Informačná bezpečnosť

Antispamové riešenia v prostredí prevádzky WWW serverov

Čis­te­nie pri­chá­dza­jú­cej poš­ty od spa­mu je od­ve­ký prob­lém ad­mi­nis­trá­to­rov, kto­rý sa však väč­ši­nou da­rí po­mer­ne ob­stoj­ne rie­šiť.

Ove­ľa väč­ší prob­lém je však boj pro­ti od­osie­la­ným spa­mom. Ak pre­vádz­ku­je­te vlast­ný fy­zic­ký ale­bo vir­tuál­ny server vy­sta­ve­ný na inter­ne­te, mož­no ste už za­ži­li veľ­mi nep­rí­jem­né op­le­tač­ky spo­je­né so za­ra­de­ním váš­ho poš­to­vé­ho server­a na blac­klis­ty. Po­tom už to­tiž ni­ja­ký pou­ží­va­teľ neo­doš­le von sprá­vu.

V na­šej fir­me spra­vu­je­me zá­kaz­ní­kom 100-ti­síc inter­ne­to­vých do­mén, 40-ti­síc webov a 170-ti­síc mail­boxov. Den­ne prij­me­me aj poš­le­me prib­liž­ne je­den mi­lión e-mai­lo­vých správ. Od­filtro­vať spa­my pri ta­kej­to pre­máv­ke si ok­rem stá­lej po­zor­nos­ti ad­mi­nis­trá­to­rov a množ­stva ope­ra­tí­vy vy­ža­du­je aj svoj­skú kom­bi­ná­ciu ve­dy a ume­nia.

Pri­chá­dza­jú­cu poš­tu je dob­ré kla­sic­ky naj­prv trie­diť tak, že sa kon­tro­lu­je, či sa poš­to­vý server od­osie­la­te­ľa na­chá­dza na zoz­na­me od­osie­la­te­ľov spa­mov. Dá sa na to pou­žiť via­ce­ro bez­plat­ných slu­žieb a aj rôz­ne pla­te­né, kto­ré umož­ňu­jú pria­mu syn­chro­ni­zá­ciu anti­spa­mo­vej da­ta­bá­zy a server­ov za­ra­de­ných na blac­klis­te.

Na filtro­va­nie le­gi­tím­nej poš­ty od spa­mov sme v mi­nu­los­ti pou­ží­va­li open sour­ce Spa­mAs­sas­sin, ale nes­kôr sme preš­li na ko­mer­čné rie­še­nie od slo­ven­ské­ho vý­rob­cu anti­ví­ru­so­vé­ho sof­tvé­ru. Zlep­ši­la sa nám kva­li­ta de­tek­cie spa­mov a od­bud­la prá­ca s la­de­ním, ale priš­li sme o niek­to­ré mož­nos­ti kus­to­mi­zá­cie pre pou­ží­va­te­ľov a aj o po­cit, že vi­dí­me rie­še­niu „pod ka­po­tu".

Ďal­šia kon­tro­la pri pri­jí­ma­ní e-mai­lu sa za­me­ria­va na zá­znam SPF do­mé­ny od­osie­la­te­ľa. Zá­znam SPF, po­kiaľ exis­tu­je, de­fi­nu­je zoz­nam po­vo­le­ných mai­lo­vých server­ov, z kto­rých mô­že pri­chá­dzať poš­ta, a ur­ču­je, čo sa má ro­biť, keď prí­de z iné­ho mai­lo­vé­ho server­a. V prí­pa­de, že zá­znam SPF má nas­ta­ve­né natvr­do od­miet­nu­tie poš­ty z cu­dzích mai­lo­vých server­ov, je správ­ne ju od­mie­tať. V prí­pa­de, že poš­ta nie je od­miet­nu­tá, pri­dá sa len hla­vič­ka Re­cei­ved-SPF, kto­rú mož­no pou­žiť nap­rík­lad vo filtroch.

Ako sme už spo­me­nu­li v úvo­de, rie­šiť pri­chá­dza­jú­ci spam je tá ľah­šia vec. Hlav­ný prob­lém dneš­ka je však ochrá­niť si infra­štruk­tú­ru pred jej zneu­ži­tím na po­sie­la­nie spa­mov sme­rom von do sve­ta. Naj­väč­ší tech­nic­ký prob­lém s od­osie­la­ním spa­mov je ten, že sa po­tom da­ný SMTP server dos­tá­va na blac­klis­ty, a tak pou­ží­va­te­lia ne­mô­žu do­ru­čo­vať e-mai­ly na vy­bra­né des­ti­ná­cie. Keď už sa server dos­ta­ne na blac­klis­ty, rie­še­nie bý­va zdĺha­vé, le­bo tak­mer žiad­ny pos­ky­to­va­teľ ne­ko­mu­ni­ku­je so sve­tom o tom, ke­dy, ako a za akých pod­mie­nok vás z blac­klis­tu od­strá­ni. Na­vy­še roz­hod­nu­tie o tom, čo je a čo nie je spam, je zlo­ži­tý prob­lém, a to nie­len tech­nic­ký, ale aj lin­gvis­tic­ký, práv­ny či mo­rál­ny.

Naj­väč­ším zdro­jom od­chá­dza­jú­cich spa­mov sú pri pos­ky­to­va­ní zdie­ľa­né­ho web­hos­tin­gu a ve­rej­ných VPS na­pad­nu­té a zneu­ži­té strán­ky, e-mai­lo­vé prís­tu­py a VPS server­y. Pos­ky­to­va­teľ web­hos­tin­go­vých a e-mai­lo­vých slu­žieb zvy­čaj­ne ne­má tak­mer žiad­nu kon­tro­lu nad tým, aké strán­ky sa hos­tu­jú a kto akú poš­tu od­osie­la. Os­ved­ču­je sa auto­ma­ti­zo­va­né vy­hľa­dá­va­nie škod­li­vé­ho kó­du na webo­vých strán­kach. Na úrov­ni sú­bo­ro­vé­ho sys­té­mu je dob­ré pre­vádz­ko­vať server­ov­ú ver­ziu kla­sic­ké­ho anti­ví­ru­so­vé­ho ske­ne­ra. Ten vie prek­va­pi­vo účin­ne náj­sť veľ­mi ve­ľa ty­pov bac­kdoo­rov, trój­skych ko­ňov, bo­tov, spa­mo­vých ro­bo­tov a po­dob­né­ho škod­li­vé­ho kó­du. Prek­va­pi­vo účin­né je aj auto­ma­ti­zo­va­né vy­hľa­dá­va­nie rôz­nych ty­pov „zvláš­tnych" sú­bo­rov len pod­ľa ich vzhľa­du. Nap­rík­lad sú­bo­ry, kto­ré ma­jú me­nej ako tri riad­ky a zá­ro­veň ob­sa­hu­jú slo­vá, kto­ré ma­jú viac ako 30 zna­kov, sú tak­mer ur­či­te mal­vér.

Zá­klad­ná ochra­na pred spa­mom z webo­vých server­ov je vy­ža­do­vať od kaž­dé­ho od­chá­dza­jú­ce­ho e-mai­lu, aby mal le­gi­tím­nu ad­re­su od­osie­la­te­ľa, kto­rá reál­ne zod­po­ve­dá poš­to­vej schrán­ke na na­šich mai­lo­vých server­och. Po tej­to kon­tro­le je vhod­né po­sú­vať e-mai­ly anti­spa­mo­vé­mu rie­še­niu nas­ta­ve­né­mu tak, aby sa ne­po­sie­la­li ďa­lej e-mai­ly ozna­če­né s vy­so­kou is­to­tou ako spam. So­fis­ti­ko­va­nosť spa­me­rov v tej­to ob­las­ti je však neus­tá­ly prob­lém. Ak­tuál­ne sa naj­ťaž­šie roz­poz­ná­va­jú krát­ke phis­hin­go­vé e-mai­ly s útok­mi na on-li­ne ban­kin­go­vé sys­té­my v zá­pad­nej Euró­pe, ale aj rôz­ne krát­ke a ne­ko­neč­ne sa me­nia­ce „ni­gé­rij­ské" lis­ty. Na lep­šiu de­tek­ciu spa­mov sme ne­dáv­no vo Web­Sup­por­te za­vied­li sys­tém tak­zva­ných ho­ney-pot nás­trah. Na na­še vlas­tné strán­ky pri­dá­va­me ne­vi­di­teľ­né od­ka­zy na ume­lo vy­tvo­re­né poš­to­vé schrán­ky. Tie slú­žia ako nás­tra­ha pre spa­mo­va­cie ro­bo­ty: aká­koľ­vek poš­ta sme­ru­jú­ca do tých­to schrá­nok bu­de te­da za­ru­če­ne pok­la­da­ná za spam a dá sa nás­led­ne pou­žiť ako eta­lón pri od­li­šo­va­ní od le­gi­tím­nej poš­ty.

Veľ­kú ro­lu pri ochra­ne pro­ti spa­mu ma­jú mo­ni­to­ring a na­ša šta­tis­ti­ka. Neus­tá­le je vhod­né vy­hod­no­co­vať poč­ty od­chá­dza­jú­cich správ pod­ľa rôz­nych kri­té­rií a hľa­dať ano­má­lie. Ty­pic­ký pre­jav hac­ko­va­né­ho webu, zneu­ži­té­ho na po­sie­la­nie spa­mov, je je­ho ne­ča­ka­ne zvý­še­ná e-mai­lo­vá ak­ti­vi­ta, pri kto­rej je re­la­tív­ne níz­ke, ale pred­sa ne­ja­ké per­cen­to e-mai­lov ozna­če­né ako spam. Zá­sah je vhod­ný ro­biť pl­ne auto­ma­ti­zo­va­ne. Ak sa z kon­krét­ne­ho webu poš­le is­tý po­čet spa­mov za ur­či­tý čas, auto­ma­tic­ky sa blo­ku­je mož­nosť po­sie­lať poš­tu von.

Ako no­vý fe­no­mén jed­né­ho z blac­klis­to­vých pro­vi­de­rov mož­no ozna­čiť to, že sa proak­tív­ne ske­nu­je inter­net na hac­ko­va­né weby a tie sa po­tom auto­ma­tic­ky pri­dá­va­jú do blac­klis­tov, aj keď neo­do­sie­la­jú spa­my. Je dis­ku­ta­bil­né, či ide o fé­ro­vú prak­ti­ku, keď­že v tej­to si­tuá­cii ne­po­mô­že ani so­fis­ti­ko­va­ná ochra­na pro­ti od­chá­dza­jú­ce­mu spa­mu. Rie­še­nie je však jed­no­du­ché - tre­ba mať od­de­le­nú IP ad­re­su WWW server­a a server­a od­chá­dza­jú­cej poš­ty.

Čas­to sa stá­va aj to, že útoč­ní­ci na­pad­nú do­má­ci ale­bo fi­rem­ný po­čí­tač náš­ho pou­ží­va­te­ľa a stiah­nu si prih­la­so­va­cie úda­je na na­še SMTP server­y, kto­ré po­tom pou­ži­jú na ro­zo­sie­la­nie spa­mu. V mi­nu­los­ti sta­či­lo ob­me­dzo­vať prís­tu­py na poš­to­vé server­y pod­ľa IP ad­re­sy prís­luš­nej kra­ji­ny. Čo­raz čas­tej­šie však vi­dí­me, že mať IP ad­re­sy zo Slo­ven­ska nie je prob­lém ani pre spa­me­rov z dru­hé­ho kon­ca ze­me­gu­le. Sa­mi sme čas­to ter­čom po­núk rôz­nych prie­kup­ní­kov, kto­rí nám po­nú­ka­jú IP ad­re­sy z ho­ci­ja­kej cu­dzej kra­ji­ny.

Oso­bit­nú ka­pi­to­lu tvo­ria rôz­ne úto­ky bru­te-for­ce ale­bo DDoS na SMTP server­y. Nie­ke­dy je ťaž­ké po­cho­piť zmy­sel to­ho, pre­čo útoč­ník doo­ko­la opa­ku­je ten is­tý útok na da­nú e-mai­lo­vú infra­štruk­tú­ru, ak je neú­čin­ný. No ak aj útok ne­fun­gu­je, stá­le je veľ­ký prob­lém, ak sa opa­ku­je stov­ky ráz za se­kun­du. Nie­čo sa dá filtro­vať na fi­rewalloch či in­te­li­gen­tných swit­choch. Za­ují­ma­vá je aj prax ozna­mo­vať sve­tu IP ad­re­su mai­lo­vých server­ov rôz­ne pod­ľa to­ho, z akej kra­ji­ny pri­chá­dza do­pyt. Pre me­nej dô­ve­ry­hod­né kra­ji­ny mož­no vy­čle­niť sa­mos­tat­nú, ale fun­kčnú infra­štruk­tú­ru SMTP, kto­rá by v prí­pa­de pre­ťa­že­nia úto­kom ob­me­dzi­la len pri­jí­ma­nie poš­ty z da­ných kra­jín.

Na­priek všet­kým spo­mí­na­ným tech­no­ló­giám je v bo­ji so spa­mom stá­le dosť ma­nuál­nej prá­ce. Hľa­da­nie ďal­ších spô­so­bov auto­ma­ti­zá­cie je je­den z bu­dú­cich spô­so­bov bo­ja pro­ti spa­mu. Ako je­di­né sys­té­mo­vé rie­še­nie do bu­dúc­nos­ti sa však stá­le ja­ví len pos­tup­ný pre­chod od kla­sic­ké­ho e-mai­lu na rôz­ne iné, nap­rík­lad in­stan­tmes­sa­gin­go­vé spô­so­by ko­mu­ni­ká­cie, kde ko­mu­ni­ká­ciu pred­chá­dza vzá­jom­ná auten­ti­fi­ká­cia zú­čas­tne­ných strán.

Mi­ros­lav Pi­kus, Chief Tech­no­lo­gy Of­fi­cer, Web­Sup­port
mi­ros­lav.pi­kus@web­sup­port.sk

Zdroj: IW 5-6/2014


Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Cloud a je­ho do­sah na vý­voj IT tr­hu. CFO a CIO to vi­dia inak.
Ako môže ovplyvniť nástup cloudových technológií rozhodovacie a prevádzkové procesy v bežnej ekonomicky aktívnej spoločnosti? čítať »
 
Vy­uži­tie sen­zo­rov
Moderné tablety a konvertibilné zariadenia pod taktovkou operačného systému Windows 8.1 sú vybavené niekoľkými užitočnými senzormi, ktoré môžete využiť vo svojich aplikáciách. Spravidla ide o kompas, akcelerometer, gyroskop, náklonomer a snímač intenzity osvetlenia.  čítať »
 
No­vý Thin­kPad X1 Car­bon
ThinkPad X1 Carbon tretej generácie je naozaj veľmi ľahký vďaka tomu, že je vyrobený z karbónového vlákna, ktoré má menšiu hmotnosť ako horčíkové alebo hliníkové. Vďaka konštrukcii z uhlíkových vlákien je model X1 Carbon vôbec najodolnejší notebook z radu ThinkPad. čítať »
 
Da­ta Dis­co­ve­ry - ob­ja­vo­va­nie vzo­rov v dá­tach
Dnes hýbu svetom biznisu nielen peniaze, ale hlavne informácie. V tejto informačnej dobe sa na dáta, ako aj na nástroje na ich spracovanie kladú vysoké nároky. čítať »
 
No­vý pro­ce­sor IBM Power8: 50× rých­lej­ší pri ana­lý­ze dát ako x86
Spoločnosť IBM predstavila prvé servery vybavené novou generáciou procesora Power8. Zároveň pripomenula svoju nadáciu, ktorá otvára architektúru POWER záujemcom o jej ďalší vývoj. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter