A Subba mindennapi mocsok blogban olvastam egy durvát. Nyaralni jó dolog, az élményeket és a fotókat megosztani pedig még jobb. De az Internet adottságaival nem mindenki van tisztában, és pár felelőtlen szülő nem csak a saját (fél)meztelen képét osztja meg a publikummal, hanem a gyerekeiét is. Egy normális világban nem is lenne semmi gond ezzel vagy ezzel a képpel, de Subba szerint “az internet sötét oldalán szőrös mancsú beteg alakok nyúlnak magukhoz Vivien, Fanny vagy éppen a kis Bence ártatlan fotóira lihegve.”

Szóval kedves büszke apukák és anyukák, legyetek óvatosabbak, és azonnal szedjétek le a gyerekek olyan képeit, amiket magatokról sem mutogatnátok. Persze, ha büszke vagy hurkáidra és a hasadig lógó melledre, az más, akkor maradhat.

Időnként a rosszból is kisülhet valami jó. Nem olyan régóta tesztelek egy fejlesztői stádiumban lévő token adatbázist, és éppen azt nézegettem, hogy a blackhole-ra küldött esetlegesen nem ismert spamet rendben megtanulja-e a spamszűrő. Egy bug miatt azonban nem tanulta meg. Ok, fixáltam a hibát, majd akkor tanítsuk meg a spammel a spamszűrőt. Tanítom-tanítom, de valami nagyon nyögvenyelősen emelkedik a levélszemét spam valószínűsége, és egy határ fölé nem is akart emelkedni. Nézem-nézem, majd rátaláltam egy másik hibára, amit sikerült is kijavítanom.

De mi köze ennek az otthon szeretetéhez? Az, hogy a spam lakberedezést tukmálna. De inkább laknék a 4 üres fal között egy matracon, mint hogy spammerek szolgáltatását vegyem igénybe.

Date: Sat, 20 Oct 2007 19:14:17 +0200
From: Ajtocenter Hirlevel
To: xxxxxxx@acts.hu
Subject: A specialista nyilt levele azoknak, akiknek…

—————————————————————————————————————————
Ez a levélcím feliratkozás vagy ajánlás útján, illetve nyílt internetes forrásból került az adatbázisunkba.
Ha úgy kívánod, hogy ne küldjünk több levelet, elnézést a zavarásért,
és kérjük, itt iratkozz le :>> http://www.perfetti.hu/index.php?lang=hu&mid=115

A legarcpirítóbb az a duma, hogy az email címem nyílt internetes forrásból került az adatbázisunkba. Kiváncsi vagyok, ugyan milyen forrás regisztrálta a blackhole címet? Nem panaszkodni akarok, mert végül is pont ez az értelme a csapda email címnek, de
itt az idő, hogy megnézzük, mit lép az NHH. Egy másik magyar spam kapcsán már úgyis erősen bennem volt, hogy eljött az ideje egy magyar spammer – mégha dzsar-dzsar* is – megszorongatásának.

Felhívom a céget, és rákérdezek, hogy miért. Emberünk magyarázza, hogy amikor hazajött, akkor 2 napig nem volt Internet, és nem tudott dolgozni, meg hogy elnézést, de ő nem ért hozzá, de hátha valaki spam központnak használta a gépét, meg hogy sokan jeleztek vissza, és volt, aki huszat is kapott. Én bólogattam, hogy aha, meg persze, és feltettem egy keresztkérdést, hogy magyarázza már meg, hogy ezek a fránya spammerek miért pont az ő levelüket küldték ki? Persze, hogy nem tudta, és elnézést, meg különben is ő nem ért ehhez.

