-
chevron_right
Odosielatelia SPAMu
Slavko · Sunday, 17 May, 2020 - 10:24 edit · 4 minutes
Blokovanie odosielateľov SPAMu?
Nedávno som čítal odporúčanie, myslím, že od našej Polície, ako nakladať so SPAMom. Pobavilo ma už pri jeho čítaní, najmä teda časť, kde odporúčali pridať odosielateľa SPAMu do blokovacieho zoznamu. Pobavilo ma to na základe „odborného odhadu”, ale nedalo mi to, aby som sa na to nepozrel bližšie.
Škodlivosť SPAMu
SPAM samotný je neškodný, iba otravný. Podľa oficiálnej definície sa jedná o komerčné správy, ale neoficiálne je pojmom SPAM označovaná každá nevyžiadaná správa a v predmetnom odporúčaní sa jednalo o vyslovene podvodné správy – Phishing, prípadne rozposielanie škodlivého softvéru a podobne.
Ako funguje ochrana proti SPAMu?
Ochrana proti SPAMu za posledné roky pokročila. Ak váš poskytovateľ emailovej služby nie je ozajstný amatér, tak sú všetky (alebo aspoň väčšina) emailov preskúmané. Nie je to žiadny div, pretože oficiálne odhady udávajú, že až 75 % prenášaných emailov je SPAM.
Na boj so SPAMom existuje viacero techník, medzi najznámejšie patria:
- overenie odosielateľa pomocou SPF, DKIM, DMARC, ..., ktoré dokáže eliminovať poštové servery, ktoré nie sú autorizované na odosielanie
- tzv. greylist, čiže dočasné odmietnutie emailu, ktoré mnoho odosielateľov SPAMu „zastaví”, pretože neopakujú doručenie
- RBL, čiže Reverse Block List, ktorý blokuje poštové servery známe odosielaním SPAMu
- preskúmanie obsahu emailu, pomerne komplexná, zato účinná technika, ale často závislá na použitom jazyku
Tieto techniky môžu byť implementované samostatne, ale častejšie ich realizuje viacero naraz tzv. anti-spamový softvér – asi najznámejší (hoc trochu starší) je SpamAssassin, ale čoraz častejšie sa objavuje aj použitie novšieho rspamd.
Výsledkom takejto ochrany sú buď zahadzované (prípadne aspoň označované) jednotlivé správy alebo poštový server ako celok, a teda sú zahadzované všetky správy z neho.
Čo je na odporúčaní zábavné?
Táto anti-spamová je pomerne účinná na „povoľné” servery, a tak prípadný odosielateľ SPAMu musí neustále nachádzať nový zdroj, rozumej nový poštový server. Avšak málokto si dovolí zablokovať poštové servery emailových gigantov – menovite napr. gmail.com. Ale to vôbec neznamená, že gmail je pre spamerov raj, pretože skôr alebo neskôr, by jeho blokovanie už nebolo otázkou odvahy, ale nutnosti.
Spameri teda na gmail-e raj nemajú, ale i tak sa neustále snažia, po odstránení/zablokovaní účtu si jednoducho vytvoria nový. A to je jadro problému so spomenutým odporúčaním – moja prvá reakcia bola (a stále je): málokedy je jeden odosielateľ použitý viac krát. A ak náhodou áno, tak nie na dlho.
Moje odborné odhady bývajú väčšinou správne, ale nepodlieham sebaklamu o vlastnej dokonalosti a tieto svoje odhady sa snažím porovnávať s reálnymi správami. A to som urobil aj tentokrát. Odkladám si totiž SPAMy za posledný rok, prednostne kvôli trénovaniu anti-spamových filtrov, a tak som sa pozrel ako to s tými odosielateľmi v mojej zbierke je.
Tu je niekoľko faktov:
- zbierka zahŕňa celkom 546 emailov, ktoré prešli filtrovaním v
rspamd(čiže nejedná sa o všetky SPAMy poslané mne) - v zbierke sú odosielatelia zo 115 rôznych domén
- v priemere približne 5 emailov na doménu, tie nadpriemerné sú:
| Počet | Doména |
|---|---|
| 183 | gmail.com |
| 48 | learnwithinnova.com |
| 45 | expertosenaprendizaje.com |
| 28 | capacitacion-paratodos.com |
| 24 | innovalearnexperience.com |
| 22 | aprendeconinnova.com |
| 17 | yahoo(dot)com |
| 9 | gorbany.network |
| 7 | bambool.eu |
| 6 | bizarteion.art |
| 5 | outlook.com |
| 5 | mbtech.sk |
| 5 | hotmail.com |
Ako vidno, táto tabuľka korešponduje s mojim tvrdením, že gmail si málokto dovolí blokovať, a že to/ho SPAMeri využívajú – 180 emailov s odosielateľom z gmail.com je približne 33 % všetkých. A ich odosielatelia? Najviac sa jeden odosielateľ objavil 5× (mimochodom bežný SPAM od slovenského „obchodníka”), niektorí sa opakovali 2-3× a 498 odosielateľov (91 %) je jedinečných.
Blokovanie odosielateľov?
Bližšie som sa pozrel na opakované použitie toho istého odosielateľa v prípade gmail.com:
- 169 rôznych odosielateľov, čiže drvivá väčšina (93 %) sa opakuje len raz
- z tých čo sa opakujú, sa dvaja odosielatelia opakujú 3× a siedmi 2×
- z opakujúcich sa odosielateľov väčšina poslala emaily len v jeden deň
Tak si odpovedzte sami – aký zmysel má blokovať jednotlivých odosielateľov? Opakované použitie odosielateľa za posledný nastalo maximálne 2 – 3 krát. Pridanie si odosielateľa do blokovacieho zoznamu nemá zmysel, je to viac práce ako úžitku.
Poznámka na záver...
Osobne prispievam hlásením SPAM do SPamCop, ktorý poskytuje RBL pre ostatných. Samozrejme, odoslanie jedného spamového hlásenia nezaistí blokovanie príslušného servera/domény, ale na emailoch z jednej otravnej skupiny domén (tie medzi google a yahoo boli z jednej siete) som si overil, že to funguje.
Ak máte problém so škodlivým SPAMom od opakujúceho sa odosielateľa, radšej by ste mali zvážiť zmenu poskytovateľa emailovej služby. Ak je to „obyčajný” SPAM a odosielateľ je zo Slovenska (prípadne aj z EÚ), máte možnosť obrátiť sa SOI a upozorniť ich na porušovanie pravidiel, pretože odosielanie komerčných emailov vyžaduje predchádzajúci súhlas.
Zásadne ale na SPAM neodpovedať!!!