Исследования специалистов показывают, что
спамеры с успехом ставят на службу
себе технологии, разработанные для
противодействия им. Компания CipherTrust,
разработчик систем защиты контента и фильтрации
электронных почтовых сообщений,
опубликовала отчет, основанный на исследовании
трафика электронной почты в 1000 крупных
компаний по всему миру в
текущего года. Спамеры в очередной раз
подтвердили свою изобретательность —
выяснилось, что технология аутентификации
почтовых сообщений SPF (Sender Policy Framework),
разработанная для борьбы со спамом,
поставлена им на службу.
Специалисты CipherTrust провели анализ
эффективности использования SPF в качестве
протокола аутентификации почты. Выяснилось,
что, несмотря на его низкую способность
идентифицировать спам, SPF позволяет
предотвращать широкомасштабные
По данным компании, вследствие того, что
спамеры активно занимаются регистрацией
«мусорные» письма на 34% чаще, чем обычная
почта, проходят проверку посредством этого
механизма. Вкратце ситуацию можно описать
так — если спамер не занимается
подделкой адреса отправителя, его письмо не будет
заблокировано SPF. В итоге, вероятность
того, что спам будет отфильтрован с помощью
SPF в 3 раза меньше чем, что письмо
успешно пройдёт проверку. Отсюда делается
вывод, что в корпоративных системах
фильтрации почты SPF может использоваться
только в качестве вспомогательного
инструмента.
В то же время, исследование CipherTrust
показало, что число входящих в список
Fortune 1000 компаний, использующих протоколы
аутентификации электронных почтовых
сообщений, с мая текущего года выросло на 200%.
На данный момент эти протоколы
использует 31 компания.
Суть технологии SPF/SenderID заключается в проверке
подлинности адреса отправителя сообщения.
Подавляющая часть спама и вирусов
рассылается с поддельным параметром
MAIL FROM. Для осуществления такой проверки
предлагается следующий механизм. При
получении команды MAIL FROM (для MTA) или при
анализе заголовков сообщения (для MDA и MUA)
приложение осуществляет DNS запрос о домене,
указанном в команде. В ответ
приложение получает список записей (тип TXT
или тип RR, который не поддерживается в данный
момент большинством серверов) и находит
в нем записи, начинающиеся со строки «v=spf».
В этих записях администратор домена
описывает на определенном макроязыке
все хосты, имеющие право отправлять почту
от имени этого домена. На основании
полученной информации и
хоста, установившего
делается вывод о подлинности адреса
отправителя. В случае если параметром
команды MAIL FROM является пустой адрес («<>»),
для проверки используется имя домена,
переданное с командой HELO/EHLO.