*: a Star wars 1. részében szereplő lapajfülű, kicsit nem ügyes jószág nevéből hangutánzó szóval képzett jelző

Pár hónapja történt, hogy az egyik ügyfelünk felhívott: segítsek neki, mert napi 5(!) spamet is kap. Ha valaki, hát én igazán át tudom érezni a problémáját. Sajnos azonban nem tudtam neki segíteni, mert a levelei egy olyan gépen vannak, ahová az én kezem nem ér el. De hogy lássa maga előtt a távlatokat, megemlítettem neki, hogy én akkoriban napi jó 30 spamet kaptam.

Tegnap azonban a junk folder fölött nosztalgiázva arra lettem figyelmes, hogy alig van hónap közepe, és máris jó 1000 spam van a mappában. Ha így haladunk, akkor ez rekord lesz, mert 1 hónap alatt 2k spam még sosem gyűlt össze (na nem mintha kifejezetten erre hajtanék). Így azt kellett megállapítanom, hogy elmúltak azok a békebeli 30 spam/nap idők, mára ~65-70 spam/nap a szokásos (sic!) adagom. A clapf azonban egész jó aránnyal ismeri fel a spameket: az eddigi októberi 1100+ spamre ~3 tévesztés jutott.

Nem, egyáltalán nem arra gondolok, hogy a Linux* támadna, ellenkezőleg: Steve Ballmer riogat megint azzal, hogy a Linux valahogyan ["már megint"] sérti a Micro$oft szabadalmait, és hogy a Linux felhasználóknak ezért fizetniük kellene a Microszoftnak.

A redmondi óriás azonban meglehetősen fonák stratégiát követ. Ahelyett, hogy megnevezné a bíróságon, hogy a Linux pontosan mely szabadalmait sérti – és így utána lehetne járni a dolgoknak, majd probléma esetén elmarasztalni a Linuxot – csak hallgat, és nem szól. Talán éppen azért, nehogy kiderüljön, hogy ezek esetleg alaptalan vádak (FUD**), amelyek csak arra jók, hogy el lehessen bizonytalanítani ill. riasztani a felhasználókat a Linuxtól.

Kb. olyan a Microsoft, mint az a (társai részéről közutálatnak örvendő) kisiskolás, aki a tanítónéninek időről-időre elpanaszolja, hogy a csúnya padtársa már megint elvette. Amikor pedig a tanítónéni megkérdezi, hogy “mondd meg, hogy mit vett el, én átnézem a hátizsákját, és visszaadom neked” – akkor nem szól egy szót se. Ha ez a gerinctelen viselkedés már egy 8 éves gyerektől is elfogadhatatlan, akkor mennyivel inkább az egy multinacionális szoftverháztól.

És hogy mi köze Steve-nek a pingvinhez? Találd ki!

*: Tux – a pingvin – a Linux kabala állata
**FUD: Fear, Uncertainty, Doubt, azaz negatívumok és féligazságok terjesztésére alapozott kampány. Gyakran élnek vele a politikában és a marketingben.

Az MPP blogja szerint a Spamhaus népszerű feketelistája – a zen.spamhaus.org – több legitim levelet is blokkolt. Ennek az az oka, hogy az ún. Policy Block List (PBL) tartalmát is hozzáadták a zen listához.

A PBL azokat a címeket tartalmazza, amelyeknek nem kellene levelet küldeni a szolgáltatójuk házirendje (policy) alapján. Michael Katz azt tanácsolja, hogy

1. légy tisztában azzal, hogy a kedvenc RBL listád milyen elvek alapján blokkol egy bizonyos IP-címet
2. nem mindig lehet egyetlen RBL alapján eldobni egy levelet, hacsak nem értetted meg és fogadtad el az adott RBL játékszabályait
3. használd az sbl-xbl listát, ha nem akarod a PBL-en lévő címeket blokkolni
4. az MPP képes az ún. Custom Scoring funkcióra, amellyel elejét vehetjük annak, hogy az MPP egyetlen RBL lista ítélete miatt elutasítson egy levelet

Én annyit tennék ehhez hozzá, hogy kizárólag egy (bármely) fekete lista alapján eldobni egy levelet olyan hiba, amely előbb vagy utóbb biztosan megbosszulja magát egy fals pozitívban. Az meg már csak hab a tortán, amikor 2 postmaster között megy a huza-vona, hogy miért nem fogadja el az egyik a másik egyébként legitim levelét, ill. az a másik miért került egy 3. fél feketelistájára, és különben is kerüljön le róla, mert addig azért sem fogadom el a levelet tőle…

Mi hát az okos megoldás? Használj bátran feketelistákat, de az azok alapján szerzett információt valami intelligens döntési mechanizmusba tápláld be, mondjuk egy bayes-i szűrőbe, amely bámulatos módon képes ezt a levél tartalmából nyerhető információkkal kombinálni.

Csak hogy el ne felejtsem: https://help.ubuntu.com/community/SeamlessVirtualization

A ComputerWorld cikke szerint az e-mail biztonsággal foglalkozó Marshal azt állítja, hogy “a YouTube egyik funkciójával sok spamszűrő válhat megkerülhetővé.”

A spammerek találtak egy rést a video megosztó hálózat “Friends invite” nevű funkciójában, amelyen keresztül “olyan leveleket továbbíthatnak, amelyek látszólag a service@youtube.com címről érkeznek.” A YouTube korábban azt a tanácsot adta a felhasználóknak, hogy vegyék fel a service@youtube.com címet a fehérlistájukra, ha nem kapnák meg a videokkal kapcsolatos leveleket. Sokan így is tettek, és ezek után a gonosz spamszűrők nem finnyáskodtak a YouTube levelekkel. Na és? – kérdezheti az olvasó.

A problémát pedig az okozza, hogy a spammerek hamisított levelei mostmár akadálytalanul átjutnak ezeken a spamszűrőkön, hiszen a fehérlistáknak pont ez a lényegük: a program – nehogy fals pozitív hibát vétsen – beengedi a fehérlistán található címekről érkező leveleket.

Ebből az is következik, hogy a világot csak fehérben vagy feketében látó fehérlisták nem adnak megfelelő védelmet a spam ellen. Sokkal jobb az a tartalomszűrő, amely elolvassa a levelet, és a tartalma alapján dönti el, hogy az jó vagy sem.

Köszönet Huncraftnak, aki felhívta a figyelmem erre a cikkre.

Az alábbi példában egy hazai vállalkozás levele olvasható, amiben golyóstollat és más holmit próbálnak ránk sózni. Amikor rákérdeztem telefonon, hogy tisztában vannak-e azzal, hogy spammeltek, akkor az ügyvezető igyekezett megnyugtatni, hogy „ez nem spam, hanem ingyenes termékminta.” Hivatkozott a jogászára is, aki szerint ez nem spam. Végül annyiban maradtunk, hogy törli az email címemet a listájáról. A főnököt hiába is igyekeztem meggyőzni, hogy ez bizony spam, de azt megígérte, hogy ellátogat a Nemzeti Hírközlési Hatóság honlapjára, hogy saját szemével olvassa el a a törvény szövegét. Kértem, hogy vegye maga mellé a jogászát is, akinek innen is gratulálni szeretnék, hogy mennyire tisztában van a magyar törvényekkel.

From: kosakft@kosakft.hu
To: xxxx@xxxx.hu
Subject: Golyóstoll – mintadarab

Tiszteletben tartva az 1997. évi LVIII. törvény 15. §(1), továbbá az információs társadalommal összefüggõ szolgáltatások egyes kérdéseirõl szóló 2001. évi CVIII. törvényt, az Ön címe egy nyilvánosan megvásárolható, illetve elérhetõ marketing adatbázisban rögzített, vagy az interneten elhelyezett, bárki számára hozzáférhetõ, nyilvános adatbázisból származik. Ha hírlevelünkkel zavartuk, elnézését kérjük.

Érdemes megfigyelni a levél végén a jogi halandzsát, amely természetesen hamis, ugyanis a magyar törvények szerint ha előzetes engedély nélkül küldenek levelet, az spamnek minősül,
és mint ilyen, tilos.

Ezzel a mocsokkal tanítottam a szűrő token adatbázisát, és milyen jól tettem! Mert egy óra múlva még 2x is elküldték ugyanezt a szemetet. De a program meg(t)ette a magáét: mind a két újabb példány a kukában landolt. Amikor pedig megkérdeztem a főnököt, hogy miért küldték el még 2x, akkor azt mondta, bocs véletlen volt. Nyilván azért, mert az a “bárki számára hozzáférhető, nyilvános adatbázis” 3x tartalmazta a címemet, nyilván azért, hogy a balekoknak több pénzért lehessen eladni a címlistát.

Ha pedig már felajánlották, hogy egy tollat kötelezettségek nélkül feliratoznak, slusszpoénnak választok is egy Parkert a honlapjukról a ‘clapf – nincs több szemét’ felirattal. A bánatomra igazán megérdemlek ennyit. Ha megjön, megmutatom nektek is egy képen.

A múlt szerdai ITBN napokon kaptam egy Surfcontrol CD-t is a tarisznyámba, így el is határoztam, hogy kipróbálom, mit tud. Az egyik PR-cikk szerint “Bár az elvárásokat a SurfControl 99%-os teljesítményével könnyen túlteljesítette, sokkal lényegesebb, hogy mindezek során egyetlen e-mailt sem minősített tévesen SPAM-nek, tehát false positive aránya 0% volt.”

A 99% nagyon jó értéknek tűnik ahhoz képest, hogy a program (legalábbis egyszerűen) nem tanítható, de az igazi erény a 0% fals pozitív arány. Nemes Dániel szerint “Különösen Magyarországon ritka, hogy egy cég vagy intézmény megengedheti magának, hogy ezeket egyenként letesztelje, és a tesztek eredménye alapján döntsön. A független szervezetek és kutatólaboratóriumok által adományozott díjak és tanúsítványok ezért megkönnyítik a szakemberek választását”.

Nekem ugyan nincsenek díjaim, és a függetlenségem sem szponzorálják a gyártók, cserébe viszont én vagyok a legfélelmetesebb tesztelő: az elégedetlen felhasználó. Olvasd el a teszt eredményeket, és döntsd el magad, mennyire reális a kapott eredmény.

Windows 2000-re telepítettem a program 6.0.0-ás verzióját, amely egy SMTP kiszolgálóként érhető el. A leveleket fogadja, ellenőrzi, majd továbbítja a belső valódi kiszolgáló felé. A problémás leveleket karanténban őrzi, ahonnan – igény szerint – az adminisztátor el tudja azokat engedni a felhasználók felé.

A teszt során a 2007 január és szeptember közötti leveleimet használtam fel, azaz valódi levelekkel végeztem a mérést, nem pedig tenyésztett adatokkal. A Surfcontrol támogatja a különféle RBL listák, SPF és más nyalánkság használatát. Ezeket azonban nem kapcsoltam be (alapértelmezésben nincsenek is bekapcsolva), mert a leveleket a saját gépemről küldtem SMTP protokoll segítségével.

Szerk: A teszt sajátossága, hogy a reputációs technológia nem (vagy csak korlátozottan) jutott érvényre, mert az az IP-címeket (illetve esetleg az SMTP kapcsolat felépülésének egyéb paramétereit) veszi figyelembe.

1. SPAM TESZT

       Elküldve AA  DFP Vírus NS  FN   Spam felismerés
-------+------+----+----+---+---+----+----------------
2007.01: 1075 | 324| 689| 8 | 0 | 54 | 94.97%
    .02:  832 | 346| 458| 0 | 0 | 28 | 96.63%
    .03:  883 | 247| 583| 0 | 0 | 53 | 93.99%
    .04: 1077*| 141| 915| 0 | 2 | 19 | 98.23%
    .05:  375*|  40| 333| 0 | 0 |  2 | 99.46%
    .06:  766 |  37| 705| 1 | 5 | 18 | 97.65%
    .07:  860 |  30| 821| 0 | 2 |  7 | 99.18%
    .08: 1174 |  60|1109| 0 | 0 |  5 | 99.57%
    .09: 1295 |  95|1177| 0 | 1 | 22 | 98.30%
--------------+----+----+---+---+----+---------------
  Total: 8337 |1320|6790| 9 |10 |208 | 97.50%

*: a májusi levelek egy része (10 nap) az április levelekkel együtt ment ki

2. MAGYAR SPAM TESZT

       Elküldve AA DFP Vírus NS  FN   Spam felismerés
-------+------+---+---+----+---+----+----------------
           25 | 3 | 1 |  0 | 2 | 19 | 24.00%

3. HAM TESZT

       Elküldve AA  DFP Vírus NS  FP  Ham felismerés
-------+------+----+---+----+---+----+--------------
2007.01: 1056 |  5 | 5 |  0 | 3 | 13 | 98.76%
    .02:  943 |  1 | 5 |  1 | 4 | 11 | 98.83%
    .03: 1012 |  4 | 1 |  0 | 4 |  9 | 99.11%
    .04:  927 |  4 | 0 |  0 | 7 | 11 | 98.81%
    .05:  993 |  2 | 1 |  0 | 3 |  6 | 99.39%
    .06: 1039 |  2 | 0 |  0 | 5 |  7 | 99.32%
    .07:  747 |  2 | 7 |  0 | 5 | 14 | 98.12%
    .08:  849 |  5 | 2 |  0 | 5 | 12 | 98.58%
    .09:  868 |  1 | 1 |  0 | 6 |  8 | 99.07%
--------------+----+---+----+---+----+--------------
  Total: 8449 | 26 |22 |  1 | 42| 91 | 98.92%

4. LEVELEZő LISTA HAM TESZT

          Elküldve AA DFP Vírus NS  FP  Ham felismerés
----------+------+---+---+----+---+----+--------------
2007.01-09: 1798 | 5 | 0 |  0 | 0 |  5 | 99.72%
----------+------+---+---+----+---+----+--------------

Rövidítések:

AA: Antispam Agent
DFP: Antispam Agent – DFP
NS: Network Security
FN: Fals Negatív hiba
FP: Fals Pozitív hiba

A 97.5% spam felismerési arány ugyan 2.5x gyengébb a reklámozott 99%-nál, de a Checkmark Premium minősítéshez szükséges 97%-ot így is eléri. A mért fals pozitív arány azonban kissé elmarad a PR cikkekben szereplő 0.00%-tól: a jó levelek 1.08%-át spamként vagy vírusként értékelte, azaz fals pozitív hibát követett el. Ez azt is jelenti, hogy egy 40-50 fős vállalat esetén elég munkája lesz az adminisztátornak amiatt, hogy a felhasználók “beragadt” leveleit tovább küldje kézzel a felhasználók felé.

Érdekes a magyar spam felismerésének aránya. 25 spam levélből csak 6-ot ismert fel. Ez nem feltétlenül a program hibája, egyszerűen arról van szó, hogy a magyar spam csak egy elhanyagolható részét teszi ki a spam tortának, hogy a nagy külföldi gyártók nem foglalkoznak a magyar levélszeméttel, így az nem szerepel az adatbázisukban, így az átjut rajtuk.

Szerkesztés:

Nemes Dániellel váltottunk egy levelet, ezért az alábbi korrekciót tartottam szükségesnek közölni:

• a rendszer azért tanítható, magyar spamre is. többek között a VLA modullal, de a központban is tanítják, ha továbbítod.
• a cikk nem PR cikk volt, hanem sajtóközlemény, ahol a Checkmark mérési eredményeit írtuk le. ott konkrétan nulla volt az FP, ami a mi tapasztalatainkkal megegyezik.