítják, hanem azt is, hogy fekete listára kerül, sokan nem lesznek hajlandók leveleket fogadni ettõl a szervertõl. Az ilyen állapotból való kikerülés aztán sok munka és kellemetlenség saját, és a távoli felhasználókkal, rendszergazdákkal. A legtöbb korszerû szerver szerencsére alkalmas arra, hogy "non-relay" (nem relés) módra konfiguráljuk. Lejjebb, a szerverekrõl szóló bekezdésben megtalálható, hogy hogyan kell biztonságosan beállítani az egyes szervereket. Ügyeljünk azonban arra, hogy a helyi felhasználók, akik a szerverrõl, vagy POP/IMAP kliens segítségével PC-krõl leveleznek, ne legyenek kitiltva. Spam szûrõk Megtehetjük, hogy a spam leveleket kiszûrjük. Tudnunk kell, hogy minden ilyen megoldás szükségképpen kiszûr néha spam-nak tartott nem spam levelet is. Az ez által okozott kellemetlenség azonban rendszerint jóval kisebb, mint az amit a kéretlen levéltömeg okozna. Ha a kiszûrt levél nemcsak a semmibe tûnik, hanem visszapattan, akkor pedig a küldõ megtalálhatja a módját (pl. a postamesteren keresztül) az ártatlanul elutasított levél

6 célbajutásához. A szûrés történhet a levelezõrendszer szintjén és a felhasználók szintjén is. Ha a rendszergazda szûri a spam vagy spam gyanús leveleket, akkor azok nem foglalnak még ideiglenesen sem helyet a gépünkön. A felhasználók levélszûrése árnyaltabb lehet, de aktív és hozzáértõ felhasználót feltételez. Fekete listák A spam-ek jelentõs része ugyanazokról a címekrõl érkezik. Ez két értelemben is igaz: a 'From:' fejrészelembe írt feladó és az SMTP feladó, ahonnan a levél a rendszerünkbe érkezett, sokszor ugyanaz. Mint ahogy szó volt róla, sokszor az a hely, ahonnan a spamet kapjuk, ártatlan ugródeszka. Ha megtiltjuk ezekrõl a helyekrõl a levelek érkezését, akkor az ártatlan helynek is segítünk, hogy - bár bosszúságok után -, módosítsa a konfigurációt, és ezzel csökkentse az általános spam veszélyt. A spam szûrõ konfigurálás egyszerû módja, hogy valamilyen konfigurációs fájlba kell beírnunk azokat a helyeket, ahonnan nem kívánunk levelet fogadni. Ez "kézi" beavatkozást igényel a feketelista minden egyes bõvítése, vagy szûkítése esetén. Van mód azonban automatizmusra is, ezért áttértünk ennek használatára: Valósidejû spam blokkolás RBL (Realtime Blackhole List) Paul Vixie, az Interneten legjobban elterjedt DNS szerver, a BIND atyja hozta létre ezt a szolgáltatást ( A feketelista IP címeket tartalmaz, melyekrõl - közvetve vagy közvetlenül -, spam származik. A listát folyamatosan karbantartják. Többféle módon használható. DNS-en keresztül használhatják levelezõ szerverek, oly módon, hogy mielõtt levelet fogadnának, mondjuk a IP címrõl, ellenõrzik a blackholes.mail-abuse.org domain nevet. Ha ez a név feloldható, akkor a cím a fekete listán van, és a levelet visszautasítják. Mód van arra is, hogy a zónát a helyi gépen tükrözzék, és ezzel még gyorsabbá tegyék az ellenõrzést. Sajnos, ez a szolgáltatás csak szerzõdéskötés után, és elõfizetõi díj ellenében használható. BGP4 protokoll segítségével is használható az RBL feketelista. A BGP4 egy routing protokoll, amely autonóm rendszerek közt használatos. A multihop BGP4 módot ad arra, hogy nem szomszédos autonóm rendszerek is közvetlenül routing információt cseréljenek. Aki azután az RBL által használt 7777-es autonóm rendszertõl fogad el ilyen módon routing információt, az a feketelistán szereplõ IP címekkel egyáltalán nem kommunikál, ha nem akar. Ilyenkor tehát nem csak a levelezés, hanem semmilyen más IP forgalom sem lehetséges a fekete listán szereplõ címekrõl. A harmadik