Исследования специалистов показывают, что спамеры с успехом ставят на службу себе технологии, разработанные для противодействия им.
Компания CipherTrust, разработчик систем защиты контента и фильтрации электронных почтовых сообщений, опубликовала отчет, основанный на исследовании трафика электронной почты в 1000 крупных компаний по всему миру в мае-августе текущего года. Спамеры в очередной раз подтвердили свою изобретательность выяснилось, что технология аутентификации почтовых сообщений SPF (Sender Policy Framework), разработанная для борьбы со спамом, поставлена им на службу.
Специалисты CipherTrust провели анализ эффективности использования SPF в качестве протокола аутентификации почты. Выяснилось, что, несмотря на его низкую способность идентифицировать спам, SPF позволяет предотвращать широкомасштабные фишинг-атаки.
По данным компании, вследствие того, что спамеры активно занимаются регистрацией SPF-записей, «мусорные» письма на 34% чаще, чем обычная почта, проходят проверку посредством этого механизма. Вкратце ситуацию можно описать так если спамер не занимается подделкой адреса отправителя, его письмо не будет заблокировано SPF. В итоге, вероятность того, что спам будет отфильтрован с помощью SPF в 3 раза меньше чем, что письмо успешно пройдёт проверку. Отсюда делается вывод, что в корпоративных системах фильтрации почты SPF может использоваться только в качестве вспомогательного инструмента.
В то же время, исследование CipherTrust показало, что число входящих в список Fortune 1000 компаний, использующих протоколы аутентификации электронных почтовых сообщений, с мая текущего года выросло на 200%. На данный момент эти протоколы использует 31 компания.
С выводами CipherTrust согласны российские специалисты. В компании «Ашманов и партнеры» технологию SPF считают неэффективной, в то же время там признают, что она является эффектным маркетинговым ходом.
«Технология SPF была очень хорошо разрекламирована как метод, который сможет дать реальное решение проблемы спама. Она основана на аутентификации отправителя электронного сообщения. Однако на настоящий момент эффективность этой технологии сомнительна, рассказала CNews.ru Ольга Кобзарева, менеджер по корпоративным коммуникациям компании „Лаборатория Касперского“, Тому есть несколько причин. Во-первых, технология SPF может эффективно работать только в том случае, если она будет внедрена повсеместно (всеми провайдерами, на всех доменах). А на текущий момент только 31 крупная компания опубликовала SPF или Sender ID записи, в такой ситуации об эффективности SPF говорить не приходится. Более того, спамеры осваивают технологию SPF интенсивнее, чем добропорядочные
пользователи. Во-вторых, SPF не является общепринятым стандартом. На ее основе уже разработана технология SenderID (по утверждениям экспертов, она также не станет панацеей). Возможно появление и других технологий. Пока нет общепризнанного стандарта, продолжится
разброд и шатание, а в итоге технология не сможет себя проявить».
«Вообще же на текущий момент мы видим решение проблемы в использовании комплекса методов, центральный из которых все-таки контентный анализ», рассказали корреспонденту CNews.ru в компании.
Суть технологии SPF/SenderID заключается в проверке подлинности адреса
отправителя сообщения. Подавляющая часть спама и вирусов рассылается с поддельным параметром SMTP-команды MAIL FROM. Для осуществления такой проверки предлагается следующий механизм. При получении команды MAIL FROM (для MTA) или при анализе заголовков сообщения (для MDA и MUA) приложение осуществляет DNS запрос о домене, указанном в команде. В ответ приложение получает список записей (тип TXT или тип RR, который не поддерживается в данный момент большинством серверов) и находит в нем записи, начинающиеся со строки «v=spf». В этих записях администратор домена описывает на определенном макроязыке все хосты, имеющие право отправлять почту от имени этого домена. На основании полученной информации и IP-адреса хоста, установившего SMTP-сессию, делается вывод о подлинности адреса отправителя. В случае если параметром команды MAIL FROM является пустой адрес («<>»), для проверки используется имя домена, переданное с командой HELO/EHLO.
Спецификация на SPF, находится в разработке и имеет статус черновика (draft). При этом последняя редакция устаревает в январе 2005 года. Спецификация на SenderID также находится в разработке и имеет аналогичный статус. Текущая редакция устареет в феврале 2005 года.
Текущую спецификацию SPF активно поддерживают такие корпорации, как Google, Yahoo. Текущую спецификацию SenderID активно продвигает Microsoft, корпорация планирует поддерживать данную технологию в своих почтовых службах и решениях, а так же рекомендует поддерживать эту технологию своим партнерам.
Поделиться
Короткая ссылка
