Obrona przed spamem

Mianem spamów określa się niepożądane wiadomości poczty elektronicznej, wysyłane masowo przez nadawców najczęściej w celach reklamowych, w ramach tzw. "marketingu bezpośredniego". Spamy to nie tylko problem straty czasu na przeglądanie i usuwanie niepotrzebnych wiadomości, ale także często poważne obciążenie sieci i pamięci dyskowych zbędną informacją. Istnieją programy wykrywające spamy na poziomie klienta, ale dla większości organizacji lepszym rozwiązaniem jest pozbywanie się ich na poziomie serwera pocztowego. Metoda ta pozwala na zatrzymywanie niepożądanych przesyłek pocztowych w sposób oszczędzający czas użytkownika. Wiadomości z kwestionowaną zawartością są usuwane lub decyzję, co z nimi zrobić, pozostawia się w gestii administratora.

Większość pól nagłówkowych, zdefiniowanych w standardzie SMTP (Simple Mail Transfer Protocol), można weryfikować i autoryzować.

Analiza nagłówków wiadomości jest stosunkowo łatwą i efektywną metodą przesiewania poczty elektronicznej. Istnieją dwa sposoby używania tej techniki:

• weryfikacja,
• autoryzacja.

W metodzie weryfikacyjnej sprawdzana jest wiarygodność adresu nadawcy: jeżeli specyfikowana w adresie domena nie zostanie potwierdzona odpowiedzią z serwera DNS, to wiadomość taka jest co najmniej podejrzana i powinna być odrzucona.

Autoryzacja z kolei polega na kontrolowaniu, z jakiej (legalnej) domeny lub adresu pochodzi odebrana przesyłka, i na tej podstawie decydowanie, czy ma być ona odebrana czy odrzucona. W tym celu tworzy się listę zastrzeżonych domen lub konkretnych adresów. Przesyłki pochodzące z nich są odrzucane niezależnie od faktu, że są to legalnie zarejestrowane domeny figurujące w systemie DNS. Listy takie można uzyskać w Internecie (np. niedochodowa instytucja Mail Abuse Prevention System utrzymuje listy ośrodków produkujących spamy, tzw. RBL – Realtime Blackhole List).

Dobrym sposobem jest ograniczanie liczby odbiorców, którzy mogą otrzymywać poszczególne przesyłki poczty, lub po prostu spowalnianie dostarczania poczty, gdy zostanie przekroczony pewien próg. Interesującym mechanizmem, znanym jako tarpitting, jest zniechęcanie nadawców spamów. Tarpitting jest wyzwalany w momencie, gdy przesyłka nadchodzi z domeny lub adresu TCP/IP, które figurują na „czarnej liście” generatorów spamów. System zaakceptuje przesyłkę, ale wprowadzi określone opóźnienie w odpowiedzi na komendy wysyłane przez źródłowego hosta. W efekcie spowalnia to dostarczanie przesyłek od tego hosta, bez wpływu na wydajność serwera odbierającego. W miarę, jak liczba wiadomości wzrasta, czas opóźnienia jest zwiększany, a host źródłowy musi utrzymywać ciągłe połączenie na cały cykl dostarczania poczty, zanim stanie się on kompletny.

Z kolei analiza treści polega na poszukiwaniu w wiadomości odpowiednich łańcuchów znaków wskazujących, że jest to spam. Wzorce przeszukiwań mogą składać się z pojedynczych słów lub całych fraz. Ponadto program może kontrolować rozmiary wiadomości i sprawdzać nazwy załączników.