Виды угроз для систем отправки и приема почты, способы их ликвидации

Так как основным понятием почтовых программ является электронное письмо, то существует некоторое множество угроз безопасности относительно данного объекта. Прежде всего, выделим следующие:

• · СПАМ (массовая, неперсонифицированная рассылка, с использованием специальных программ, коммерческой, политической и иной рекламы или иного вида сообщений людям, не выразившим желания их получать);
• · несанкционированный перехват информации;
• · рассылка вредоносных программ (вирусов и т. д.);
• · подмена пользователя;
• · рассылка программ-сборщиков;
• · отказ от факта получения почты.

В настоящее время для систем отправки и приема почты все большую угрозу представляет несанкционированная рассылка сообщений (СПАМа), так как такая информация зачастую не интересна получателю, засоряет его почтовый электронный ящик, а также сообщение такого типа может содержать вредоносные программы.

В связи с этим были разработаны, так называемые, методы фильтрации почты. Они предусматривают два варианта, полученное сообщение, помеченное меткой «СПАМ», помещается в отдельную папку, просмотрев которую пользователь может либо удалить данное сообщение, либо оставить, если он уверен, что оно пришло от знакомого адресата.

Второй вариант предполагает немедленное удаление подозрительного сообщения на сервере, причем пользователь не сможет увидеть даже факт получения такого сообщения.

Параметры заголовков писем. Минимально необходимыми являются следующие поля «Date: «, «From: «, «Cc: «и/или «To: «, где «Date: «, «From: «, «Cc: «и «To: «являются именами заголовка, а через пробел напротив каждого имени заголовка указано соответствующее содержание.

Определим значение каждого указанного имени заголовка:

• · Поле «Date: «- назначение данного заголовка очевидно: он указывает дату и время отправки письма. «Date: «выставляется компьютером отправителя, на котором может быть неправильно установлены дата и время. Если этот заголовок не был создан на компьютере отправителя, то, возможно, его добавит почтовый сервер или какой-нибудь другой компьютер, через который пройдет письмо.
• · «From: «- указывает адрес отправителя.
• · «To: «- адрес (а) получателя (ей). Отметим, что поле «To: «не обязано содержать адрес получателя, а также может содержать адреса нескольких получателей.
• · «Cc: «(Carbon Copy) — адресация копий, этот заголовок является расширением поля «To: «, он указывает дополнительных получателей письма (получатель «To: «видит список всех «Cc: «). Различий между заголовками «To: «и «Cc: «, в сущности, нет, если не считать, что некоторые почтовые программы рассматривают их по-разному, генерируя ответ на сообщение.

Но это только самые основные поля заголовка. Обычно заголовок содержит значительно больше полей, чем указано выше. Рассмотрим подробнее все поля электронного письма:

• · Поле «Received:» — штамп прохождения письма через почтовый сервер. Заголовки «Received:» предоставляют подробную информацию о жизни сообщения и не дадут обмануть получателя сообщения, откуда именно пришло письмо. Если, например, домен turmeric.com, IP-адрес которой 104.128.23.115, посылает сообщение домену mail.bieberdorf.edu, но пытается ее обмануть, сказав HELLO galangal.org, заголовок «Received: «получится следующим: «Received: from galangal.org (turmeric.com [104.128.23.115]) by mail.bieberdorf.edu…». Здесь подделка сразу выводится на чистую воду. Данная строка говорит: «домен turmeric.com, чей адрес 104.128.23.115, назвалась galangal.org» .
• · «Message-Id: «- уникальный идентификатор письма, присваиваемый каждому сообщению, — чаще всего первым почтовым сервером, который встретится у него на пути, либо же почтовым клиентом. Обычно он имеет форму «Этот адрес e-mail защищен от спам-ботов. Чтобы увидеть его, у Вас должен быть включен Java-Script «, где «sunset» набор произвольных символов, а вторая часть «domain.ru» — имя домена, присвоившей идентификатор. Иногда, но редко, «sunset» включает в себя имя отправителя. Message-Id используется программами доставки почты во избежание «зацикливания» письма.
• · Поле «Bcc:» — скрытая копия. «Bcc:» (Blind Carbon Copy) — слепая/скрытая копия (получатели не подозревают о других получателях из поля «Bcc:»). Скрытые копии очень популярны среди людей, рассылающих нежелательные сообщения, поскольку многие неопытные пользователи оказываются сбитыми с толку, получив письмо, которое, вроде бы, не было им адресовано.
• · «Subject:» — тема письма (наличие «Re:» означает ответ; «Fwd:» — переадресацию). Почтовый стандарт допускает наличие только латинских символов (US-ASCII) в поле «Subject: «поэтому, несмотря на то, что многие пользователи заполняют данное поле русскими буквами, этого делать не рекомендуется. Нормальная ситуация — когда написанная русскими буквами тема письма при отправке перекодируется почтовой программой отправителя в 7-битную base64 с указанием языковой кодировки, в которой эта тема написана (как это делают программы Pine, Pegasus Mail), а почтовая программа получателя декодирует тему письма в читаемый вид.
• · «Reply-To:» — адрес для ответов. Несмотря на то, что этот заголовок имеет множество способов цивилизованного применения, он часто используется неправомерно, при указании там либо несуществующего адреса, либо чужого адрес.
• · «In-Reply-To:» — показывает, что сообщение относится к типу «ответ на ответ» .
• · «Comments:» — означает комментарий. Этот заголовок не является стандартным, а потому может содержать любую информацию. Подобные заголовки добавляются некоторыми почтовыми программами (в частности, популярной программой Pegasus) для идентификации отправителя, но часто прописывается вручную неправомерным образом, так что относиться к нему следует с осторожностью.
• · «Status:» — статус письма (новое, прочитанное).
• · «Apparently-To:» — эти заголовки нетипичны для нормальных сообщений, они обычно являются признаком массовой рассылки. В последнее время для массовых рассылок используется программное обеспечение, достаточно «умное», чтобы не плодить гигантские списки из этих заголовков.
• · «Organization:» — абсолютно свободный заголовок, обычно содержащий название организации, через которую отправитель сообщения получает доступ к сети. Отправитель, как правило, контролирует этот заголовок.
• · «Priority:» — исключительно свободный заголовок, устанавливающий приоритет сообщения. Большинство программ его игнорируют. Часто используется неправомерно в форме «Priority: urgent» (или что-нибудь в этом роде) с целью привлечения внимания к сообщению.
• · «Errors-To:» — указывает адрес для отсылки автоматически генерируемых сообщений об ошибке, таких как «нет такого пользователя». Это редко используемый заголовок, так как большинство отправителей обычно хотят получать сообщения об ошибках на исходящий адрес, который используется почтовыми серверами по умолчанию.

Правила и методы фильтрации нежелательной входящей почты Существует определенное количество методов, которые реализуют идею аутентификации (проверки подлинности) отправителя.

Рассмотрим распределенные методы фильтрации СПАМа. Технически СПАМ можно фильтровать двумя основными способами: по формальным признакам сообщения (по обратному адресу, способу посылки и оформлению) и по его содержанию (то есть по его смыслу, семантически).

Формальные методы:

· Черные списки (Blackhole Lists).

Рекламные агенты или хакеры посылают свои письма с определенных ЭВМ. Оказывается, что строку «Откуда» (From), как и большинство других элементов электронного письма, крайне легко фальсифицировать.

Однако IP-адрес, с которого приходит сообщение, — то есть его интернет-адрес — подделать почти невозможно. Черные списки включают перечни адресов отправителей СПАМа; они составляются примерно таким же образом, как работают системы с поиском совпадений, — либо на основе жалоб пользователей, либо с помощью «ловушек» .

Часто в черные списки попадают открытые прокси-серверы и открытые почтовые пересылки. Сообщения пользователей, попавших в черные списки, блокируются.

· Белые списки, или безопасные списки, — это одна из самых распространенных технологий, которая работает в сочетании с обучаемыми фильтрами, системами с поиском совпадений и системами с запросом к отправителю.

В белые списки включают тех людей, которые зарекомендовали себя как добропорядочные отправители. Как правило, это индивидуальные пользователи, хотя в некоторых системах могут быть указаны целые домены. Если обучаемая система помечает сообщение как СПАМ, но отправитель записан у пользователя в белом списке, то сообщение все же доходит до адресата. Таким образом этот метод блокирования СПАМа помогает уменьшить вред от ложных срабатываний.

Формальные правила.

Формальные правила проверяют способ посылки письма и его оформление.

К типичным признакам СПАМ-письма относятся отсутствие адреса отправителя, отсутствие или наличие слишком большого числа получателей, отсутствие IP-адреса в системе DNS, сфальсифицированные или некорректные служебные заголовки и т. п. Часто также производится фильтрация по размеру и формату сообщения.

По мнению Федеральной торговой комиссии США, у пользователей есть два основных способа защитить свои адреса электронной почты от программ-сборщиков:

• 1) «Замаскировать» свой электронный адрес. В почтовый адрес пользователя можно вставить слово или выражение, которое обманет компьютерную программу-сборщик, но только не человека. Например, адрес Этот адрес e-mail защищен от спам-ботов. Чтобы увидеть его, у Вас должен быть включен Java-Script (вася@провайдер.com) можно замаскировать как Этот адрес e-mail защищен от спам-ботов. Чтобы увидеть его, у Вас должен быть включен Java-Script (вася@спаму-нет.провайдер.com).
• 2) Использовать отдельное экранное имя в чат-форумах. Для онлайновых чат-форумов можно создавать экранное имя, не связанное с адресом электронной почты. К примеру, зайдя на форум о рекламе, и зарегистрировавшись там, выбрать имя, не имеющее отношение к рекламе.