Download: Sysadmin_greylisting

SYSADMIN
Greylisting
SPAM (TM), rozpoznawalny produkt mięsny firmy Hormel Foods,
wrósł w świadomość Amerykanów
od wczesnych lat 30-tych XX wie-
Walka ze spamem
Greylisting
ku. Udział USA w działaniach wojennych w Europie oraz późniejsze
programy pomocy zniszczonemu
kontynentowi rozpowszechniły tę
markę wśród Europejczyków.
KRZYSZTOF LESZCZYŃSKI
Hormel prosi jedynie osoby zajmujące
się zagadnieniem o rozróżnianie słowa
SPAM (TM), pisanego wersalikami,
oznaczającego puszkowaną żywność tej
firmy oraz „Spam” lub „spam” – przedmiot niniejszego artykułu. Uszanujemy
tę prośbę.
Odbiorcy spamu
N
AUTOR
ajwyraźniej wysoko przetworzony i nachalnie reklamowany
produkt nie przypadł wszystkim do gustu, skoro stał się symbolem
złego smaku. Dopiero później, w latach
sześćdziesiątych, negatywne konotacje
amerykańskiego stylu życia przejęła na
siebie sieć firmy McDonald's. Chociaż
produkty SPAM przestały się źle kojarzyć, z puszkowanej szynki kpiła sobie
grupa komików Monty Python. W ich
skeczu słowo „spam”, śpiewane przez
grupę Wikingów, staje się synonimem
wciskania jednego produktu na siłę.
Skecz zbiegł się w czasie z upowszechnieniem Internetu i, co za tym idzie, z zalewem reklam rozpowszechnianych drogą
elektroniczną. Na skojarzenie nie trzeba
było długo czekać: niechciana poczta reklamowa została ochrzczona mianem
„Spam”. Na zasadzie kontrastu, poczta,
którą chcemy oglądać – poczta prywatna
oraz firmowa -- jest określana słowem
Ham, czyli szynka niepuszkowana. Prawnicy firmy Hormel walczyli z tym skojarzeniem, w końcu firma dała za wygraną.
60
Krzysztof Leszczyński jest wiceprezem Polskiej Grupy Użytkowników
Linuxa (PLUG – http://www.linux.org.pl). Niniejszy artykuł pochodzi z materiałów konferencji
Pingwinaria 2004, które odbyły się
w Krynicy w dniach 1-4 kwietnia
2004 roku.
Maj 2004
Spam, czyli niezamawiana poczta reklamowa, jest uciążliwy dla użytkownika
i kosztowny dla firmy zatrudniającej pracownika. Według szacunków różnych instytucji, poczta reklamowa wkrótce będzie stanowić optymistycznie 40 % całego
ruchu, a pesymistycznie ponad 80 %.
Oznacza to, że nawet przy najlepszym
systemie obsługi poczty, użytkownik nie
jest w stanie efektywnie korzystać z tak
wspaniałego narzędzia jak poczta elektroniczna.
Usuwanie spamu i walka ze spamerami
może być niestety bardziej uciążliwa od
samego spamu. Po jednej stronie barykady mamy użytkownika końcowego – często nie mającego najmniejszego pojęcia
o mechanizmach działania poczty elektronicznej. Jego przeciwnikiem jest spamer, który nie mając żadnych skrupułów
chce dostarczyć swoją wiadomość jak największej liczbie odbiorców i dysponuje
potrzebną wiedzą i narzędziami, organizacjami zrzeszającymi spamerów oraz armią prawników – pamiętajmy, że często
cichymi partnerami spamerów są duże
i poważane na rynku firmy, kupujące bazy adresowe użytkowników zainteresowanych produktami.
Uważa się, że zainteresowanie dużych
firm, a nie naiwni sprzedawcy, jest główną siłą finansującą spamerów. Producent
bezpośrednio nie spamuje. Jedynie skupuje bazy danych o ludziach, którzy pozytywnie odpowiadają na przekazywane
im reklamy.
Niestety, również naiwnych użytkowników ciągle nie brakuje i nie wydaje się,
żeby to się miało wkrótce zmienić. Ta sytuacja jest podobna do przypadku dosta-
www.linux-magazine.pl
wania wirusów. Można długo tłumaczyć
końcowym użytkownikom, co to jest wirus i dlaczego nie należy go otwierać
Outlookiem.
Każdy administrator sieci zna z osobistego doświadczenia co najmniej kilku
użytkowników, którzy dostali „pliki exe”
i starannie przegrywali je na dyskietki
i uruchamiali na komputerach, ponieważ
„program pocztowy nie pozwolił ich uruchomić”. Użytkownik oczekuje od komputera i Internetu pomocy w pracy, nie
będzie się zgadzać na studiowanie setek
stron podręczników, podobnie jak większość kierowców nie kupowałaby samochodów, jeśli bezpieczeństwo lub nawet
wygoda jazdy zależałaby od gruntownej
znajomości procesów zachodzących w tłokach silnika.
I tak ma właśnie być. To do nas, osób
zajmujących się zawodowo sieciami i systemami komputerowymi, powinno należeć zapewnienie jako takiego bezpieczeństwa. Zadaniem użytkownika końcowego
jest korzystanie.
Należy przyjąć za aksjomat, że końcowy użytkownik, który na ogół nie jest informatykiem, na pewno sobie nie poradzi. Sytuacja ochrony antyspamowej jest
z jednej strony łatwiejsza od antywirusowej, spam na ogół jest tylko uciążliwy, ale
nie groźny. Z drugiej strony trudniejsza - wirusa stosunkowo łatwo wykryć i zneutralizować powszechnie dostępnym oprogramowaniem, zaś granica pomiędzy spamem a pocztą prywatną bądź handlową
jest płynna. Ten sam list, informujący
o nowym produkcie firmy X, jest typowym spamem dla osoby niezainteresowanej, ale może być bardzo cenną informacją dla klientów, partnerów handlowych
bądź konkurencji.
Metody walki ze spamem
W walce ze spamem należy wyróżnić kilka problemów do rozwiązania:
■ ograniczanie dostępu dla spamerów,
■ automatyczna lub półautomatyczna
klasyfikacja dostarczanej poczty, czyli
Greylisting
rozróżnianie poczty typu „ham” od
poczty typu „spam”
■ sprawne zgłaszanie przypadków spamowania.
Żaden z tych problemów nie jest łatwy
dla użytkownika, który nie chce poznawać tajników poczty elektronicznej. Musi
go w tym wyręczyć administrator sieci
oraz oprogramowanie. W niniejszym artykule ograniczę się tylko do jednego
z aspektów pierwszego z tych punktów,
o pozostałych zaś tylko krótko wspomnę.
Ograniczanie dostępu do spamu uzyskuje się poprzez staranną analizę sesji
(E)SMTP, a w szczególności sprawdzenie, czy konkretny list nie jest wysyłany
przez host znajdujący się na czarnych listach (open-relay, open-proxy lub spam-source). W większości wypadków jest
wykorzystywana najbardziej popularna
rozproszona baza danych, czyli DNS. Jeśli numer IP serwera jest rozwijany
w pewnej poddomenie, to serwer jest na
czarnej liście, w przeciwnym wypadku
może być uznany za czysty, bądź jeszcze
nie zgłoszony. Takie listy, o różnym stopniu wiarygodności, są utrzymywane przez
różne organizacje i firmy.
Niemal każdy powszechnie znany serwer pocztowy udostępnia możliwość
sprawdzenia, czy konkretny email nie pochodzi z adresu znajdującego się na czarnej liście.
Czarne listy są, niestety, bronią obosieczną. Wraz z rozpowszechnieniem się
serwerów antyspamerskich i czarnych
list, spamerzy aktywnie walczą z organizacjami antyspamerskimi.
Boleśnie przekonała się o tym firma
Osirusoft, prowadząca jedną z bardziej
popularnych i niestety, w chwili pisania
tego artykułu, już nieistniejących czarnych list. Crackerzy, związani ze spamerami, zdołali przejąć kontrolę nad serwerami Osirusoftu i doprowadzili, w sierpniu 2003 roku, do wpisania wszystkich
adresów w Internecie do bazy Osirusoft,
co uczyniło ją nie dość że bezużyteczną,
to jeszcze niebezpieczną, gdyż wiele niewinnych serwerów było przez kilka dni –
aż do zamknięcia serwisu – sklasyfikowanych jako spamerskie.
W ostatnich miesiącach czarne listy
oparte na DNS tracą na znaczeniu za
sprawą swoistego business software alliance między dotychczasowymi miękkimi spamerami a organizacjami przestępczymi. Przeżywamy prawdziwą epidemię
wirusów, atakujących najpopularniejsze
programy pocztowe z rodziny MS Outlook, pracujące pod system Microsoft Windows. Wirusy nie tylko się rozpowszechniają, niektóre z nich powodują również
przejęcie kontroli nad maszyną, często
w sposób niezauważalny dla użytkownika.
Taka maszyna-zombie działa dalej, pozornie poprawnie, ale w tle może wykonywać działania zlecone przez crackera. Na
przykład wysyłać spam. Takie działanie
stawia pod znakiem zapytania sens istnienia czarnych list. Obecne technologie
nie pozwalają w efektywny sposób przechowywać, przetwarzać i sprawdzać setek
milionów adresów na raz.
Rozwiązaniem stosunkowo nowym są
„greylistings”, czyli szare listy.
Szare listy
Metoda opiera się na założeniu, że w protokół SMTP jest wpisana możliwość niedostarczenia poczty za pierwszym podejściem oraz są zdefiniowane metody powtarzania. Prześledźmy typową, poprawną drogę wysłania emaila – pod pojęciem
email będę rozumiał pocztę elektroniczną
wysyłaną poprzez Internet protokołem
SMTP, opisanym w dokumencie RFC821
wraz z późniejszymi poprawkami.
Użytkownik, na przykład autor tego artykułu, sporządza w swoim ulubionym
programie pocztowym list. Załóżmy, że adresem nadawcy będzie [email protected],
a adresem odbiorcy [email protected]. Każdy email składa się z nagłówka i treści. Email ma też dokładnie
jednego nadawcę i jednego lub więcej adresatów, definiowanych niezależnie od adresów wymienionych w nagłówku listu. Po
wysłaniu plik z email jest umieszczony
w pamięci serwera pocztowego. Serwer
pocztowy znajduje w DNS rekord MX
(mail exchange) dla domeny linux.org.pl.
W tym wypadku jest to host serwer.linux.org.pl. Serwer łączy się protokołem
TCP z portem 25 serwera. Następnie
przeprowadzana jest następująca sesja,
którą nieco skrócę, wycinając z niej nieistotne fragmenty (patrz Listing 1).
Przedrostkiem „:” oznaczyłem wiersze
wysyłane przez klienta, czyli serwer wysyłający pocztę, zaś przedrostkiem „/” odpowiedzi serwera.
Każdy z tych etapów może się zakończyć powodzeniem lub nie. Fundamentalną zasadą protokołu SMTP jest jego
asynchroniczność. List wysłany może
SYSADMIN
dojść – i na ogół dochodzi – po kilku sekundach, ale też jego dostarczenie może
trwać wiele godzin. Sesja może być przerwana po każdym z tych etapów. O ile
błąd nie jest typu permanentnego, na
przykład nieznany użytkownik, serwer
powinien spróbować ponownie wysłać list
po pewnym, krótkim czasie. Błędy typu
przejściowego nie powinny nigdy powodować zaniechania dostarczenia przesyłki, mogą spowodować tylko przerwania
bieżącej sesji. Oczywiście, tak działa tylko poprawny serwer SMTP.
Ta zasada leży u podstaw technologii
zwanej greylisting – szare listy. Przy
pierwszej próbie wysłania listu, po odczytaniu podstawowych informacji: numeru
IP nadawcy, adresu nadawcy, adresu odbiorcy, zamiast standardowej odpowiedzi
pozytywnej serwer pocztowy zgłasza komunikat o czasowej niezdolności do dostarczenia przesyłki (kod 4.2.1).
„Prawdziwy” serwer pocztowy spróbuje
wysłać pocztę ponownie po określonym
czasie, na przykład po 15 minutach. Demon pocztowy wyposażony w greylisting
zapamięta fakt takiej próby i pozwoli wysyłać pocztę bez dalszych opóźnień, przez
Listing 1: Przykładowa
sesja ESMTP
/220 serwer.linux.org.pl ESMTP U
NO UCE
: EHLO moat.camk.edu.pl
/250-serwer.linux.org.pl
/pominięte kilka mało istotnych U
wierszy
: MAIL FROM:<[email protected]>
/250 Ok
: RCPT TO:<[email protected]>
/250 Ok
:DATA
/354 End data with U
<CR><LF>.<CR><LF>
:treść listu
: . (pojedyńcza kropka)
/250 Ok: queued as 8C6B4EC0AA
: QUIT
/221 Bye
Istotne fragmenty tej sesji to:
■ powitanie, serwer anonsuje sam siebie
■ określenie nadawcy
■ określenie adresata lub adresatów
■ nadanie listu
■ zakończenie sesji
www.linux-magazine.pl
Maj 2004
61
SYSADMIN
Greylisting
Struktura modułowa pozdefiniowany okres czazwala zainstalować prosu, na przykład przez 2sty demon na maszynie
3 miesiące. Ponieważ na
o małych zasobach, na
ogół korespondujemy
przykład na firewallu
z określoną grupą osób,
lub maszynie w DMZ,
takie opóźnienie nie poa serwer greylisting, wywinno grać roli – opóźmagający dostępu do
nienie rzędu 1 godziny,
dysku i małej bazy dazdarzające się raz na
nych, na głównym ser2 miesiące, nie jest
werze. Moją próbę imuciążliwe.
plementacji, o smakowiSerwer
greylisting
tej nazwie glista, można
przechowuje w bazie
pobrać z [7]. Żadna glidanych trójkę danych:
sta, ani inny równie
numer IP nadawcy, adprzytulny robal nie zores-nadawcy, adres-ostał zjedzony, uszkodzodbiorcy. Taki adres mony, ani obrażony w trakże być przechowywany
cie produkcji tego prow bazie SQL bądź po
gramowania.
przekształceniu funkcją
Jeśli proces analizująw szybkiej bazie BerkeRysunek 1: Połączenie między demonem sieciowym a programem analizującym.
cy i proces serwera poczley. Można także stosotowego pracują na tym samym komputewać inne bazy, na przykład MySQL lub
lona od warstwy analizy nagłówków, dzięrze, to istnieje niebezpieczeństwo, że zaPostgreSQL.
ki temu – mam nadzieję – program jest
tykając jedną dziurę otwieramy spameW odróżnieniu od prawdziwego serwemniej narażony na atak, nawet jeśli atarom szeroko bramę do naszej sieci – przera pocztowego, oprogramowanie spamerkującemu uda się przejąć kontrolę na decież nasz serwer pocztowy widzi przychoskie na ogół wcale nie spróbuje ponownie
monem sieciowym.
dzącą pocztę jako nadaną z adresu
wysłać poczty, gdyż cel spamera jest inDemon sieciowy jest małym i bardzo
127.0.0.1. Większość serwerów pozwala
ny. Spamer wysyła pocztę wieluset typrostym programem, dlatego może być
na wysyłanie z tego adresu dowolnych lisiącom lub milionom odbiorców. Niezainstalowany nawet na firewallu. Jego
stów do dowolnych adresów, nie jest stomożliwość dostarczenia kilku z nich nie
zadaniem jest jedynie słuchanie przychosowana kontrola. Istnieje na to stosunkojest dla spamera zbyt istotna, zaś utrzydzących połączeń SMTP oraz serializowo prosty sposób: tak naprawdę nasz
mywanie pokaźnej bazy danych, zawierawanie ich. Jedno lub wiele połączeń jest
komputer nie ma jednego adresu localjącej informacje o tym komu dostarczono
kierowanych do modułu analizującego.
host. Ma ich całą klasę A! Nie ma żadnespam a komu nie, jest dla spamera na
Ze względów bezpieczeństwa moduł siego powodu, dla którego nie mielibyśmy
ogół bardziej kosztowna niż „strata” kilciowy pracuje w środowisku chroot() i nie
przypisać urządzeniu loopback adresu
ku „klientów”, którzy na ogół i tak są na
ma dostępu do żadnego zasobu, z wyjąt127.0.0.2 lub innego. Na ogół serwery
spam odporni.
kiem ograniczonej pamięci i już otwartraktują ten adres jako obcy, co jest dla
Przy implementacji serwera z opcją
tych gniazd sieciowych.
nas korzystne, bo zostawia prawdziwy adgreylisting problemem jest niestety poWiększość programów pocztowych jest
res 127.0.0.1 na niefiltrowaną pocztę wytrzeba implementacji na poziomie samenieodporna na atak typu Denial of Servichodzącą.
go serwera SMTP. Serwer Postfix – jeden
ce. Tak naprawdę wystarczy kilkadziesiąt
z bardziej popularnych, tej możliwości
połączeń, aby efektywnie zablokować sernie udostępnia. Serwer sendmail ma możwer. Dlatego, aby upiec dwie pieczenie na
SpamAssassin
liwość definiowania filtrów poprzez injednym ogniu, zdecydowałem się na
i filtrowanie bayesowskie
terfejs milter.
opcjonalne
zastosowanie
interfejsu
Ta metoda będzie działać na większość
Moim zdaniem, współczesne systemy
epoll(). Epoll jest sposobem obsługi plispamów, ale nie na wszystkie. Nie zapocztowe są i tak mało odporne na ataki.
ków, pozwalającym na tanią, pod względziała na spamy, które są rozsyłane poDokładanie im jeszcze jednej warstwy,
dem zużycia zasobów, implementację
przez serwery typu open-relay oraz na taskonsolidowanej z samym programem,
wieluset tysięcy otwartych plików.
kie, które są rozsyłane przez prawdziwe
może ten problem tylko bardziej skomDemon zbiera otwarte połączenia i, po
serwery pocztowe. Taki spam zostanie
plikować. Dlatego powstał serwer SMTP,
serializacji, przekazuje je pojedynczym
dostarczony i trzeba sobie z nim poradzić
pracujący jako serwer pośredniczący, któpołączeniem do procesu analizującego,
inaczej.
ry działa jako oddzielny proces. Program
który z kolei jest podłączony do prawdziW sieci dostępne jest płatne bądź bezpowinien być odporny na ataki typu DoS.
wego demona pocztowego. Demon poczpłatne oprogramowanie wykrywające
Może pracować pod kontrolą systemu Litowy, program analizujący (serwer greyspam. Jednym z najbardziej popularnych
nux lub BSD. Warstwa przyjmująca połąlisting) oraz serwer SMTP mogą, ale nie
jest SpamAssassin, rozpowszechniany na
czenia sieciowe jest dosyć mocno oddziemuszą, być na jednym komputerze.
zasadach GPL. Opiera się on na kilkuset
62
Maj 2004
www.linux-magazine.pl
Greylisting
testach, które są wykonywane na nagłówku oraz treści listu. Badane jest, między
innymi czy list nie przeszedł przez serwery znajdujące się na czarnych listach organizacji (już nieistniejąca Osirusoft,
SpamCop.net), czy w treści listu nie znajdują się charakterystyczne fragmenty
tekstów wskazujące na spam (na przykład
„zarób 10 000 w trzy dni”), czy list nie
jest odpowiedzią na jakiś nasz list, bądź
czy z konkretnym nadawcą nie była
uprzednio prowadzona korespondencja.
Ten ostatni test wskazuje, że niezależnie
od treści, list raczej spamem nie jest,
oferta może pochodzić od naszego kontrahenta i być przez nas wyczekiwana.
O ile mechanizmy „greylisting” gwarantują, przy założeniu elementarnej poprawności systemu wysyłającego, że każdy email nie będący spamem dotrze do
adresata, o tyle zasada działania SpamAssassina dopuszcza pomyłki. Trzeba zdawać sobie sprawę, że w przypadku klasyfikacji spamu automat jest w stanie jedynie
ocenić prawdopodobieństwo. Ostateczna
decyzja musi należeć do człowieka. Przy
zakładaniu oprogramowania SpamAssassin, dobrym pomysłem jest przeskanowanie całej istniejącej poczty w celu sprawdzenia, czy jakieś listy nie są niesłusznie
klasyfikowane jako spam.
Na szczęście, list może być przedmiotem zadziwiająco dobrych badań statystycznych opartych o analizę bayesowską.
Wystarczy pokazać programowi kilkaset
swoich listów oraz kilkaset listów typu
spam. Po zbudowaniu statystyki program
będzie mógł oceniać prawdopodobieństwa, że list należy do każdej z kategorii.
Filtr bayesowski opiera się na prostej
zasadzie: pokaż mi wszystkie dotychczasowe spamy oraz wszystkie „ham-y”. Każdy list jest dzielony na leksemy, odpowiadające, z grubsza, słowom. Każdemu słowu jest przypisywana ilość wystąpień
w listach typu „spam” oraz, oddzielnie,
w listach typu „ham”. Na tej podstawie
jest obliczane prawdopodobieństwo, że
list jest spamem. Każdy kolejny list dodaje informacje do listy. Dokładne omówienie tego procesu wykracza poza ramy niniejszego artykułu, w podręczniku użytkownika programu SpamAssassin temat
ten jest potraktowany szerzej.
Z moich dotychczasowych doświadczeń
wynika, że SpamAssassin+Bayes rozróżnia listy niemal stuprocentowo. W dodatku praktycznie nie zdarzają mu się
„oszczerstwa” – czyli sytuacje, w których
list zwykły zostaje uznany za spam.
Pytanie kolejne: co można zrobić, jeśli
już dostaliśmy spam. W przypadku stosowania greylisting, taka sytuacja prawie na
pewno oznacza, że list został wysłany poprzez serwer typu open-relay, gdyż dzisiejsze specjalizowane oprogramowanie
spamerskie raczej nie jest odporne na tego rodzaju ochronę.
