Отбить на дальних подступах

Чисто почта

добавить в избранное

Отбить на дальних подступах

Прочитали: 4783 Комментариев: 86 Рейтинг: 93

3 сентября 2018

Мы часто возвращаемся к теме антиспама, в том числе и в рамках продуктов Dr.Web. Напомним, что этот модуль принимает письмо и сравнивает его содержимое с определенными правилами, заложенными в его базе данных.

Модуль может использоваться для фильтрации спама и на рабочих станциях и на серверах, но если на ПК он обычно является единственным средством защиты от спама, то на серверах администраторы могут воспользоваться дополнительными технологиями.

Самое простое – базы DNSBL, аналог баз Родительского контроля. Это перечень ресурсов, запятнавших себя, скажем, рассылкой спама. Используется достаточно часто, но имеет крупный недостаток: в него легко попасть, но вот удаление оттуда зачастую платное, и пока вы не заплатите, все, кто используют эту базу DNSBL, ваши письма будут считать спамом. Подробнее можно почитать в нашем выпуске «Борьба с ”борцами” со спамом».

Не золотая пуля.

Еще одна технология – SPF. Фишеры стараются подменять домен отправителя, чтобы письмо выглядело пришедшим от доверенного человека. Идея технологии SPF достаточно проста: в служебной информации домена его владелец записывает список серверов, которые имеют право отправлять письма от имени этого домена, и механизм обработки писем, отправленных от других серверов. Соответственно, принимающий сервер может проверить эту информацию и выявить, что письмо, отправленное от имени Microsoft, отправлено совсем с другого IP-адреса.

dig work.ua TXT | grep spf work.ua. 57416 IN TXT "v=spf1 a mx ip4:89.184.80.167 ip4:89.184.66.189 ip4:89.184.66.22 ip4:89.184.66.23 ip4:89.184.80.160/28 -all"

В данном примере:

v=spf1 — версия используемой SPF-записи;
a — принимать почту с сервера, IP-адрес которого стоит в A-записи домена (проще говоря, с сервера, где размещен сайт);
mx — принимать почту с серверов, указаных в MX-записях домена;
ip4:89.184.80.167 ip4:89.184.66.189 ip4:89.184.66.22 ip4:89.184.66.23 — принимать почту с серверов, которым соответствуют перечисленные IP-адреса;
ip4:89.184.80.160/28 — принимать почту с серверов, IP-адреса которых находятся в указанной подсети (диапазоне);
-all — письмо с сервера, который не входит в вышеперечисленный список, отвергается.

https://letsclearitup.com.ua/exim/chto-takoe-spf-sender-policy-framework.html

Для проверки наличия/корректности SPF-записи существуют специальные сервисы – например, Kitterman.

Проблема этой технологии в том, что для ее реализации все серверы, принимающие и отправляющие электронную почту, должны использовать SPF. Но это априори нереально. Письма крайне редко идут напрямую от сервера к серверу – гораздо чаще они проходят несколько транзитных серверов. Один из них может не использовать SPF, и, если политика получающего сервера заключается в том, чтобы принимать корреспонденцию только с серверов, использующих SPF, письмо может быть отвергнуто как спам.

Не золотая пуля.

Следующая технология – DKIM (Domain Keys Identified Mail – идентификация письма по ключу домена).

Если в SPF каждому имени домена соответствует список доверенных серверов, то в случае DKIM:

…для идентификации законного отправителя используется цифровая подпись, которая связана с его доменным именем отправителя (DomainKeys).

Для того, чтобы настроить DKIM-подпись, необходимо сформировать пару ключей шифрования – публичный и приватный.

Для проверки подписей используется так называемая ассиметричная система шифрования: своим приватным ключом вы, как отправитель, создаёте подпись. А проверить её подлинность сервер-получатель может с помощью публичного ключа. Этот публичный ключ вы, как рассыльщик, публикуете на своём DNS-сервере или делегируете рассылочному серверу.

https://habr.com/post/322616

Для проверки DKIM можно воспользоваться dkimcore.org.