lehetõség az RBL feketelista használatára a Blars Blarson által írt Apache modul: ennek segítségével a MAPS RBL listán lévõ szerverekre vonatkozó kérést az Apache nem teljesíti. ORDB (Open Relay Database) RSS (Relay Spam Stopper) Ezek a szolgálatások ugyanúgy DNS segítségével igénybe vehetõ feketelisták mint az RBL. A legfontosabb különbség, hogy míg az RBL spam forrásokat, reléket és spammelést támogató rendszereket is tartalmaz, addig ez utóbbiak csak nyílt reléket. Lekérdezésük DNS-en keresztül történhet, a fentemlített példát alapul véve az ORDB-nél pl relays.ordb.org domain név

7 ellenõrzésével történik. (Windows-os felhasználók pl. a "ping relays.ordb.org" kérdéssel érdeklõdhetnek.) Az ORDB-nél (is) lehetõség van arra, hogy egy web lapon ellenõrízzünk le egy tetszõleges IP címet abból a szempontból, hogy használható-e nyitott levelezési átjáróként. Ha igen, akkor azonnal és automatikusan a feketelistára kerül a gép, s a tesztelés eredményérõl ben értesítenek. Ha a rendszergazda a nyílt relét 'becsukta', akkor a ezen lapon jelezheti azt, s automatikusan lekerül a gép a fekete listáról. Az ORBD többszintû (multi-level) nyílt reléket nem szûr ki. Többszintû nyílt relérõl beszélünk akkor, ha egy levelezõ szerver önmaga nem használható ugyan nyílt reléként, de hajlandó relézni olyan levelezõ szervernek, ami nyílt relé. Az áldozatokhoz ilyenkor a többszintû (önmagában 'tiszta') szerveren át jutnak a szemetek. Az ORDB DNS lekérdezése ingyenes, szemben az elõfizetéses RSS-sel. A fentieken kívül még sok spamforrást feltérképezõ host létezik, az egyik ilyen listájára itt kereshetünk rá. A lapon a szolgáltató URL címét, DNS-sel történõ lekérdezés módját, és egy rövid ismertetést és/vagy megjegyzést találunk az adott szolgáltatásról. Dialup felhasználók listája Manapság azok is gyors Internet kapcsolathoz juthatnak, akik telefonon át kapcsolódnak a hálózathoz. Ráadásul sokszor a telefonköltség sem okoz gondot: Amerikában a helyi hívás pl. ingyenes. Ezért aztán egyre több spam küldõ nem is keres nyílt relét, hanem közvetlenül a telefonvonalon át küldi a kéretlen levélözönt. Ez a módszer azért is veszélyes, mert ha a szolgáltató felmond neki, keres egy másikat és folytatja. Ezért aztán sokan úgy döntenek, hogy nem engednek rendszerükbe levelet 'behívó' gépekrõl. Ez is megoldható DNS (és zónaletöltés) segítségével, ld. MAPS DUL. (Sajnos, ez a szolgáltatás sem ingyenes.) A zóna óriási: több, mint 4 Megabyte. A végfelhasználók környezetének konfigurálása Minden egyes felhasználó szûrheti a beérkezõ leveleit. Az ilyen szûrés rendszerint elsõsorban nem a feladó vagy közvetítõ rendszer alapján, hanem a levél tárgya, esetleg tartalma alapján rostál. Például sokan nem kíváncsiak az olyan levelekre, melyek tárgya "Make money fast!", vagy "Free XXX site!". Persze nem árt az óvatosság. Például egy angol üzleti partnerekkel levelezõ vállalkozás munkatársa nyilván nem szûrhet ki minden levelet, aminek tárgyában a "money" szó elõfordul, de egy egyiptológus talán igen. Unix rendszereken a procmail a legelterjedtebb eszköz, amit a bejövõ levelek automatikus feldolgozására használnak. Mindenki könnyen összeállíthat egyszerû spam szûrõt a segítségével, de ravasz, bonyolultabb szûrés is végezhetõ. Sok ötletet nyerhetünk a "Procmail Tips" web lapról: ftp://cs.uta.fi/pub/ssjaaa/pm-tips.html Szûrhetünk nemcsak a levél fejrésze, hanem a törzse szerint is. Igen alkalmas eszköz az ilyen feladatra a perl. A jmfilter ilyen perl-ben írt szûrõ: Microsoft rendszerek felhasználóinak is sok spam szûrõ eszköz áll

