Исследования специалистов показывают, что
спамеры с успехом ставят на службу
себе технологии, разработанные для
противодействия им. Компания CipherTrust,
разработчик систем защиты контента и фильтрации
электронных почтовых сообщений,
опубликовала отчет, основанный на исследовании
трафика электронной почты в 1000 крупных
компаний по всему миру в мае-августе
текущего года. Спамеры в очередной раз
подтвердили свою изобретательность —
выяснилось, что технология аутентификации
почтовых сообщений SPF (Sender Policy Framework),
разработанная для борьбы со спамом,
поставлена им на службу.

Специалисты CipherTrust провели анализ
эффективности использования SPF в качестве
протокола аутентификации почты. Выяснилось,
что, несмотря на его низкую способность
идентифицировать спам, SPF позволяет
предотвращать широкомасштабные фишинг-атаки.
По данным компании, вследствие того, что
спамеры активно занимаются регистрацией SPF-записей,
«мусорные» письма на 34% чаще, чем обычная
почта, проходят проверку посредством этого
механизма. Вкратце ситуацию можно описать
так — если спамер не занимается
подделкой адреса отправителя, его письмо не будет
заблокировано SPF. В итоге, вероятность
того, что спам будет отфильтрован с помощью
SPF в 3 раза меньше чем, что письмо
успешно пройдёт проверку. Отсюда делается
вывод, что в корпоративных системах
фильтрации почты SPF может использоваться
только в качестве вспомогательного
инструмента.

В то же время, исследование CipherTrust
показало, что число входящих в список
Fortune 1000 компаний, использующих протоколы
аутентификации электронных почтовых
сообщений, с мая текущего года выросло на 200%.
На данный момент эти протоколы
использует 31 компания.

Суть технологии SPF/SenderID заключается в проверке
подлинности адреса отправителя сообщения.
Подавляющая часть спама и вирусов
рассылается с поддельным параметром SMTP-команды
MAIL FROM. Для осуществления такой проверки
предлагается следующий механизм. При
получении команды MAIL FROM (для MTA) или при
анализе заголовков сообщения (для MDA и MUA)
приложение осуществляет DNS запрос о домене,
указанном в команде. В ответ
приложение получает список записей (тип TXT
или тип RR, который не поддерживается в данный
момент большинством серверов) и находит
в нем записи, начинающиеся со строки «v=spf».
В этих записях администратор домена
описывает на определенном макроязыке
все хосты, имеющие право отправлять почту
от имени этого домена. На основании
полученной информации и IP-адреса
хоста, установившего SMTP-сессию,
делается вывод о подлинности адреса
отправителя. В случае если параметром
команды MAIL FROM является пустой адрес («<>»),
для проверки используется имя домена,
переданное с командой HELO/EHLO.



Оставить мнение