Проблемы? Спамеры могут настроить для своего сервера DKIM (как, кстати, и SPF). Ничто им не мешает это сделать. И если атака того стоит, они это сделают.

Еще одна проблема связана с целостностью письма. Почтовые серверы меняют содержимое при пересылке – например, структуру MIME-частей или разбивку на строки, что может приводить к нарушению DKIM-подписи.

А если взять и объединить SPF и DKIM? Это будет уже DMARC:

DMARC устанавливает стандарт для идентификации электронных сообщений принимающими узлами с использованием механизмов Sender Policy Framework (структуры политики отправителя, SPF) и DomainKeys Identified Mail (почты, идентифицируемой при помощи доменных ключей, DKIM).

https://blog.expertsender.ru/2015/02/13/chto-takoe-dmark-i-pochemu-eta-texnologiya-neobxodima-vashim-emejl-kampaniyam

https://habr.com/company/mailru/blog/170957

Проблемы? Поскольку DMARC использует DKIM, то проблемы аналогичны. В этой статье весьма подробно описаны сложности, с которыми могут столкнуться пользователи.

Естественно, это не все технологии – их предлагалось гораздо больше: OMF, Sender-ID, ADSP... Но Sender ID (RFC 4406) использует патенты Microsoft и «не взлетел», ADSP тоже «не взлетел» и в 2013 году был переведен в статус Historic.

Интересно, что все эти технологии упрощают деанонимизацию отправителя. Что логично, так как сервер отправителя теперь должен идентифицироваться однозначно.

#спам #технологии #фишинг

Антивирусная правДА! рекомендует

Что показывает этот грустный список? А показывает он, что если исходный протокол передачи почтовых сообщений (SMTP) безопасности не обеспечивает (а он и создавался для тех, кто не мог реализовать безопасный протокол X25), то остается проявлять внимательность и еще раз внимательность при получении писем.

И конечно, использовать антиспам для фильтрации почты — не только на рабочих станциях, но и на дальних подступах к ним — на почтовом сервере. Как правильно организовать такую фильтрацию, рассказывает наш обучающий курс Основные принципы защиты почтового трафика.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Sasha50 Собкор
08:20:37 2019-01-29

Интересный выпуск. А я его, почему то, пропустил.

Неуёмный Обыватель Собкор
23:01:22 2018-09-04

@Любитель_пляжного_футбола, хорошо, что фальшфейер не понадобился.
С медведем на лесной тропе встречался только один раз, да и то я был не один, а с бабушкой. Вдвоём мы смогли создать достаточно шума, чтобы попросить его пропустить нас. Мы прошли. Но потом я весь день оглядывался на каждый шорох и даже на подозрительную тишину.
Насчет правильного медведя в Туве недавно выразился Песков: "Медведь — не дурак. Если он Путина увидит, он будет себя вести прилично, конечно" :)

Любитель пляжного футбола Собкор
22:49:42 2018-09-04 Именинник

@Неуёмный_Обыватель, медведь-то обычно избегает встреч с человеком. Вся засада в том, что если медведя застать врасплох, когда он занят добыванием еды и не заметил вашего приближения, то если в этот момент неожиданно окажетесь на близком к нему расстоянии, то вероятность нападения крайне высока. Конечно, безопаснее идти группой: и зверя подшуметь можно, и он сам заранее отойдёт, да и на группу людей медведь нападать не станет. Если это правильный медведь, конечно. :)
Меня родители стращали, что меня обязательно должен съесть мишка. Но, как видите, не слопал. :) Впрочем, у него будет такая возможность в следующем году, когда я буду бродить по более глухим местам. На всякий случай, как рекомендуется, купил фальшфейер. Но он мне не пригодился, чему я совершенно не расстраиваюсь. :) Мне не очень-то было бы комфортно встречаться с хозяином, ведь я не знаю, как Маугли, как будет по-медвежьи: "Мы с тобой одной крови, ты и я". :)
Кстати, чтобы мишка во время сна не побеспокоил, пищевые отходы следует закапывать поглубже в землю, так запах не привлечёт хищника. В принципе, во время подготовки к путешествию вы и сами почитаете, как вести себя в лесу, где водятся медведи.
На Кавказе, наверное, здорово! Я, подумать только, лет тридцать не был на юге. Надо будет и куда-нибудь на юг спланировать путешествие.

zsergey
19:55:18 2018-09-04

Никогда нельзя расслабляться, нужно быть всегда настороже.

