Смертный бой со спамом

СайдЫгз

Xakep, номер #059, стр. 059-070-2

Что же нам предлагают разработчики? Соотечественники выступают с системой под оригинальным названием WinAntiSpam. У нее наименее агрессивная проверка писем и "гуманная" аутентификация, как это называют девелоперы. Заморские же коллеги продвигают свой Spam Interceptor и Goodbyespam.

Мишка очень любит мед

Система ловушек honeypots становится крайне актуальным способом обнаружить негодяя-спамера. Ловушка первенца индустрии Brightmail создается на базе сотен тысяч разных e-mail'ов, которые искусственно тиражируются в Сети, чтобы привлечь к себе рассылку спамера. Ежедневно в таких ловушках оседают миллиарды писем.

Что происходит с пришедшим письмом: оно уходит на автоматический или ручной анализ, а IP отправителя и его почтовый хост прописываются в RBL (черный лист). Подобная ловушка схожа с капканом для сетевых червей а-ля MsBlast: зараза, приметив твой хост, пытается проникнуть в систему, ты же автоматически патчишь атакующую машину, изгоняя червя.

Направлен по распределению

Несколько лет назад самым распространенным способом рассылки спама были открытые relays, часто разыскиваемые среди настроенных по дефолту sendmail'ов. Со временем лафа закончилась: вышли новые версии и патчи софта, открылись специальные системы поиска и мониторинга открытых relays (ORBS.org). Сейчас же большой любовью спамера пользуются протрояненные машины ушастого юзера: на хосте открывается сокс с нестандартным портом или устанавливается специальная система рассылки, вроде миниатюрной AMS.

Определенная часть RBL'ов формируется из адресов подобных машин. Ряд сервисов, вроде Yandex, сканит машины отправителя на наличие бэкдоров и других характерных черт захваченной машины. После проверки портов потенциально уязвимой системы, при подозрении на бесхозность хоста, адрес добавляется в собственный черный лист. Жители такого хоста не могут связаться и с другими сервисами Яндекса: поисковик и каталог - все это будет недоступно.

Если рекламщики используют распределенные системы рассылки спама, то их противники выступают с аналогичными системами поиска спама. Т.е. системы антиспама могут легко взаимодействовать между собой, обмениваясь последними RBL-записями, новыми сигнатурами писем, результатами голосований юзеров. Правда, пока еще нет тотальной централизации фильтров и анализаторов, но антиспамеры уже предсказывают повсеместное слияние их систем в крупные распределенки с единым контролем.

Антикиллер - Антиспам

Скормив Google'у запрос "antispam", ты получишь тонну ссылок на искомый софт. Это не только продукты для больших боссов, которые хотят лишить своих сотрудников возможности посещать курсы самизнаетекакого английского, но и бесплатный софт для простых смертных, т.е. для нас с тобой.

Передовые позиции держат, как и следовало ожидать, McAfee и Symantec. Из списка также выделяется SpamNet, название которого вызывает вопрос - почему нет сайта по борьбе с терроризмом джихад.net? :) Не отстает и отечественный производитель - неприлично известный Kaspersky и все набирающий популярность WinAntiSpam.