Problémy s nevyžádanou poštou poznal na vlastní kůži pravděpodobně každý uživatel internetu. Spam v podobě e-mailu a stále častěji i SMS zpráv však není jen obdobou reklamních letáků v klasické poštovní schránce, přináší s sebou i další rizika. Jaké jsou možnosti ochrany a co v tomto ohledu mohou podniknout IT oddělení ve firmách?

Samotné množství e-mailovému spamu v posledních letech sice klesá, ale z pohledu uživatele je téměř lhostejné, zda nevyžádaná pošta představuje sedmdesát nebo devadesát devět procent všech e-mailů. Bez efektivního filtrování by tento objem stejně znamenal, že elektronická pošta se jako komunikační kanál stane prakticky nepoužitelnou. Navíc spam neznamená jen nevyžádanou reklamu, ale bývá spojen i s dalšími podvody, nejčastěji phishingem. Spammeři se v tomto případě vydávají za někoho jiného a jde jim především o osobní údaje oběti. V poslední době byla zaznamenána řada případů spamu a phishingu přesně šitého na míru konkrétním lidem (vedoucím pracovníkům firem). Tento tzv. spear spam/phishing představuje
zvlášť nebezpečnou skupiny hrozeb.

Administrátoři firemního IT se snaží se spamem bojovat na mnoha úrovních. Nevyžádaná pošta „užírá“ přístupové pásmo, a to i když se jedná o nejčastější spam textový, kdy jediný e-mail sám o sobě nemá velký datový objem (existují ovšem i jiné verze spamu, například spam obrázkový nebo v podobě PDF souborů). Čím dříve a lépe se provede filtrování, tím menší náklady firmě v důsledku spamu vzniknou.

Závody ve zbrojení

Žádný antispam není účinný navždy, bez toho, aby se software či služba aktualizovaly. Zde je povaha spamu podobná jako u virů a dalšího malwaru, kdy mezi oběma stranami probíhá obdoba závodů ve zbrojení. Spammeři samozřejmě reagují na obranná opatření a své techniky stále zdokonalují. Například po vyřazení několika botnetů s infrastrukturou založenou na řídicích serverech přišli s taktikou založenou na P2P sítích. Botnet chrlící spam nemá v tomto případě de facto žádné centrum a všechny infikované počítače se chovají jako server i klient. Spammeři také někdy omezují kvantitu generované pošty na úkor „kvality“ a jejich e-maily jsou přesněji cílené na konkrétní adresáty. K rozesílání se používají e-mailové účty na legitimních službách, jako je Yahoo, Google GMail či Microsoft Hotmail. Může jít o účty již existující, kdy se spammeři dostali k přístupovým údajům, nebo o účty účelově zřízené. To dnes pro podvodníky není takový problém, protože ochrana CAPTCHA, metoda nejčastější používaná provozovateli webových e-mailů jako obrana pro zakládání nových účtů pomocí robotů, se dá překonat.

Spammeři mohou být spokojeni. Hardware poskytovatele příslušné freemailové služby bývá pro potřeby podvodníků dostatečně dimenzován. Technicky vzato, SMTP server se chová korektně a dodržuje doporučení RFC, takže hlavičky zpráv jsou formálně správné. Tyto SMTP servery nefigurují na black listech, což přeloženo do běžného jazyka znamená, že tento spam nelze blokovat na základě zdroje, z něhož je odesílán – firma může automaticky zahazovat například veškerou poštu přicházející z Gmailu.

Zkoumat je třeba obsah zprávy

Nejstarší metoda ochrany proti spamu založená na tzv. blacklistech (seznamy „závadných“ serverů) se proto dnes používá jen omezeně. Antispamová řešení ji pochopitelně zahrnují, ale zdaleka nelze spoléhat jen na ni.

Modifikovaný přístup boje proti spamu funguje na bázi tzv. reputačních služeb. Tyto služby sbírají statistická data z internetu, a pokud v některém uzlu dojde k nárůstu odesílaných mailů, zhorší se jeho „pověst“ a s tím i pravděpodobnost odmítnutí komunikace. I zde však hrozí, že bude odmítána i komunikace nezávadná. Reputační služby neřeší výše zmíněný problém, když nelze plošně blokovat například často používané webové freemaily – a v tomto smyslu představují oproti blacklistům jen malý pokrok. Totéž platí i pro další metody založené na analýze odesilatele (greylisting, Sender Policy Framework, DomainKeys Identified Mail apod.).

Nutností se proto stává analýza obsahu samotné zprávy. Asi každého hned napadnou omezení takové metody, pokud by se rozlišení spamu zakládalo pouze na jednotlivých slovech. Na jednu stranu se zde opět potýkáme s problémem, že za spam může být označena i legitimní konverzace – proč by například v e-mailu lékárníka nemohlo být použito slovo Viagra. Na druhé straně pak rozesilatelé spamu ihned přijdou s variantou V1agra.

Obsah e-mailu ovšem lze podrobit i komplexnější analýze. Efektivní metodu při rozpoznávání spamu představují například učící se (bayesiánské) filtry, kdy statistické zpracování obsahu odchozí pošty pomáhá určit míru legitimnosti pošty příchozí. Moderní antispamová řešení jsou díky kombinaci různých metod možná až překvapivě účinná a firmy všech velikostí by jejich nasazení neměly odkládat. Každé procento úspěšně odfiltrovaného spamu se navíc počítá – když nic jiného, firmy potřebují, aby zaměstnanci trávili svůj pracovní čas jinak než zkoumáním a mazáním nevyžádané pošty.

Při výběru vhodného antispamového řešení stojí za to zvážit několik věcí. Z pohledu firemních administrátorů by služba měla být ideálně bezúdržbová, fungovat na infrastruktuře poskytovatele. Vyčištěnou poštu je přirozeně třeba doručovat do jednotlivých poštovních schránek zabezpečeným (šifrovaným) kanálem. Kvalitu (účinnost) služby by měl dodavatel garantovat smluvně. Poskytovatel služby by měl být schopen v případě nedostupnosti cílového serveru opakovat doručování zprávy po sjednanou dobu.

Aleš Pikora
Autor článku je ředitelem divize DataGuard ve společnosti PCS.