Ruslan
09:04:39 2018-09-04

Очень полезный выпуск. Благодарю!

Неуёмный Обыватель Собкор
02:54:57 2018-09-04

Мне кажется, в ближайшем будущем спам всё больше и больше из традиционной электронной почты будет переходить на мобильные устройства. Демонстрация push-уведомлений, различных баннеров и так далее. Опять же уведомления через различные приложения. Ведь неизвестно, когда человек прочтет e-mail, да и прочтет ли, если вообще антиспам не зарубит. А смартфон большинство таскают все время с собой. Да и с интересами и геотрагетингом гораздо проще.

Lia00 Собкор
01:12:58 2018-09-04

надо будет пройти обучающий курс...

Неуёмный Обыватель Собкор
00:36:53 2018-09-04

@Любитель_пляжного_футбола, думаю, ваши советы, как бывалого, будут полезны каждому, кто соберется в путешествие.
Одиночный поход достаточно рискованное мероприятие для меня. В первую очередь настораживает возможность встречи с дикими животными. Особенно, во время сна )))
Были планы на это лето перейти через часть Северного Кавказа к Черному морю (тридцатка или что-то подобное), но так и не воплотились.

Любитель пляжного футбола Собкор
00:13:14 2018-09-04 Именинник

@Неуёмный_Обыватель, ну а название моего спам-ящика переводится с немецкого, как "сливной бачок", уж не знаю, что спамеров отпугивает. :) Светить не свечу, но использую для регистрации на всяких там сайтах, которым не очень доверяю. Случаи спама единичны, больше на английском что-то шлют, какие-то предложения забрать выигрыш. Главное, что все эти письма интернет-поисковик помещает в соответствующую папку Спам, пока стопроцентное попадание. :)

Готовьтесь, а мы пока запасёмся терпением. :) А без подготовки действительно никуда. Вот во время подготовки к моей поездке на Байкал я старался просчитывать буквально каждую мелочь, чтобы не было непредвиденных моментов, конечно, до конца всё просчитать невозможно, но это сильно помогает, как ещё говорил Суворов, тяжело в учении - легко в бою. :) Если не подготовиться как следует, то легко попасть в неприятную ситуацию. Всё-таки это не обжитая европейская часть России, а дикая природа, тайга. В принципе, моя поездка на Байкал была самой экстремальной из всех, что я когда-либо предпринимал, экстремальной можно назвать с натяжкой, но мест, где легко можно было свернуть шею, было предостаточно. А тут Камчатка, это вообще круто! Там вообще есть немало мест, куда ещё не ступала нога человека. Кстати, турфирмы организуют многодневные походы по всяким диким красивым местам, когда туда поеду, схожу в один такой поход; если на Байкале я в следующем году собираюсь предпринять пятидневный одиночный поход, то на Камчатке на такое дело в одиночку бы не решился, там и заблудиться недолго.
Пара советов (больше я и не знаю): если будете на берегу океана, то при прогулке по берегу не заходите далеко в воду в зоне прибоя, мне родственники рассказывали, что берега там обрывисты, могут оказаться ямы под песком, и дальше может просто унести в океан. У подножья домашних вулканов стоит быть осторожным, в некоторых местах возможны выбросы вулканических газов из фумарол, можно легко отравиться. Короче, нужна тщательная подготовка, и действительно нужно учесть много нюансов.
Кстати, вспомнился один случай, касательно того что не всегда и самая тщательная подготовка помогает. Ездил я в прошлом году в Новгородскую губернию, побывал на Валдае, так вот в Яндекс-картах я разработал свой маршрут передвижения по городу, приезжаю на автобусе в Валдай, доезжаю до конечной, до автостанции ... и не узнаю местность, хотя специально просматривал в Яндекс-панорамах. Оказалось, что ещё 2 года назад поменялось месторасположении автостанции, новое здание было километров в 2-3 от старого, а в Яндекс-картах всё оставалось по-старому. Вот такой облом. :))) Не очень люблю такие моменты, когда что-то идёт не по плану, хотя и стараешься предусмотреть запасные варианты. Но такое было просто невозможно предусмотреть. Или почти невозможно. Жизнь полна неожиданностей! :)