8 rendelkezésre. A TUCOWS összeállítása ( vagy a "Spam Be Gone" filter ( jó kiindulópont lehet. Álcímek Egyre többen használnak elektronikus közleményeikben olyan címet, ami nem valódi, hogy a címgyûjtõ mechanizmusok ne találjanak el a valódi drótpostacímükig. Gyakori az ilyesfajta cím: pasztor@sztaki.hu.nospam. Emberi szemnek látható, hogy valójában.nospam eltávolítása után kapott pasztor@sztaki.hu a cím, a címgyûjtõ program viszont olyan címet produkál, ami nem létezik. Legalább is így volt ez nem is olyan régen. A trükkösebb címarató programok az ilyesfajta változtatást már észreveszik, és kihámozzák a valódi címet. Fehér listák Sokan döntenek úgy, hogy ismeretlen helyrõl egyáltalán nem fogadnak levelet. Összeállítják levelezõpartnereik címét, és levélszûrõ mechanizmusuk visszautasít minden levelet, ami nem a fehér listán szereplõ címzettõl érkezik. A visszapattanó levél aztán tájékoztatja az ismeretlen feladót arról, hogy hogyan kerülhet õ is a fehér listára, vagy milyen más mód (pl. egy más cím), áll rendelkezésére. Terjedõ szokás, hogy csak ilyen fehér listával védett címet hoznak nyilvánosságra, tesznek címarató szoftverek számára elérhetõ helyre, pl. web lapokra, hírcsoportokba. Spam ellen jól konfigurálható levelezõ szerverek Az itt felsorolt szerver programok mind alkalmasak arra, hogy relé mentes módban mûködjenek. Statikus és RBL-en alapuló spam szûréseket is be lehet állítani ezeken. Spam ellenes lépések a levelezési listákon Spam küldõknek régi célpontjai a levelezési listák. Aki levelezési listát üzemeltet, legjobban teszi, ha vagy nem hozza nyilvánosságra a lista címét, vagy felkészül a spam ellenes harcra. A legegyszerûbb, és sok spam kísérletet meghiúsító lépés, ha csak feliratkozottak küldhetnek levelet a listára. Sok spam küldõ erre úgy válaszol, hogy gyorsan feliratkozik, küld egy spam-et, majd leiratkozik. Ez ellen véd, ha a feliratkozás nem automatikus, hanem a feliratkozótól vagy a lista gazdájától megerõsítést igényel. Ez kissé kényelmetlen, és lassítja a feliratkozást, de megéri. Sokat használt listaprogram a Listserv és a Majordomo. Mindkettõ lehetõvé tesz különbözõ más szûréseket is, például a küldõ domain alapján. Spam küzdelem hírcsoportokban A hálózati faliújság (news) szolgáltatás természeténél fogva a legvédtelenebb a spam-ekkel szemben, hiszen éppen az a szolgáltatás lényege, hogy bárki a világ bármely pontjáról csoportok ezreibe küldhet üzenetet, és ez az üzenet automatikusan megjelenik a többi szerveren is, az Internet bármely pontján. Az elsõ lépés, amit a news adminisztrátorok megtettek, amikor a spam áradat dagadt, az volt, hogy korlátozták a küldési lehetõséget. Manapság a news szerverek csak a saját közvetlen közelükbõl engedik meg a "postolást". Ilyen

9 módon a spam-et küldõknek könnyebb a nyomára akadni, könnyebb õket figyelmeztetni, hiszen fizikailag, szervezetileg nincsenek távol. Mivel a hun. hierachiát a világban kevés helyen tartják, a news.iif.hu szerveren például régebben bárkinek módja volt ezeket a csoportokat olvasni és írni is. A sok nem odaillõ üzenet hatására azonban korlátozni kellett az írási (postolási) lehetõséget. Spam szûrõ robotok A usenet news egyik tulajdonsága, hogy ún. control üzenetekkel lehet vezérelni a csoportok mûködését. Ez ad módot arra, hogy olyan programok mûködjenek, melyek figyelik a cikkeket, és ha egy cikk spam-nek bizonyul, akkor azt távoli szervereken is törlik. Hogy mit talál a program spam-nek, annak külön tudománya alakult ki. Gyakran használt mérõszám például a Breidbart Index (BI). Ha egy cikket n-szer küldtek el, elõször A1, másodszor A2,... n-edszer An csoportba, akkor a BI index: sqrt(a1)+sqrt(a2)+...+sqrt(an) Látható, hogy attól tekint a robot valamit spam-nek, ha sokszor, sok csoportba elküldték. Nem minõsül tehát spam-nek, ha pl. az akvaristák csoportjában valaki borotvahabot reklámoz, feltéve hogy nem küldte el ugyanazt az üzenetet még 100 más csoportba. A "szpemelõk" persze, sokszor nem pontosan ugyanazt küldik el minden alkalommal, hanem kissé módosítják a küldeményt. Ezért arra külön módszereket dolgoznak ki, hogy a robotok felismerjék, hogy két küldemény lényegében azonos. Bõ információs forrás a témában például a news.admin.net-abuse hierarchia (bulletins, , misc, policy, sighting, usenet). Mit tehetünk mi? Az elsõ és legfontosabb lépés, hogy ismerjük fel a spam veszélyeit, és minél jobban értsük a technikai, gazdasági, szervezeti, és jogi szempontokat. Semmiképpen ne dõljünk be olyan nézeteknek, melyek szerint a spam a "szabad kommunikáció", "az elektronikus marketing", a "modern Internet" tartozéka. Ha spam-et kapunk, tegyünk panaszt legalább a helyi rendszergazdánál, ha sikerül kideríteni a forrást, akkor a küldõ rendszer gazdájánál is. Használjuk az abuse@domain.nev, a postmaster@domain.nev címeket, és akár a whois adatbázis segítségével kapott adatokat. Legyünk udvariasak, de határozottak. Használjuk a levelezõrendszerek spam ellenes tulajdonságait. Sokan - különösen olyanok, akik most ismerkednek az Internettel -, nagyon tájékozatlanok spam dolgában. Terjesszük szóban és elektronikus úton is az információt, de persze semmi esetre sem spam segítségével :-). SPAM kisszótár forged mail az elektronikus levélben a feladó címe hamís junk spam szinonímája: kidobásra szánt levél open mail relay nyitott levelezési átjáró: a levelezési szerver beállítása olyan, hogy az Internetrõl bárki - tehát nemcsak a helyi felhasználók - küldhet levelet

10 ezen a szerveren keresztül. A spam levelek egyik fõ kiindulópontja az ilyen gép. opt-in spamterjesztési módszer: csak a felhasználó kérésére vegyenek fel bárkit is egy adott címlistára opt-out spamterjesztési módszer: a spamet/reklámlevelet kapó felhasználó utólagosan kérje, hogy vegyék le egy adott címlistáról reverse spam egy hamísított feladóval elküldött spam miatt egy ártatlan levelezõt reklamáló levéláradat önti el spam kéretlen, sok helyre elküldött elektronikus üzenet (spam = löncshús konzerv) UCE kéretlen üzleti levél (UCE: unsolicited commercial ) Néhány kapcsolódó hely az Interneten: Ezen a helyen megtaláljuk a különbözõ spamforrásokat feltérképezõ listákat, és megtudhatjuk, hogy egy számítógép rajta van-e valamelyik 'népszerû', DNS-en keresztül használható feketelistán. Az elsõ spam ellenes RFC, az RFC2505. Megtalálható pl. itt: ftp://ftp.funet.fi/rfc/rfc2505.txt Spam FAQ: Spam ellenes társadalmi mozgalom, CAUCE: Európai spam ellenes mozgalom A Paul Vixie féle Online Feketelista, az RBL: Az ORDB feketelista A Yahoo spam-mel kapcsolatos oldala: Az Internet Mail Consortium spam-ellenes oldala: Spamellenes eszközök és technikák Hogyan harcolhatunk a spam ellen? - spamellenes lapok gyûjteménye Levelezõszerverek ellenõrzésére szolgáló Perlben program, megnézhetjük, hogy egy adott szerver nem nyitott levelezési átjáró-e? Friss spam-ek gyûjteménye: news.admin.net-abuse.sightings Levelezési listák: spamtools@abuse.net archívuma: anti-spam@ripe.net archívuma: Észrevételeket szívesen vesz: pasztor@sztaki.hu Utolsó módosítás: Frissítette: Tóth Beatrix Forrás: