Методы защиты от нежелательных почтовых сообщений

           
Рис. 1 Проверка записей SPF для входящих сообщений

         После того, как сообщение помечено, механизм SIDF разрешает почтовому серверу  получателя провести анализ сообщения  на основе предыдущего поведения  и репутации отправителя, содержимого  сообщения и иных критериев, которые  могут устанавливаться по мере необходимости. Подобная возможность предоставляет дополнительные меры защиты. Например, отправители нежелательных сообщений для того, чтобы обмануть пользователя и заставить сеть считать себя законным отправителем, могут зарегистрировать похожие домены и опубликовать записи SPF. Даже в том случае, если сообщение может пройти проверку подлинности, репутации отправителя как отправителя нежелательных сообщений достаточно для того, чтобы сообщение было блокировано, помещено в папку нежелательных сообщений или удалено.

          
Возможности развертывания кода отправителя

         Проверка  подлинности исходящих сообщений  с помощью SIDF не требует каких-либо изменений инфраструктуры, обновлений программного обеспечения и не зависит  от ПО клиента и сервера. Однако организациям, которым необходимо внедрить проверку подлинности входящих сообщений для защиты компании и сотрудников, потребуется обновить системы входящих сообщений и средства «Агент передачи сообщений» (MTA) и осуществить развертывание программного обеспечения или устройств, которые поддерживают механизм SIDF. Большинство ведущих поставщиков ПО для борьбы с нежелательной почтой, а также поставщиков коммерческих и бесплатных MTA, включая Microsoft® Exchange Server и Exchange Hosted Filtering, предлагают интегрированные решения.

         Корпорация  Майкрософт внедрила SIDF во все свои продукты для обмена сообщениями, включая Microsoft Exchange Server 2003 Service Pack 2 (SP2), Exchange Server 2007, Microsoft Exchange Hosted Filtering, Microsoft Windows Live™ Mail, MSN® Hotmail®, Outlook® Express, а также почтовый клиент с возможностью совместной работы Office Outlook.

         Однако  даже корпорация Майкрософт получает нежелательную почту и не является исключением среди остальных  получателей нежелательных сообщений. Ежедневно корпорация Майкрософт получает примерно 15 миллионов сообщений, а в течение недавних спам-атак мы наблюдали объем сообщений от двух до четырех раз больше. В подобной среде путь к успешной защите от нежелательной почты заключается в постоянном применении и внедрении доступных технологий.

         Корпорация  Майкрософт использует внутреннее решение Exchange Server для защиты от нежелательной  корреспонденции на основе фильтра  кода получателя приложения Exchange Server 2003 и агент кода отправителя приложения Exchange Server 2007. В обеих версиях приложения Exchange Server состояние кода отправителя основано на оценке записи кода отправителя, расположенной на соответствующих серверах DNS. Действительный домен отправки определяется с помощью анализа заголовков сообщения RFC 2822 в следующей последовательности:

         Resent-Sender

         Resent-From

         Sender

         From

         Домен отправителя (или наиболее поздний  объект, произведший отправку сообщения  в поток почты, поскольку почтовые системы могут законно пересылать сообщения от имени почтовых серверов) определяется путем поиска в указанной последовательности первого определения ранее упомянутых заголовков. Если ни один из этих заголовков не найден, то механизм SIDF использует значение SMTP RFC 2821 MAIL FROM.

          
Настройка кода отправителя

         В Exchange Server 2007 включение агента кода отправителя возможно на тех серверах, где установлена роль «пограничный транспортный сервер». Если агент кода отправителя включен, то он будет фильтровать сообщения, поступающие через соединители приема и обрабатывать весь входящий (из внешних источников) поток сообщений, которые не прошли проверку подлинности. В Exchange Server 2003 состояние кода отправителя сохраняется в пути между серверами в метке EXCH50, в Exchange Server 2007 это состояние также добавлено к метаданным сообщения. В конечном назначении метаданные сообщения и метка преобразуются в свойство MAPI для будущего использования клиентом.

         Настройки фильтрации кода отправителя в Exchange Server 2003 производится в меню "Message Delivery Properties" и состоит в назначении способа обработки приложением Exchange Server сообщений, не прошедших проверку подлинности.

         Для того чтобы включить код отправителя  в Exchange Server 2007 достаточно открыть панель Exchange Management Console (Панель управления Exchange) сервера, для которого установлена роль «пограничный транспортный сервер», перейти на вкладку «Anti-spam», далее перейти к пункту «Sender ID» (Код отправителя) и в панели «Actions» (Действия) нажать кнопку «Enable» (Включить) или «Disable» (Выключить) агента кода отправителя, как показано на рис. 2. Кроме того, для включения или отключения кода отправителя можно использовать среду управления Exchange, как показано на рис. 3.

           
Рис. 2 Exchange Management Console. Управление агентом кода отправителя в Exchange Server 2007   

           
Рис. 3 Включение кода отправителя с помощью среды управления Exchange

         Состояние агента (включен или выключен) указывается  в диалоговом окне «Sender ID Properties» (Свойства кода отправителя). На вкладке "Действие" содержатся параметры, подобные тем, что  имеются в Exchange Server 2003 (см.рис. 4).

           
Рис. 4 Свойства действий агента кода отправителя в Exhange Server 2007

         В отношении внедрения и функций  кода отправителя между серверами Exchange Server 2003 и Exchange Server 2007 больших различий нет, фильтр кода отправителя (в Exchange Server 2003) и агент кода отправителя (в Exchange Server 2007) для извлечения и проверки используют одинаковый базовый алгоритм. Диапазон возможных действий также одинаков: «Удалить сообщение» (без извещения пользователя), «Отклонить сообщение» (ответ протокола SMTP уровня 500) и «Поставить метку с результатом проверки кода отправителя и продолжить обработку». Последнее действие является принятым по умолчанию в обеих версиях Exchange Server.

         В Exchange Server 2007 оба кода состояния FAIL и TempError могут вызвать действие «Отклонить сообщение» (в Exchange Server 2003 это действие может быть вызвано только кодом состояния FAIL). Поскольку сообщения с кодом состояния TempError по умолчанию принимаются системой, отмечаются результатом проверки кода отправителя и обрабатываются, то для вызова действия «Отклонить сообщение» необходимо настроить агент кода сообщения явным образом.

         Возможность такой настройки не предоставляется  в графическом интерфейсе, поэтому  для настройки действий для кода состояния TempError необходимо использовать среду управления Exchange. Например, для принудительной настройки агента кода сообщения на действие «Отклонить сообщение» для сообщений с кодом состояния TempError запустите следующий командлет агента кода отправителя:

         Set-SenderIDConfig -TempErrorAction Reject 

         Диапазон  результатов состояния кода отправителя и возможных действий в Exchange Server 2007 и фильтра кода отправителя в Exchange Server 2003 одинаков и показан на рис. 5.

         Состояние кода отправителя Описание Действия

          
Рисунок 5  Состояние и действия кода отправителя в Exchange Server 2007

         Сервер Exchange (в случае соответствующей настройки) будет производить удаление только тех сообщений, которые не прошли проверку подлинности с помощью кода отправителя. Получение других результатов не будет приводить к удалению сообщений. Входящие сообщения, проверка которых привела к результатам Neutral, None, SoftFail, TempError или PermError, будут помечаться соответствующими метками и передаваться для дальнейшей проверки на законность. В некоторых случаях, когда сообщение безнадежно испорчено и в нем отсутствует адрес FROM IP, оно не может иметь отметку состояния кода отправителя. В подобной ситуации не производится его отклонение. Вместо этого оно передается для дальнейшей обработки без отметки состояния кода отправителя, однако для уведомления это событие заносится в журнал.

         Exchange Server 2007 позволяет с легкостью  определять домены отправителей  и получателей Exchange Server, для которых  не требуется проводить проверку  кода отправителя. Данная возможность  настройки также доступна только  с помощью среды управления  Exchange. Например, чтобы исключить домен contoso.com из списка фильтра кода получателя, следует выполнить следующую команду:

         Set-SenderIDConfig -BypassedSenderDomains contoso.com

         Таким же образом, чтобы отменить фильтрацию по коду отправителя для сообщений, отправленных указанным получателям Exchange Server, можно использовать следующую команду:

         Set-SenderIDConfig -BypassedRecipients user@contoso.com

         В Exchange Server 2007 значения настроек кода отправителя, заданные с помощью командлетов  среды управления Exchange и недоступные в графическом интерфейсе, могут быть выведены на экран с помощью команды Get-SenderIDConfig, выполненной в среде управления Exchange, как показано на рис. 6.

           
Рис. 6 Командлеты настроек кода отправителя

         Среду управлениям Exchange можно использовать, чтобы выполнить быструю проверку IP-адреса и соответствующего имени домена вручную. Чтобы выполнить проверку состояния кода отправителя, введите следующую команду:

         Test-SenderID -IPAddress <IPAddress>-PurportedResponsibleDomain <SMTPDomain>

         Если  домен не существует, то на экран выводится результат, как показано на рис. 7.

           
Рис. 7 Состояние проверки элемента "Адрес" кода отправителя

         Преимущества использования кода отправителя

         Помимо  очевидных преимуществ при проверке подлинности электронных сообщений  и снижения количества получаемой пользователями нежелательной почты, SIDF как протокол предлагает иные преимущества. Во время его разработки корпорация Майкрософт ориентировалась на несколько ключевых моментов, включающих в себя производительность, цену, развертывание, масштабируемость и возможность взаимодействия.

         Механизм SIDF производит проверку подлинности  отправителя сообщения, после чего позволяет применить оценку репутации  отправителя. В результате этого  достигается возможность уменьшения объема нежелательных и фальсифицированных сообщений, а также улучшается пропускная способность для законных сообщений от известных и доверенных отправителей. Создание записи SPF производится бесплатно, поэтому это легко может сделать любая организация, которая пожелает соответствовать требованиям SIDF. Организации, которые хотят соответствовать требованиям нового стандарта, должны иметь для этого соответствующие возможности. Обеспечить соответствие требованиям SIDF так же легко, как произвести публикацию записи SPF.

         При разработке стандарта SIDF учитывалось  требование максимальной совместимости с существующим программным обеспечением. Он может использоваться с множеством архитектур обмена электронными сообщениями, а также широким спектром клиентского и серверного программного обеспечения. Для того чтобы обеспечить эффективную работу, любая служба проверки подлинности должна удовлетворять потребностям крупного поставщика услуг Интернета так же легко, как и потребностям малого домашнего почтового сервера. SIDF может поддерживать от одного до тысяч почтовых серверов; к этому следует добавить тех, кто предоставляют свои почтовые серверы для других организаций. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

        Наиболее  распространенные способы защиты от спама    

        Чтобы уменьшить поступление спама  в ваш почтовый ящик, следуйте основным правилам.  
Защищайте e-mail-адреса. Если спамер не знает вашего адреса, он не может посылать вам никаких сообщений. Поэтому адрес своей электронной почты стоит беречь так же, как, например, PIN-код банковской карты. Те пользователи, которые необдуманно его вводят в различных регистрационных формах, становятся, как правило, жертвами спам-мафии. Указывать в Интернете свой e-mail можно только в том случае, если речь идет о заслуживающем доверия ресурсе, который обеспечит конфиденциальность. Кроме того, обязательно читайте условия регистрации, напечатанные мелким шрифтом. Ни в коем случае не устанавливайте флажок в чекбоксе, который разрешает администрации интернет-сайта или производителю программы доставку почты, использование в целях исследования рынка или передачу данных третьей стороне.  
 Заведите дополнительный почтовый ящик. Для участия в лотереях, регистрации на сомнительных порталах и сайтах у вас также должен быть наготове второй адрес электронной почты, который вы используете только для этих целей. Поскольку вы обращаетесь к этим почтовым ящикам только в особых случаях, рекламные почтовые сообщения мешать вам больше не будут.  
 Не раскрывайте адреса электронной почты других людей.  
С адресами электронной почты друзей и знакомых следует также обращаться очень осторожно. Если вы собираетесь отослать сообщения нескольким получателям, лучше всего воспользоваться функцией почтовой программы «Скрытая копия» (в англоязычных почтовых клиентах или на нерусифицированных сервисах она обозначается аббревиатурой BCC – от Blind Carbon Copy): при введении адресов неосновных получателей в это поле участники рассылки не увидят e-mail друг друга.  
 Сразу же удаляйте полученный мусор. Если вы ответите на рекламное сообщение, спамер убедится, что этот e-mail используется, и вы получите еще больше ненужных писем. Поэтому не щелкайте по содержащимся в сообщении ссылкам для отказа от рассылки. То же самое относится и к вложенным файлам: они могут таить в себе серьезную опасность – вирусы! Лучше всего, не читая, отправлять спам в корзину. Однако немедленное удаление мусора не всегда помогает. Предварительного просмотра в почтовом клиенте может оказаться достаточно, чтобы подтвердить существование почтового ящика – в теле письма может скрываться программа-шпион очень маленького размера (она весит обычно не больше, чем один пиксел изображения), загружаемая на ваш ПК и отправляющая уведомление о прочтении спам-сообщения его создателю, так что стоит отключать в почтовой программе функцию предварительного просмотра и отображение HTML-кода в письмах.  
 Правильно настройте автоответчик. Некоторые почтовые сервисы и клиенты имеют функцию автоответчика (особенно удобно им пользоваться на работе). Когда он включен, в ответ на все поступающие в почтовый ящик письма высылаются короткие сообщения с текстом типа «Здравствуйте, буду на рабочем месте после праздников». Для спамеров такие ответы являются доказательством того, что указанный адрес существует. Следовательно, вы получаете еще больший поток спама. Использовать такие автоответчики можно и нужно, но не забывайте о предварительной настройке защиты: например, «вежливые письма» должны отправляться тем пользователям, которые включены в вашу адресную книгу.  
 Заведите новый адрес электронной почты. Создание нового ящика – последнее средство против спама. Смена адреса потребует некоторых усилий, но при этом сбережет время и нервы. Когда после перехода на новый адрес на старый перестанет поступать важная электронная почта, его можно будет удалить.  
 Тщательно подходите к выбору адреса электронной почты. Правильный выбор личного адреса электронной почты может оградить от потока спама. Если адрес состоит из вашего полного имени, например andrey.osin@....ru, не удивляйтесь, если в скором времени получите спам с личным обращением к вам. Лучше использовать необычные адреса электронной почты, такие как hiawatha@....ru или ktulhu2008@....com. Такие адреса чаще остаются не затронутыми спам-атаками. Кроме того, работу спамера осложняют длинные или необычные последовательности символов, которых нет в словаре.  
 Не приобретайте рекламируемые с помощью спама товары. Пренебрегая такой рекламной информацией, вы сделаете спам неэффективным инструментом продвижения товаров и заставите отказаться от этой формы привлечения клиентов целый ряд фирм, ведь именно фирмы-заказчики повинны в росте количества спам-сообщений.