Vo WebSupporte prijmeme aj pošleme denne približne milión e-mailových správ. Odfiltrovať pri takejto premávke spamy si okrem stálej pozornosti a množstva operatívy vyžaduje aj svojskú kombináciu vedy a umenia. V tomto blogu prezradíme niečo o tom, ako sa teraz chránime pred spamom a čo v tejto oblasti chystáme v budúcnosti.

Prichádzajúcu poštu triedime najprv tak, že kontrolujeme, či sa poštový server odosielateľa nachádza na zozname odosielateľov spamov. Používame na to viacero free služieb a jednu platenú, s ktorou sme spokojní (SpamHaus). Keďže sa na cudzie SMTP servery dotazujeme rádovo niekoľko desaťtisíckrát denne, je pre nás technicky výhodné syncovať si databázu SpamHausu lokálne. Niekedy sa na blacklisty dostanú aj prekvapivo legitímne servery, nedávno napríklad stroj od gmail.com. Ak vám teda neprichádza z vybraného smeru pošta, toto môže byť dôvod, ktorý my neovplyvníme. Na filtrovanie legitímnej pošty od spamov sme v minulosti používali open-sourcový SpamAssassin, ale záverom minulého roka sme prešli na komerčné riešenie v rámci technickej spolupráce s ESET-om. Zlepšila sa nám kvalita detekcie spamov a odbudla práca s ladením, ale prišli sme o niektoré možnosti kustomizácie pre používateľov a tiež o pocit, že vidíme riešeniu “pod kapotu”. Prichádzajúce spamy automaticky nemažeme, len ich označíme našim používateľom ako potenciálny spam a zvyšok práce prenechávame nastaveniam a antispamovým softvérom na strane našich zákazníkov.

Ďalšou kontrolou pri prijímaní e-mailu je kontrola SPF záznamu domény odosielateľa. SPF záznam, pokiaľ existuje, definuje zoznam povolených mailserverov, z ktorých môže prichádzať pošta, a určuje, čo sa má robiť, keď príde z iného mailservera. V prípade, že SPF záznam má nastavené natvrdo odmietnutie pošty z cudzích mailserverov, tak ju odmietneme. V prípade, že pošta nie je odmietnutá,  pridá sa len hlavička Received-SPF, ktorú je možné použiť napríklad vo filtroch.

 

Riešiť prichádzajúce spamy je pre nás – prekvapivo – tá ľahšia vec: náš hlavný problém je ochrániť si infraštruktúru pred zneužitím na posielanie spamov smerom von do sveta. Najväčší technický problém s odosielaním spamov von je ten, že sa potom dostávame na blacklisty a vďaka tomu žiadni naši zákazníci nemôžu doručovať e-maily na vybrané destinácie. Keď už sa dostaneme na blacklisty, riešenia bývajú zdĺhavé, lebo takmer žiadny poskytovateľ nekomunikuje so svetom o tom, kedy, ako a za akých podmienok vás z blacklistu odstráni. Sú takí ako Microsoft (hotmail.com, zoznam.sk, atď.), ktorí aspoň cez osobitnú stránku dajú k dispozícii náhľad problémových e-mailov. To, že tam často vidíme úplne legitímne e-maily našich zákazníkov, označené ako spam, svedčí o tom, že rozhodnutie o tom, čo je a čo nie je spam, je zložitý, nielen technický, ale aj právny či morálny problém.

 

Najväčším zdrojom odchádzajúcich spamov sú napadnuté a zneužité stránky, e-mailové prístupy a VPS servery našich zákazníkov. Ako poskytovateľ webhostingových a e-mailových služieb nemáme takmer žiadnu kontrolu nad tým, aké stránky hostujeme a kto si akú poštu od nás odosiela. Snažíme sa weby našich zákazníkov chrániť plošne pred útokom zvonka. V súčasnosti testujeme riešenie mod_security modulu do apache servera, je však obtiažne použiť jeho pokročilé vlastnosti tak, aby sme neobmedzili funkčnosť zákazníckych webov.

