Spammer trükkök

A mai nap arra lettem figyelmes, hogy spammerek – az egyik ügyfelünk hibásan megírt php script-je segítségével – laza 30k spamet küldtek ki. Az első gondolatom az volt, hogy megnézem az Apache naplóját, és megkeresem, kié a legtöbb HTTP kérés. Ez azonban nem vezetett eredményre, biztosra vettem, hogy nem a top10 látogatók voltak az elkövetők.

Szerencsére kezembe került a spam egy példánya, valami fogyókúra dologról van szó benne (ha érdekel, elküldöm). Már csak azt kellett megoldani, hogy ha valaki ezt a spamet küldi el az űrlapnak, akkor az valahogy ne sikerüljön.

Ebben pedig a modsecurity nevű Apache modul volt a segítségemre. Még jó, hogy előző nap megkaptam az aktuális Linuxvilágot, amiben pont írtam erről a modulról. A lényeg az, hogy be tudtam állítani azt, hogy ha valaki ezt a bizonyos spamet akarja elküldeni, akkor az Apache egy 403-as hibát küld a spammernek (vagy a bot-jának).

Ehhez annyit tettem, hogy az említett spamből vettem egy mintát, majd készítettem egy modsec. szabályt SecFilterSelective POST_PAYLOAD “intensive medical procedures”, és voila! kapásból meglett az illető a modsecurity naplójában.

Egyébként egy HTTP POST kérés átlag kb. 120 email címet tartalmazott. A slusszpoén pedig az volt a fogás nyomán, hogy ugyanezt a spamet más site-on keresztül is küldték. De legalább mostmár sikertelenül. Tudom, hogy ez csak egy gyors tűzoltás volt, a probléma megnyugtató megoldása az lesz, ha minden érintett kijavítja a hibát a php script-jében…

Email marketing tanácsok

Lehet, hogy te is elgondolkodtál, hogy mi lenne, ha email-ben reklámoznád a cégedet, a csodálatos terémekiedet, meg a fantasztikus szolgáltatásaidat. Kelly Jackson Higgins 7 tanácsot ad, nehogy a címzettjeid spammernek tekintsenek téged, amiből néhányat megosztok veled.

1. Vedd komolyan a leiratkozási (unsubscribe) kérelmeket

Bár ez szinte magától értetődőnek tűnhet, mégis vannak, akik nem tartják tiszteletben a felhasználók ezirányú kérését. Ez pedig odavezethet, hogy az elégedetlenek a spamszűrőjükkel fogják megetetni a hírleveleidet.

2. Ne jelöld be azt a négyzetet, amivel automatikusan felkerül az illető a levelezési listádra

Elárulok egy nagy titkot: az emberek nem szeretik a (hosszadalmas) regisztrációt, ahol sok kellemetlen, intim kérdésre kell válaszolni, mint pl. jövedelem, életkor, stb. Sokan ezért meglehetős gyorsasággal, oda se igen figyelve töltik ki az űrlapokat. Így fordulhat elő, hogy egyszer csak kapnak egy hír- esetleg reklámlevelet a végén azzal a szöveggel, hogy ‘azért kapod ezt a levelet, mert feliratkoztál rá a regisztráció során’. Az illető pedig tagad a végsőkig. Ezért ne légy erőszakos, és az a bizonyos négyzet (checkbox) ne legyen alapértelmezésben bejelölve.

3. Ne add el a címlistádat senkinek

Igen kellemetlen, ha egy szép nap a felhasználó azért kap spamet arra az email címére, amivel nálad regisztrált, mert te azt átadtad egy harmadik fél részére. Ne tedd.

4. Vigyázz a weboldaladon lévő levél küldő űrlapra

Nagyon kényelmes az, ha a látogató kitölt egy formot, és egy program elküldi annak tartalmát egy megadott email címre. Sajnos eme programok egy része ügyetlenül/figyelmetlenül lett megírva, és a spammerek ezeken keresztül bárkinek tudnak levelet küldeni, így open relay lettél. Ellenőrizd le a levél küldő programodat.

5. Nézd meg, kivel állsz össze

Mi sem bizonyítja, hogy a spammerek jó arcok: pénzért még a te leveleidet is szétküldik. De ha a spammer botnet hálózata feketelistán van, az te rád is rossz fényt fog vetni.

SpamAssassin vagy (meg)fizetsz?

Sokan használnak ún. feketelistákat, hogy megszabaduljanak a spammerektől. A SORBS is egy ilyen publikus lista, amit bárki használhat. A használata egyszerű: megnézzük, hogy a távoli SMTP szerver szerepel-e a SORBS adatbázisában, ha igen, akkor azonnal megszakítjuk vele a kapcsolatot. Bye-bye spammerek.

