Realtime Blackhole Lists: Героические Борцы со Спамом или Мания Повышенной Бдительности?
В ежеминутно обостряющейся борьбе против спама, email администраторы прибегают к все более жестоким мерам для его предотвращения. Некоторые мои клиенты получают спама не меньше, чем "законной" почты, а порой и в 10, 20 раз больше.
Один из способов, который стали использовать админы для отсечения спама еще до того, как он достигнет Вашего почтового сервера — это Realtime Black-hole Lists (RBL). RBL — агрессивный вышибала из Internet, и если что-либо будет размещено в этих списках, оно будет тут же бесцеремонно выкинуто «из песочницы».
Существует множество различных RBL, часть из которых лишь блокирует соединение с почтовой станцией, в то время как другие так же блокируют и известных спаммеров. Те же, которые управляют поиском через DNS (DNSBL), наиболее просты в использовании. Большинство MTA (Mail Transfer Agents, службы передачи почты) таких как qmail, postfix, exim, и sendmail поддерживают DNSBL; вам надо просто сконфигурировать ваш MTA для запросов к DNSBL.
Очевидно, мы и сами можем создать свой собственный "черный список".
Каждый администратор создает и поддерживает свой собственный список, и как только какой-то спам начинает быстро распространяться, список становится достоянием общественности. Разумеется, администраторы и сейчас могут создавать и поддерживать другие списки, и модернизировать MTA, приходящие с множеством встроенных фильтрующих возможностей. Однако проблема в том, что спаммеры постоянно меняют свои цели, в особенности те, которые используют собственные почтовые движки на диалап-соединениях. При таком раскладе поддержка "черных списков" грозит перерасти в полнодневную работу.
Теория RBL проста: блокировка трафика с IP-адреса спаммера/открытого релея. Даже не нужно выкидывать ресурсы вашей системы на фильтрацию: просто отправьте весь спам на свалку прежде, чем кто-либо его даже увидит. Звучит неплохо, а? Побеспокоившись однажды, админу даже не придется над этим много мучатся!
В действительности, конечно, все не так легко и приятно. Спаммеры и сами вкладывают немало средств и творчества для того, чтобы найти новые пути прорыва нашей обороны...если бы только эта энергия была направлена на обеспечение честной жизни...
побочные неприятности
MAPS (Mail Abuse Prevention System, системы предотвращения почтовых злоупотреблений) — прародители всех RBL. MAPS RBL составляется и спаммерами и почтовыми службами (см. примеры RBL-операторов). Лично я согласна с концепцией отсечения открытых релеев, но перед обсуждением использования RBL, давайте взглянем на обратную сторону медали.
К примеру, возьмем фразу с MAPS-сайта (http://www.mailabuse.org/rbl/usage.html). "RBL в системе предотвращения почтовых коллизий может использоваться любой заинтересованной стороной для конфигурирования своих сетей или почтовых служб с целью ограничения спаммеров в использовании ресурсов. Этот шаг не должен совершаться необдуманно, т.к. MAPS RBL создает умышленный обрыв связи с тем, кто выбрал его для использования. ...если вы не готовы иногда бросить младенца в ванну с водой (фигурально выражаясь, конечно), MAPS RBL не для dас."
Возьмем свежие сообщения с news.admin.net-abuse.email:
“Моя организация никогда не занималась рассылкой спама, однако мы занесены в этот список, т.к. заблокированы “киберпредохранителем”. Как мне убрать наш почтовый сервер из этого поганого списка?
«Вы не в списке и не в Cyberfuse. В список залетел собственно SPRINT (ваш провайдер).
Можно:
1 Смириться с этим.
2. Принудить SPRINT разобраться со спаммерами в своей сети.
2. Договориться с «чистым» (не внесенном в черные списки) сервером получать почту для вас.”
Довольно жесткое отношение, но оно достаточно распространено среди RBL-операторов. В теории это задумано таким образом, чтобы заказчик пришел в ярость от спамодружелюбного поведения ISP и ушел от него к другому провайдеру. Однако на практике все не так радужно и просто. Многие пользователи вообще в таком положении, что от их провайдеров им просто некуда идти. Или же попавший в черный список провайдер настолько высокого уровня (как SPRINT), что «из под него» него и не вылезешь так запросто. Вообще, некоторые считают, мол, эти дурацкие RBL вовсе не справедливы. Кстати да, некоторые RBL-операторы имеют такое строгое представление о спаме и спамодружелюбном поведении и так яростно заносят в свои списки “спаммеров”, что этого не удается избежать почти никому.
Пользователи провайдеров, поддерщивающих RBL могут никогда и не узнать, что за почту они пропускают. Все же одно дело заблокировать трафик к своему личному почтовому ящику, и совсем другое — решать за большое количество других пользователей.
RBL-операторы не обещают правильности при составлении списков и даже не несут за них ответственности. Каждый из них проводит свою политику. Удаление из списков (а ведь однажды и вам, возможно, захочется это сделать) занимает где-то пару дней (Spamcop), а где-то и 4-6 месяцев (Dorkslayers). Некоторые еще и присылают предупреждения и тщательно сформулированные отказы. Вот например, образчик такового от http://mail-abuse.org/rbl/:
“Если ваша сеть кажется нами заблокированной, имейте в виду, что места, ставшие для вас недоступными сознательно отказываются обмениваться с вами трафиком. Мы не сетевые полицейские, а скорее способ определить источник спама.”
Это достаточно неискренне, т.к. в самом деле они действуют именно как Inet полиция по отношению к спаму и единственная причина их существования – борьба с ним.
спасая дитя
Итак, ответственный админ не может просто “сделать и забыть”, иначе будет потерян и законный трафик. RBL не могут приносить пользу без тонкой настройки. Администраторы MTA, использующих RBL, могут вручную корректировать данные для некоторых IP.
Достаточно важно широко использовать и белый список; это лучший способ быть уверенным в том, что люди, которых вы хотите услышать, до вас достучатся. Тщательный выбор, какой список использовать, предотвратит кучу неприятностей. Я считаю Spamcop вполне надежной, хотя все еще опасно полностью полагаться на нее (настроить и забыть). MAPS, напротив, очень спорная штука.
полезные советы
1. Заведите адрес, которые точно не может оказаться заблокированным, чтобы законные пользователи смогли вас найти в случае возникновения проблем.
2. При блокировке почты высылайте отправителю сообщение, которое объясняет, почему почта не может дойти адресату и предлагает пути решения проблемы (например, указывает на веб-форму для контактов на вашем сайте)
3. Следите за информацией в разделе “контакты» на вашем сайте. Она должна быть актуальной, содержать как можно больше возможных способов связи.
Ужасно стыдно, что мы вынуждены тратить столько времени, управляя спамом. Могу сделать оптимистическое предположение, что однажды мы его даже победим… если только мы продержимся так долго ;)
Карла Шредер, перевод Александра Полоневича.
Один из способов, который стали использовать админы для отсечения спама еще до того, как он достигнет Вашего почтового сервера — это Realtime Black-hole Lists (RBL). RBL — агрессивный вышибала из Internet, и если что-либо будет размещено в этих списках, оно будет тут же бесцеремонно выкинуто «из песочницы».
Существует множество различных RBL, часть из которых лишь блокирует соединение с почтовой станцией, в то время как другие так же блокируют и известных спаммеров. Те же, которые управляют поиском через DNS (DNSBL), наиболее просты в использовании. Большинство MTA (Mail Transfer Agents, службы передачи почты) таких как qmail, postfix, exim, и sendmail поддерживают DNSBL; вам надо просто сконфигурировать ваш MTA для запросов к DNSBL.
Очевидно, мы и сами можем создать свой собственный "черный список".
Каждый администратор создает и поддерживает свой собственный список, и как только какой-то спам начинает быстро распространяться, список становится достоянием общественности. Разумеется, администраторы и сейчас могут создавать и поддерживать другие списки, и модернизировать MTA, приходящие с множеством встроенных фильтрующих возможностей. Однако проблема в том, что спаммеры постоянно меняют свои цели, в особенности те, которые используют собственные почтовые движки на диалап-соединениях. При таком раскладе поддержка "черных списков" грозит перерасти в полнодневную работу.
Теория RBL проста: блокировка трафика с IP-адреса спаммера/открытого релея. Даже не нужно выкидывать ресурсы вашей системы на фильтрацию: просто отправьте весь спам на свалку прежде, чем кто-либо его даже увидит. Звучит неплохо, а? Побеспокоившись однажды, админу даже не придется над этим много мучатся!
В действительности, конечно, все не так легко и приятно. Спаммеры и сами вкладывают немало средств и творчества для того, чтобы найти новые пути прорыва нашей обороны...если бы только эта энергия была направлена на обеспечение честной жизни...
побочные неприятности
MAPS (Mail Abuse Prevention System, системы предотвращения почтовых злоупотреблений) — прародители всех RBL. MAPS RBL составляется и спаммерами и почтовыми службами (см. примеры RBL-операторов). Лично я согласна с концепцией отсечения открытых релеев, но перед обсуждением использования RBL, давайте взглянем на обратную сторону медали.
К примеру, возьмем фразу с MAPS-сайта (http://www.mailabuse.org/rbl/usage.html). "RBL в системе предотвращения почтовых коллизий может использоваться любой заинтересованной стороной для конфигурирования своих сетей или почтовых служб с целью ограничения спаммеров в использовании ресурсов. Этот шаг не должен совершаться необдуманно, т.к. MAPS RBL создает умышленный обрыв связи с тем, кто выбрал его для использования. ...если вы не готовы иногда бросить младенца в ванну с водой (фигурально выражаясь, конечно), MAPS RBL не для dас."
Возьмем свежие сообщения с news.admin.net-abuse.email:
“Моя организация никогда не занималась рассылкой спама, однако мы занесены в этот список, т.к. заблокированы “киберпредохранителем”. Как мне убрать наш почтовый сервер из этого поганого списка?
«Вы не в списке и не в Cyberfuse. В список залетел собственно SPRINT (ваш провайдер).
Можно:
1 Смириться с этим.
2. Принудить SPRINT разобраться со спаммерами в своей сети.
2. Договориться с «чистым» (не внесенном в черные списки) сервером получать почту для вас.”
Довольно жесткое отношение, но оно достаточно распространено среди RBL-операторов. В теории это задумано таким образом, чтобы заказчик пришел в ярость от спамодружелюбного поведения ISP и ушел от него к другому провайдеру. Однако на практике все не так радужно и просто. Многие пользователи вообще в таком положении, что от их провайдеров им просто некуда идти. Или же попавший в черный список провайдер настолько высокого уровня (как SPRINT), что «из под него» него и не вылезешь так запросто. Вообще, некоторые считают, мол, эти дурацкие RBL вовсе не справедливы. Кстати да, некоторые RBL-операторы имеют такое строгое представление о спаме и спамодружелюбном поведении и так яростно заносят в свои списки “спаммеров”, что этого не удается избежать почти никому.
Пользователи провайдеров, поддерщивающих RBL могут никогда и не узнать, что за почту они пропускают. Все же одно дело заблокировать трафик к своему личному почтовому ящику, и совсем другое — решать за большое количество других пользователей.
RBL-операторы не обещают правильности при составлении списков и даже не несут за них ответственности. Каждый из них проводит свою политику. Удаление из списков (а ведь однажды и вам, возможно, захочется это сделать) занимает где-то пару дней (Spamcop), а где-то и 4-6 месяцев (Dorkslayers). Некоторые еще и присылают предупреждения и тщательно сформулированные отказы. Вот например, образчик такового от http://mail-abuse.org/rbl/:
“Если ваша сеть кажется нами заблокированной, имейте в виду, что места, ставшие для вас недоступными сознательно отказываются обмениваться с вами трафиком. Мы не сетевые полицейские, а скорее способ определить источник спама.”
Это достаточно неискренне, т.к. в самом деле они действуют именно как Inet полиция по отношению к спаму и единственная причина их существования – борьба с ним.
спасая дитя
Итак, ответственный админ не может просто “сделать и забыть”, иначе будет потерян и законный трафик. RBL не могут приносить пользу без тонкой настройки. Администраторы MTA, использующих RBL, могут вручную корректировать данные для некоторых IP.
Достаточно важно широко использовать и белый список; это лучший способ быть уверенным в том, что люди, которых вы хотите услышать, до вас достучатся. Тщательный выбор, какой список использовать, предотвратит кучу неприятностей. Я считаю Spamcop вполне надежной, хотя все еще опасно полностью полагаться на нее (настроить и забыть). MAPS, напротив, очень спорная штука.
полезные советы
1. Заведите адрес, которые точно не может оказаться заблокированным, чтобы законные пользователи смогли вас найти в случае возникновения проблем.
2. При блокировке почты высылайте отправителю сообщение, которое объясняет, почему почта не может дойти адресату и предлагает пути решения проблемы (например, указывает на веб-форму для контактов на вашем сайте)
3. Следите за информацией в разделе “контакты» на вашем сайте. Она должна быть актуальной, содержать как можно больше возможных способов связи.
Ужасно стыдно, что мы вынуждены тратить столько времени, управляя спамом. Могу сделать оптимистическое предположение, что однажды мы его даже победим… если только мы продержимся так долго ;)
Карла Шредер, перевод Александра Полоневича.
Сетевые решения. Статья была опубликована в номере 09 за 2003 год в рубрике save ass…