eMerite
Čekejte prosím...textová verze
Krypta.cz - Magazín o informační bezpečnosti
Kdo jsou spameři
Bude užitečné rozlišovat několik typů
  • Tvrdé jádro. Vědí, že porušují zákony, smlouvy s poskytovatelem připojení, netiketu... Na nějakou zákonnost si většinou ani nehrají. Neštítí se ani těch nejodpornějších způsobů získávání adres, jako extrakce emailů z webu a diskusních skupin, „slovníkových ůtoků” proti adresám na freemailech a pod. Možnost odhlášení často ani neuvádějí. Obsahem zpráv ostatně bývá nabídka služeb, výrobků či transakcí za hranicí zákona. K distribuci spamu často využívají servery "na druhé straně světa", např. v Koreji a Číně, různé špatně zabezpečené počítače s dynamickou (proměnlivou adresou), otevřené webové proxy a pod. Snaží se maximálně ztížit vystopování a filtraci pošty a tak falšují všechny údaje o původu pošty, u kterých je to jen trochu možné. I když „hardcore” spameři postupy pro odhlášení někdy uvádějí, případná reakce oběti či odhlášení je pouze potvrzením, že danou adresu někdo čte, takže posílat na ni spam má smysl.
  • Šedá zóna. Spamují, ale snaží se pohybovat na hranici zákona, nebo alespoň vzbuzovat ten dojem, aby nebyli odpojeni. Tvrdí, že adresáti se zaregistrovali dobrovolně (takzv. opt-in). Seznamy získávají např. z "registračních gangů". Oběť jedinkrát vyplní adresu na jedné stránce, kde je možná kdesi v bodu 17.15 „Pravidel užití” malým písmem upozorněna, že provozovatel služby může poskytnout adresu marketingovým partnerům a pod. Partnerem může být samozřejmě libovolný spamer, a nakonec se některému partnerovi do spamlistu třeba i ty emailové adresy z webu a konferencí "omylem" připletou... Seznamy milionů adres jsou předmětem obchodu. Oblíbenou obhajobou tohoto druhu spamerů je svalování viny na různé "dodavatele" - sezanamu adres, rozesílací služby a podobně. Fiktivní služby si spameři s oblibou poskytují vzájemně – spamer pak může odpovídat na stížnosti obětí, že seznam adres mu poskytl dodavatel, nebo třeba zákazník. Tento druh spamerů postup pro odhlášení obvykle uvádí a často požadavky na odhlášení zohlední, takže konkrétní spam opravdu ustane. O konfrontaci s rozhořčenými adresáty nemají zájem. Obvykle se "odhlášená" dresa objeví v tzv. remove-listu. Trvalá výhra to ovšem nebývá, spamer prodá remove-list spolu se spamlistem (jistě s dovětkem "na tyto adresy v žádném případě nic neposíjte"). Adresy se nezřídka dostanou na nějaký nový spamlist. Podobně jako se drží na hranici zákona sami spameři, tak i údaje o odesílateli se drží na hranici falšování. Údaje bývají částečně nesmyslné, ale ne přímo podvržené cizí adresy nebo cizí hlavičky.
  • "Naivní" pracovník marketingového oddělení či podnikatel. Spam občas přichází i od společností či služeb, které jsou jinak považovány za vcelku seriózní. K získání adres jsou zneužívány třeba databáze technických kontaktů na provozovatele domén, někdy je spam poslán do tematicky blízké emailové konference. Někdy je příčinnou opravdu naivita – nezkušený pracovník či podnikatel dostane výtečný, zcela originální nápad, že obeslat pár adres výhodnou nabídkou bude dobrá reklama téměř zadarmo. Že to je je jednání nelegální a obecně nepřijatelné, neví, nebo na chvíli zapomene. Někdo si nepřijatelnost uvědomuje, ale myslí si, že se mu spam vyplatí, jednou za čas si to dovolit může. Oblíbenou obhajobou tohoto druhu spamerů je údajná příznivá reakce adresátů na spam a "nepatrnost" škody způsobené těm, kteří si dovolí proti spamu protestovat. Ať už rozesílají spam omylem nebo "omylem", údaje o odesílateli a cestě doručení mailů bývají pravé. K rozeslání pošty je třeba použito i běžné vybavení providera.
Dělení je pochopitelně jen přibližné a platí lépe pro internetově "rozvinutější" internet a americký spam. Podobně jako u jiných internetových trendů se i u spamu projevuje v čechách jisté zpoždění. Takže si třeba "neumýslný" spammer dovolí použit několik set tisíc adres stažených z webu a poslat spam zcela nezakrytě přes servery svého providera, nebo odborníci z marketingových firem, které so považují za slušné, vážně debatují, zda příjemci nemají spam náhodou rádi a zda povyk kolem spamu nedělá jen pár kverulantů z dob akademického internetu, kteří se nemohou smířit s komercí.
