Blog

Pritvrdili sme proti SPAM-u

Pritvrdili sme proti SPAM-u

SPAM, čiže nevyžiadaná pošta, pre nás predstavuje v súčasnosti jeden z najväčších technologických problémov. Veľa procesov pre nás stále predstavuje ručný zásah a tým pádom aj nemalý odpracovaný čas. Preto sa snažíme čo najviac naše procesy automatizovať tak, aby systém sám zasiahol a zastavil podozrivú činnosť. Po našich dlhoročných skúsenostiach si uvedomujeme, že boj proti spamu je nekonečný a my nesmieme zaspať dobu a tým umožniť spammerom odoslať cez naše serveri niečo, čo nechceme.

Boj proti spamu momentálne prebieha na troch frontoch:

  1. Prevencia proti spamu, ktorý prichádza do schránok našich klientov z internetu
  2. Prevencia proti spamu, ktorý je odosielaný zo schránok našich klientov, ktorým bolo odcudzené alebo prelomené heslo
  3. Prevencia pred spamom, ktorý odosielajú nezabezpečené webové stránky hostované na našich serveroch

SPAM prichádzajúci z internetu

V súčasnosti naše serveri označujú zhruba polovicu e-mailov ako nevyžiadanú poštu. Detekcia SPAMu na našich vstupných SMTP serveroch je pomerne jednoduchá a nikdy nebude stopercentná. Využívame tieto kontroly:

  • IP adresa odosieľateľa sa nesmie nachádzať na blacklistoch najväčších antispamových spoločností (SpamHaus, Abuseat,...)
  • Kontrola, či vôbec existuje doména odosieľateľa
  • Kontrola SPF záznamu: ak sa útočník snaží odoslať e-mail z IP adresy, ktorá nie je pre doménu odosieľateľa povolená, e-mail je odmietnutý
  • Greylist: princíp je v dočasnom odmietnutí e-mailu na 5 minút. Toto sa aplikuje iba na e-maily, ktoré ešte nekomunikovali nikdy s našimi servermi. Obyčajne spammeri e-mail nepošlú znova. Ostatné serveri sa štandardne pokúsia e-mail o 5 minút poslať znova. Vtedy je pošta doručená a e-mail odosieľateľa zaznamenaný, aby boli správy z tejto adresy nabudúce prijaté okamžite. Greylist predstavuje v súčasnosti jednu z najúčinnejších ochrán proti spamu.
  • Antivírusová ochrana: pri detekovaní vírusu je správa odložená do karantény pre ďalšie skúmanie
  • Antispamová ochrana SpamAssassin

SpamAssassin je jedným z najpoužívanejších antispamových ochrán. Funguje tak, že e-mail "rozoberie" na čo najmenšie časti a postupne každú časť kontroluje množstvom detekčných pravidiel. Každé pravidlo má svoju číselnú hodnotu, tieto sa na konci detekcie spočítajú. Naše serveri túto poštu nevymažú, ale doručia do koša v danej e-mailovej schránke a odtiaľ sa po 14 dňoch sama zmaže.

Vedeli ste? Každá schránka má štandardne nastavenú strednú citlivosť na SPAM. Túto hodnotu si môžete zmeniť v editácii e-mailového účtu po kliknutí na odkaz "Ďalšie nastavenia e-mailu" a v záložke Spam. Okrem citlivosti spamového filtra je možné filter úplne vypnúť. Tak isto môžete úplne vypnúť aj antivírusovú ochranu.

SPAM odosielaný z e-mailových schránok

Všetci sme len ľudia a preto je úplne normálne, že sa snažíme našim e-mailovým schránkam nastaviť heslo, ktoré si budeme pamätať. Ľudia majú preto tendenciu zvoliť si také heslo, ktoré sa skladá zo slov, ktoré sú používané bežne v hovorovej reči. To ale dáva záškodníkom možnosť heslo pomerne jednoducho prelomiť. Dokonca existujú rôzne programy, ktoré to urobia za nich, stačí, ak skúsia heslo prelomiť pomocou voľne dostupných databáz slovíčok, ktoré sa používajú v heslách.

