Download: Sysadmin_greylisting
Transkrypt
Download: Sysadmin_greylisting
SYSADMIN Greylisting SPAM (TM), rozpoznawalny produkt mięsny firmy Hormel Foods, wrósł w świadomość Amerykanów od wczesnych lat 30-tych XX wie- Walka ze spamem Greylisting ku. Udział USA w działaniach wojennych w Europie oraz późniejsze programy pomocy zniszczonemu kontynentowi rozpowszechniły tę markę wśród Europejczyków. KRZYSZTOF LESZCZYŃSKI Hormel prosi jedynie osoby zajmujące się zagadnieniem o rozróżnianie słowa SPAM (TM), pisanego wersalikami, oznaczającego puszkowaną żywność tej firmy oraz „Spam” lub „spam” – przedmiot niniejszego artykułu. Uszanujemy tę prośbę. Odbiorcy spamu N AUTOR ajwyraźniej wysoko przetworzony i nachalnie reklamowany produkt nie przypadł wszystkim do gustu, skoro stał się symbolem złego smaku. Dopiero później, w latach sześćdziesiątych, negatywne konotacje amerykańskiego stylu życia przejęła na siebie sieć firmy McDonald's. Chociaż produkty SPAM przestały się źle kojarzyć, z puszkowanej szynki kpiła sobie grupa komików Monty Python. W ich skeczu słowo „spam”, śpiewane przez grupę Wikingów, staje się synonimem wciskania jednego produktu na siłę. Skecz zbiegł się w czasie z upowszechnieniem Internetu i, co za tym idzie, z zalewem reklam rozpowszechnianych drogą elektroniczną. Na skojarzenie nie trzeba było długo czekać: niechciana poczta reklamowa została ochrzczona mianem „Spam”. Na zasadzie kontrastu, poczta, którą chcemy oglądać – poczta prywatna oraz firmowa -- jest określana słowem Ham, czyli szynka niepuszkowana. Prawnicy firmy Hormel walczyli z tym skojarzeniem, w końcu firma dała za wygraną. 60 Krzysztof Leszczyński jest wiceprezem Polskiej Grupy Użytkowników Linuxa (PLUG – http://www.linux.org.pl). Niniejszy artykuł pochodzi z materiałów konferencji Pingwinaria 2004, które odbyły się w Krynicy w dniach 1-4 kwietnia 2004 roku. Maj 2004 Spam, czyli niezamawiana poczta reklamowa, jest uciążliwy dla użytkownika i kosztowny dla firmy zatrudniającej pracownika. Według szacunków różnych instytucji, poczta reklamowa wkrótce będzie stanowić optymistycznie 40 % całego ruchu, a pesymistycznie ponad 80 %. Oznacza to, że nawet przy najlepszym systemie obsługi poczty, użytkownik nie jest w stanie efektywnie korzystać z tak wspaniałego narzędzia jak poczta elektroniczna. Usuwanie spamu i walka ze spamerami może być niestety bardziej uciążliwa od samego spamu. Po jednej stronie barykady mamy użytkownika końcowego – często nie mającego najmniejszego pojęcia o mechanizmach działania poczty elektronicznej. Jego przeciwnikiem jest spamer, który nie mając żadnych skrupułów chce dostarczyć swoją wiadomość jak największej liczbie odbiorców i dysponuje potrzebną wiedzą i narzędziami, organizacjami zrzeszającymi spamerów oraz armią prawników – pamiętajmy, że często cichymi partnerami spamerów są duże i poważane na rynku firmy, kupujące bazy adresowe użytkowników zainteresowanych produktami. Uważa się, że zainteresowanie dużych firm, a nie naiwni sprzedawcy, jest główną siłą finansującą spamerów. Producent bezpośrednio nie spamuje. Jedynie skupuje bazy danych o ludziach, którzy pozytywnie odpowiadają na przekazywane im reklamy. Niestety, również naiwnych użytkowników ciągle nie brakuje i nie wydaje się, żeby to się miało wkrótce zmienić. Ta sytuacja jest podobna do przypadku dosta- www.linux-magazine.pl wania wirusów. Można długo tłumaczyć końcowym użytkownikom, co to jest wirus i dlaczego nie należy go otwierać Outlookiem. Każdy administrator sieci zna z osobistego doświadczenia co najmniej kilku użytkowników, którzy dostali „pliki exe” i starannie przegrywali je na dyskietki i uruchamiali na komputerach, ponieważ „program pocztowy