Ne, rozruch nedělá jen pár kverulantů. Spam je nepřítelem obchodu na internetu. Rozvinutý spam způsobuje firmám nezanedbatelné ztráty v produktivitě práce. Vytváří trhu protispamových řešení, nebo dokonce zaměstnávání zvláštních pracovníků pro boj se spamem, je prřesvědčivým důkazem, že spam způsobuje reálné škody.
Stopujeme spam
Po tomto "spolčenském úvodu" se můžeme pustit do techničtějších aspektů. Aneb - stručný návod, jak z hlaviček mailu usoudit, kdo nám nežadoucí poštu poslal. Informace, jak se k nám vlastně email dostal, najdeme v hlavičkách. Bohužel, emailové programy dnes většinou pro "pohodlí" uživatele hlavičky nezobrazují. Postupy zobrazení se program od programu liší, takže v, případě nejasností lze asi jedině odkázat na nápovědu nebo Google. Výsledek, zobrazené hlavičky již doručeného mailu, mohou vypadat třeba takhle:
From michal.till@krypta.cz  Tue Feb  4 21:04:58 2003
Return-Path: 
Delivered-To: jk@atiks.ks.cz
Received: from mail.tiscali.cz (stateless1.tiscali.cz [213.235.135.70])
        by atiks.ks.cz (Postfix) with ESMTP id 66D87BA9B
        for ; Tue,  4 Feb 2003 21:04:57 +0100(CET)
Received: from tillda (213.235.65.242) by mail.tiscali.cz (6.0.044)
        id 3E1C7FF8005932F0; Tue, 4 Feb 2003 21:02:16 +0100
Date: Tue, 4 Feb 2003 21:04:33 +0100
From: Michal Till 
Reply-To: Michal Till 
Organization: Krypta.cz
X-Priority: 3 (Normal)
Message-ID: <264751281.20030204210433@krypta.cz>
To: Jan Kulveit 
Subject: Re[2]: Trestni oznameni na Blackhole.sk
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
Jednotlivé položky začínají názvem, odděleným od obsahu dvojtečkou. Obvyklé položky jsou třeba From:, To:, Cc:, Subject:, Content-Type:, X-Mailer:, Precedence: Zastavme se u některých podrobněji.
From:
Obvykle překládáno jako od, odesílatel. Dá se triviálně zfalšovat, skutečnou adrses ponechají buď zcela prostoduší spameři, nebo třeba česká firma, schopná se dlouho hádat, že odeslání statisíců nevyžádaných mailů na adresy stažené z webu není spam. Spameři "šedé zóny" uvádějí adresy nesmyslné nebo adresy, které více či méně zlovolný skript. Na adresu uvedenou ve From: by přišla řada stížností, nadávek a někdy i chybových zpráv o nedoručitelnosti. Zavilí spameři tvrdého jádra uvádějí ve From: obvykle adresy netušících obětí na cizích serverech nebo také adresy bojovníků proti spamu a protispamových služeb. Zdůrazňuji - je triviální odeslat mail s jakoukoli adresou ve From: - neexistující adresou, cizí adresou, dokonce adresou adresáta na místě odesílatele. Kdo je uveden ve From:, nemusí mít s mailem nic společného.
To:
Neboli příjemce. Nemusí znamenat vůbec nic. Jak je možné, že se doručí mail se špatnou adresou v hlavičkách? Pro doručování se používá jiná adresa, adresa z obálky (envelope). Název obálka odpovídá představě o fungování mailu - servery si mail přehazují zabalený v obálce. Poslední server obálku roztrhne, dopis vloží adresátovi do schránky a obálku zahodí. Po celou cestu od odesílatele až po doručení do cílové schránky se na údaje From: a To: v hlavičce nikdo nedívá, doručuje se podle údajů FROM a TO z obálky.
Reply-To:
Adresa přednastavená pro odpověd. Dá se nastavit libovolně.
Sender:, X-Sender:
Může ji vložit první odesílající server, pokud má pocit, že odesílatel ve From: neuvádí běžné identifikační údaje. Podvrhnout se dá stejně snadno, jako From:.
Z hlaviček, které jsou "nejvíc na ráně", tedy nelze protřelého spamera odhalit! To není důvod k pesimismu, ale důvod, proč mohou spoustu škody napáchat různí "partyzánští protispamoví bojovníci", kteří na první emailovou adresu, která se v hlavičkách naskytne, odesílají sprosté dopisy, útočí mnohamegamitovými soubory, viry, mailbombingem a podobně.
Hlavička Received
Že mailservery údaje o cestě mailu zahodí naštěstí není tak docela pravda. Každý poštovní server, kterým mail projde, by měl k hlavičkám přidat jednu položku Received:. Novou položku server přidává na začátek, takže starší položky se ocitají vespod.
Pokud tedy čteme hlavičky běžným způsobem shora dolů, první záznam Received:, obvykle pod Delivered-to:, pochází od našeho poštovního serveru, který zprávu přijal a doručil do schránky. Pokud bychom nevěřili ani vlastnímu serveru, nemělo by cenu hledat dále. Takže řekněmě, že první položka Received: je důvěryhodná.
Received: 
        from juno.com (r200-40-82-234.adsl.anteldata.net.uy [200.40.82.234])
        by atiks.krypta.cz (Postfix) with SMTP id 3C91BD0B5
        for ; Fri, 10 Jan 2003 20:49:58 +0100 (CET)
Což by u rozumně nastaveného serveru odesílatele odpovídalo
from jméno odesílajícího serveru ( jméno serveru určené zpětným dotazem [ip adresa])
by jméno našeho serveru (jméno programu) with SMTP id číslo zprávy
for adresát; datum
V tomto případě jde ovšem o spam – a údaje v Received lze chápat asi takhle
pošta byla přijata od počítače, který sám sebe označil jako juno.com (ale který se skutečně jmenuje r200-40-82-234.adsl.anteldata.net.uy [a má ip adresu 200.40.82.234])
přijata byla počítačem atiks.ks.cz (používajícím program Postfix) pomocí protokolu SMTP a označena id 3C91BD0B5
přijata byla pro adresáta jan.kulveit@krypta.cz uvedeného ve FROM
Čemu se tedy dá věřit? Pokud nebyla podvržena celá položka, je pravdivé jméno počítače, který poštu přijal (ten uvedený v "by"). Údaj v závorce za jménem přijímajícího počítače je identifikace použitého programu, což může být třeba i jen číslo verze. Pozor - není to nešikovný pokus podvrhnout IP třeba 8.11.6.017, jen číslo verze. Správně uvedený je čas - alespoň pokud jsou na přijímajícím počítači dobře hodiny...
Jediným celkem spolehlivým údajem o odesílateli je IP adresa, uvedená v [závorkách], a podle ní nezávisle určené jméno počítače odesílatele (v závorkách před [IP adresou]). Nedůvěryhodné, ale důležité je i jméno, kterým se odesílající počítač sám označil (prostě tak při předávání pošty pozdravil, HELO juno.com). Důležité je proto, že spamerské rozesílací programy většinou uvádějí falešné jméno odesílajícího serveru, naopak drtivá většina poštovních serverů uvádí správné jméno. Pokud tedy uvedené jméno odesílatele nějak nesedí k adrese určené přijímajícím serverem, pravděpodobně jsme narazili na spamera (identifikovaného [IP adresou]). V našem příkladě se například odesílatel za yuno.com označil zřejmě lživě - že by site juno.com měl mailserver (počítač zpracovávající poštu) kdesi na pevné lince v dosti neobvyklé jihoamerické doméně uy? To zní divně, našli jsme spamera a máme jeho ip adresu. Nemusí to být vždy tak snadné.
Open relay
Základní mechanismy pro doručování emailu pocházejí ještě z idylických dob, kde byl internet přístupný převážně vysokoškolákům a vojákům. Kterýkoli poštovní server mohl přijímat poštu vcelku od kohokoli a doručovat kamkoli bez většího rizika, že by této otevřenosti někdo zneužil. Časy se mění – dnes je taková otevřenost zpravidla důsledkem neomluvitelné lajdáckosti správce serveru. Často spíše ne-správce, uživatele, který nemá přehled, co na jeho počítači vlastně všechno běží. Spamer může otevřeného serveru (Open Relay) využít k zefektivnění rozesílání. V hlavičkách se to projeví další položkou Received, kterou přidal zneužitý Open Relay server. Je ale možné i to, že spammer použíl serveru svého providera. Nebo se mohl pokusit celou hlavičku podvrhnout.
Snadný postup pro obecné určení zdroje spamu, došlého přes několik serverů, neexistuje. Rámcově se dá říci, že můžeme postupovat ve hlavičkách Received: krok za krokem, a když narazíme na nějakou nesrovnalost, jsme pravděpodobně u cíle. Ve většině případů je přesto výsledkem pátrání v hlavičkách IP adresa, nikoli emailová adresa! Kde si stěžovat na možné zneužití internetu nějakou IP adresou lze zjistit pomocí programu whois.
Pouze u "neúmyslných" spamerů hlavičky odpovídají a má smysl se řídit podle domény odesílatele.
To jsme se toho moc nedozvědeli
Chtěl jsem především ukázat, že s výjimkou "náhodných" spammerů nebývá snadné spammera skutečně najít. Neuvážená reakce obětí spamu, postrádajících potřebné znalosti, může způsobit daleko větší škodu než spam. Představte si, že Vám zničeho nic zahltí schránku desítky mailů s rozsáhlými přílohami a spoustou nadávek ve stylu "odporný spamere, přidávám tě do bloklistu!". A jste v tom zcela nevině, nic jste neposlali, jen nějaký spamer zneužil cizí adresu.
  1. Razor: distribuovaná síť sbírá a fitruje spamy
  2. Internetová anonymita - je či není?
  3. Bezpečné emailování jinak
  4. České freemaily : jedna díra za druhou !
  5. Zabezpečení domácího počítače II. - Windows