Неуёмный Обыватель Собкор
23:52:41 2018-09-03

@tigra, ну если полностью перевести с английского на русский адрес, то получается что-то типа "ящик для приема спама" :)

tigra Собкор
23:46:43 2018-09-03

@Неуёмный_Обыватель, я б тоже бы не решился писать пользователю со словами в адресе типа spam))

Александр
23:41:50 2018-09-03

Надеюсь хватит рекомендуемых настроек Доктора ! Спасибо за выпуск.

Неуёмный Обыватель Собкор
23:18:52 2018-09-03

@Любитель_пляжного_футбола, так да, если не светить свой адрес, то вероятность, что спама не будет, высока. Я тоже когда-то создал ящик для приёма спама. Но удивительно, что спамеры в него ничего не шлют. Как бы я его везде не указывал. Видимо, их отпугивает наличие слова spam в адресе ящика :) Но зато те ящики, которые просто засветились в различных личных профилях, стали обычной мишенью для спамеров.

Неуёмный Обыватель Собкор
22:41:51 2018-09-03

@tigra, @Любитель_пляжного_футбола, @Vlad_X, @Шалтай_Александр_Болтай, спасибо всем за поздравления!
Подробности будут, но постфактум :) Пока не известно когда еще. Это такое дело, в которое нельзя сорваться в любую минуту наобум. Как уже было написано в новости, нужно учесть массу нюансов : https://news.drweb.ru/show?i=12805&lng=ru
Будем готовиться :)

tigra Собкор
22:34:05 2018-09-03

@Неуёмный_Обыватель, ожидаем от Вас всяческих подробностей, понимаешь ли...

tigra Собкор
22:31:07 2018-09-03

@Неуёмный_Обыватель, праздравляю! всех благ! Пух))))

Любитель пляжного футбола Собкор
22:05:11 2018-09-03 Именинник

@Неуёмный_Обыватель, поздравляю с победой в конкурсе, хорошая работа! Как съездите, расскажите хотя бы вкратце, что делали. Когда-нибудь тоже думаю слетать на Камчатку, но пока это в весьма отдалённой перспективе.

razgen Собкор
22:01:00 2018-09-03

@robot, "ничего не понял. Наверно образования не хватает."

Не расстраивайтесь:). Сегодня только первый день нового учебного года. Выход на новый уровень образования впереди. А главное читайте выпуски "Антивирусной ПравДЫ" и всё у вас получится.

I23
21:53:55 2018-09-03

Антиспам в составе нашего антивируса выручит лучше чужих!

I46
21:51:07 2018-09-03

Бей чужих вдалеке, чтобы письма от своих были ближе

В...а
21:46:28 2018-09-03

Проще доверять своему лучшему антивирусу!

Dvakota
21:43:18 2018-09-03

Займусь изучением основных принципов .

vla_va
21:34:31 2018-09-03

Письма все внимательно смотрю

Любитель пляжного футбола Собкор
21:23:55 2018-09-03 Именинник

Проблема спама меня как-то не коснулась. Для меня Антиспам Доктора Веб, увы, вещь бесполезная, т.к. не использую специальные почтовые программы. А спам почти не получаю, хотя создал для этого специальный спам-ящик. :) Просто стараюсь не "светить" свой адрес. Тем, кто указывает email в контактных данных, например, владельцам сайта, приходится сложнее. Для них как раз Dr.Web и в помощь.

orw_mikle
21:16:18 2018-09-03

Сейчас даже бесплатные почтовые службы организуют у себя на серверах антиспам сервисы.

