Zbrojíme na souboj se spamem


Ve WebSupportu přijmeme i pošleme denně přibližně milion e-mailových zpráv. Odfiltrovat při takovém provozu spamy si kromě stálé pozornosti a množství operativy vyžaduje i osobitou kombinaci vědy a umění. V tomto blogu prozradíme něco o tom, jak se nyní chráníme před spamem a co v této oblasti chystáme v budoucnu.

Příchozí poštu třídíme nejprve tak, že kontrolujeme, zda se poštovní server odesílatele nachází na seznamu odesílatelů spamů. Používáme na to několik free služeb a jednu placenou, se kterou jsme velmi spokojeni (Spamhaus). Jelikož se na cizí SMTP servery datazujeme řádově desettisíckrát denně, je pro nás technicky výhodné synchronizovat si databázi Spamhaus lokálně. Někdy se na blacklisty dostanou i překvapivě legitimní servery, nedávno například stroj od gmail.com. Pokud vám tedy nepřichází z vybraného směru pošta, může být z důvodu, který ani my neovlivníme.

Nástroje a řešení

Na filtrování legitimní pošty od spamů jsme v minulosti používali open-sourcový SpamAssassin, ale závěrem loňského roku jsme přešli na komerční řešení v rámci technické spolupráce s ESETem. Zlepšila se nám tak kvalita detekce spamů a odpadla práce s laděním. Přišli jsme o některé možnosti přizpůsobení pro uživatele a také o pocit, že vidíme řešení „pod kapotu“. Příchozí spamy automaticky nemažeme, jen je označíme našim uživatelům jako potenciální spam a zbytek práce přenecháváme nastavením a antispamovým softwarem na straně našich zákazníků.

Další kontrolou při přijímání e-mailu je kontrola SPF (Sender Policy Framework) záznamu domény odesílatele. SPF záznam, pokud existuje, definuje seznam povolených mailserverů, z nichž může přicházet pošta, a určuje, co se má dělat, když přijde z jiného mailserveru. V případě, že SPF záznam má nastaveno natvrdo odmítnutí pošty z cizích mailserverů, tak ji odmítneme. V případě, že pošta není odmítnuta, přidá se jen hlavička Received-SPF, kterou je možné použít například ve filtrech.

Blacklisty a zneužité stránky

Řešit příchozí spamy je pro nás – překvapivě – ta lehčí věc: náš hlavní problém je ochránit si infrastrukturu před zneužitím na posílání spamů směrem ven do světa. Největší technický problém s odesíláním spamů ven je ten, že se pak dostáváme na blacklisty a díky tomu žádní naši zákazníci nemohou doručovat e-maily na vybrané destinace.

Když už se dostaneme na blacklisty, řešení bývají zdlouhavá, neboť téměř žádný poskytovatel nekomunikuje se světem o tom, kdy, jak a za jakých podmínek vás z blacklistu odstraní. Jsou takoví jako Microsoft (hotmail.com, seznam.cz, atd..), kteří alespoň přes zvláštní stránku dají k dispozici náhled problémových e-mailů. To, že tam často vidíme zcela legitimní e-maily našich zákazníků, označeny jako spam, svědčí o tom, že rozhodnutí o tom, co je a co není spam, je složitý, nejen technický, ale i právní či morální problém.

Největším zdrojem odchozích spamů jsou napadené a zneužité stránky, e-mailové přístupy a VPS servery našich zákazníků. Jako poskytovatel webhostingových a e-mailových služeb nemáme téměř žádnou kontrolu nad tím, jaké stránky hostujeme a kdo jakou poštu odesílá. Snažíme se weby našich zákazníků chránit plošně před útokem zvenčí. V současnosti testujeme řešení mod_security modulu do apache serveru. Je však obtížné použít jeho pokročilé vlastnosti tak, abychom neomezili funkčnost zákaznických webů.

Velíme do zbraně

Základní ochranou před spamem z webserverů je vyžadovat od každého odcházejícího e-mailu, aby měl legitimní adresu odesílatele, která reálně odpovídá poštovní schránce na našich mailových serverech. Po této kontrole posouváme emaily antispam řešení nastavenému tak, aby neposílal dále emaily označené jen s vysokou jistotou jako spam. Sofistikovanost spammerů v této oblasti je ale neustálým problémem. Aktuálně se nám nejhůře rozpoznávají krátké phisingových e-maily s útoky na online banking systémy v západní Evropě, ale i různé krátké a nekonečně se měnící „nigerijské“ dopisy.

Na lepší detekci spamů jsme nedávno zavedli systém takzvaných „honeypot“ nástrah . Na naše vlastní stránky přidáváme neviditelné odkazy na uměle vytvořené poštovní schránky. Ty slouží jako nástrahy bottom spammerům: jakákoliv pošta, směřující do těchto schránek, bude tedy zaručeně pokládána za spam a dá se následně použít jako pravidlo při odlišení od legitimního pošty. Zde bychom rádi vyzvali naše zákazníky a fanoušky: pokud jste ochotni umístit si takovou neviditelnou nástrahu spamerů i na vaši stránku, ozvěte se mi.

Velkou roli při ochraně hrají náš monitoring a naše statistika. Neustále vyhodnocujeme počty odchozích zpráv podle různých kritérií a hledáme anomálie. Typickým jevem hacknutého webu zákazníka, zneužitého na posílání spamů, je jeho neobvykle zvýšená e-mailová aktivita, při které má relativně nízké, ale přece nějakou část pošty označenou jako spam. Zásahy děláme zatím ručně a je to poměrně pracné. Do budoucna proto zvažujeme systém, který by jednak sám rozpoznával anomálie v „e-mailovém chování“ našich uživatelů, a také prováděl některé typy ochranných opatření automaticky.

Často se také stává, že útočníci napadnou domácí nebo firemní počítač našeho uživatele a stáhnou si přihlašovací údaje na naše SMTP servery, které pak použijí k rozesílání spamů. V minulosti stačilo omezovat přístupy na poštovní servery podle IP adresy příslušné země. Stále častěji však vidíme, že mít IP adresy ze Slovenska není problém ani pro spammery z druhého konce zeměkoule. Sami jsme často terčem nabídek různých překupníků, kteří nám nabízejí IP adresy z ledajaké cizí země.

Útoky na SMTP servery

Specifickou kapitolou jsou různé brute-force nebo DDoS útoky na naše samotné SMTP servery. Někdy ani sami nechápeme smysl toho, nač útočník dokola opakuje tentýž útok na naši e-mailovou infrastrukturu, když je neúčinný. Pokud ale útok nezafunguje, stále je pro nás velkým problémem, když se opakuje stovky ráz za sekundu. Něco filtrujeme na inteligentních switchoch (Cisco 4500), něco hned modulem postscreen v Postfix, ale chceme to vše ještě vylepšit. Zajímavý nápad je sdělovat světu IP adresu mailserverů podle toho, z jaké země přichází dotaz. Pro méně důvěryhodné země chceme vyčlenit samostatnou, ale funkční SMTP infrastrukturu, která by v případě přetížení útokem omezila přijímání pošty z daných zemí.

Navzdory všem jmenovaným technologiím je to stále dost o manuální práci. Zde se chceme nejvíce posunout a hledat v budoucnu způsoby, jak většinu této práce zautomatizovat. Tolik stručně o našem boji se spammery.

Miroslav Pikus


1 komentář

Přidej něco

+ Přidej komentář