A spam ellen új technológiákkal

Napjainkban egyre több hír jelenik meg a különböző, "mindenremegoldástnyújtó" spamszűrő technológiákról, az egyszerű felhasználó már alig bírja kapkodni a fejét. A világ összes elektronikus levelének 60%-a tartozik a kéretlenek kategóriájába, ezért a probléma megoldására 2003 márciusában elindult – az IETF által támogatott – Anti-Spam Research Group (ASRG) tevékenysége, és részben ezen csoport munkájának köszönhetően 2003 őszére több cég is előrukkolt saját anti-spam megoldásával, amelyeket mostanság vizsgálnak.

A klasszikus: szűrés tartalom alapján

A régebbi megoldásoknál a szűrés alapja a beérkező levelek tartalma volt, azonban szakemberek szerint ez nem adott megfelelő bizonyosságot, ezért a legtöbb új megoldás az elektronikus levelek fejrészét (header) veszi már górcső alá, ezáltal a forrás, a feladó hitelessége alapján döntenek az alkalmazások arról, hogy besorolható-e az adott levél a spam levelek csoportjába. A tartalom alapján való szűrésnél született megoldások között van olyan is, amelyik a Bayes-tételt veszi alapul, egyszerű szabályokat meghatározva a döntéshez. A "click" szócska a spamek 79,7%-nál fordult elő, téves riasztást (false positive) 1,2%-nál okozott csak Paul Graham egyik felmérésénél, aki az említett tétel által leírtakat követve határozott meg szabályokat. A pontosításhoz a feltételes valószínűségen alapulva hozzá lehet még tenni, hogy pl. "ha a levélben van élénk piros (#F00000) színnel írt szócska is a 'click' szócska mellett, akkor már szinte biztos, hogy spammel van dolgunk."

Hirdetés

A legújabb technológiák azonban már másról szólnak…

Levelezési szokások mint szűrési szempont

A University of California (Los Angeles) két kutatója, P. Oscar Boykin és Vwani Roychowdhury által javasolt szűrés alapja az a feltételezés, hogy az emberek többnyire egy szűk társadalmi csoporttal állnak kapcsolatban, azaz van X darab cím, amiről kapnak és amire küldenek levelet, azaz e címek megbízhatónak tekinthetők és csak a többi, "idegen" címet kell megvizsgálni, esetlegesen szűrni. Sajnos ez a megoldás nem nyújt még védelmet a meghamisított címekről (spoofing) érkező levelek esetében – ahol a támadó ebből a bizonyos X darab cím egyikére cseréli le az általa írt levélben a fejrészt (header) –, azonban az is igaz, hogy a címek meghamisítása (spoofing) csak kis hányadát adják az összes spam levélnek.

Minősítés a feladó ellenőrzése alapján

A Microsoft "CallerID", az AOL "Sender Policy Framework" (régi nevén "Sender Permitted From"), a Pan-Am Internet Services "Designated Mailers Protocol", Hadmut Denisch "Reverse Mail Exchange" nevű technológiája nagyjából ugyanazt az ötletet építi be, amely szerint a legjobb megoldás a spam kiszűrésére az, ha a vevői oldal ellenőrzi, hogy a beérkező levélben feltüntetett feladó valójában kicsoda. Ehhez nem kell mást tenni, minthogy a vevő külön – a technológiától függő – bejegyzést (szabályt) ad hozzá a DNS-szerverben a saját levelező szerverének neve és IP-címe mellé, amelyben megadja, hogy az ellenőrzés során érvénytelennek tekintett beérkezett levelekkel mi legyen. Az ellenőrzéshez nyilvánvalóan szükség van tehát egy olyan procedúrára, amely során a vevői oldal megnézi a DNS-szerverben (domain és IP-cím párok között), hogy a beérkezett levél feladója és a kiírt IP-cím valóban összetartozó párt alkotnak-e. Ha ez nem áll fenn, akkor máris lehet tudni, hogy a címet a támadó, a spam küldője meghamisította. A szűrés akkor nem működik jól, ha a spam küldője nem lép fel támadóként, azaz nem cseréli le a feladó címét egy levélben (másnak kiadva magát), hanem létező domain és IP-cím felhasználásával ír levelet (van saját levelező szervere, ami be is van jegyezve pontosan a DNS-szerverbe). Erre az esetre azonban a már előzőleg említett technológia lehet a gyógyír, amely a felhasználó levelezési szokásait alapul véve (tehát megnézve, hogy többnyire kiktől kap és kiknek küld levelet) végez szűrést, de az ilyen fix címről érkező levelek ellen jó az egyszerű levelezési szabály szerkesztése is, ami révén ki lehet szűrni (filter) és automatikusan törölni lehet a beérkezett kéretlen leveleket.

A Yahoo! és a "DomainKeys"

A különböző technológiák közül a BME IK ITSec Csoport érdeklődését a Yahoo! "DomainKeys" nevű megoldása keltette fel – egyből felcsillant a szemünk, amikor megláttuk, hogy az nyilvános kulcsú kriptográfiát is használják. A Yahoo! oldalán talált vázlatos leírás alapján annyit lehet tudni, hogy szintén az elektronikus levél fejrésze (header) a célpont, amelyhez egy digitális aláírást rendel hozzá az elküldés pillanatában a feladó titkos kulcsa felhasználásával. A feladó titkos kulcsához tartozó nyilvános kulcsot a vevő a DNS-szerverből (a feladó adatainál megadott külön bejegyzésből) tudja majd lekérdezni a tervek szerint, és annak segítségével a vevő ellenőrizheti a digitális aláírást. Az ellenőrzés során talált hiba esetén a vevő levelező szerverén beállított szabály (policy) alapján rendelkezik a beérkezett levél további sorsáról. A jelenlegi vizsgálatok befejezése után a Yahoo! egy nyílt forráskódú (open source) alkalmazásként tenné elérhetővé a felhasználók számára az új technológiát a különböző levelezőrendszerekhez, amely képes lenne előállítani és kezelni a "DomainKeys" kriptográfiai műveleteihez szükséges adatokat.

Kérdéses pontok

A tartalom alapján szűrő alkalmazások megbízhatósága a mai megoldások alapján nagyjából ismert lehet a felhasználók számára. Az újabb technológiáknál viszont nem ismerünk éles üzemben készített statisztikai adatokat, így összehasonlítani még nem lehet a technológiákat, azonban már az eddigi leírások alapján is felmerül több kérdés. A könnyebb érthetőség kedvéért röviden szólni kell az elektronikus levelek felépítéséről, különös tekintettel a fejrészre (header) vonatkozólag.

Az IETF RFC 822 szabványában (az IETF RFC 2822 elődje) a következő áll:


Azóta történt

Előzmények