Történt azonban, hogy egy – közelebbről meg nem nevezett – hálózat egyik gépe spamet küldött ki, és így teljesen jogosan felkerült a SORBS feketelistájára a – most szintén meg nem nevezett – szolgáltató MX-e. A hibát azonban elhárították, és amikor kérték a SORBS-ot, hogy probléma eliminálva, szedjetek le minket, akkor a SORBS azt mondta OK, de meg kell akadályoznotok, hogy spam menjen ki a hálózatotokból. Ha pedig erre nem vagytok hajlandóak, akkor fizessetek $50 összeget (valamelyik SORBS által megnevezett jótékonysági szervezetnek) minden spam után, ami kijut tőletek. Az nem elég, ha megszüntetitek a spammer IP kapcsolatát. Az sem elég, ha rate limit-et tesztek a spammerre. De még az sem elég, ha felmondjátok a szerződését. Csak az elég jó, ha SpamAssassin-t és/vagy DCC-t használtok minden kimenő spam szűrésére.

Nem örülök azonban, hogy egy idegen szervezet meg akarja szabni, hogy milyen anti-spam megoldást használjak, de ha legalább a SpamAssassin valóban jó megoldás lenne a spamre. De nem az, és meglehetősen magas fals pozitív aránnyal dolgozik. Ha pedig a kimenő leveleket is ezzel szűrném, akkor hamar lincshangulat állna elő, amikor a hasznos levelek is beleesnek az SA szórásába. Ezért ez elfogadhatatlan. Ami pedig a DCC-t illeti, kételyeim vannak a megfelelő hatékonysága felől. Arról nem is szólva, hogy én nem igazán fogadom el egy külső szervezet ítéletét arról, hogy az én melyik levelem spam és melyik hasznos levél. Ezt magam akarom eldönetni, és bátorítok mindenkit arra, hogy ezt a jogot ne engedje át senkinek.

De ez az eset rámutat egy még nagyobb problémára is: a SORBS meglehetősen önkényes policy alapján működik. Pl. Josh Mehlman a Spam: The last crusade című írásában nem kevesebbet állít, hogy a feketelista – mint anti-spam megoldás – ma már rosszabb, mint maga a spam.

Mit lehet tenni? Ha valaki csak azért elutasítja a levelemet, mert a SORBS listáján szerepelek, akkor nagyon sajnálom. Legfeljebb javasolni tudom szegény sorstársamnak, hogy haladjon a korral, és használjon egy korszerű, statisztikai alapú szűrőt.

Most már harcolhatsz a robotok ellen!

Gondolom, hozzám hasonlóan te is nagyon unod már a spamet, és szeretnél végre egy kis borsot törni azon bűnözők orra alá, akiknek nincs jobb dolguk, mint hogy Viagrával, Rolex órával meg valami lepukkant gagyi részvénnyel tukmáljanak, amivel tuti bebukod.

Bizonyára te is elgondolkodtál már azon, hogy vajon honnan szerzik meg a spammerek az email címeinket? Sok esetben úgy, hogy egy program pásztázza a web oldalakat, és ahol talál egy email címet, azt feljegyzi. Ha elég sok oldalt megnéz, akkor egy tekintélyes lista áll össze a végén.

De ennek vége, eljött a mi időnk. Rábukkantam ugyanis egy web oldalra, ami most végre mindannyiunk nevében törleszt a sok szemétért a szemeteknek. A http://hungarian-86310867327.spampoison.com/ címen ugyanis egy fals lista van, tele hamis, nem létező email címekkel.

Neked pedig más dolgod sincs, minthogy hivatkozz egy megadott címre. Amikor a spammer robotja meglátogatja a te oldaladat, hogy berakja az aljas adatbázisába az email címedet, mert szerintük neked Office 2007 kell reklámáron, akkor követi a linket az oldaladról, és ellátogat a hamis email címmel teli oldalra, azokat is begyűjti. Igen ám, de amikor majd kiküldené a sok spamet, akkor rá fog döbbeni, hogy a címek nagy része nem is valódi – azaz szeméttel tömtük tele a szemét szemetelő szemét spammelő gépét. Hahh!

Jaj, nehogy bedőlj ennek, barátom. Hidd el nekem,
ha valaki, hát én ugyancsak kelletlenül, mintha a fogamat húznák, úgy ismerem be, hogy a spammerek nem hülyék. Gondolod, hogy nem ellenőrzik le az email címeket (és higgy nekem, ez gyerekjáték), hogy valóban léteznek-e? A legrosszabb azonban, hogy az itt szereplő domainek egy része létezik. Ha pedig a véletlenszerűen generált nevek között akad néhány valós cím is, akkor annak gazdája vagy a domain postamestere irdatlan sok szemetet fog kapni.

