Zlepšete si antispam – 1. díl

 

Pro dnešní běžné filtry elektronické pošty (antispam engine) je k dispozici řada rozšiřujících funkcí, které významným způsobem přispívají k úspěšnosti antispamových filtrů. Několik z nich si představíme, a to i z hlediska reálné praxe, která se od teorie velmi často liší.

Všechny tyto funkcionality jsou k dispozici jak v komerčních placených řešeních, tak ve světě open-source:

1. Greylisting
2. BATV – Watermarking
3. SPF a DKIM
4. Sekundární MX server
5. Ověření reverzního záznamu a RBL
6. Email harvesting
7. Externí konfigurace DNS23

Greylisting aneb co ještě nevíte

Jedna z nejúspěšnějších metod, která vychází z předpokladu, že běžné servery spamerů nerespektují RFC normy. Spam server má obvykle za úkol rozeslat co nejvíce emailů za co nejkratší dobu, a proto v případě, že cílový emailový server není z nějakého důvodu „ochotný“ okamžitě přijmout spamovou zprávu, komunikace je přerušena a již se znovu neopakuje. Běžný emailový server je povinen po určité době zkoušet doručení emailové zprávy znovu, dokud není emailová zpráva doručena, nebo neuplyne určitá doba, po které se rozhodne, že cílový server pravděpodobně nebude schopen zprávu přijmout (obvykle 48 hodin a více).

Po aktivaci funkce Greylisting se nové zprávy dočasně odmítají použitím některého z dočasných chybových kódů, např:
450 – Requested mail action not taken: mailbox unavailable. request refused
451 – Requested action aborted: local error in processing Request is unable to be processed, try again

Před odmítnutím si emailový server uloží informace nutné k identifikovaní zprávy do vlastní greylisting databáze. Jsou to například:

– IP adresa odesílatele
– Emailová adresa odesílatele
– Emailová adresa přijemce

Při druhém pokusu o doručení emailu (o což by se měl odesílací SMTP server dle RFC 2821 pokusit), se informace
naleznou v greylisting databázi a emailový server tak pozná, že se jedná o opětovné doručení a email se tedy doručí normálně.
Záznam se drží v databázi určitý čas (například týden), takže pokud spolu dvě emailové adresy komunikují pravidelně, nedochází již ke zpoždění zpráv (při každém úspěšném doručení zprávy dochází k opětovnému prodloužení času).

Shrnutí: Tato antispamová metoda je tedy velmi účinná proti profesionálním spamerům, kteří se nepokouší opakovat doručení zprávy. Naopak má nulovou účinnost proti amatérským spamerům, kteří používají pro doručení spamů standardních emailových serverů. Samotný greylisting dokáže odrazit až 80% spamů.

 

V dalším příspěvku se podíváme na výhody BATV, také známé jako Watermarking.

Novinky ze světa kyberbezpečnosti na váš e-mail

Co je nového v oblasti IT security? Buďte v obraze. Jednou měsíčně vám pošleme to nejzajímavější o bezpečnosti firemních sítí a dat.