Реферат: работа по дисциплине «Сети эвм»

МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ИНСТИТУТ

ЭЛЕКТРОНИКИ И МАТЕМАТИКИ

(ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ)

Кафедра ИКТ

Курсовая работа по дисциплине

«Сети ЭВМ»

«Спам-фильтрация почтовых сообщений»

Выполнил:

студент группы С-64

Дегтярев Дмитрий

Проверил:

Орлов Петр

Москва, 2009

План

- вступление (что такое спам)

- суть проблеммы

- методы решения и борьбы

- анализ готовых решений

- пример настройки

Тут стоит рассмотреть вопрос защиты корпоративной почты от вирусов и спама в почтовых сообщениях. Соответственно, нужно описать проблему, проанализировать программные продукты, обосновать свой выбор и привести пример настройки. Если под Linux, то это какой-нибудь почтовый сервер + ClamAV, к примеру.

Вступление

Целью моей работы является изучение проблемы спама и вирусов в почтовых сообщениях в корпоративных почтовых сервисах. А также рассмотрение способов защиты и готовых программных решений для борьбы со этим явлением.

Описание проблемы

Происхождение

Спам (англ. spam ) — массовая рассылка коммерческой, политической и иной рекламы или иного вида сообщений лицам, не выражавшим желания их получать.

Слово «спам» знает сегодня любой пользователь интернета. Причем не только знает, но и частенько видит его в своем электронном ящике. Но далеко не каждый знает, что само слово «спам» когда-то никак не ассоциировалось ни с интернетом, ни с электронными письмами.

«Спам» — это акроним, сложносокращенное слово. Образовалось оно от усеченного «spiced ham» — «ветчина со специями», «колбаса с перчиком», «перчёная ветчина». Поэтому прямым переводом английского «spam» можно считать нечто вроде «спетчина» — «специи» плюс «ветчина».

История этой «ветчины» такова: в 1937 году американская фирма «Hormel Foods» выпустила колбасный фарш из скопившегося на фабрике «неликвидного» мяса третьей свежести. Малоаппетитный продукт американцы не стали покупать, поэтому хозяин корпорации мистер Хормель развернул масштабную маркетинговую кампанию, широко разрекламировал свой продукт и начал поставлять свои консервы в военные ведомства и флот.

В 1937 году «Hormel Foods» накормила американские и союзнические войска своей продукцией. Даже в послевоенной Англии, среди экономического кризиса, спам был основным продуктом питания англичан. «Розовые кусочки мяса», описываемые Оруэллом в «1984» — это и был спам 1948 года. Так слово приобрело значение чего-то отвратительного, но неизбежного.

В декабре 1970 года в 25-ом выпуске скетча театральной группы Monty Python's Flying Circus, посетители попадают в ресторан, где в каждом блюде содержится ветчина — «спам». Официантка расписывает преимущества спама. Хор, переодетый в викингов, на заднем плане ревет «Спам, спам, спам!», полностью заглушая разговоры посетителей. Так термин «спам» начал ассоциироваться с нежелательной, надоедливой, избыточной информацией, которая «глушит» даже полезные сообщения.

Термин «спам» в новом значении (навязчивой электронной рассылки, почтового мусора) появился в 1993 году. Администратор компьютерной сети Usenet Ричард Депью написал программу, ошибка которой 31 марта 1993 года спровоцировала отправку двух сотен идентичных сообщений в одну из конференций. Его недовольные собеседники быстро нашли подходящее название для навязчивых сообщений — «спам».

Можно также отметить одну из самых ранних массовых «спам-рассылок»: в апреле 1984 года юридическая контора Canter&Siegel наняла программиста, написавшего нехитрую программку, и раместила рекламу сомнительных услуг конторы на всей конференции все той же сети Usenet.

Сегодня термин «спам» (так же как и различные его производные — «спамить», «спамер» и проч.) полностью переориентировался на электронную почту и вошел в широкое употребление, несмотря на то, что колбасные изделия Хормеля с этим названием выпускаются в США до сих пор.

Определение

«Лаборатория Касперского» дает следующее определение спама:

Спам — это анонимная массовая непрошенная рассылка .

В этом определении важно каждое включенное в него слово.

Анонимная : все страдают, в основном, именно от автоматических рассылок со скрытым или фальсифицированным обратным адресом.

Массовая : эти рассылки именно массовые, и только они являются настоящим бизнесом для спаммеров и настоящей проблемой для пользователей.

Непрошенная : очевидно, подписные рассылки и конференции не должны подпадать под наше определение (хотя условие анонимности и так в значительной мере это гарантирует).

В определение спама часто включают слова «рекламная» или «коммерческое предложение». Это не совсем верно — значительная часть спама не преследует рекламных или коммерческих целей. Есть рассылки политического спама, есть «благотворительные» спамерские письма, есть мошеннические («нигерийские», фишинговые), «цепочечные письма» — письма с просьбой переслать знакомым (страшилки, «письма счастья»), вирусные и прочие, не являющиеся коммерческим предприятием.

Таким образом, все не запрошенные предложения, попавшие в ящик, мы делим на:

1. спам, имеющий все признаки анонимной массовой рассылки,

2. целевые коммерческие предложения.

Спам сегодня

9 июня «Лаборатория Касперского» объявила результаты исследования статистики спама в почтовых сообщения в мае 2009 года. Полная статистика приведена на сайте http://www.securelist.com/ru/analysis/208050522/Spam_v_mae_2009_goda.

Итак, доля спама в почтовом трафике в мае 2009 года в среднем составила 84,7%. Самый низкий показатель отмечен 2 мая — 76,8%, больше всего спама зафиксировано 17 числа — 88,9%. Вредоносные файлы содержались в 0,03% электронных сообщений, что на 0,15% меньше, чем в апреле.

Так же любопытен тематический состав спама. В пятерку наиболее распространенных сообщений вошли:

1. Медикаменты; товары и услуги для здоровья — 32,4% (+9,3%)

2. Реклама спамерских услуг — 18,5 % (-1,2%)

3. Реплики элитных товаров — 10,8% (+2,3%)

4. Образование — 7,9% (-3,3%)

5. Спам «для взрослых» — 6,9% (+1,6%)

Методы борьбы

Существуют два метода борьбы со спамом — превентивный и фильтрация. Суть первого метода заключается в следующем: не позволить спемерам узнать ваш почтовый ящик. То есть, предпринимая некоторые действия, вы сможете намного снизить количество спама, приходящий на ваш адрес. Например, не публиковать ваш e-mail на различных публичных сайтах, не регистрироваться без особой надобности на сомнительных сайтах, не отвечать на уже пришедший спам, создавать более сложные адреса и т.д. Этот метод наиболее простой и не требует особых усилий со стороны адресата, тем более он абсолютно бесплатен, так как не требует никакого дополнительного оборудования или программного обеспечения. Но он может создать множество трудностей пользователю и не достаточно надежен.

Второй способ — фильтрация. В отличие от первого метода этот метод является активной мерой защиты от спама. Сутью является проверка самого почтового сообщения, которое приходит на ящик. Сейчас существует множество способов проверки, а современные спам-фильтры используют сразу несколько способов для большей надежности.

Черные списки (DNSBL)

DNS blacklist или DNS blocklist — это одна из наиболее старых антиспам-технологий. Блокируют почту, идущую с IP-адресов, перечисленных в списке. Построена на основе DNS. Существует 2 метода использования данной технологии.

1) Однозначная блокировка - отклонение сообщений, которые пришли с IP адреса находящегося в DNSBL

2) Взвешенный подход. При таком подходе сообщение, пришедшее с IP адреса находящегося в DNSBL, не блокируется, но этот факт учитывается при классификации "спамности" письма.

При использовании первого подхода все письма с IP адресов, попавших в DNSBL однозначно отклоняются. Независимо от того попал ли IP адрес в черный список заслуженно или же по ошибке. Использование второго подхода отлично иллюстрируется opensource спам-фильтром spamassassin. Когда для классификации сообщения применяется взвешенный подход, т.е. анализ по множеству критериев. В таком случае нахождение IP адреса отправителя в черном списке не является единственным и результирующим фактором, который влияет на решение о классификации сообщения, что в свою очередь означает снижение количества ложных срабатываний фильтра в тех случаях, когда IP адрес отправителя попал в черный список по нелепой случайности.
На данный момент (2009 год) использование технологии DNSBL по первому принципу обычно не приносит больших проблем. Но всё же крайне не рекомендуется использовать большое число блокирующих серверов (это влияет не только на возможную не доставку чистых писем, но и на производительность почтового сервера).

· Плюсы: Черный список на 100% отсекает почту из подозрительного источника.

· Минусы: Дают высокий уровень ложных срабатываний, поэтому применять следует с осторожностью.

Контроль массовости

Технология предполагает выявление в потоке почты массовых сообщений, которые абсолютно идентичны или различаются незначительно. Для построения работоспособного «массового» анализатора требуются огромные потоки почты, поэтому эту технологию предлагают крупные производители, обладающие значительными объемами почты, которую они могут подвергнуть анализу.

· Плюсы: Если технология сработала, то она гарантировано определила массовую рассылку.

· Минусы: Во-первых, «большая» рассылка может оказаться не спамом, а вполне легитимной почтой (например, Ozon.ru, Subscribe.ru тысячами расылают практически одинаковые сообщения, но это не спам). Во-вторых, спамеры умеют «пробивать» такую защиту с помощью интеллектуальных технологий. Они используют ПО, генерирующее разный контент — текст, графику и т.п. — в каждом спамерском письме. В итоге контроль массовости не срабатывает.

Проверка интернет-заголовков сообщения

Спамеры пишут специальные программы для генерации спамерских сообщений и их мгновенного распространения. При этом они допускают ошибки в оформлении заголовков, в результате спам далеко не всегда соответствуют требованиям почтового стандарта RFC, описывающего формат заголовков. По этим ошибкам можно вычислить спамерское сообщение.

· Плюсы: Процесс распознавания и фильтрации спама прозрачный, регламентированный стандартами и достаточно надежный.

· Минусы: Спамеры быстро учатся, и ошибок в заголовках спама становится все меньше. Использование только этой технологии позволит задержать не более трети всего спама.

Контентная фильтрация

Также одна из старых, проверенных технологий. Спамерское сообщение проверяется на наличие специфических для спама слов, фрагментов текста, картинок и других характерных спамерских черт. Контентная фильтрация начиналась с анализа темы сообщения и тех его частей, которые содержали текст (plain text, HTML), но сейчас спам-фильтры проверяют все части, включая графические вложения.

В результате анализа может быть построена текстовая сигнатура или произведен подсчет «спамерского веса» сообщения.

· Плюсы: Гибкость, возможность быстрой «тонкой» настройки. Системы, работающие на такой технологии, легко подстраиваются под новые виды спама и редко ошибаются с разграничением спама и нормальной почты.

· Минусы: Обычно требуются обновления. Настройкой фильтра занимаются специально обученные люди, иногда — целые антиспам-лаборатории. Такая поддержка дорого стоит, что сказывается на стоимости спам-фильтра. Спамеры изобретают специальные трюки для обхода этой технологии: вносят в спам случайный «шум», затрудняющий поиск спамерских характеристик сообщения и их оценку. Например, используют в словах небуквенные символы (вот так, например, может выглядеть при использования этого приема слово viagra: vi_a_gra или vi@gr@), генерируют вариативный цветной фон в изображениях и т.п.

Контентная фильтрация: байес

Статистическией байесовские алгоритмы также предназначены для анализа контента. Байесовские фильтры не нуждаются в постоянной настройке. Все, что им нужно — это предварительное обучение. После этого фильтр подстраивается под тематики писем, типичные для данного конкретного пользователя. Тем самым, если пользователь работает в системе образования и проводит тренинги, то лично у него сообщения данной тематики не будут распознаваться как спам. У тех, кому предложения посетить тренинг не нужны, статистический фильтр отнесет такие сообщения к спаму.

· Плюсы: Индивидуальная настройка.

· Минусы: Лучше всего работает на индивидуальном потоке почты. Настроить «байес» на корпоративном сервере с разнородной почтой — сложная и неблагодарная задача. Главное, что конечный результат будет намного хуже, чем для индивидуальных ящиков. Если пользователь ленится и не обучает фильтр, то технология не будет эффективной. Спамеры специально работают над обходом байесовских фильтров, и это у них получается.

Серые списки (Greylisting)

Временный отказ в приеме сообщения. Сервер, который должен принять письмо, может сообщить о возникновении временной ошибки. Это означает, что в данный момент сервер не может принять письмо, например, из-за слишком большой нагрузки, недостатка места на диске и тому подобного, но в будущем ситуация может измениться, и письмо будет принято.

Если это была попытка послать спам, то этим, скорее всего, всё и закончится. Если же в дальнейшем будет сделана ещё одна попытка послать то же самое письмо (как и должно быть по протоколу SMTP), сервер, использующий серые списки, обнаружит в своей базе данных соответствующую запись и примет письмо. Для увеличения надёжности метода накладывается дополнительное ограничение: после первой попытки должно пройти не менее определённого промежутка времени. Все последующие письма от того же отправителя тому же получателю, посланные через тот же сервер, будут приняты без задержки, потому что в базе данных уже есть нужная запись.

· Плюсы: Легко реализовать, почти не использует ресурсов сервера, высокая надежность (около 95%), низкая вероятность ложных срабатываний.

· Минусы: Задержка в доставке почты (по протоколу SMTP 30 минут). Для многих пользователей такое решение неприемлемо. Также спамеры могут легко реализовать повторное отправление спам-сообщения. В таком случае данный метод абсолютно бесполезен.

литература

http://ru.wikipedia.org/

http://www.securelist.com/