nie pozwolił ich uruchomić”. Użytkownik oczekuje od komputera i Internetu pomocy w pracy, nie będzie się zgadzać na studiowanie setek stron podręczników, podobnie jak większość kierowców nie kupowałaby samochodów, jeśli bezpieczeństwo lub nawet wygoda jazdy zależałaby od gruntownej znajomości procesów zachodzących w tłokach silnika. I tak ma właśnie być. To do nas, osób zajmujących się zawodowo sieciami i systemami komputerowymi, powinno należeć zapewnienie jako takiego bezpieczeństwa. Zadaniem użytkownika końcowego jest korzystanie. Należy przyjąć za aksjomat, że końcowy użytkownik, który na ogół nie jest informatykiem, na pewno sobie nie poradzi. Sytuacja ochrony antyspamowej jest z jednej strony łatwiejsza od antywirusowej, spam na ogół jest tylko uciążliwy, ale nie groźny. Z drugiej strony trudniejsza - wirusa stosunkowo łatwo wykryć i zneutralizować powszechnie dostępnym oprogramowaniem, zaś granica pomiędzy spamem a pocztą prywatną bądź handlową jest płynna. Ten sam list, informujący o nowym produkcie firmy X, jest typowym spamem dla osoby niezainteresowanej, ale może być bardzo cenną informacją dla klientów, partnerów handlowych bądź konkurencji. Metody walki ze spamem W walce ze spamem należy wyróżnić kilka problemów do rozwiązania: ■ ograniczanie dostępu dla spamerów, ■ automatyczna lub półautomatyczna klasyfikacja dostarczanej poczty, czyli Greylisting rozróżnianie poczty typu „ham” od poczty typu „spam” ■ sprawne zgłaszanie przypadków spamowania. Żaden z tych problemów nie jest łatwy dla użytkownika, który nie chce poznawać tajników poczty elektronicznej. Musi go w tym wyręczyć administrator sieci oraz oprogramowanie. W niniejszym artykule ograniczę się tylko do jednego z aspektów pierwszego z tych punktów, o pozostałych zaś tylko krótko wspomnę. Ograniczanie dostępu do spamu uzyskuje się poprzez staranną analizę sesji (E)SMTP, a w szczególności sprawdzenie, czy konkretny list nie jest wysyłany przez host znajdujący się na czarnych listach (open-relay, open-proxy lub spam-source). W większości wypadków jest wykorzystywana najbardziej popularna rozproszona baza danych, czyli DNS. Jeśli numer IP serwera jest rozwijany w pewnej poddomenie, to serwer jest na czarnej liście, w przeciwnym wypadku może być uznany za czysty, bądź jeszcze nie zgłoszony. Takie listy, o różnym stopniu wiarygodności, są utrzymywane przez różne organizacje i firmy. Niemal każdy powszechnie znany serwer pocztowy udostępnia możliwość sprawdzenia, czy konkretny email nie pochodzi z adresu znajdującego się na czarnej liście. Czarne listy są, niestety, bronią obosieczną. Wraz z rozpowszechnieniem się serwerów antyspamerskich i czarnych list, spamerzy aktywnie walczą z organizacjami antyspamerskimi. Boleśnie przekonała się o tym firma Osirusoft, prowadząca jedną z bardziej popularnych i niestety, w chwili pisania tego artykułu, już nieistniejących czarnych list. Crackerzy, związani ze spamerami, zdołali przejąć kontrolę nad serwerami Osirusoftu i doprowadzili, w sierpniu 2003 roku, do wpisania wszystkich adresów w Internecie do bazy Osirusoft, co uczyniło ją nie dość że bezużyteczną, to jeszcze niebezpieczną, gdyż wiele niewinnych serwerów było przez kilka dni – aż do zamknięcia serwisu – sklasyfikowanych jako spamerskie. W ostatnich miesiącach czarne listy oparte na DNS tracą na znaczeniu za sprawą swoistego business software alliance między dotychczasowymi miękkimi spamerami a organizacjami przestępczymi. Przeżywamy prawdziwą epidemię wirusów, atakujących najpopularniejsze programy pocztowe z rodziny MS Outlook, pracujące pod system Microsoft Windows. Wirusy nie tylko się rozpowszechniają, niektóre z nich powodują również przejęcie kontroli nad maszyną, często w sposób niezauważalny dla użytkownika. Taka maszyna-zombie działa dalej, pozornie poprawnie, ale w tle może wykonywać działania zlecone przez crackera. Na przykład wysyłać spam. Takie działanie stawia pod znakiem zapytania sens istnienia czarnych list. Obecne technologie nie pozwalają w efektywny sposób przechowywać, przetwarzać i sprawdzać setek milionów adresów na raz. Rozwiązaniem stosunkowo nowym są „greylistings”, czyli szare listy. Szare listy Metoda opiera się na założeniu, że w protokół SMTP jest wpisana możliwość niedostarczenia poczty za pierwszym podejściem oraz są zdefiniowane metody powtarzania. Prześledźmy typową, poprawną drogę wysłania emaila – pod pojęciem email będę rozumiał pocztę elektroniczną wysyłaną poprzez Internet protokołem SMTP, opisanym w dokumencie RFC821 wraz z późniejszymi poprawkami. Użytkownik, na przykład autor tego artykułu, sporządza w swoim ulubionym programie pocztowym list. Załóżmy, że adresem nadawcy będzie [email protected], a adresem odbiorcy [email protected]. Każdy email składa się z nagłówka i treści. Email ma też dokładnie jednego nadawcę i jednego lub więcej adresatów, definiowanych niezależnie od adresów wymienionych w nagłówku listu. Po wysłaniu plik z email jest umieszczony w pamięci serwera pocztowego. Serwer pocztowy znajduje w DNS rekord MX (mail exchange) dla domeny linux.org.pl. W tym wypadku jest to host serwer.linux.org.pl. Serwer łączy się protokołem TCP z portem 25 serwera. Następnie przeprowadzana jest następująca sesja, którą nieco skrócę, wycinając z niej nieistotne fragmenty (patrz Listing 1). Przedrostkiem „:” oznaczyłem wiersze wysyłane przez klienta, czyli serwer wysyłający pocztę, zaś przedrostkiem „/” odpowiedzi serwera. Każdy z tych etapów może się zakończyć powodzeniem lub nie. Fundamentalną zasadą protokołu SMTP jest jego asynchroniczność. List wysłany może SYSADMIN dojść – i na ogół dochodzi – po kilku sekundach, ale też jego dostarczenie może trwać wiele godzin. Sesja może być przerwana po każdym z tych etapów. O ile błąd nie jest typu permanentnego, na przykład nieznany użytkownik, serwer powinien spróbować ponownie wysłać list po pewnym, krótkim czasie. Błędy typu przejściowego nie powinny nigdy powodować zaniechania dostarczenia przesyłki, mogą spowodować tylko przerwania bieżącej sesji. Oczywiście, tak działa tylko poprawny serwer SMTP. Ta zasada leży u podstaw technologii zwanej greylisting – szare listy. Przy pierwszej próbie wysłania listu, po odczytaniu podstawowych informacji: numeru IP nadawcy, adresu nadawcy, adresu odbiorcy, zamiast standardowej odpowiedzi pozytywnej serwer pocztowy zgłasza komunikat o czasowej niezdolności do dostarczenia przesyłki (kod 4.2.1). „Prawdziwy” serwer pocztowy spróbuje wysłać pocztę ponownie po określonym czasie, na przykład po 15 minutach. Demon pocztowy wyposażony w greylisting zapamięta fakt takiej próby i pozwoli wysyłać pocztę bez dalszych opóźnień, przez Listing 1: Przykładowa sesja ESMTP /220 serwer.linux.org.pl ESMTP U NO UCE : EHLO moat.camk.edu.pl /250-serwer.linux.org.pl /pominięte kilka mało istotnych U wierszy : MAIL FROM:<[email protected]> /250 Ok : RCPT TO:<[email protected]> /250 Ok :DATA /354 End data with U <CR><LF>.<CR><LF> :treść listu : . (pojedyńcza kropka) /250 Ok: queued as 8C6B4EC0AA : QUIT /221 Bye Istotne fragmenty tej sesji to: ■ powitanie, serwer anonsuje sam siebie ■ określenie nadawcy ■ określenie adresata lub adresatów ■ nadanie listu ■ zakończenie sesji www.linux-magazine.pl Maj 2004 61 SYSADMIN Greylisting Struktura modułowa pozdefiniowany okres czazwala zainstalować prosu, na przykład przez 2sty demon na maszynie 3 miesiące. Ponieważ na o małych zasobach, na ogół korespondujemy przykład na firewallu z określoną grupą osób, lub maszynie w DMZ, takie opóźnienie nie poa serwer greylisting, wywinno grać roli – opóźmagający dostępu do nienie rzędu 1 godziny, dysku i małej bazy dazdarzające się raz na nych, na głównym ser2 miesiące, nie jest werze. Moją próbę imuciążliwe. plementacji, o smakowiSerwer greylisting tej nazwie glista, można przechowuje w bazie pobrać z [7]. Żadna glidanych trójkę danych: sta, ani inny równie numer IP nadawcy, adprzytulny robal nie zores-nadawcy, adres-ostał zjedzony, uszkodzodbiorcy. Taki adres mony, ani obrażony w trakże być przechowywany cie produkcji tego prow bazie SQL bądź po gramowania. przekształceniu funkcją Jeśli proces analizująw szybkiej bazie BerkeRysunek 1: Połączenie między demonem sieciowym a programem analizującym. cy i proces serwera poczley. Można także stosotowego pracują na tym samym komputewać inne bazy, na przykład MySQL lub lona od warstwy analizy nagłówków, dzięrze, to istnieje niebezpieczeństwo, że zaPostgreSQL. ki temu – mam nadzieję – program jest tykając jedną dziurę otwieramy spameW odróżnieniu od prawdziwego serwemniej narażony na atak, nawet jeśli atarom szeroko bramę do naszej sieci – przera pocztowego, oprogramowanie spamerkującemu uda się przejąć kontrolę na decież nasz serwer pocztowy widzi przychoskie na ogół wcale nie spróbuje ponownie monem sieciowym. dzącą pocztę jako nadaną z adresu wysłać poczty, gdyż cel spamera jest inDemon sieciowy jest małym i bardzo 127.0.0.1. Większość serwerów pozwala ny. Spamer wysyła pocztę wieluset typrostym programem, dlatego może być na wysyłanie z tego adresu dowolnych lisiącom lub milionom odbiorców. Niezainstalowany nawet na firewallu. Jego stów do dowolnych adresów, nie jest stomożliwość dostarczenia kilku z nich nie zadaniem jest jedynie słuchanie przychosowana kontrola. Istnieje na to stosunkojest dla spamera zbyt istotna, zaś utrzydzących połączeń SMTP oraz serializowo prosty sposób: tak naprawdę nasz mywanie pokaźnej bazy danych, zawierawanie ich. Jedno lub wiele połączeń jest komputer nie ma jednego adresu localjącej informacje o tym komu dostarczono kierowanych do modułu analizującego. host. Ma ich całą klasę A! Nie ma żadnespam a komu nie, jest dla spamera na Ze względów bezpieczeństwa moduł siego powodu, dla którego nie mielibyśmy ogół bardziej kosztowna niż „strata” kilciowy pracuje w środowisku chroot() i nie przypisać urządzeniu loopback adresu ku „klientów”, którzy na ogół i tak są na ma dostępu do żadnego zasobu, z wyjąt127.0.0.2 lub innego. Na ogół serwery spam odporni. kiem ograniczonej pamięci i już otwartraktują ten adres jako obcy, co jest dla Przy implementacji serwera z opcją tych gniazd sieciowych. nas korzystne, bo zostawia prawdziwy adgreylisting problemem jest niestety poWiększość programów pocztowych jest res 127.0.0.1 na niefiltrowaną pocztę wytrzeba implementacji na poziomie samenieodporna na atak typu Denial of Servichodzącą. go serwera SMTP. Serwer Postfix – jeden ce. Tak naprawdę wystarczy kilkadziesiąt z bardziej popularnych, tej możliwości połączeń, aby efektywnie zablokować sernie udostępnia. Serwer sendmail ma możwer. Dlatego, aby upiec dwie pieczenie na SpamAssassin liwość definiowania filtrów poprzez injednym ogniu, zdecydowałem się na i filtrowanie bayesowskie terfejs milter. opcjonalne zastosowanie interfejsu Ta metoda będzie działać na większość Moim zdaniem, współczesne systemy epoll(). Epoll jest sposobem obsługi plispamów, ale nie na wszystkie. Nie zapocztowe są i tak mało odporne na ataki. ków, pozwalającym na tanią, pod względziała na spamy, które są rozsyłane poDokładanie im jeszcze jednej warstwy, dem zużycia zasobów, implementację przez serwery typu open-relay oraz na taskonsolidowanej z samym programem, wieluset tysięcy otwartych plików. kie, które są rozsyłane przez prawdziwe może ten problem tylko bardziej skomDemon zbiera otwarte połączenia i, po serwery pocztowe. Taki spam zostanie plikować. Dlatego powstał serwer SMTP, serializacji, przekazuje je pojedynczym dostarczony i trzeba sobie z nim poradzić pracujący jako serwer pośredniczący, któpołączeniem do procesu analizującego, inaczej. ry działa jako oddzielny proces. Program który z kolei jest podłączony do prawdziW sieci dostępne jest płatne bądź bezpowinien być odporny na ataki typu DoS. wego demona pocztowego. Demon poczpłatne oprogramowanie wykrywające Może pracować pod kontrolą systemu Litowy, program analizujący (serwer greyspam. Jednym z najbardziej popularnych nux lub BSD. Warstwa przyjmująca połąlisting) oraz serwer SMTP mogą, ale nie jest SpamAssassin, rozpowszechniany na czenia sieciowe jest dosyć mocno oddziemuszą, być na jednym komputerze. zasadach GPL. Opiera się on na kilkuset 62 Maj 2004 www.linux-magazine.pl Greylisting testach, które są wykonywane na nagłówku oraz treści listu. Badane jest, między innymi czy list nie przeszedł przez serwery znajdujące się na czarnych listach organizacji (już nieistniejąca Osirusoft, SpamCop.net), czy w treści listu nie znajdują się charakterystyczne fragmenty tekstów wskazujące na spam (na przykład „zarób 10 000 w trzy dni”), czy list nie jest odpowiedzią na jakiś nasz list, bądź czy z konkretnym nadawcą nie była uprzednio prowadzona korespondencja. Ten ostatni test wskazuje, że niezależnie od treści, list raczej spamem nie jest, oferta może pochodzić od naszego kontrahenta i być przez nas wyczekiwana. O ile mechanizmy „greylisting” gwarantują, przy założeniu elementarnej poprawności systemu wysyłającego, że każdy email nie będący spamem dotrze do adresata, o tyle zasada działania SpamAssassina dopuszcza pomyłki. Trzeba zdawać sobie sprawę, że w przypadku klasyfikacji spamu automat jest w stanie jedynie ocenić prawdopodobieństwo. Ostateczna decyzja musi należeć do człowieka. Przy zakładaniu oprogramowania SpamAssassin, dobrym pomysłem jest przeskanowanie całej istniejącej poczty w celu sprawdzenia, czy jakieś listy nie są niesłusznie klasyfikowane jako spam. Na szczęście, list może być przedmiotem zadziwiająco dobrych badań statystycznych opartych o analizę bayesowską. Wystarczy pokazać programowi kilkaset swoich listów oraz kilkaset listów typu spam. Po zbudowaniu statystyki program będzie mógł oceniać prawdopodobieństwa, że list należy do każdej z kategorii. Filtr bayesowski opiera się na prostej zasadzie: pokaż mi wszystkie dotychczasowe spamy oraz wszystkie „ham-y”. Każdy list jest dzielony na leksemy, odpowiadające, z grubsza, słowom. Każdemu słowu jest przypisywana ilość wystąpień w listach typu „spam” oraz, oddzielnie, w listach typu „ham”. Na tej podstawie jest obliczane prawdopodobieństwo, że list jest spamem. Każdy kolejny list dodaje informacje do listy. Dokładne omówienie tego procesu wykracza poza ramy niniejszego artykułu, w podręczniku użytkownika programu SpamAssassin temat ten jest potraktowany szerzej. Z moich dotychczasowych doświadczeń wynika, że SpamAssassin+Bayes rozróżnia listy niemal stuprocentowo. W dodatku praktycznie nie zdarzają mu się „oszczerstwa” – czyli sytuacje, w których list zwykły zostaje uznany za spam. Pytanie kolejne: co można zrobić, jeśli już dostaliśmy spam. W przypadku stosowania greylisting, taka sytuacja prawie na pewno oznacza, że list został wysłany poprzez serwer typu open-relay, gdyż dzisiejsze specjalizowane oprogramowanie spamerskie raczej nie jest odporne na tego rodzaju ochronę. Tu niestety znowu rozbijamy się o użytkownika. Spam, który do nas przyszedł, powinien być jak najszybciej przekazany do SpamAssassina w celu nauczenia klasyfikatora bayesowskiego, że list jest spamem. O ile użytkownik wie, jak przekazać list razem z nagłówkami, to łatwo może się nauczyć bezstresowego zgłaszania spamu. Niestety, współczesne programy pocztowe często poprawiają nagłówki listów oraz zmieniają ich treść, na przykład zmieniają kolejność załączników. Taki list jest niezmiernie trudny w analizie. Jedynym sposobem na uzyskanie potrzebnych informacji jest trzymanie niezmienionej postaci listu. Użytkownik zgłaszając list standardowymi metodami (przekazanie pod adres spam-report@domena lub nagranie do pewnego ustalonego katalogu) naprawdę nie zgłasza swojego listu, tylko ten list w bazie ostatnich listów, który wykazuje się największym podobieństwem. Znaleziony spam, oprócz nakarmienia bazy filtrów bayesowskich, może też posłużyć do poproszenia serwera greylisting, żeby zapomniał o wszystkich listach z danego hosta do konkretnego adresu. Do tego może służyć program spam-handler, który w oparciu o bazę listów przeprowadzi taką operację. To nam co prawda nie rozwiąże problemu, ale przynajmniej opóźni przychodzenie następnych listów. Zgłaszanie przypadków spamowania Naszym celem jest niewątpliwie robienie kłopotów spamerowi oraz zaalarmowanie innych użytkowników o jego adresie. Oprócz celów są jeszcze ważne ograniczenia: pod żadnym pozorem nie można ukarać niewinnego człowieka, którego całym grzechem jest obecność w polu From: bądź Reply-To: listu. Zarówno spamerzy, jak i wirusy, bardzo często umieszczają w tym polu fikcyjne adresy. Drugą spra- SYSADMIN wą jest sprawne i szybkie zgłoszenie odpowiednim służbom faktu spamowania. Trzecie ograniczenie, ostatnie, ale nie mniej istotne od pozostałych, to ograniczenie czasu poświęconego na analizę spamu do kilku sekund – inaczej lekarstwo stanie się groźniejsze od choroby. Jeśli umiemy się bardzo sprawnie posługiwać bazami whois oraz abuse, to możemy sami analizować nagłówki Received. Jeśli nie, czyli w znakomitej większości przypadków, jedynym bezpiecznym sposobem jest skorzystanie z pomocy fachowców. Popularnym serwisem jest SpamCop.net. SpamCop działa szczególnie dobrze, jeśli przed wysłaniem listu usuniemy z niego wszystkie nagłówki mogące zaburzyć przetwarzanie, czyli pola Received, pochodzące z naszych serwerów MX, serwerów zaprzyjaźnionych instytucji czy od naszego własnego SpamAssassina. Poczta bezspamowa Trzy przedstawione techniki: greylisting, SpamAssassin i filtrowanie bayesowskie pozwalają na ograniczenie ilości niechcianej poczty do kilku miesięcznie, zakładając, że początkowo dostawaliśmy kilkadziesiąt spamów dziennie. Wydaje się, że ten rekord jest trudny do pobicia, zakładając, że użyte techniki mają być proste w obsłudze i nie wymagać więcej pracy niż poświęcalibyśmy na ręczne kasowanie spamu. Chciałbym bardzo podziękować zespołowi CERT-Polska, bez którego ten tekst by nie powstał, majace i pkotowi za poprawki oraz Jankowi Rychterowi za zwrócenie uwagi na istnienie projektu Greylisting. ■ INFO [1] Hormel: SPAM and the Internet: http://www.spam.com/ci/ci_in.htm [2] Strona projektu Greylisting: http:// projects.puremagic.com/greylisting/ [3] Paul Graham: A plan for spam: http://www.paulgraham.com/spam.html [4] Brian McWilliams: Swollen Orders Show Spam’s Allure: http://www.wired.com/ news/business/0,1367,59907-2,00.html [5] Strona projektu SpamAssassin: http://www.spamassassin.org [6] CERT Polska – materiały konferencyjne „Secure 2003” [7] Glista: ftp://ftp.camk.edu.pl/private/chris/glista/ www.linux-magazine.pl Maj 2004 63