Spam: naučte se bránit - I

1. 8. 2003 | Ondřej Zloský | Návody | 19272×

Nemoci je lépe předcházet, než ji léčit

Dříve než se pustíme do odstraňování došlé nechtěné pošty, řekněme si pár zásad, jak vůbec spamu předcházet. Všechny vesměs vycházejí z jediného - opatrnosti a zbytečnému nevystavování své adresy všude na internetu.

• Nevyplňovat svou adresu do návštěvních knih a diskuzí.
• Nemít u příspěvků v diskuzních skupinách ve své signatuře uvedenu adresu.
• Na svých, a pokud možno ani na jiných, stránkách nepsat svou adresu za mailto:
• Zbytečně neklikat u příchozího spamu na linky "remove me", "delete from list", "už nezasílat", atd. Většinou to nefunguje a pouze se potvrzuje SpamBotům, že adresa je "živá" a že to opravdu někdo čte.
• Pokud někam registrujete svou adresu, vždy se snažte odškrtat všechny políčka, že nechcete být informování o novinkách, že nechcete zasílat reklamní poštu, atd. Většinou je to implicitně zaškrtnuto a pokud si toho člověk nevšimne, tak má hned o zábavu postaráno.

Je také dobré si uvědomit, že nové adresy na internetu nehledají lidé, ale rádoby inteligentní roboti. Roboty je možné alespoň trochu zmást, takže pokud je opravdu potřeba porušit některé z výše uvedených zásad, pak alespoň trochu rozumně. Je například možné místo klasické adresy "cosi@domena.cz" psát "cosi at domena.cz". Protože roboti prohledávají zdrojové kódy stránek, lze je také ošálit například tím, že svou adresu v kódu zamaskujete za znaky v ASCII hodnotách neboli za html entity.

Takovou adresu prozatím robot opravdu nepoužije (ačkoli by asi nebyl problém ho to naučit).

Všemu předejít nejde, a tak se někdy musí i léčit

Přístupy k odstranění spamu jsou dva, dost často se používá jejich kombinace:

• filtrace na základě seznamů chtěných a nechtěných adres (dnešní článek)
• filtrace pomocí klíčových slov, která se v nevyžádané poště vyskytují (příští díl)

Jednoduše pomocí procmailu

Hlavní nevýhodou tohoto řešení je fakt, že ve chvíli, kdy dochází k filtraci je už pošta stažena k nám a tudíž se nešetří přenos po lince. Pokud se s tímto faktem smíříme, pak můžeme vesele začít.

Princip je jednoduchý. Při pročítání došlých mailů snadno zjistíme, z kterých adres chodí jenom obtěžující zprávy, a můžeme si tak vytvořit jejich seznam, který uložíme do tzv. blacklistu (černá listina). Na rozdíl od níže popsaných whitelistů je možné získat takové seznamy na internetu z databází, které se pravidelně aktualizují. Některé programy přímo využívají online databáze, ale existuje zde riziko, že se na seznamu vyskytnou naši přátelé nebo dokonce celé domény nějakého poskytovatele připojení k internetu, čímž bychom mohli přijít o něco, co nechceme ztratit.

Při procházení schránky se dá ale také vypozorovat, že spousta zpráv je doručována (položky To: a Cc:) neexistujícím nebo prázdným uživatelům. To se stává především majitelům doménových košů, kam běžně padají maily pro uživatele xxx@domena.cz, abcde@domena.cz, qwerty@domena.cz, sdfhsdf@domena.cz nebo Undisclosed-Recipient a další nesmyslné, náhodně generované uživatele. Všechny takové maily je sice možné třídit, ale zde pro změnu existuje veliké riziko, že ani chtěný dopis nebude mít korektně vyplněnou hlavičku nebo naše adresa bude vyplněna v políčku Bcc:(Blind Carbon Copy). Pro takovou situaci se naopak vytváří tzv. whitelist, kde jsou adresy našich známých nebo obchodních partnerů u nichž víme, že poštu od nich opravdu chceme.

Řekněme, že seznamy tedy máme. Ale co s nimi? Použijeme filtrovací nástroj procmail. Konfigurační soubor se nachází v ~/.procmailrc nebo v /etc/procmailrc. V tomto souboru nadefinujeme následující pravidla.

Cokoli, co není posláno přímo nám (lojza@domena.cz nebo franta@domena.cz) nebo se nenachází na whitelistu, který je uložen v souboru ~/.spam-whitelist.

První řádek říká, že se bude kontrolovat všechna pošta, druhý aplikuje filtr pro vše, co nesměřuje na naše adresy. Třetí řádek vezme adresy z hlavičky z položek "From", "From:" a "Sender:" a porovná je se všemi adresami, které jsou uvedeny na samostatných řádcích v souboru ~/.spam-whitelist (čtvrtý řádek pravidla). Pokud tedy mail není zaslán přímo nám a není odeslán z povolené adresy, tak se přesune do složky uvedené na posledním řádku. Může to být např. spam, unwanted nebo třeba /dev/null (o tom níže).

Všechny zprávy od uživatelů na blacklistu rovnou odstraň:

Porovnává adresy z hlavičky podle položek "From", "From:" a "Sender" se všemi adresami, které jsou uvedeny na samostatných řádcích v souboru ~/.spam-blacklist, a pokud vzorku vyhovují, pak zprávy přesouvá do složky /home/user/mail/spam.

A tím je problém vyřešen. Jak jsem sliboval, tak se ještě zmíním o tom, kam směrovat nevyžádanou poštu. Již jsem řekl, že buď do nějaké speciální složky nebo rovnou do /dev/null. Možné je obojí a obojí má své nevýhody. Pokud budeme zprávy ukládat do složky např. spam, musíme ji průběžně kontrolovat nebo si třeba jednou za týden nechat zaslat hlavičky všech zadržených mailů, abychom náhodou nezahodili něco žádoucího. U varianty /dev/null nás neobtěžuje ani toto, ale musíme si být naprosto jisti, že nebyl smazán životně důležitý mail, který neprošel sítem. Proto doporučuji minimálně opatrnost.

Spam Report

Pro zaslání hlaviček nevyžádaných mailů je možné použít nějaký jednoduchý skript. Já používám něco takového a tento skript dvakrát týdně spouští cron.

První část zasílá z hlavičky položky Date, From, To, Subject a X-Mark (ta je přidaná pouze jako oddělovač jednotlivých zpráv) na adresu cosi@domena.cz s předmětem Spam-Report. Druhá polovina potom zajišťuje přesun oznámených mailů do složky spam.1. Obsah spam.1 se již neoznamuje a čeká na ruční smazání nebo přesun mailů.

Zpráva pak vypadá následovně:

Spam-x

Procmail nabízí mnoho zajímavých možností jak řešit problém pomocí seznamu zakázaných a povolených adres. Jednou z nich je Spam-x. Ta už ale vyžaduje jistou asistenci protistrany. Filozofie této možnosti je taková, že vyžádaná pošta chodí pouze ze skutečných (nikoli falšovaných) adres odesílatele a že odesílatel je ochoten toto potvrdit dalším mailem.

Zjednodušeně řečeno: pokud přijde email od někoho poprvé, pak procmail skript odešle žádost o potvrzení "živosti" a prozatím mail uloží do fronty. Jakmile potvrzení přijde, původní email je odeslán příjemci a adresa odesílatele se uloží na whitelist.

Samozřejmě je možné whitelist upravovat i manuálně, je možné mít i blacklist, definovat mailing-listy, do kterých jste přihlášeni (ty pravděpodobně na výzvu neodpoví), ...

Projektík se průběžně vyvíjí a nalézá se zde. Vše, co pro spuštění bude potřeba, je přepsat svůj soubor ~/.procmailrc souborem, který je na stránkách ke stažení a nastavit si 5 proměnných na své hodnoty.

MY_EMAIL

Naše mailová adresa

MY_NAME

Naše jméno

BOTS

Regulární výraz, který odpovídá známým adresám, které Spamují a které chcete uchovávat ve zvláštní složce

KNOWN_DOMAINS

Také regulární výraz, tentokrát pro domény, ze kterých nikdy nechodí spam. Maily z těchto domén nebudou kontrolovány.

LISTS

Poslední regulární výraz, který odpovídá položkám "To:" na mailing listech, do kterých jsme zapsaní. Zprávy z těchto adres se taktéž nebudou kontrolovat.

Dále je asi vhodné upravit odesílanou zprávu, resp. ji přeložit do češtiny a zkontrolovat nastavení systémových cest, jestli odpovídají i v našem počítači (u mě například cesta k programům grep a head neodpovídala). Je také potřeba vytvořit adresář ~/pending_messages, kam se bude ukládat fronta nedoručených zpráv.

Čas od času je také dobré zkontrolovat poštu uvízlou ve frontě, která čeká na své potvrzení. Ovládání je jednoduché a provádí se mailem.

• Zasláním mailu na svou adresu se Subjectem "List senders" do naší schránky přijde seznam adres, ze kterých jsou maily čekající ve frontě.
• Subject "Accept cosi@domena.cz" zařadí adresu do acceptlistu.
• Subject "Deny cosi@domena.cz" zařadí adresu na blacklist.

Pro jednodušší správu ještě autor používá cron, který maže zprávy z čekající fronty a který srovnává .accept-list podle abecedy. Spustíme tedy "crontab -e" a přidáme tyto 2 řádky:

kde adresář /home/user samozřejmě nahradíme svým domovským adresářem.

Závěrem

Existuje jistě spousta dalších možností, jak se bránit pomocí procmailu. Některé se snaží i o kontrolu těla mailu podle klíčových slov jako například junk filter, nebo pro zařazení do whitelistu vyžadují v každém mailu heslo v subjectu, například spamfoil s krásným mottem "Spamming is futile, you will be filtered".

Pro další zkoumání mailů a upravování procmail pravidel doporučuji manuálové stránky procmail, procmailrc a procmailex.

Příště si povíme o tom, co je to Bayesiánský filtr, jak funguje SpamAssassin a jak se poprat se Spamem v Mozille.

Nástroje: Tisk bez diskuse