Ahány előrejelzést csak olvastam, mindegyik azt vetíti előre, hogy az idén tovább emelkedik a levélszemétnek mind a mennyisége, mind az aránya. A SecureWorks előrejelzése szerint:
Spam is at an all-time high, with one mail filtering firm reporting that 90% of all email is spam. I’ll be so bold as to make my own prediction for 2007 – not that we will see an end to spam, but instead, a new evolution. We’ve seen spammers evolve over the years from using throw-away dialup accounts, to open SMTP relays, to proxy trojans on infected end-user systems, to highly-efficient template-based spam systems which are probably responsilble for the massive levels of spam we see today. But as I see it, spammers will soon be required to evolve yet again if they intend to maintain their level of profitability.

Bill (nem Clinton, hanem Gates) azt állította alig pár éve, hogy 2006 végére a spam probléma meg lesz oldva. Ha az idén még nem is kaptál spamet, szerintem akkor is érzed titokban, hogy ez az aranykorszak még várat magára. De addig is, javaslom, próbálj ki egy olyan statisztikai elven működő spamszűrőt, amely lazán megfogja a spamek legalább 99.5%-át.

Tudom, mit töltöttél le tavaly nyáron

Ha vettél már valaha írható CD-t vagy DVD-t, esetleg memóriakártyát a fényképezőgépedbe, akkor ún. szerzői jogdíjat is fizettél, ami be van építve minden ilyen jellegű adathordozó árába. Az nem számít, hogy te esetleg csak a saját adataidat akarod kiírni egy CD-re, és sose tennél rá pl. illegálisan letöltött zenét mondjuk MP3 formátumban. Az Artisjus és barátai szerint te akkor is bűnöző vagy, és ne is tagadd: biztos csak azért veszel egy DVD-t a boltbban, hogy filmeket írhass rá, és hogy ezzel megkárosítsd a művészeket és a kiadóikat.

Számomra logikusan hangzik, hogy ha már egyszer úgyis kifizettem egy összeget bizonyos közelebbről meg nem nevezett alkotásokért, akkor jogosan írom ki saját felhasználásra kedvenc hippi (sic!) zenéimet. A magyar törvények pedig ezt a felhasználást nem is büntetik, amíg az nem szolgál jövedelemszerzést.

Mindenki boldogan töltögethetné hát az mp3-akat az Internetről, azonban a ProArt ezt másképpen látja. Az Index cikke szerint most éppen a fájlcserélő szervereket vették célba. Történt ugyanis az, hogy a ProArt feljelentést tett két fájlcserélő hub üzemeltetői ellen, mert azok szerzői jogvédelem alatt álló alkotásokat tettek elérhetővé. A ProArt precedens értékű bírói határozatot akart – megkapta. A bíróság ítélete szerint a szerzői jogdíjak megfizetése már az üres adathordozók megvásárlása által megtörtént.

A ProArt szerint azonban a szabad felhasználásba nem fér bele a megosztás. A bíróság azonban ezt másképpen látta, és szerinte a vádban ismertetett megosztás nem lépte túl a szabad felhasználás kereteit.

Ha próbáltál már valamilyen káros szenvedélyről leszokni vagy hetente 3-4 alkalommal futni, de hamar feladtad, végy példát a ProArtról. Nem hagyták ők annyiban a dolgot, és polgári perben igyekeznek számukra kedvező döntést kicsikarni egy másik bírótól.

És mielőtt bárki szegény zenészeket féltené, az Index cikke szerint, az emelkedő üres adathordozó eladásokból majdnem annyi jogdíj befolyik hozzájuk, mint az eredeti CD-k eladásából.

Spamszűrés – ahogy nem akarod

Egy alkalommal, amikor átnéztem a junk mappát, hogy véletlenül nem került-e bele jó levél, egy furcsa levelen akadt meg a szemem. Egy norvég illető azért továbbított nekem egy spamet, mert állítólag valaki a mi tartományunkból küldte neki. Ezt ráadásul azzal a nyomatékosítással tetézte, hogy ha a jövőben nem akarok tőle ilyet kapni, akkor tegyek valamit, hogy ő ne kapjon több spamet.

A levelet megvizsgálva nem győzött meg arról, hogy valóban a mi hálózatunkból ment volna ki a kérdéses spam, ezért válaszoltam neki erre a levelére, és elmondtam neki az aggályaimat. Kiderült, hogy ő a Barracuda spamszűrő dobozt használja, aminek SpamAssassin a lelke. Történt ugyanis a, hogy az én válaszomat visszadobta a Barracuda, mondván hogy az spam. Ráadásul a fejlécben meg is indokolta, hogy miért: mert a levélben szerepelt az a megszólítás, hogy “Dear Sir” (nem tudom, hogy angol nyelven egy vadidegent ugyan hogyan szólítsak meg, ha nem így), ill. a másik fő bűne az volt a levelemnek, hogy egy olyan URL szerepelt benne, amelyik IP-címmel volt megadva.

Ezt írta a Barracuda a levél fejlécébe:

X-Barracuda-Spam-Report:
Code version 3.02, rules version 3.0.22920
Rule breakdown below  pts rule name              description
—- ———————- ————————————————–
0.20 FROM_NO_LOWER          From address has no lower-case characters
1.61 DEAR_SOMETHING         BODY: Contains ‘Dear (something)’
0.00 NORMAL_HTTP_TO_IP      URI: Uses a dotted-decimal IP address in URL
1.05 IP_LINK_PLUS           URI: Dotted-decimal IP address followed by CGI
0.00 ADVANCE_FEE_1          Appears to be advance fee fraud (Nigerian 419)

Némi nyomozás után aztán kiderült, hogy az az IP-címmel megadott URL az ő Barracudájának a menedzsment címe, ill. miután kitöröltem a “Dear Sir” megszólítást, simán elment a levél.

Mi ebből a tanulság? Sose utasítsuk el a spamet, mert akkor a spammer tudni fogja, hogy elkaptuk a levelét, és addig próbálkozhat, amíg a spamszűrőnkön át nem csúszik a levele. Ha pedig ez megtörtént, akkor valószínűleg az összes Barracuda spamszűrőn át fog menni a módosított spam. A másik tanulság pedig az, hogy a heurisztikus spamszűrők ideje lejárt. Ma a statisztikai elven működő szűrők érik el a legjobb hatékonyságot. Ezért a norvég barátom sem tehet jobbat, minthogy kidobja a Barracuda dobozát, és telepít egy korrekt Bayesian szűrőt.

Az image spamek ellen

Nem lennék meglepve, ha te is utálnád az image spamet, az olyan szemetet, amikor a levél maga valamilyen semleges szöveget tartalmaz, és a csatolt kép tartalmazza magát a reklámot, stb.

Postfix alatt az inline képeket tartalmazó (összes) levél még SMTP szinten eldobható az alábbi regexp-pel, amit a /etc/postfix/body_checks fájlba tehetsz:

/src\s*\=(3D){0,}\s*["']?cid:/ REJECT

Ez a szabály nincs hatással a csatolt képeket tartalmazó üzenetekre, vagy amelyeknél a képre HTML hivatkozással (<img src=”….” >) történik utalás.

Te is belefulladsz a spam áradatba? Én már elbántam vele.

Nem örülök annak, ha spammerek zaklatnak a hazug, félrevezető és tisztességtelen ajánlataikkal. Sőt, ilyen morcos vagyok. A CommTouch kutatása szerint egy 20 fős cégnek évente több mint 300,000 Ft kárt okoz a spam (dolgozónként bruttó 120,000 Ft/hó átlagfizetéssel és napi 60 e-maillel számolva, ha ebből 8 spam, és max. 5 másodpercet tölt el egyetlen spam törlésével). Ha pedig rákattint, és el is olvassa, esetleg még rendel is a kétes minőségű és eredetű gyógyszerekből, vagy bedől a spanyol lottó spamnek, netalán pénzt küld a nigériai csalóknak, akkor az előbbi összeg sokszorosa is lehet a kár.

De mindez már a múlté, mert a kifinomult statisztikai algoritmusnak köszönhetően a clapf spamszűrő lazán megfogja a spamek legalább 99.5%-t. Az alkalmazás antivírus programokkal együttműködve teljes körű biztonságot nyújt az e-mailben érkező kártevők ellen. A program ingyen elérhető, mindössze egy 60,000 Ft értékű számítógépre van szükség. Igény szerint terméktámogatásra is lehetõség van. A program jellemzőiről bővebben itt olvashatsz.

Töltsd le ingyen, és győződj meg te is arról, hogy a clapf minden 200 spamből legalább 199-et* elkap!

*: Ez a szám közel sem a csúcs, pl. 2006.11.01-10. között, 10 nap alatt, 643 spamből 642 darabot (99.84%) fogott meg a gépemen.