Uncategorized

Szürkelista erózió, avagy egy összeesküvés elmélet

Egy közelebbről meg nem nevezett levelezőrendszerben pár hónapja bevezették a szürkelista védelmet (egy közelebbről szintén nem megnevezett implementációt). Sokáig nagyon jól működött, és a beérkező spamek jó (nagy) részétől megkímélt. Azonban az utóbbi időben egyre több olyan levél érkezik a postafiókomba, amelyet spamként jelölt meg a céges spamszűrő.

Mi ebben a probléma? Kettő is. 1. Ez azt jelenti, hogy egyre több spammer(ek irányította) gép tárolja el a levelet, ha nem sikerül azt azonnal továbbítania. Ez úgy történhet meg, hogy a) egyre több SMTP szervert vonnak irányításuk alá a bűnözők, vagy b) a botneteken szoftver upgrade-et hajtanak végre, hogy a zombi gépeken futtatott SMTP kliens RFC kompatibilisebb legyen, és venni tudja szürkelista jelentette akadályt. 2. A céges spamszűrő elég karcsú, kedvétől függően 70-80% között ismeri fel a spameket, ami nagyon kevés az én – az igazi statisztikai szűrők 99.5% feletti eredményéhez szokott – finnyás lelkemnek.

Lehetne emelni a szürkelista okozta kispadon eltöltött időt, de már jelenleg is 2 órát késnek a szürkelistába beleszaladó levelek. Ennél nagyobb késleltetés pedig az email kommunikáció rovására menne. (Én egyébként már ezt is sokallom)

A hálózati szintű korlátozások nagyon jól működhetnek, de a spammerek előbb vagy utóbb megtalálják a kiskaput, és kikerülik azokat. Csak egy dolgot nem tudnak megtenni: elrejteni a spam tartalmát. Ezért a jövő (és már a jelen is) a tartalomszűrőké, az olyan antispam megoldásoké, amelyek elolvassák a levelet.

Nem kell azonban leírni a hálózati szintű védelmet sem. Feljövőben vannak a reputációs adatbázisok, amelyek azt mondják meg, hogy az adott gép eddigi élete során hány spamet és hány hamet küldött, milyen eloszlás szerint tette azt, stb. Ezt az infot nagyon jól lehet hasznosítani a tartalomszűrőkben is.