Lenba
21:15:10 2018-09-03

Имей под рукой антиспам, и лишние письма будут в корзине небытия

Vlad X
21:13:14 2018-09-03

@Неуёмный_Обыватель, Поздравляю от души с выигрышем и
желаю отличного путешествия!Край удивительный.

kva-kva
20:38:46 2018-09-03

Чем больше эшелонов, тем надежнее!

mk.insta
20:10:03 2018-09-03

Станет ясно и авторам зловредов все по этой технологии

Сергей
20:06:37 2018-09-03

Статья очень умная, но кое что всё же понял.

anatol
20:01:59 2018-09-03

на Dr.Web надейся, но сам не плошай

robot
20:00:01 2018-09-03

ничего не понял. Наверно образования не хватает.

anavdoni
19:21:44 2018-09-03

Спасибо Доктору за надежную защиту, полезную информацию и за призыв к бдительности! Дальнейшего развития!

Шалтай Александр Болтай Собкор
19:01:22 2018-09-03

— Прекратите слать мне спам! — Вообще—то, это счета за коммунальные услуги. — Прекратите, пожалуйста.

Шалтай Александр Болтай Собкор
18:57:25 2018-09-03

@Неуёмный_Обыватель, Поздравляю с победой в конкурсе "С мечтой (п)о России"! Победа заслуженно досталась самому активному участнику сообщества Dr.Web!

Andromeda
18:50:47 2018-09-03

Спасибо за рекомендации! Проблем со спамом нет.

Геральт Собкор
18:39:18 2018-09-03

Бдительность и Доктор Веб спам не подпустят.

Дмитрий
17:47:01 2018-09-03

Спам мешает. Удаляю сообщения от незнакомых. Спасибо за выпуск.

Татьяна
17:04:29 2018-09-03

Борьба со спамом дело хорошее. Но как отличить спам от рекламы?

La folle
17:00:14 2018-09-03

Довольно познавательная и поучительная статья!

Альфа
16:53:43 2018-09-03

Надо обратить внимание на предложенный обучающий курс и изучить его.

posadkovSKB
16:29:21 2018-09-03

Почитаю обучающий курс на досуге

Damir Собкор
16:24:38 2018-09-03

Порекомендую прочитать этот выпуск знакомому сисадмину

Toma
16:20:59 2018-09-03

Спам действительно очень мешает. Будем следовать рекомендациям Dr.Web!

Неуёмный Обыватель Собкор
15:14:53 2018-09-03

@Biggurza,
Чтоб взрывом ценное не грохнуть,
От плевел зерна отделить
И самородок не прихлопнуть,
Сквозь сито будем письма лить.

marisha-san Собкор
14:51:00 2018-09-03

Антиспам хорошо ,но бдительность никто не отменял.

Zserg
14:18:50 2018-09-03

Без антиспама никуда, факт!

Biggurza Собкор
14:18:31 2018-09-03

Стою, как в юности в дозоре.
Вооруженный сверх зубов.
Смотрю, во тьме крадутся двое,
У каждого по сто мешков!

Зевнул, шмальнул, потом уснул:
Не жалко обормотов –
На дальних подступах шмальнул
Врагов гранатометом.

Не стану даже я смотреть,
Ведь, знаю, кто был там…
Там был, тот самый (очуметь)
Назойливый зануда-спам!

Неуёмный Обыватель Собкор
14:07:30 2018-09-03

@alex-diesel, @Alexander, спасибо за поздравления!
Признаюсь, было нелегко выполнить условия конкурса.
Спасибо создателям и вдохновителям конкурса за то, что обратили внимание на прекрасные уголки нашей Родины. Благодаря выпускам новостей, за время этого этапа я узнал столько интересного о Камчатке, сколько не знал за всю жизнь до этого.
Желаю всем сил, упорства, изобретательности и терпения. И когда вы всё это приложите, ваша мечта обязательно исполнится!

vinnetou
13:40:32 2018-09-03

Спасибо за выпуск!!! Внимание и ещё раз внимание,не просматривать,а удалять сообщения от незнакомых адресатов.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Отбить на дальних подступах

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей