MAAWG представила проект по ограничению спама с ботнетов

Рабочая группа по борьбе со злоупотреблениями в системах передачи сообщений MAAWG разработала практические рекомендации, руководствуясь которыми, интернет-провайдеры смогут эффективней идентифицировать спам, рассылаемый с динамических IP-адресов и методом переадресации.

Переадресация почты является одним из способов, широко используемых спамерами для рассылки нелегитимной рекламы с ботнетов, и политика многих интернет-провайдеров ориентирована на блокировку больших объемов подобной корреспонденции, проходящей через почтовые серверы. Однако в настоящее время ввиду интенсификации спам-трафика входящая легитимная почта, переадресованная с давно используемых аккаунтов, может восприниматься как спам и подвергаться автоматической блокировке.

MAAWG предложила разделить почтовые серверы, принимающие входящую корреспонденцию, и серверы, перенаправляющие ее по указанному адресу. Таким образом, интернет-провайдеры получают возможность удостовериться в полномочности отсылающего сервера и отсеять спам до передачи его на адреса получателей.

В настоящее время лишь немногие интернет-провайдеры предпринимают какие-либо меры, направленные на решение проблемы «переадресованного» спама. Активисты MAAWG надеются, что широкое распространение рекомендованной практики поможет пресечь поток подобной нелегитимной корреспонденции без ущерба для легальной почты.

Вторая директива призвана наладить обмен информацией об использующихся провайдерами динамических адресных пространствах с целью повышения оперативности при обновлении настроек спам-фильтров. Дело в том, что установленный в зараженной системе спам-бот чаще всего начинает рассылать спам через порт 25 напрямую в Сеть — в отличие от легитимных отправлений, отсылаемых через порт 587 на почтовый сервер, требующий авторизации.

Присваиваемые при подключении к Интернету динамические IP-адреса инфицированных машин далеко не всегда автоматически блокируются интернет-провайдерами. В настоящее время неавторизованную почту, рассылаемую с порта 25 непосредственно в Интернет, блокируют только крупные интернет-провайдеры. По оценке MAAWG, около половины провайдеров (преимущественно за пределами западного мира) этого вовсе не практикуют.

Разумеется, принимающий почту сервер может заблокировать уличенный в рассылке спама адрес, однако многие вредоносные программы сориентированы на перезапуск резидентной системы для получения нового динамического IP-адреса взамен «засвеченного».

Первоначально авторы проекта предложили ввести повсеместную практику автоматической блокировки всех ПК, уличенных в рассылке почты с порта 25, — за исключением особых случаев его легитимного использования. Однако не все интернет-провайдеры обладают такой возможностью, поэтому окончательное решение вопроса свелось к идее обмена информацией по динамическим IP-адресам. Эту практику уже применяет некоммерческая организация Spamhaus, публикуя списки запрещенных динамических адресов, рассылающих спам.

Источник: PCWorld