Tu niestety znowu rozbijamy się
o użytkownika. Spam, który do nas przyszedł, powinien być jak najszybciej przekazany do SpamAssassina w celu nauczenia klasyfikatora bayesowskiego, że list
jest spamem. O ile użytkownik wie, jak
przekazać list razem z nagłówkami, to łatwo może się nauczyć bezstresowego zgłaszania spamu.
Niestety, współczesne programy pocztowe często poprawiają nagłówki listów
oraz zmieniają ich treść, na przykład
zmieniają kolejność załączników. Taki
list jest niezmiernie trudny w analizie.
Jedynym sposobem na uzyskanie potrzebnych informacji jest trzymanie niezmienionej postaci listu. Użytkownik
zgłaszając list standardowymi metodami
(przekazanie pod adres spam-report@domena lub nagranie do pewnego ustalonego katalogu) naprawdę nie zgłasza swojego listu, tylko ten list w bazie ostatnich listów, który wykazuje się największym podobieństwem.
Znaleziony spam, oprócz nakarmienia
bazy filtrów bayesowskich, może też posłużyć do poproszenia serwera greylisting,
żeby zapomniał o wszystkich listach z danego hosta do konkretnego adresu.
Do tego może służyć program spam-handler, który w oparciu o bazę listów przeprowadzi taką operację. To nam co prawda nie rozwiąże problemu, ale przynajmniej opóźni przychodzenie następnych
listów.
Zgłaszanie
przypadków spamowania
Naszym celem jest niewątpliwie robienie
kłopotów spamerowi oraz zaalarmowanie
innych użytkowników o jego adresie.
Oprócz celów są jeszcze ważne ograniczenia: pod żadnym pozorem nie można ukarać niewinnego człowieka, którego całym
grzechem jest obecność w polu From:
bądź Reply-To: listu. Zarówno spamerzy,
jak i wirusy, bardzo często umieszczają
w tym polu fikcyjne adresy. Drugą spra-
SYSADMIN
wą jest sprawne i szybkie zgłoszenie odpowiednim służbom faktu spamowania.
Trzecie ograniczenie, ostatnie, ale nie
mniej istotne od pozostałych, to ograniczenie czasu poświęconego na analizę
spamu do kilku sekund – inaczej lekarstwo stanie się groźniejsze od choroby.
Jeśli umiemy się bardzo sprawnie posługiwać bazami whois oraz abuse, to możemy sami analizować nagłówki Received.
Jeśli nie, czyli w znakomitej większości
przypadków, jedynym bezpiecznym sposobem jest skorzystanie z pomocy fachowców. Popularnym serwisem jest SpamCop.net. SpamCop działa szczególnie dobrze, jeśli przed wysłaniem listu usuniemy z niego wszystkie nagłówki mogące zaburzyć przetwarzanie, czyli pola Received,
pochodzące z naszych serwerów MX, serwerów zaprzyjaźnionych instytucji czy od
naszego własnego SpamAssassina.
Poczta bezspamowa
Trzy przedstawione techniki: greylisting,
SpamAssassin i filtrowanie bayesowskie
pozwalają na ograniczenie ilości niechcianej poczty do kilku miesięcznie, zakładając, że początkowo dostawaliśmy
kilkadziesiąt spamów dziennie. Wydaje
się, że ten rekord jest trudny do pobicia,
zakładając, że użyte techniki mają być
proste w obsłudze i nie wymagać więcej
pracy niż poświęcalibyśmy na ręczne kasowanie spamu.
Chciałbym bardzo podziękować zespołowi CERT-Polska, bez którego ten tekst
by nie powstał, majace i pkotowi za poprawki oraz Jankowi Rychterowi za
zwrócenie uwagi na istnienie projektu
Greylisting.
■
INFO
[1] Hormel: SPAM and the Internet:
http://www.spam.com/ci/ci_in.htm
[2] Strona projektu Greylisting: http://
projects.puremagic.com/greylisting/
[3] Paul Graham: A plan for spam:
http://www.paulgraham.com/spam.html
[4] Brian McWilliams: Swollen Orders Show
Spam’s Allure: http://www.wired.com/
news/business/0,1367,59907-2,00.html
[5] Strona projektu SpamAssassin:
http://www.spamassassin.org
[6] CERT Polska
– materiały konferencyjne „Secure 2003”
[7] Glista:
ftp://ftp.camk.edu.pl/private/chris/glista/
www.linux-magazine.pl
Maj 2004
63