Preto by malo byť v záujme každého užívateľa si zvoliť heslo, ktoré neobsahuje bežné slová, je dostatočne dlhé a pestré. Odborníci dokázali, že práve dĺžka zohráva najväčšiu úlohu pri kvalite hesla, preto sa pokúste zvoliť si dostatočne dlhé heslo.

Napriek tomu sa občas stane, že je heslo niektorej e-mailová schránka prelomené a schránka zneužitá. Ako sa snažíme brániť našich klientov v týchto prípadoch:

  • Neustále automatizovane vyhodnocujeme činnosť na serveroch tak, že ak sa z jedného miesta na svete pokúša dakto dostať do e-mailovej schránky a zadá po sebe niekoľkokrát nesprávne heslo, systém danú IP adresu zablokuje na niekoľko minút
  • Ak je už heslo k e-mailu prelomené, tak systém dovolí z jedného účtu odoslať maximálne 400 e-mailov za hodinu, čo nám dá dostatok času na nápravu
  • Systém nás upozorní na abnormálne množstvo e-mailov odoslaných zo schránky a zakročíme buď zablokovaním e-mailu alebo kontaktovaním klienta so zmenou hesla
  • Z našich SMTP serverov je možné odoslať e-maily iba z domén, ktoré sú u nás hostované. To znamená, že nie je možné odoslať spam a v ňom uviesť e-mail z nejakej cudzej domén.

SPAM z hacknutých stránok

Tento spôsob posielania spamu je pre nás ten najhorší, pretože je pre nás veľmi ťažké sa proti tomu brániť. V drvivej väčšine prípadov ide o známe opensource CMS systémy (WordPress, Joomla, OpenCart,...), ktoré majú voľne šírené zdrojové kódy, ktoré si môže každý na svete pozrieť a nájsť v nich chybu, pomocou ktorej je možné ovládnuť daný web. Majitelia týchto stránok v mnohých prípadoch už nemajú dosah na programátorov, ktorí ima stránku vytvorili a teda nevedia si s týmto problémom rady.

Keďže nie je v našom záujme tieto weby vypnúť, máme aj tu niekoľko zbraní, ktoré nám pomôžu odhaliť útočníka a zabrániť mu v rozosielaní SPAM-u:

  • Každý web má štandardne zakázané použitie funkcií, ktorými útočníci obyčajne spúšťajú napadnutý kód: system,exec,passthru,shell_exec,proc_open,popen,show_source tieto funkcie je samozrejme možné zapnúť, je to naozaj len v zriedkavých prípadoch. Bežne tieto funkcie nie sú potrebné.
  • Neustále monitorujeme aktivitu na serveri či už ide o vyťaženie webových stránok alebo množstvo odoslaných e-mailov a pri anomáliách zasahujeme.

Čo nás čaká v budúcnosti?

Ako som už spomínal, boj so SPAM-om je nekonečný príbeh a pre nás to znamená štúdium nových technológií, ktoré nám pomôžu chrániť Vás pred záškodníkmi. Z morálneho hľadiska je SPAM pre nás zločin, ktorý by sa nemal diať a bohužiaľ keďže neexistuje nejaká organizácia ako polícia, ktorá by týchto darebákov trestala, musíme sa pred nimi brániť sami. Pre našich zákazníkov to znamená nevyhnutný kompromis, ktorý musia znášať, keďže využívajú služby zdieľaného webhostingu a teda sú tak trochu ovplyvnení činnosťou ostatných našich zákazníkov.

Čo teda plánujeme do budúcna? Tu je prehľad vízií, ktoré máme v boji proti SPAMU:

  • Zavedenie automatizácie pri anomáliách aby bola naša reakcia rýchlejšia
  • Notifikovanie užívateľov o pripojeniach do e-mailu z miest, ktoré predtým nepoužívali
  • Možnosť tvorby black listu priamo našimi zákazníkmi
  • Monitoring
  • Monitoring
  • Monitoring
  • a ešte raz MONITORING!!!!

Spameri, bacha na nás!