 

Základnou ochranou pred spamom z webserverov je vyžadovať od každého odchádzajúceho e-mailu, aby mal legitímnu adresu odosielateľa, ktorá reálne zodpovedá poštovej schránke na našich mailserveroch. Po tejto kontrole posúvame e-maily antispam riešeniu nastavenému tak, aby neposielal ďalej e-maily označené len s vysokou istotou ako spam. Sofistikovanosť spamerov v tejto oblasti je ale neustálym problémom. Aktuálne sa nám najťažšie rozpoznávajú krátke phisingové e-maily s útokmi na online banking systémy v západnej Európe, ale aj rôzne krátke a nekonečne sa meniace “nigérijské” listy. Na lepšiu detekciu spamov sme nedávno zaviedli systém takzvaných “honey-pot” nástrah. Na naše vlastné stránky pridávame neviditeľné odkazy na umelo vytvorené poštové schránky. Tie slúžia ako nástrahy bottom spamerov: akákoľvek pošta, smerujúca do týchto schránok, bude teda zaručene pokladaná za spam a dá sa následne použiť ako etalón pri odlišovaní od legitímnej pošty. Tu by sme radi vyzvali našich zákazníkov a fanúšikov: ak ste ochotní umiestniť si takúto neviditeľnú nástrahu spamerom aj na vašu stránku, ozvite sa mi.

 

Veľkú rolu pri ochrane hrajú náš monitoring a naša štatistika. Neustále vyhodnocujeme počty odchádzajúcich správ podľa rôznych kritérií a hľadáme anomálie. Typickým javom hacknutého webu zákazníka, zneužitého na posielanie spamov, je jeho nečakane zvýšená e-mailová aktivita, pri ktorej má relatívne nízke, ale predsa nejaké percento e-mailov označených ako spam. Zásahy robíme zatiaľ ručne a je to pomerne prácne, do budúcnosti preto zvažujeme systém, ktorý by jednak sám rozpoznával anomálie v “e-mailovom správaní” našich používateľov a tiež robil niektoré typy ochranných opatrení automaticky.

Často sa tiež stáva, že útočníci napadnú domáci alebo firemný počítač nášho používateľa a stiahnu si prihlasovacie údaje na naše SMTP servery, ktoré potom použijú na rozosielanie spamov. V minulosti stačilo obmedzovať prístupy na poštové servery podľa IP adresy príslušnej krajiny. Stále častejšie však vidíme, že mať IP adresy zo Slovenska nie je problém ani pre spamerov z druhého konca zemegule. Sami sme často terčom ponúk rôznych priekupníkov, ktorí nám ponúkajú IP adresy z hocijakej cudzej krajiny.

 

Osobitnou kapitolou sú rôzne brute-force alebo DDoS útoky na naše samotné SMTP servery. Niekedy ani sami nechápeme zmysel toho, načo útočník dookola opakuje ten istý útok na našu e-mailovú infraštruktúru, ak je neúčinný. Ak aj útok ale nezafunguje, stále je pre nás veľkým problémom, ak sa opakuje stovky ráz  za sekundu. Niečo filtrujeme na inteligentných switchoch (Cisco 4500), niečo hneď modulom postscreen v postfixe, ale chceme to všetko ešte vylepšiť. Zaujímavý nápad je oznamovať svetu IP adresu mailserverov rôzne podľa toho, z akej krajiny prichádza dotaz. Pre menej dôveryhodné krajiny chceme vyčleniť samostatnú, ale funkčnú SMTP infraštruktúru, ktorá by v prípade preťaženia útokom obmedzila len prijímanie pošty z daných krajín.

Toľko stručne o našom boji so spamermi. Napriek všetkým menovaným technológiám je to stále dosť aj o manuálnej práci. Tu sa chceme najviac posunúť a hľadať v budúcnosti spôsoby, ako väčšinu tejto práce zautomatizovať.

Komentáre