Архив новостей

О списках запрещенных и фильтрации почты

Что такое список запрещенных

Исходное предназначение списков запрещенных — противодействие рассылке спама. Такой список представляет собой базу данных IP-адресов (реже — доменов), доступную всем пользователям (реже — лишь подписчикам) по протоколу DNS. В запросе указывается IP-адрес. В ответе сообщается, числится ли данный адрес в список запрещенных. Большинство мейл-серверов имеют встроенную возможность взаимодействия с любым списком запрещенных. При открытии SMTP-сессии принимающий сервер запрашивает список запрещенных, и если IP-адрес передающего мейл-сервера числится, то электронная почта отвергается. (Разумеется, эта опция не включена по умолчанию. Фильтрация почты по спискам запрещенных включается лишь администратором сервера, вполне осознанно)

Как используются списки запрещенных

Предполагается, что в список запрещенных должны заноситься источники спама. То есть, IP-адреса, с которых часто рассылается спам, либо имеется потенциальная возможность этого (например, имеется открытый транслятор электронной почты). Практика показывает, что когда мейл-сервер использует список запрещенных, содержащий источники спама, это приводит к избавлению от значительной части поступающего спама — от 30 до 90%. При этом число ложных срабатываний (то есть, случаев, когда отвергается нормальное письмо) незначительно.

Требуется подчеркнуть, что при этом передающий SMTP-сервер, принимающий SMTP-сервер и сервер списка запрещенных представляют три различных стороны, которые в большинстве случаев не связаны между собой договорными отношениями. Отправитель и получатель обычно связаны договорными отношениями с провайдерами — владельцами передающего и принимающего серверов соответственно.

Далее следует рассказать про списки запрещенных, отличающиеся от традиционных.
Ввиду наблюдавшегося роста популярности списков запрещенных, у их владельцев появилась идея использовать их в других целях. В некоторые из них заносятся не источники спама, а IP-адреса провайдеров, политика которых не одобряется держателями списков. К неодобряемым чертам провайдеров относятся обычно следующие:

  1. предоставление хостинга вебсайтам, которые рекламируются при помощи спама (Так называемые spamvertized-ресурсы);
  2. отказ отключить клиента, обвинённого в рассылке спама или хостинге spamvertized-ресурсов;
  3. предоставление каких-либо услуг лицу, распространяющему программы или БД, предназначенные для рассылки спама;
  4. отказ отключить субпровайдера, который отказался отключить клиента по одному из вышеуказанных случаев.

Предполагается, что клиенты таких провайдеров, испытывая неудобства в связи с недоставкой своей почты, станут оказывать давление на своих провайдеров, способствуя, таким образом, изменению их политики в желаемом направлении.

Понятно, что занесение в список запрещенных таких провайдеров является методом реализации убеждений (политических, моральных, нравственных) тех лиц, которые такие списки содержат и ими пользуются. Не отрицая прав на собственные убеждения и прав на их реализацию, тем не менее, следует указать, что это не имеет отношения к коммерческой деятельности и, как правило, экономически не обосновано.
К спискам запрещенных первого рода, которые включают лишь источники спама, относятся следующие:

  • relays.ordb.org
  • dul.ru
  • orbs.dorkslayers.com
  • dialup.blacklist.jippg.org
  • spamsources.fabel.dk
  • proxies.relays.monkeys.com
  • bl.spamcop.net
  • formmail.relays.monkeys.com
  • relays.mail-abuse.org
    и некоторые другие.

К спискам запрещенных второго рода, которые включают IP-адреса по принципу «плохой провайдер», относятся следующие:

  • relays.osirusoft.com
  • spews.relays.osirusoft.com
  • block.blars.org
  • sbl.spamhaus.org
  • work.drbl.mokr.ru
  • work.drbl.democracy.ru
    и некоторые другие.

Краткая история взаимоотношений

У нашей компании большое количество IP-адресов и большое число прямых и непрямых клиентов. Естественно, периодически фиксируются нарушения (действительные и мнимые), связанные со спамом. Естественно, что некоторые из наших IP-адресов могут попадать в различные списки запрещенных. Что касается непосредственных источников спама, политика нашей компании не допускает рассылки спама клиентами, все такие случаи по возможности пресекаются (Соответствующие пункты имеются в типовых договорах и положениях о предоставлении услуг). Поэтому до сих пор компания не испытывала трудностей со списком запрещенных первого рода — если наш IP-адрес в таком списке и появлялся, то очень скоро исчезал оттуда, поскольку меры принимались, и спам прекращался.

Трудности возникали во взаимоотношениях со списком запрещенных второго рода. Прежде всего, это следующие списки: relays.osirusoft.com, spews.relays.osirusoft.com, sbl.spamhaus.org.

Особенности взаимоотношений суть следующие:

  1. Списки запрещенных составляется его содержателем по своим «личным» убеждениям, спорить с которыми сложно, поскольку это убеждения. Преследовать за убеждения запрещено. Это позволяет большинству списков запрещенных существовать легально (Хотя наиболее одиозный из них, «spews.org», в своё время подвергался преследованию властей США, в связи с чем в настоящее время он функционирует полностью анонимно.).
  2. Непосредственные неудобства пользователям создаются не самим списком запрещенных, а тем, что некоторые мейл-серверы настроены на использование этого списка. Владелец мейл-сервера как бы «не отвечает» за факт наличия нашего адреса в используемом списке запрещенных. Как правило, он не связан договорными отношениями с нашей компанией, а в законодательстве о создании препятствий в передаче электронной почты напрямую не говорится.
  3. Использование чужих списков запрещенных для работы мейл-серверов, как правило, не регламентировано внутренними документами компании-провайдера. Часто все подобные настройки делаются рядовыми сотрудниками провайдера без санкции руководства, которое такими «техническими деталями» не интересуется.
  4. В человеческом обществе исторически сложилось так, что в случае вымогательства под угрозой причинения вреда третьему лицу (заложнику) моральная ответственность за последствия ложится не на вымогателя, а на того, кто не исполнил его требования.

Варианты действий

Стоит вопрос: как действовать нашим сотрудникам в случае попадания IP-адресов компании в один из списков запрещенных второго рода? Любые действия представляют «палку о двух концах».

С одной стороны, пребывание в таком списке причиняет некоторые неудобства нам и нашим клиентам, которые не всегда верно интерпретируют ситуацию, считая нашу компанию «виновной».

С другой стороны, для изъятия своей компании из списков запрещенных второго рода необходимо, как правило, исполнить ряд обременительных условий. Например, расторгнуть договор с крупным клиентом при отсутствии на то законных оснований, иногда ещё и публично объявить об этом. Чаще всего такие условия неприемлемы для солидной фирмы по этическим соображениям, не говоря уже об убытках. Разумеется, наша компания не может позволить себе исполнять явно незаконные требования анонимных лиц, которые не подкреплены ничем, кроме угрозы причинения неудобств нашим клиентам. Более разумные требования можно иногда выполнить, даже пойдя при этом на потерю незначительного клиента.

Имеется и такой способ решения вопроса со списками запрещенных — убедить наиболее значимых провайдеров не использовать его на своих мейл-серверах, поскольку недоставка «правильной» почты наносит ущерб обеим сторонам.

Вопрос о том, какой метод использовать, какие требования выполнять следует, а какие — нет, лежит в сфере компетенции руководства компании. Ответ на этот вопрос следует явно прописать в виде отдельного пункта политики информационной безопасности.

Предлагаемая политика

Прежде всего, представляется необходимым сделать так, чтобы решения от имени компании, о которых идёт речь в предыдущем параграфе, принимали лишь уполномоченные на то сотрудники.

Часто стоит выбор между несколькими вариантами, каждый из которых чреват непрямыми убытками для компании. Например, можно отключить неугодного кому-то клиента и при этом: потерять деньги от этого клиента, а также приобрести дурную репутацию среди тех потенциальных клиентов, кто не разделяет убеждений держателей данного списка. Можно проигнорировать требования об отключении и при этом: вызвать недовольство всех клиентов, исходящая почта которых отвергается некоторыми серверами, а также приобрести дурную репутацию среди тех, кто разделяет убеждения держателей данного списка запрещенных. Выбрать наименее вредный из вариантов — задача, которая не может быть поручена техническому персоналу.

Для выбора решений предлагается руководствоваться следующими принципами.

  1. Списки запрещенных первого рода, которые включают только источники спама (реальные или потенциальные) не должны содержать адресов компании. Для достижения этого, безусловно, следует прилагать усилия, исполняя принятые требования по недопущению спама.
  2. Списки запрещенных второго рода, которые включают не только непосредственные источники спама, рассматривать как стихийную силу. Из всех выдвигаемых требований исполнять лишь те, которые лежат в рамках российского законодательства, наших договорных обязательств и обычаев делового оборота.
  3. По возможности, склонять клиентов и партнёров компании использовать на своих мейл-серверах лишь списки запрещенных первого рода и не использовать другие.

О списках запрещенных и фильтрации почты

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике