недеља, септембар 08, 2013

Ubica spema

Prijatelji i kolege me često pitaju kako se rvem sa spemom u mejlovima (iliti neželjenim porukama). Činjenica je da je 99% spema mašinski generisano i da dolazi do vas preko servera koji su hakovani i/ili imaju sigurnosne propuste koje neko koristi kako bi u svet poslao poruku o svom revolucionarnom proizvodu, jeftinim pilulama, savetima za investiranje i ostalim glupostima. Da biste se odbranili od ovakvog spema dovoljno je da za mejl koristite program koji ima iole naprednije mogućnosti filtriranja poruka i da imate instaliran SpamAssassin.

SpamAssassin je program za filtriranje poruka i koristi niz različitih tehnika za prepoznavanje spema: provera DNS-a, Bejzijen (Bayesian) filtriranje, crne liste, baze podataka itd. Može se instalirati kao serverska aplikacija kada se integriše sa mejl serverom pa se sva filtriranja vrše na serveru i već obrađene poruke dolaze u vaše sanduče, a možete ga instalirati i u lokalu. Mi ćemo se u ovom tekstu baviti situacijom kada je SpamAssassin instaliran na serveru pošto ga ionako većina hosting kompanija i provajdera podrazumevano nude uz svoje usluge.

Dakle, administrator u našoj firmi se potrudio i instalirao SpamAssassin na serveru. Svi mejlovi dolaze u sanduče već obrađeni. Ukoliko SpamAssassin sumnja da je neki mejl spem, u subject polju će napisati [SPAM]. Ovo vam je već dovoljno da u programu za elektronsku poštu kreirate filtar koji će vam razvrstavati mejlove na one koji nisu spem i one koji najverovatnije jesu spem. jednom dnevno možete da protrčite kroz poruke koje su označene kao spem, proverite da li tu ima nešto bitno, i ako nema, samo ih obrišete. Ako dnevno dobijate na desetine ovakvih mejlova, možete preraditi pravilo filtriranja na način da se ove poruke automatski brišu mada rizikujete da obrišete neki mejl koji u suštini i nije spem.

U zaglavlju mejlova koje je obradio SpamAssassin naći ćete rezultat spem testa, nešto poput ovoga:

X-Spam-Status: Yes, score=8.1 required=7.0

što će reći da je ova poruka okarakterisana kao spem i da je osvojila 8.1 bod a da je 7 bodova granica (koju je postavio administrator) koja razdvaja žito od kukolja. Ovo je još drastičniji primer:

X-Spam-Status: Yes, score=13.6 required=7.0

Inače, u pitanju je lažna mejl poruka o tome kako je vaš Fejsbuk nalog deaktiviran i gde vas pozivaju da se ulogujete na tobože Fejsbuk stranicu. Na osnovu ovog podatka, možete napraviti novo pravilo filtriranja pomoću kojeg ćete poruke koje imaju score koji je veći od recimo 10, automatski brisati bez gledanja a one koje su na granici da smeštate u poseban folder za kasniju (ručnu) proveru.

Ovaj rezultat testa može biti prikazan i "grafički" pomoću plusića i zvezdica, na primer

X-Spam-Level: *************

ili

X-Spam-Bar: +++++++++++++

Eto još jednog načina za kreiranje filtra: ako zaglavlje mejla sadrži

X-Spam-Level: **********

(to je 10 zvezdica što znači da je rezultat spem testa jednak ili veći od 10) - obriši poruku.

Naravno, svako pravilo ima i izuzetke pa tako i mi imamo kolegu koji (legitimno) šalje mejlove preko Telekomovih servera a Telekomovi serveri se naravno nalaze na spem crnim listama i u spem bazama podataka pa i njegove poruke stižu do nas kao spem a to nisu:

X-Spam-Report:
    *  3.3 RCVD_IN_PBL RBL: Received via a relay in Spamhaus PBL
    *      [77.46.246.244 listed in zen.spamhaus.org]
    *      [77.46.246.244 listed in dnsbl.sorbs.net]
    *  1.3 RCVD_IN_RP_RNBL RBL: Relay in RNBL,
    *      https://senderscore.org/blacklistlookup/
    *      [77.46.246.244 listed in bl.score.senderscore.com]
    *  1.4 RCVD_IN_BRBL_LASTEXT RBL: RCVD_IN_BRBL_LASTEXT
    *      [77.46.246.244 listed in bb.barracudacentral.org]

Zato za njega kreiramo posebno pravilo koje kaže, "OK, sve njegove poruke smeštaj u inbox bez obzira na okolnosti".

Na kraju da sumiramo. Ako imate instaliran SpamAssassin, kreirate tri vrste pravila:

  1. mejlove iz dobro poznatih izvora a koje mogu biti označene kao spem smeštamo u prijemno sanduče bez obzira na sve
  2. mejlove koji imaju rezultat veći od neke cifre (10 recimo ili na osnovu iskustva) brišemo bez gledanja
  3. ostale poruke koje su označene kao spem ćemo preusmeriti u junk folder za kasniju analizu; kasnije možemo da korigujemo prva dva pravila u zavisnosti od toga koliko mejlova nam se dnevno slije u ovaj folder

Нема коментара:

Постави коментар