Dlouhá léta probíhá na internetu tichá, ale urputná bitva mezi dvěma tábory. Na jedné straně stojí ti, kteří se snaží rozesílat své reklamní nabídky co nejširšímu okruhu adresátů, na druhé straně ti, kteří chtějí zastavit záplavu této nevyžádané elektronické korespondence. Obě strany soustavně pracují na zdokonalování svých metod, a přestože se zdá, že tvůrci antispamových řešení začínají mít poslední dobou navrch, bitva rozhodně není u konce.
Jakub Truschka
Jak nepustit spam do vnitřní sítě
Bránit se přívalu spamu v prostředí podnikové sítě se dá v zásadě dvojím způsobem. Prvním řešením je vybavit každou počítačovou stanici bezpečnostním softwarem s antispamovou ochranou. Druhé řešení spočívá v zastavení spamu na vstupním bodu sítě, v rámci bezpečnostního proxy serveru, kontrolujícího mimo jiné veškerý poštovní provoz mezi firmou a světem. Řešení tohoto druhu nabízí vícero výrobců, jedním z těchto produktů je například TrustPort Net Gateway.
Existují dva hlavní důvody, proč je nutné spam likvidovat. Za prvé spam zcela bez užitku zabírá přenosovou kapacitu internetové přípojky a zahlcuje poštovní schránky uživatelů. Za druhé bývá součástí spamu příloha, která může být zavirovaná. Oba zmíněné důvody hovoří pro to, aby došlo k likvidaci spamu už na vstupu do sítě. Vnitřní síť a poštovní schránky pak spamem nejsou vůbec zatěžovány a riziko neúmyslného otevření zavirované přílohy prudce klesá.
Detekce známých zdrojů spamu
Účinný bezpečnostní proxy server, stojící mezi vlastním poštovním serverem a internetem, bude poštu pravděpodobně zpracovávat v několika stupních. Už v prvním stupni lze zjistit, jestli pošta nepřichází z některého známého zdroje spamu. Kontrola záznamu na DNS serveru ukáže, zda uvedená mailová adresa odesílatele odpovídá IP adrese, ze které byla zpráva odeslána. Místní blacklist umožňuje správci sítě blokovat poštu od určitých odesilatelů nebo pro určité příjemce, místní whitelist naopak slouží okamžitému doručení pošty od vybraných odesilatelů bez další kontroly. Kontrola DNS blacklistu odhalí všeobecně známé odesílatele spamu.
Velmi účinnou obranou proti spamu představuje jednoduchá metoda zvaná greylisting. U každé příchozí zprávy si bezpečnostní proxy server přečte uvedeného odesilatele a příjemce plus IP adresu počítače, odkud zpráva přišla, a určí, jestli už v minulosti byla přijata zpráva s totožnou trojicí těchto údajů. Pokud ano, zprávu pustí dál, pokud ne, odmítne zprávu přijmout. Z reakce odesílajícího serveru na chybové hlášení o nedoručení pak lze se značnou jistotou odvodit, zda se jedná o běžný poštovní server nebo spamovací robot.
Jak chránit legitimní poštu
Všechny zmíněné metody umožňují jednoduše rozpoznat a odstranit podstatnou část příchozího spamu. Veškerou poštu, která projde vstupní kontrolou, by měl ve druhém stupni bezpečnostní proxy server ukládat do zálohy. Čas od času může dojít k mylnému vyřazení legitimní zprávy coby spamu a záloha umožňuje takovou zprávu později dohledat a obnovit. Samozřejmostí by měla být možnost nastavit pravidla, na jejichž základě se bude pošta zálohovat. Aby zálohovaná pošta nezaplnila kapacitu disku, musí bezpečnostní proxy server řešit otázku automatizovaného mazání starších položek.
Základní antispamová kontrola, jak bylo zmíněno, probíhá už v prvním stupni. Ta se však zabývá pouze hlavičkami zprávy. Podívejme se teď, jaké metody může bezpečnostní proxy server použít ve třetím stupni, tedy při antispamovém testu obsahu zpráv. První metodou je porovnání s blacklistem, definujícím konkrétní zakázaná slova. Jakmile je takové slovo nalezeno, zpráva je obratem vyřazena jako spam. Druhá metoda spočívá v uživatelských pravidlech, která při výskytu určitých slov nebo výrazů přidělují zprávě dané bodové ohodnocení. Jestliže zpráva překročí určitou hranici bodů, bude označena jako spam.
Zbývající spam odstraní heuristika
Pokud projde pošta všemi dosud zmíněnými testy, měla by následovat heuristická bayesiánská analýza. Velmi zjednodušeně řečeno to obnáší zjištění poměru žádoucích a nežádoucích výrazů, a bodové ohodnocení zprávy. Při překročení daného počtu bodů spadne zpráva do spamu, podobně jako v případě uživatelských pravidel. Nejsložitějším antispamovým sítem je kontrola vložených obrázků, která může zahrnovat celou řadu detekčních metod.
Součástí antispamové kontroly by určitě měl být také antiphishing, tedy ochrana proti podvodným zprávám, které mají za cíl vylákat z uživatelů citlivé osobní údaje. Tato ochrana je založena na rozpoznání obvyklé struktury phishingových zpráv. Typickou vlastností podvodné zprávy jsou kupříkladu falešné odkazy, které směřují na jinou webovou adresu, než kterou uživatel vidí v textu.
Ve čtvrtém stupni pak bezpečnostní proxy server předává poštu v souladu s definovanými pravidly poštovnímu serveru, který ji pak odesílá do světa nebo do firemní sítě. Zajímavý bezpečnostní doplněk představuje tzv. anti-tracker, ořezávající z hlaviček cestu, kterou zpráva prošla, a snižující tak riziko zneužití těchto údajů při pokusech o kompromitaci vnitřní sítě firmy.
Jak již bylo řečeno, centralizované řešení antispamu nabízí řada výrobců. TrustPort Net Gateway je produktem, který zahrnuje všechny stupně kontroly a všechny antispamové metody zmíněné v tomto článku. Kromě toho ovšem poskytuje i ochranu webového provozu a vzdáleného přístupu do podnikové sítě.
Autor článku působí jako marketingový specialista společnosti TrustPort. Je absolventem Fakulty sociálních věd Univerzity Karlovy v Praze. Má zkušenosti z tištěných i online médií, v oblasti informačních technologií působil jako redaktor časopisu Computer Business a zpravodaje Channel News. V TrustPortu se zabývá především tvorbou textů pro marketingové kampaně a prezentací společnosti na odborných či vzdělávacích akcích, podílí se na komunikaci s odborným i všeobecným tiskem.