Архивы: по дате | по разделам | по авторам

Что такое спам и как с ним бороться

Архив

автор : МИХАИЛ КОНОНЕНКО 13.04.1998

Что такое спам? До сих пор четкого определения нет. Сам термин произошел от названия мясных консервов, фигурировавших в скетче группы "Monty Pythons" (см. врезку). Наиболее часто встречается определение спама, рассылаемого по электронной почте (о котором и пойдет речь), как "нежелательной рекламы, разосланной по большому количеству случайных адресов одновременно". Несмотря на широкую распространенность этого определения, оно до сих пор вызывает определенные споры.

Лица, зарабатывающие распространением рекламы, уверяют, что любое сообщение с правильно указанным обратным адресом - это не спам, но любой, кто получает такие сообщения с завидной регулярностью, с этим не согласится.

Мое же личное мнение заключается в том, что решать, спам ли вы получили или обычное письмо, в конечном счете вам. К примеру, если мне (и только мне одному) по адресу, опубликованному на этих страницах, пришлют каталог продуктов Western Digital или просьбу поучаствовать в предвыборной кампании, я буду считать такое письмо спамом. С другой стороны, если аноним выскажет свое мнение по поводу того, что я здесь написал, я приму его мнение к сведению. Те, кто хочет, чтобы им ответили, оставят свой обратный адрес.

Ситуация в Интернете меняется постоянно. Пока писалась эта статья, успели появиться новые программы для рассылки спама. Последняя из них эмулирует мэйлсервер непосредственно на компьютере спаммера. Результат: в заголовках письма присутствует только штамп "Received:" вашего провайдера и нечто, вставленное спаммером. Поэтому все, что было сказано выше, применять, вроде, уже и ни к чему. Тем не менее, это означает, что в полях, на которые выше рекомендовалось не обращать внимания ("From:" и "Reply-To:") будет указан истинный адрес спаммера. Далее - процедура известна. Зная домен спаммера, выясняем адрес ответственного лица его провайдера и пишем жалобу.

Чем же так плох спам? Почему бы не последовать совету тех, кто его рассылает, и просто не уничтожать послания, если они вам неинтересны?

Ответ прост. Спам в любой его форме, кроме того, что попросту раздражает, это еще и банальное воровство. Не так давно это было очевидно всем, кто платил за входящий трафик. Сегодня это имеет значение для тех пользователей, которые платят поминутную плату за соединение. Но больше всех страдают сами провайдеры.

"Вычисляем" спамера

Как бы ни изощрялся спамер, свое электронное письмо он должен откуда-то послать. Поэтому среди массы подделанных заголовков в электронном сообщении всегда есть информация о точке входа спамера в сеть. Следовательно, известно имя провайдера, чьими услугами он воспользовался или попросту украл их. А это уже немало.

В том случае, если у вас есть склонность к детективной работе и вам не жалко времени, чтобы должным образом ответить негодяям, приславшим вам рекламу за ваш же счет, вы можете начать свою личную войну против спамеров. Для этого необходимо прежде всего научиться правильно читать все служебные заголовки сообщения и представлять себе, как работает электронная почта.

Чтобы не занимать место техническим описанием, желающих ознакомиться с подробными правилами работы электронной почты я отсылаю к RFC822 (www.kiarchive.ru/pub/internet/rfc/rfc822.txt). То, что будет изложено ниже, можно, скорее, назвать кратким руководством для начинающих.

Итак, вы получили "мусор" и хотите добраться до отправителя или его провайдера, чтобы высказать последнему все, что вы думаете о некоторых из его клиентов.

Прежде всего, включите режим просмотра заголовков сообщения своей почтовой программы. Вы увидите что-то похожее на следующие строки:

Return-Path: 93890998@ix.netcom.com

Received: from linux.aaanetworks.net (linux.aaanetworks.net [38.229.249.252])

by pinochet.cityline.ru (8.8.8/t/97-Nov-22) with ESMTP id IAA11186

for <uptoroad@cityline.ru>; Fri, 30 Jan 1998 08:14:07 +0300 (MSK)

From: 93890998@ix.netcom.com

Received: from mail.aaanetworks.net (sdn-ts-002flmelbP04.dialsprint.net [206.133.70.39])

by linux.aaanetworks.net (8.8.5/8.8.5) with SMTP id BAA24025;

Fri, 30 Jan 1998 01:04:51 -0500

Received: from mailhost.ix.netcom.com (alt1.ix.netcom.com(246.2.92.63.9) by ix.netcom.com (8.8.5/8.6.5) with SMTP id GAA01271 for <JuDa1635@ix.netcom.com>; Thu, 29 Jan 1998 23:20:10 -0600 (EST)

Date: Thu, 29 Jan 98 23:20:10 EST

To: JuDa1635@ix.netcom.com

Subject: Mail Your Message to Millions

Message-ID: <K896Y49058.STTP886772@ix.netcom.com>

Reply-To: JuDa1635@ix.netcom.com

X-PMFLAGS: 128 0

Comments: Authenticated sender is <JuDa1635@ix.netcom.com>

X-UIDL: 126op9623er9987ghty6322wee698tl1

Непонятно? Не страшно, сейчас разберемся.

Во-первых, все, что находится ниже поля Date: можно смело игнорировать. Для почтовых серверов - это тело сообщения, а не заголовки. Поэтому отправитель может проставить в этих полях все, что его душе угодно. Просто не обращайте на это внимания. Заголовки From: тоже легко подделываются, поэтому обращать большого внимания на них тоже не стоит.

Нам важны заголовки Received:. Рассмотрим первый из них. На самом деле он является последним, поскольку каждый почтовый сервер, через который проходит ваше сообщение, добавляет свой "штамп" в начало. Таким образом, первый из вышеприведенных заголовков Received: добавлен почтовым сервером вашего провайдера. Поэтому он соответствует действительности.

Received: from linux.aaanetworks.net (linux.aaanetworks.net [38.229.249.252])

by pinochet.cityline.ru (8.8.8/t/97-Nov-22) with ESMTP id IAA11186

for <uptoroad@cityline.ru>; Fri, 30 Jan 1998 08:14:07 +0300 (MSK)

О чем он нам говорит? "Перевод" будет звучать примерно так: почтовый сервер pinochet.cityline.ru получил в пятницу, 30 января 8:14:07 по московскому времени сообщение для адресата uptoroad@cityline.ru от почтового сервера linux.aaanetworks.net с IP адресом 38.229.249.252.

Скорее всего, указанный адрес действительно присвоен компьютеру, одно из имен которого linux.aaanetworks.net. Проверить это можно при помощи множества программ, позволяющих по IP-адресу определить имя машины и, наоборот, по имени - IP-адрес (см. статью "Privacy в Интернет"). Можно воспользоваться и более быстрым подручным средством. Например, запустить по этому IP-адресу стандартный ping. Сами результаты работы этой процедуры нас сейчас мало интересуют, однако первое, что сообщает процедура, - это имя машины, адрес которой вы указали в качестве ее параметра (однако если оно не совпадет с указанным в заголовке, то это еще ничего не значит, поскольку любому IP-адресу может быть поставлено в соответствие несколько имен или не поставлено ни одного).

Следующее поле, From:, тоже можно смело игнорировать. А вот дальше начинается детектив. Последовательность заголовков Received: в "честном" сообщении прерываться не должна. У нас же она прерывается, что свидетельствует о вмешательстве спамера. Более того, время, указанное в каждом следующем из них, сильно отличается от времени, указанном в предыдущем, чего тоже быть не должно: маловероятно, чтобы письмо гуляло между машинами так долго.

Received: from mail.aaanetworks.net (sdn-ts-002flmelbP04.dialsprint.net [206.133.70.39])

by linux.aaanetworks.net (8.8.5/8.8.5) with SMTP id BAA24025;

Fri, 30 Jan 1998 01:04:51 -0500

Этот заголовок похож на истинный. Тем не менее проверим. Обратите внимание, имя получателя указано дважды: как mail.aaanetworks.net (это то, что ввел спамер) и sdn-ts-002flmelbP04.dialsprint.net - это то имя, которое почтовый сервер "вычислил" по IP-адресу, приведенному в квадратных скобках (информации, которая заключена в квадратные скобки, как правило, можно доверять). Если мы проверим соответствие цифрового IP-адреса и имени машины, наши опасения наверняка подтвердятся: точка входа спамера в Интернет действительно была.

Следующий заголовок фальшивый. Чтобы понять это, нам не потребуется никаких вспомогательных процедур. Во-первых, время в нем проставлено "марсианское". Аббревиатура EST расшифровывается как Eastern Standard Time, которое отстает от Гринвича на пять часов, а не на шесть, как указано в заголовке. Во-вторых, идентификатор сообщения начинается буквами GAA. Само по себе это ни о чем не говорит, но в сочетании с часовым поясом -0600 (EST) однозначно указывает на то, что заголовок вставлен программой массовой рассылки StealthMail. Сочетание GAA и -0600 (EST) - визитная карточка этой программы. Может также встречаться другое сочетание: идентификатор ХАА и время -0700 (EST). Такое сочетание характерно для более поздних версий этой же программы.

Наконец, обратите внимание на формат заголовка. Вторая и последующие его строки начинаются с первой позиции, так же как и первая. В RFC822 есть требование: вторая и последующие строки заголовков должны начинаться по крайней мере с одного "пустого" символа (пробела или табулятора).

Русскоязычные ресурсы

Страничка о сетевом этикете Junior'a

http://www.glasnet.ru/~junior/ - именно здесь находится перевод скетча, давшему начало термину "спам".

Англоязычные ресурсы

CAUCE - коалиция против нежелательной коммерческой электронной почты (Coalition Against Unsolicited Commercial Email)

http://www.cauce.org/

На сайте содержится информация обо всех законопроектах, находящихся в настоящее время на рассмотрении Конгресса США. Кроме того, великолепные анекдоты о спаме.

Руководство гражданина Сети по спаму, злоупотреблениям в Сети и рекламе в Интернете (The Netizen's Guide to Spam, Abuse, and Internet Advertising)

http://com.primenet.com/spamking/

Здесь содержатся новости, определения, правила допустимой массовой рассылки электронной почты и ссылки на другие ресурсы.

Граждане Сети против безвозмездного спама

http://www.nags.org/index.html

Здесь научат тому, как исключить свой адрес из списков рассылки. Помимо этого, ознакомят с последними новостями о кампаниях против спама.

Spam Hunter

http://www.blighty.com/spam/spade.html

Этот сайт - прекрасный WEB-интерфейс Whois, DNS-поиска (nslookup) и других процедур. Все, что нужно знать, - адрес отправителя. Здесь же можно найти фильтры для некоторых почтовых программ.

Junkbusters

http://www.junkbusters.com/

Сайт, содержащий советы, как избавиться от спама и исключить свой адрес из списков рассылки.

Get that spammer

http://kryten.eng.monash.edu.au/gspam.html

Руководство по поиску истинных адресов спаммеров. Содержит примеры претензий (полезно для тех, кто не силен в английском), много ссылок на другие ресурсы.

The Anti-Spam Howto

http://zikzak.zikzak.net/~acb/features/ anti-spam-howto.html

Подробное описание того, как обнаружить источник спама.

Вот, собственно, и все. Мы установили, что перед нами письмо с фальшивым заголовком и что спам был отправлен пользователем Sprint или кем-то, кто воспользовался его почтовым сервером. Поэтому свою жалобу направим именно туда. Вы спросите, кому же писать? Все почтовые серверы обязаны иметь адрес postmaster, поэтому смело направляйте свою жалобу туда. Кроме того, крупные провайдеры обычно имеют специальный адрес для жалоб. Обычно он выглядит так: abuse@someprovider.com. Если вы не уверены, куда посылать жалобу, зайдите на сайт Internic (www.internic.net) и воспользуйтесь процедурой whois, которая по адресу домена (someprovider.com) сообщит вам всю информацию о домене и его владельцах, лежащую в базе данных. Там же будет указан и адрес для административных контактов. Он же иногда называется zone contact. Вот по этому адресу и отошлите свою претензию. Только, пожалуйста, будьте вежливы. Эти люди пострадали от спамера не в меньшей степени, чем вы.

Если же вы получили спам с национального домена, например .ru. То поиск на сайте Internic может и не дать результатов. В этом случае можно обратиться в соответствующие национальные службы (см. врезку).

Другим весьма эффективным средством идентификации спамера является служба DejaNews (www.dejanews.com), которая является "памятью всей Usenet". Эта система индексирует и заносит в свою базу данных практически все сообщения, появляющиеся в Usenet. Дело в том, что сообщения о полученном спаме и принятых против этого мерах публикуются в Usenet. Поэтому если ваш спамер хоть раз "засветился" в телеконференциях (а он скорее всего засветился), то, зная хоть какую-то информацию о нем, можно попытаться отыскать его "следы". Если повезет, то вы сможете узнать реальный адрес спамера и даже номер его телефона.

Принимаем меры

Какие меры можно принять против спама? Прежде всего: никогда не уподобляйтесь спамерам. Не рассылайте "почтовые бомбы". Во-первых, это деяние наказуемо, так же как и спам. Во-вторых, помните, что вы не можете быть уверены в том, что указанный в качестве обратного адрес действительно является адресом спамера, скорее всего это не так.

Спам, происходящий с национальных доменов, явление более редкое, чем с общемировых (.com .org .net), так как часто национальные организации в качестве условия выдачи доменного имени запрещают использование его для спама. Однако если все-таки ваш спам пришел с национального домена, то координаты обидчика можно выяснить в национальных организациях, ведающих выдачей имен, по следующим адресам.

Европа

Префикс ".AT" - ftp://ftp.univie.ac.at/netinfo/aconet/domain-template - Austria

Префикс ".AM" - http://www.amnic.net/ - Armenia

Префикс ".BE" - http://www.DNS.BE/ - Belgium

Префикс ".BG" - http://www.digsys.bg/bg-nic/bg-domain.html - Bulgaria

Префикс ".BY" - http://unibel.by/ - Belarus

Префикс ".CH" - http://www.nic.ch/ - Switzerland

Префикс ".HR" - ftp://ftp.carnet.hr/pub/CARNet/forms/DNS - Croatia

Префикс ".CZ" - gopher://gopher.eunet.cz/1/cz-info - Czech Republic

Префикс ".DE" - http://www.nic.de/ - Germany

Префикс ".DK" - http://www.nic.dk/ - Denmark

Префикс ".ES" - http://www.nic.es/ - Spain

Префикс ".FI" - http://www.ficix.fi/ - Finland

Префикс ".FR" - http://www.nic.fr/ - France

Префикс ".GG" - http://www.isles.net/ - Guernsey

Префикс ".GR" - http://www.forthnet.gr/DNS - Greece

Префикс ".HU" - http://www.sztaki.hu:80/~kissg/hostmaster/ - Hungary

Префикс ".IE" - http://www.ucd.ie/hostmaster/ie-dom.html - Ireland

Префикс ".IL" - http://www.isoc.org.il/ - Israel

Префикс ".IS" - http://www.isnet.is/is/ISnet.html - Iceland

Префикс ".IT" - http://www.nis.garr.it/ - Italy

Префикс ".JE" - http://www.isles.net/ - Jersey

Префикс ".LI" - http://www.nic.ch/ - Liechtenstein

Префикс ".LT" - http://vingis.sc-uni.ktu.lt/domreg/ - Lithuania

Префикс ".LU" - http://www.restena.lu/registration/domain.html - Luxembourg

Префикс ".LV" - http://www.latnet.lv/LATNET/DNS_lv.html - Latvia

Префикс ".NL" - http://www.domain-registry.nl/ - The Netherlands

Префикс ".NO" - http://www.uninett.no/navn/ - Norway

Префикс ".PL" - http://WWW.NASK.PL/NASK/net/index-eng.html - Poland

Префикс ".PT" - http://www.fccn.pt/dns/ - Portugal

Префикс ".RO" - http://www.rnc.ro/dns.html - Rumenia

Префикс ".RU" - http://www.ripn.net/nic/NICHomePage.html - Russia

Префикс ".SE" - http://www.sunet.se/domreg/ - Sweden

Префикс ".SK" - gopher://sk2eu.eunet.sk/00/sk-domain/sk-domain-registration-info - Slovakia

Префикс ".UA" - http://nic.ua.net/ - Ukraine

Префикс ".UK" - http://www.nic.uk/ - UK

Префикс ".YU" - http://ubbg.etf.bg.ac.yu/yu-tld/ - Yugoslavia<

America

Префикс ".AR" - http://www.ar/intenarg.htm - Argentina

Префикс ".BR" - http://www.ansp.br/ - Brazil

Префикс ".CA" - http://www.cdnnet.ca - Canada

Префикс ".CL" - http://sunsite.dcc.uchile.cl/chile/cl/ - Chile

Префикс ".CO" - http://polifemo.uniandes.edu.co/PAGINAS/ NEWDOMCO/defsolict.htm - Colombia

Префикс ".CR" - http://www.nic.cr/ - Costa Rica

Префикс ".EC" - http://www2.ecua.net.ec/nic/ - Ecuador

Префикс ".GF" - http://www.nplus.gf - French Guiana

Префикс ".GT" - http://www.gt/cir/cir.htm - Guatemala

Префикс ".MX" - http://www.nic.mx/ - Mexico

Префикс ".NI" - http://www.ni/nic2.html - Nicaragua

Префикс ".PE" - http://ekeko.rcp.net.pe/rcp/dominio/dominio.html - Peru

Префикс ".PY" - http://www.cnc.una.py/regdom/ - Paraguay

Префикс ".US" - http://www.isi.edu:80/in-notes/usdnr/ - USA

Префикс ".UY" - http://www.rau.edu.uy/ - Uruguay

Africa

Префикс ".BI" - http://www.ibpt.bi/ - Burundi

Префикс ".RW" - http://www.irpt.rw/ - Rwanda

Префикс ".UG" - http://www.ug/ - Uganda

Префикс ".ZA" - http://www.frd.ac.za/uninet/zadomains.html - South-Africa

Префикс ".ZR" - http://www.izpt.zr/ - Zaire

Oceania

Префикс ".AU" - http://www.aunic.net/ - Australia

Префикс ".CN" - http://www.cnc.ac.cn/ - China

Префикс ".GU" - gopher://uog2.uog.edu/11/gu.domain - Guam

Префикс ".HK" - http://www.cuhk.hk/ - Hong Kong

Префикс ".ID" - http://www.iptek.net.id/engver/ - Indonesia

Префикс ".IN" - http://www.iisc.ernet.in/ - India

Префикс ".IR" - http://www.nic.ir/ - Iran

Префикс ".JO" - http://petra.nic.gov.jo/ - Jordan

Префикс ".JP" - http://www.nic.ad.jp/ - Japan

Префикс ".KR" - http://www.krnic.net/ENG/ - Republic of Korea

Префикс ".LB" - http://www.AUB.AC.LB/lebanon-online/index.html - Lebanon

Префикс ".MY" - http://www.jaring.my/jaring/mynic/mynic-registry.html - Malaysia

Префикс ".NF" - http://www.names.nf/ - Norfolk Island

Префикс ".NZ" - http://servius.waikato.ac.nz/isocnz/ - New Zealand

Префикс ".PH" - http://www.ph.net/ - Philippines

Префикс ".PK" - http://www.ar.pk/public/pknic.html - Pakistan

Префикс ".SG" - http://www.nic.net.sg/ - Singapore

Префикс ".TH" - http://www.thnic.net/ - Thailand

Префикс ".TW" - http://www.twnic.net/ - Taiwan

Национальные домены ".to" и ".cc" имеют статус мировых, и процедура их выдачи имеет ряд особенностей. В частности, все данные о владельцах доменов закрыты для публичного доступа. Однако и спам с этих доменов практически исключен, поскольку использование доменных имен с этими префиксами для рассылки спама практически означает немедленную ликвидацию имени.

Андрей Шипилов

По этой же причине не надо слать гневных писем по адресу, указанному в качестве обратного. В лучшем случае, вы попадете "в никуда", в худшем - станете жертвой спамера, который мстит кому-то и проставляет его адрес в качестве обратного, рассчитывая именно на то, что все жалобы будут направлены этому лицу. Или вы просто подтвердите верность вашего электронного адреса и станете получать еще больше спама. Самым разумным шагом будет поставить в известность провайдера, с чьего домена пришел спам (ведь вы его уже "вычислили", не так ли?). А самым эффективным способом борьбы со спамом является…

Профилактика

К сожалению, полностью избежать спама практически невозможно. Однако попытаться сократить объем получаемого "мусора" можно, если придерживаться весьма простых правил.

Итак. Прежде всего примите меры, чтобы ваш почтовый адрес не попал к спамеру.

Если у вас есть такая возможность, заведите новый электронный адрес и сообщите его только своим друзьям и тем людям, с которыми вы переписываетесь. Больше нигде и ни при каких обстоятельствах не указывайте этот адрес. При заполнении всевозможных форм в качестве обратного указывайте уже "засвеченный" адрес. Получить бесплатный адрес электронной почты можно во многих местах.
Никогда не отвечайте по обратным адресам, указанным в "мусорной почте". Ваш ответ только подтвердит, что ваш электронный адрес настоящий.
По той же причине никогда не пользуйтесь предложениями исключить ваш адрес из списков рассылки. Это уловка для простаков
Не указывайте на своей персональной страницы свой адрес "для связи и отзывов". Если вам действительно необходимо знать, что думают ваши посетители, поставьте на страничку "Гостевую книгу".
(И несколько советов тем, кому перечисленные меры кажутся недостаточными.)
Если вам нужно сообщить кому-либо свой электронный адрес, делайте это по телефону или при личной встрече. Если же это невозможно, то напишите адрес так, чтобы человеку он был понятен, а программе, которые спамеры запускают в Интернет для поиска адресов, - нет. Например, укажите в теле письма адрес в таком виде: user at yourprovider dot ru или user<собака>yourprovider.ru. И вам, и мне ясно, что надо указывать в качестве адреса, а программы-"собиратели" адресов, которыми пользуются профессиональные спамеры, не распознают такую последовательность как адрес.
Если ваша почтовая программа позволяет, укажите в заголовках сообщения либо свой "засвеченный" адрес, либо "подправленный". Например, нет ничего страшного, если вместо user@yourprovider.ru вы укажете user@yourprovider.nowhere.com. Последний из этих двух адресов указывает "в никуда", и почтовая программа просто сообщит спамеру об ошибке в адресе. Не забудьте указать в теле письма как получить ваш настоящий адрес из его "изуродованной" версии. ПОМНИТЕ! Нельзя указывать в качестве ложного адреса существующий на самом деле адрес! Это такое же нарушение сетевой этики, как спам или mail bombing.
Пользуйтесь услугами почтовых посредников. Есть серверы, которые присваивают вам некоторый псевдоним и уже под этим псевдонимом, а не вашим адресом, рассылают почту. Однако это не очень удобно, поскольку получатель увидит только ваш псевдоним и может не понять, что почта - от вас. Кроме того, такие посредники обычно анонимизируют почту в обе стороны. То есть не только получатели вашей корреспонденции не будут знать вашего электронного адреса, но и вы не будете знать адресов тех, кто ответил на ваше письмо. Кроме того, это "долгий" способ.

Как еще можно защищаться от спама

Все меры, указанные выше, - профилактические. Что же делать, если спам продолжает попадать в ваш почтовый ящик и количество его значительно?

Можно фильтровать почту. Простейший способ - фильтрация с помощью почтовой программы во время чтения сообщений. Такими возможностями обладают практически все современные почтовые программы. Недостатком такого метода является то, что вам все равно придется прочитать сообщения, поступившие в ваш почтовый ящик, просто некоторых из них вы не увидите.

Если ваш провайдер предоставил вам почтовый ящик, поддерживающий протокол POP3, вы можете воспользоваться более эффективным средством - фильтрацией почты на почтовом сервере провайдера. При такой фильтрации заголовки поступивших вам сообщений просматриваются на почтовом сервере вашего провайдера и стираются те из них, которые вы укажете или которые отвечают определенным, заданным вами, критериям. В результате вы загружаете только ту почту, которую хотели получить. Почти.