[SPAM]Jak bojovat proti SPAMU?

Spam je nevyžádané masově šířené sdělení (nejčastěji reklamní). Textový spam sám o sobě není nebezpečný, pouze obtěžuje. Novější formy spamu ve formě HTML zpráv ale často obsahují různé zpětné kanály (odkazy na vložené obrázky, apod.), které identifikují platnost adresy příjemce a tím umožňují odesílateli spamu účiněji zacílit další spam. Spam je všudypřítomný, každý jej někdy do své schránky dostal nebo dostane. V různých statistikách jsou uváděna hrozivá čísla o zastoupení spamu v doručené poště: 80-90% emailů je dnes spam. Proti spamu je tedy třeba bojovat.

Na FIT a FEKT je příchozí pošta filtrována celou řadou různě účinných nástrojů:

  1. Pošta je přijímána pouze z poštovních serverů, které jsou správně zaregistrovány v DNS (mají přímý i reverzní záznam). Pokud narazíte na problém, ohlašte jej, můžeme případný nesprávně zaregistrovaný důležitý poštovní server přidat do whitelistu.
  2. Poštovní server se musí na úrovni protokolu SMTP identifikovat legálním jménem (parametr příkazu HELO/EHLO). Je odmítáno spojení od serverů, které předstírají, že jsou servery v doméně VUT (doménovým jménem nebo číselným jménem ve formě IP adresy), mají neplatné jméno (localhost) nebo jméno bez určení domény. Tato kontrola není prováděna u autentizovaných spojení (odesílání pošty z poštovních klientů).
  3. Je odmítáno spojení od poštovních serverů, které jsou na online seznamech známých zdrojů spamu: Tyto databáze odfiltrují týdně tisíce spamů, ale něco jimi vždy projde, zejména z nových zdrojů.
  4. Antivirový program Clamav - všechny příchozí dopisy jsou automaticky kontrolovány a zavirované dopisy jsou zahozeny. Program clamav také detekuje pokusy o phishing (pokusy o získání citlivých údajů - hesla, čísla kreditních karet, apod.).
  5. Detektor phishingu a scamu od Sanesecurity v podobě dodatečných signatur pro Clamav.
  6. Detektor spamu SpamAssassin, spam nízké úrovně je doručen, ale označen hlavičkou. Spam vysoké úrovně (>=10) je automaticky odmítnut.
  7. Detektor URL spamu. Krátká sdělení, která obsahují odkaz na závadná URL zařazená v databázi, jsou odmítnuta.
  8. Dopisy s dělenými přílohami jsou odmítány (typ "message/partial", vlastnost Outlooku, velká příloha je odeslána několika samostatnými dopisy, takováto příloha se nedá kontrolovat, protože každý dopis je zpracováván samostatně, ke sloučení dochází až v poštovním klientu, ne ve schránce).
  9. Jsou odstraněny přílohy s příponou jména souboru, která vede v různých produktech Microsoft k automatickému zpracování a tím spuštění podezřelého kódu bez možnosti zásahu uživatele (ade, adp, bas, bat, chm, cmd, com, cpl, crt, dll, exe, hlp, hta, inf, ini, ins, isp, js, jse, lib, lnk, mdb, mde, msc, msi, msp, mst, ocx, pcd, pif, reg, scr, sct, shb, shs, sys, url, vb, vbe, vbs, vxd, wsc, wsf, wsh).
  10. Jsou odstraněny přílohy s příponou .eml, pokud nejsou typu "message/rfc822".
Statistiku odfiltrovaných dopisů najdete v informačním systému FIT.

SpamAssassin

SpamAssassin je nainstalován na všech poštovních serverech FIT a FEKT. Je automaticky spouštěn na každý příchozí dopis. Podrobná dokumentace je na Webu. Pro ty, kteří nehodlají číst dokumentaci, je zde vzorový .procmailrc, který odloží spamy nízké úrovně (>=7) do samostatné schránky:


