Spam je fenomén. V létě roku 2000 jsem dostal e-mailem zprávu o zásadní chybě v implementaci PGP od společnosti Network Associates. Pod tlakem trhu rozšířil tehdejší producent komerční verzi PGP o možnost přidat „další dešifrovací klíč“. Toto rozšíření mělo být jakousi záchranou pro případ ztráty původního dešifrovacího klíče. Fatální chyba v implementaci komerční verze znamenala otevřená zadní vrátka a možnost zneužít toto rozšíření k neoprávněnému přístupu k zašifrované zprávě.
Pracoval jsem tehdy ve společnosti, která distribuci PGP v České republice zajišťovala, a zároveň jsem byl správcem serveru PGP klíčů v České republice. Vzhledem k vážnosti situace jsem se rozhodl rozeslat všem uživatelům, jejichž veřejné klíče byly na serveru klíčů, varovný e-mail, který stručně popisoval princip chyby, důsledky možného zneužití a postup pro dočasné řešení problému.
Druhý den ráno mne emailem kontaktoval tehdejší správce Černé listiny serveru antispam.cz (mimochodem můj současný kolega) s tím, že jsem byl za hrubé porušení etických pravidel přidán do seznamu spamerů. Správci serveru antispam.cz tehdy posuzovali stížnosti adresátů nevyžádané pošty a po prozkoumání argumentů protistrany rozhodovali o zařazení e-mailové adresy odesílatele na Černou listinu. Odesílatel byl v dlouhém e-mailu informován o etických zásadách používání elektronické pošty. Černá listina spamerů byla veřejně vystavena v jakési virtuální síni ostudy na serveru antispam.cz a snad měla sloužit i jako jedna z veřejně dostupných databází spamerů.
Zdá se vám tento přístup naivní? Z dnešního pohledu jistě. Jaký antispamový systém tedy zvolit, aby nebyl za rok podobně úsměvný?

Popis problému

Ačkoliv je definice spamu velmi jednoduchá, názory uživatelů (zejména rozlehlejších sítí) na to, co je a co není spam, se velmi různí. Považujete například moji zprávu o chybě v šifrovacím softwaru za spam? Podle striktní definice jistě ano. Jako uživatel PGP bych se ale rád dozvěděl o chybě, která může ohrozit důvěrnost mých dokumentů, co nejdříve. Z tohoto pohledu bych si rozhodně nepřál, aby antispamový systém podobnou zprávu zadržel, byť se jedná o nevyžádanou zprávu.
Mé dosavadní zkušenosti z nasazování antispamových systémů v počítačových sítích středních a větších organizací ukazují, že uživatelé pod pojmem spam rozumí spíše nevyžádaný reklamní e-mail nebo nevyžádanou obchodní nabídku. A zde se skrývá problém tolik diskutované úspěšnosti antispamových systémů:

• Rozhodnout, zda příslušná zpráva je či není reklamní sdělení, je obtížně algoritmizovatelný problém. Velkou úspěšnost by měl systém, který by dokázal analyzovat sémantiku lidského jazyka. Vývoj takových systémů je ale zatím předmětem akademických diskuzí, v praxi se používá řada podpůrných charakteristik, které jsou pro reklamní zprávy typické.
• Hranice mezi tím, co je a co není spam, je velmi individuální záležitostí. Ve středních a větších sítích však lze nalézt skupiny uživatelů, kteří tuto hranici definují velmi podobně. To, co vrcholový manažer označí za „jasný spam“, bude technik téže organizace považovat za velmi užitečnou zprávu (a naopak).

Antispam na koncových stanicích

Spam obtěžuje snad každého z nás. Antispam je žádaný artikl. Antispamový systém lze proto nalézt jako součást poštovních klientů, antivirových systémů, poštovních serverů, samostatných aplikací, proprietárních appliance produktů a samozřejmě rovněž firewallů, jak „personálních“ tak „centrálních“.
Lákavá možnost zbavit se problémů se spamem „kliknutím“ na příslušné tlačítko ve svém poštovním klientu není pro střední a větší sítě vhodným řešením. Za hlavní důvody pro odmítnutí takového řešení považuji:

• Nedostatečná dokumentace algoritmu, který je pro vyhodnocování spamu používán. Producenti produktů tohoto typu obvykle tají, na základě jakých kritérii o dané zprávě rozhodnou, zda je či není spam.
• Nedostatečné nebo žádné možnosti konfigurace vyhodnocovacího algoritmu. Tím je ztížena, nebo zcela vyloučena možnost přiblížit chování antispamu co nejvíce pocitovému názoru adresátů na to, co ještě je, a co již není spam.
• Mimořádně velká náročnost správy takto distribuovaného systému, prakticky bez možnosti implementovat a řádně udržovat pravidla plynoucí z bezpečnostní politiky organizace.

Použití antispamu dodávaného jako součást poštovního klienta může být rychlé a levné řešení, avšak řešení, kde není jasné, co vlastně dělá, jehož chování nelze ovlivnit a není ani jasné, zda to, co dělá, je ve shodě s tím, co od něj organizace očekává.
Podobně dopadne pokus vyřešit problém antispamu za pomoci antivirového softwaru na koncových stanicích. V tomto případě sice výrobci často nabízí centralizovanou správu, neprůhlednost řešení a nízké možnosti konfigurace vyhodnocovacího algoritmu však zůstávají.

Antispam appliance

Nabídka zařízení určených pro centrální antispamovou kontrolu e-mailové komunikace je velmi bohatá. Poptávka trhu je zejména po předkonfigurovaných systémech typu appliance – tedy systémech dodávaných včetně hardwaru, obvykle vybavených jednoduchým webovým rozhraním pro jejich správu.
Mezi hlavní priority výrobců takovýchto zařízení patří minimalizace koncové ceny (což zahrnuje snížení výrobních nákladů, nákladů na distribuci a nákladů na záruční servis), jednoduchost nasazení a jednoduchost obsluhy. Požadavek na jednoduchost nasazení je však v rozporu s relativně velkou složitostí současných počítačových sítí u středních a větších organizací. Řešení nalezli výrobci v použití technologie transparentní proxy brány, která je známa z aplikačních proxy firewallů. Výsledkem je pro uživatele „neviditelné“ zařízení, které provádí antispamovou kontrolu. Zdánlivě ideální řešení – splňuje požadavek centralizace, lze jej jednoduše zapojit do jakékoliv topologie interní sítě bez nutnosti rekonfigurace ostatních síťových prvků a lze jej spravovat přes jednoduché webové rozhraní. Navíc jakoukoli reklamaci řeší výrobce obvykle výměnou celého reklamovaného zařízení za jiný kus (což je u produktově orientované produkce s levnou výrobou téměř vždy nejlevnější řešení).
Problémy nastávají v případě diagnostiky závady. Neviditelnosti uvedeného zařízení a jednoduchost jeho obsluhy, tedy dvě hlavní konkurenční výhody, jsou dvousečnou zbraní. Nedávno jsme byli přizváni k řešení problémů se „ztrácejícími se e-maily“ ve vnitřní síti čítající asi tisíc koncových stanic a odpovídající počet aktivních prvků. Po překonání počáteční nedůvěry v pravdivost tvrzení uživatelů se nám podařilo nalézt situaci, kdy stanice odesílající e-mail otevřela datové spojení na cílový server, na straně serveru však nebyl zaznamenán ani jediný datagram pocházející ze stanice odesílatele. Rozuzlení záhady přinesl až nález neviditelné antispamové appliance, která e-mail sice přijala (vydávaje se při tom za cílový server), ale z důvodu nedostatku zdrojů jej již nezvládla zpracovat a tuto situaci nijak nesignalizovala.
Touha uvést na trhu antispamovou appliance za minimální cenu vede navíc často k uvádění takových hodnot propustnosti a výkonu, které jsou (pokud vůbec) dosažitelné jen ve zcela ideálním prostředí. Snaha maximálně zjednodušit administraci a „nezávislost“ těchto zařízení na okolí pak může vést i k problémům s diagnostikou chybových stavů, tak jako tomu bylo v uvedeném případě.

Obr. 1: Ukázka spamu

Firewall s antispamem

Jen stěží bychom našli podnikovou počítačovou síť, kde není zařízení, které správci sítě označují jako firewall. Bez ohledu na to, jakou používají technologii, mají tato zařízení jedno společné – jsou místem, přes které jsou přenášeny veškeré e-maily směřující do interní sítě z jiných sítí, což je jedno z kritérii nutných pro výběr místa vhodného pro implementaci antispamových systémů.
Firewally určené pro nasazení v podnikových sítích používají obvykle pro doručení pošty do interní sítě systém store-and-forward. E-mailovou zprávu tedy nejprve přijmou a následně ji novým spojením doručí do interní sítě. Rozšířit funkce firewallu o antispamovou kontrolu se zdá být poměrně snadné a výrobci firewallů jsou si toho dobře vědomi. Toto řešení přináší následující výhody:

• Nezanedbatelnou podmnožinu spamů lze rozpoznat již z hlaviček e-mailových zpráv. Správně nakonfigurovaný firewall pak odmítne převzít tělo takového spamu a tím může ušetřit kapacitu přípojky interní sítě do internetu. Praktické zkušenosti ukazují, že u interní sítě s jedním tisícem e-mailových adres může takto šikovně nakonfigurovaný firewall ušetřit do deseti procent přenosové kapacity přípojky do internetu.
• Firewally z důvodu zajištění řízení komunikace pracují s e-maily na aplikační úrovni. Je tedy logické elektronické zprávy v této podobě pro antispamovou (a často i antivirovou) kontrolu použít a neprovádět stejnou operaci znova na jiném prvku v síti.
• Na firewallu lze jednotným způsobem implementovat pravidla systémové bezpečnostní politiky vztahující se na řízení datové komunikace (včetně pravidel pro práci se spamem). To zvyšuje přehlednost a snižuje pravděpodobnost chyby v konfiguraci distribuovaného systému bez centrální správy (jakým by kombinace firewallu a „samostatné“ antispamové appliance byla).
• Firewally obvykle nabízí velmi detailní možnosti konfigurace antispamových systémů, a to jak na úrovni ovlivňování vyhodnocovacího algoritmu antispamového systému, tak i na v možnostech dalšího zpracování zpráv označených jako spam (uživatelé se obvykle sdružují do skupin, pro které jsou nastaveny individuální parametry vyhodnocovacího algoritmu, a v závislosti na spam-skóre, které zpráva obdrží, ji lze odmítnout, tiše ignorovat, smazat, doručit do karantény, označit atp.). Antispamové systémy jsou obvykle velmi dobře dokumentované, výrobci firewallů vyšší třídy obvykle o složitém problému netvrdí, že jej lze jednoduše (a klikáním přes webové rozhraní) vyřešit a že tuto činnost zvládne i laik.
• Firewally pro nasazení v podnikových sítích jsou obvykle z principu jejich použití systémy velmi robustní (mají definované chování pod velkou zátěží) s detailní úrovní signalizace poruchových stavů.

Řešení má však i nevýhody, mezi hlavní patří:

• Nasazení antispamu znamená změnu konfigurace firewallu.
• Přidáním antispamové kontroly mezi funkce firewallu vzroste zátěž na zdroje systému. Analýza e-mailové komunikace ve středně velkých organizacích ukázala, že spam tvoří více než sedmdesát procent vší elektronické pošty, která do sítě přichází. Antispamové systémy, které využívají pro vyhodnocovací algoritmy heuristiky nebo metody vyhledávání regulárních výrazů, jsou výpočetně náročné. Ačkoli výpočetní výkon byl vždy považován za zdroj, kterého je na firewallech dostatek, rozšíření funkcí firewallu a antispamu tento názor rychle změnilo.
• Antispamy na firewallech, stejně jako antispamové appliance, obvykle nabízejí úpravy vyhodnocovacího algoritmu na základě „učení“. Pokud antispamu předložíte e-mail, který explicitně označíte za spam, antispamový systém zjistí jeho charakteristiky a chování vyhodnocovacího algoritmu upraví. Tak lze eliminovat i procento zpráv, které jsou „chybně“ označeny za spam. Zdánlivě příjemná vlastnost má jedno úskalí – předpokládá se dodání přesné kopie původní zprávy, což dokáží přeposlat pouze někteří poštovní klienti a ten nejrozšířenější mezi ně bohužel nepatří.

Popsaný problém s výpočetním výkonem firewallu lze snadno eliminovat. Služba doručování elektronické pošty, jak již bylo zmíněno, je totiž službou typu store-and-forward. V kategorii firewallů vyšší třídy lze nastavit omezení zdrojů pro jednotlivé úlohy. Za použití této konfigurace lze omezit maximální výpočetní výkon, který bude pro antispamový systém k dispozici. Takové omezení může v době největší komunikační špičky způsobit prodlevu v doručování e-mailů až o několik jednotek či desítek minut. V praxi jsem se však již nejednou setkal s aplikací – a často z pohledu organizace velmi kritickou – která předpokládala léty ověřené bezodkladné doručování elektronické pošty. V této situaci bylo zpoždění – byť jen v řádu jednotek minut – zcela neakceptovatelné.

Distribuovaný firewall s antispamem

Problém spamu je typickým úkolem pro centrální bezpečnostní bránu – firewall – jenž by měl implementovat bezpečnostní politiku pro řízení komunikace mezi interní sítí a jinými sítěmi. Firewall však není jen jediné hardwarové zařízení, jak nás o tom rádi a často přesvědčují výrobci krabic s celosvětovou distribuční sítí tvořenou zejména spediční společnostmi a call centrem v Turecku (anebo České republice). Firewall je nutné (opět) chápat jako systém pro řízení datové komunikace tvořeným jedním nebo více subsytémy, který umožňuje implementovat pravidla dle požadavků systémové bezpečnostní politiky.
V praxi se osvědčila standardní architektura, kdy je firewall tvořen z několika jednoduchých, jednoúčelových subsystémů, které společně zajišťují všechny požadované funkce systému pro řízení komunikace. Takovýto škálovatelný systém může obsahovat samostatný modul pro antispamovou kontrolu, který lze podle zadání bezpečnostní politiky dále rozšiřovat – v poslední době je populární OCR systém, jako reakce na spamy zasílané v podobě obrázků.

Závěr

Jsem hluboce přesvědčen, že systém, který by vyhovoval nárokům střední nebo větší organizace, nelze zabalit do krabice, opatřit fakturou a odeslat přepravní společností. Stejně jako nelze stavět domy bez projektové dokumentace, nelze systematicky řešit bezpečnost interních sítí bez jasné strategie. Jistě namítnete, že domů bez projektové dokumentace existuje spousta. To je pravda, avšak domnívám se, že trpí stejnými neduhy, jako informační systémy seskládané na základě nákupu izolovaných produktů: improvizací, obtížnou udržovatelností a prakticky nemožností jakékoli úpravy či opravy.
Před tím, než rozhodnete o výběru antispamového systému, považuji za nutné projít fází rozpracování příslušných částí systémové bezpečnostní politiky a vyjasnění požadavků, které na antispam vaše organizace klade. Vlastní realizace je vesměs rutinní záležitostí a na trhu je dostatek technologií a produktů, které tu či onu vlastnosti zajistí. Zvolit produkt s krásným barevným prospektem, ovšem bez jakékoliv koncepce, nebo alespoň krátké implementační studie by však mohlo být stejně úsměvné jako spoléhat se na pokárání spamera na Černé listině dnes již neexistujícího serveru antispam.cz. Vyložit krabici z lodi v Hamburku a dopravit ji do vaší společnosti je velmi snadné, předložit koncepci ochrany interní sítě před hrozbami spojenými s využíváním služeb elektronické pošty je mnohem těžší.
K mému velkému údivu IT manažeři středně velkých organizací často volí – snad jen v časovém presu – cestu krabice, která má jako mávnutím kouzelného proutku vyřešit problém spamu, a to bez toho, že by bylo nutné v síti cokoliv nastavovat nebo měnit. Takovéto řešení může být úsměvné ještě dříve než za rok.

Autor se v oblasti bezpečnosti IT pohybuje od roku 1994. Podílel se na realizaci nebo oponentuře bezpečnostních projektů pro Národní banku Slovenska, Volksbank CZ, EGAP, Český Telecom, Škoda Auto, Wrigley, NBÚ či BIS. V roce 2000 byl jmenován soudním znalcem v oboru bezpečnosti IT systémů, znaleckou činnost vykonává pro Ústavní soud ČR. Působí ve společnosti Trusted Network Solutions.