# pravidlo pro procmailrc
:0:
* ^X-Spam-Status: Yes
mail/probably-spam

Spamassassin přidá do dopisu hlavičku X-Spam-Status. Hlavička X-Spam-Status obsahuje jako první slovo 'Yes', pokud překročí hodnocení spamu nastavenou hodnotu (implicitně 7.0), jinak je první slovo 'No'. Dále je v této hlavičce uvedeno číselné hodnocení a seznam nalezených příznaků spamu. Příklad:
X-Spam-Status: Yes, hits=20.0 required=7.0
	tests=ALL_CAPS_HEADER,CALL_FREE,DATE_IN_PAST_24_48,
              DRASTIC_REDUCED,FROM_HAS_MIXED_NUMS,HOME_EMPLOYMENT,
              INVALID_DATE,INVALID_MSGID,LINES_OF_YELLING,
	      MSGID_HAS_NO_AT,NO_REAL_NAME,ONCE_IN_LIFETIME,
	      RAZOR2_CHECK,RCVD_IN_OSIRUSOFT_COM,REMOVE_SUBJ,
	      SMTPD_IN_RCVD,SPAM_PHRASE_21_34,UNDISC_RECIPS,
	      X_OSIRU_DUL,X_OSIRU_DUL_FH
	version=2.43
Pokud procmail narazí na dopis s hlavičkou X-Spam-Status obsahující 'Yes', uloží ji do samostatné schránky 'probably-spam' v adresáři $HOME/mail (jméno schránky si upravte dle libosti, doporučujeme ale takovéto dopisy nezahazovat automaticky, protože jako spam může být vyhodnocen i nezávadný dopis).

Po instalaci .procmailrc nezapomeňte ověřit, že vše funguje (pošlete si dopis a ověřte, že dojde, případně se uloží do vedlejší schránky)!

Standardní pravidla vyhodnocování spamovatosti dopisu jsou umístěna v adresáři /var/db/spamassasin/VERZE.

Procmail

Procmail je doručovací program, kterým je doručována pošta na všech poštovních serverech FIT a FEKT. Postup doručování je řízen souborem $HOME/.procmailrc. Pomocí procmail lze příchozí dopisy filtrovat libovolnými programy, ukládat do různých schránek, předávat na jiné adresy, apod. Popis najdete v manuálové stránce man procmailrc a příklady v man procmailex. Pokud budete používat procmail také na přeposílání dopisů někam jinam, nezapomeňte přidat do patřičného pravidla podmínku * !^FROM_MAILER:
:0
* !^FROM_MAILER			# neposílat chyby
* < 1000			# na mobila jen malé dopisy
! petr.novak@sms.oscar.cz
Tato podmínka zajistí, že nebude přeposlán dopis od démonů (poštovních serverů, z adres postmaster, daemon, mmdf, uucp, apod.). Pokud na to zapomenete, může velice snadno dojít k nekonečnému zacyklení pošty - když nebude dopis na adresu 'petr.novak@sms.oscar.cz' doručitelný a vrátí se vám oznámení o nedoručitelnosti (to se opět přepošle na stejnou adresu, opět se vrátí, atd.).

Obecné zásady používání emailu

  • Nečtěte spam, ztrácíte tím zbytečně čas. Pokud označí SpamAssassin dopis jako spam úrovně 10, určitě neobsahuje žádné důležité informace a můžete jej bez obav okamžitě zrušit ze schránky.
  • Nabídky finančních transakcí z Nigérie naštěstí přicházejí v angličtině, takže je u nás minimum obětí. Podobné "výhodné" nabídky však mohou přijít i česky a pokud nechcete ztrácet čas a přijít o peníze, také je raději zahoďte.
  • Dopisy od banky, úřadu, správce systému, atp. mohou být podvržené. Než se rozhodnete ťuknout na URL v emailu (zde se přihlašte ke svému účtu a změňte si heslo), ověřte si, odkud byl dopis skutečně odeslán (zobrazte si plné hlavičky emailu a kudy dopis putoval, pokud byl dopis od "České spořitelny" odeslán z anonymního PC v Nigérii, je lepší jej zahodit). Emaily mají dvě sady hlaviček, ty které vám klient zobrazuje, jsou hlavičky, které generuje odesílající ve svém poštovním programu a může si tam nastavit cokoli. Hlavičky protokolové (začínající slovem Received:) jsou v emailu obvykle skryty (mutt je zobrazí na klávesu h, Thunderbird na View / Headers / All).
  • Občas se objevují dopisy apelující na soucit a shánějící cokoliv pro trpící. Než se rozhodnete v záchvatu dobročinnosti tyto dopisy rozesílat všem svým známým, ověřte si, zda se nejedná o mystifikaci (viz např. www.hoax.cz).
  • Nepodlehněte pokušení odpovídat nebo odhlašovat se z rozesílacího seznamu spamu. Mizivé procento odesílatelů vás skutečně vyřadí z rozesílacího seznamu (podle posledních statistik je pouze 5% odkazů na odhlášení skutečně funkčních). Většina vyhodnotí vaši odpověď nebo pokus o odhlášení jako potvrzení živosti vaší adresy a budou vám na ni chrlit spam o to usilovněji a ještě ji případně předají dalším šiřitelům spamu (viz nabídky na 15 miliónů zaručeně platných e-mail adres, apod.).
  • Neuvádějte svoji e-mail adresu tam, kde si nejste jisti, jak s ní naloží dále (služby, akce, výhry "Free" za registraci, apod.).
Zpět na návody CVT

Vaše IPv4 adresa: 54.224.100.134
Přepnout na IPv6 spojení

DNSSEC [dnssec]