Архив новостей

SORBS: заплати $50 и спи спокойно

Конфликты между отечественными хостинг-провайдерами и западными составителями списков запрещенных [1] вспыхивают регулярно. Первые считают, что меры, которые применяют к ним антиспамеры, неадекватны, а требования незаконны. Вторые перекладывают всю ответственность на тех, кто пользуется списками запрещенных. ВебИнформ (http://webinform.ru) попросили участников российского рынка хостинга рассказать о своем взгляде на этот вопрос.

Недавно информационный ресурс Antispam.ru, принадлежащий компании «Зенон Н.С.П.», опубликовал статью, (http://antispam.ru/sh?act=msg&id=1081337178) посвященную проблеме использования DNSBL-систем — фильтров, блокирующих все входящие сообщения с почтовых серверов, когда-либо замеченных администраторами системы в рассылке спама. В частности, речь шла о SORBS. За последние несколько месяцев в ее «политическую» базу spam.dnsbl.sorbs.net и, соответственно, суммирующий список dnsbl.sorbs.net попали подсети целого ряда российских хостинг-провайдеров: ValueHost, «Зенон Н.С.П.», «Мастерхост», Comstar, 1Gb.ru, AZZ.ru, InfoBox.ru, — а также почтовая служба Hotbox.ru. Клиенты, чьи проекты оказались в заблокированных подсетях, до сих пор лишены возможности отсылать почту сотрудникам компаний, технические специалисты которых воспользовались вышеупомянутыми базами. Среди последних «Мегафон», «Центральный телеграф», «Город Казань и его обитатели».

Проблема попадания подсетей отечественных хостинг-провадеров в западные «политические» блок-листы не нова, и в большинстве случаев выход из ситуации удавалось найти. Для этого, как правило, достаточно оказывалось просто направить тем, кто ведет списки, соответствующее письмо. Основное отличие SORBS от ему подобных заключается в том, что за делистинг адресов провайдера из своей базы ее создатели требуют перевода денег ($50 за каждое письмо, которое администраторы SORBS сочли спамом) на благотворительность. Все «пожертвования» идут в «Фонд Джоуи Макникола» (известного зарубежного антиспамера, являющегося автором системы SPEWS) или в благотворительный фонд при королевском детском госпитале. При этом у антиспамеров нет четких критериев занесения хостинг-провайдеров в списки запрещенных. Причиной подобных мер может стать как спам, распространяемый с серверов хостера, так и реклама клиентов последнего посредством несанкционированных рассылок.

Так, с 5 февраля в базе SORBS находятся сайты компаний «Ландор», Tax Consulting U.K., «Римос2000», «Илона», Atrum.ru, размещающиеся на «Зенон Н.С.П.». По словам Александра Демидова, начальника отдела технической поддержки компании, ее сотрудники узнали об этом лишь после поступления жалоб и проверки своих IP-адресов по базе SORBS. Г-н Демидов пытался связаться с администраторами блок-листа по техническим адресам — postmaster@sorbs.net и abuse@sorbs.net (никаких данных для контакта, кроме нефункциональной на тот момент формы, на сайте не указано), но не получил ответа. Работающий почтовый адрес прислал клиент компании, который сам начал переписку с SORBS. На запрос «Зенон Н.С.П.» ответ в итоге все-таки пришел. В последнем говорилось, что, поскольку SORB не является российской компанией, законы РФ, по которым хостер не имеет права приостановить предоставление услуг фирмам, — их не касаются. Для того чтобы удалить IP-адреса «Зенон Н.С.П.» из своей базы, SORBS предложил хостеру заплатить за каждое спам-письмо по $50, отметив, что данные средства будут перечислены в благотворительный фонд.

По несколько иному сценарию происходило общение с SORBS у компании InfoBox. В январе из-за рассылки спама их клиентом IP-адрес почтового сервера провайдера попал в список запрещенных. Поскольку подтверждение о распространении спама пришло хостеру из независимого источника (SORBS опять же не информировал компанию о включении ее подсети в блок-лист), InfoBox разорвал с клиентом договор. Но потому как деньги за рассылку спама не были уплачены, IP-адреса хостера так и остались в базе данных SORBS.

Чуть дольше продолжались переговоры SORBS и технического директора компании «Мастерхост» Алексея Скрипки. 20 февраля в блок-лист попал один IP-адрес главного почтового SMTP-сервера фирмы, работающего исключительно на прием почты (разослать через него спам фактически невозможно). Позже в списки запрещенных SORBS оказались занесены и другие IP-адреса «Мастерхоста» (сайты компаний «Всегда готов», «Телемаркет», «Центр корпоративной защиты», «Азия» и других). В ответ на запрос хостера администраторы базы дали ссылки на две проиндексированные в Google страницы с рекламой сайтов, которые размещаются на «Мастерхосте». «На наш комментарий, что спам, мол, не от нас и вообще не мешало бы наши IP-адреса расфильтровать, а наш почтовый сервер ни с боку припека, они в мягкой форме сказали, что это не их головная боль и они как фильтровали, так и будут фильтровать. В последнем письме они пообещали, что продолжат делать это до тех пор, пока туда не попадет вся наша автономная система, то есть 4 тыс. адресов», — говорит г-н Скрипка. Сейчас в блок-листе уже четыре сети класса C.

Такие «акты мести» составители списков запрещенных устраивали и раньше. Например, весной прошлого года в списки службы Spamhaus попала подсеть «РТКомм.ру». DNS-сервер одного из клиентов хостера, размещавшийся в дата-центре компании, содержал запись, которая указывала на сайт, где рекламировалось программное обеспечение для рассылки спама. Сам сайт также хостился на «РТКомм.ру». Узнав о наполнении ресурса, компания попросила его переехать, о чем и сообщила держателям списка запрещенных. «Они сказали: «Ну, что ж. Мы одобряем, как «РТКомм.ру» борется со спамом, только этот DNS-сервер снесите». Заявление, более уместное при общении монарха со своими подданными, чем в беседе между провайдерами», — комментирует Николай Федотов, руководитель группы защиты информации «РТКомм.ру». После того как сотрудники компании отказались выполнить это требование, администраторы Spamhaus пообещали постепенно расширять диапазон подсетей провайдера до тех пор, пока в списке не окажутся все IP-адреса «РТКомм.ру» . Можно сказать, что сотрудники компании отнеслись к таким действиям «с пониманием»: «В принципе любое частное лицо имеет право составлять какие угодно списки. Свобода слова, однако, — поясняет Николай Федотов. — Тем более что никто из держателей базы не несет ответственности за последствия его использования и всех предупреждает, что «если вы используете данный список запрещенных, то все последствия принимаете на себя»».

Такой метод ведения дел, распространенный среди администраторов блок-листов, Алексей Тутубалин (Ашманов и Партнеры), специалист по антиспам-технологиям, сравнивает с поведением террористов. «Они приставляют вам к виску пистолет и заставляют выполнить некие требования. Но в цивилизованном обществе сложилось мнение, что если требования не выполнили, а заложников расстреляли, то виноваты не террористы, а те, кто не выполнил требования», — комментирует он.

Действительно, большинство хостеров отказываются выполнить указания администраторов списков запрещенных. Основной аргумент — непрактичность такого решения проблемы. «У крупного хостера более 10 тыс. клиентов. Среди них раз в месяц находятся, естественно, и те, которые хотят рекламировать себя с помощью спама, потому что это недорого, а по эффективности чуть ли не самое действенное средство», — комментирует Александр Демидов.

Другая причина — невозможность доказать вину клиента. Любой спамер способен подставить его адрес в несанкционированной рассылке. Кроме того, реклама через спам может использоваться конкурентами проектов или самих хостеров. «А что, если SORBS сейчас начнут сами [от имени наших клиентов] рассылать спам, а потом будут требовать с нас денег? Судя по их способам работы, это вполне дееспособная схема», — предполагает Алексей Скрипка. Кроме того, далеко не каждый хостер прописывает в своем договоре рекламу через спам в качестве возможной причины отказа в обслуживании клиента. А потому даже при подтверждении факта проведения несанкционированных рассылок для разрыва договора обычно нет достаточных оснований.

И все же проблема требует решения. Из-за нее страдают и сами хостеры, и их клиенты. Так, за последние полтора месяца (по данным на 15 апреля) в компанию InfoBox от клиентов поступило порядка десяти жалоб на трудности с работой почты из-за списков SORBS. Около 80 писем, отправленных в течение 15 апреля, не были приняты почтовыми серверами других компаний. Один из клиентов «Зенон Н.С.П.», по словам Александра Демидова, сообщил фирме, что недополучает порядка 5% деловой переписки. При этом, по оценке Николая Федотова, самые лучшие из списков запрещенных допускают порядка 1-2% потерь валидной почты.

Трудно подсчитать ущерб, который наносится клиентам хостеров. Сами же представители провайдеров говорят, что в основном расплачиваются собственным временем, расходуемом на разъяснения клиентам причин, по которым не ходит почта, а также на изложение системным администраторам оснований для отказа от использования списков запрещенных SORBS в полном объеме.

По оценке Алексея Скрипки, в 80% переговоры с техническими специалистами компаний, задействующих в своей работе базы SORBS, заканчиваются успешно. Но были и другие прецеденты. Так, «специалист» одной из фирм, куда обратились представители «Мастерхоста» с просьбой снять список запрещенных SORBS, ответил, что «использование списков типа SORBS — это современные реалии борьбы со спамом» и отказался удовлетворить просьбу коллег.

Рустам Нарманов, системный администратор InfoBox, также пытался контактировать с компаниями, фильтрующими почту его клиентов. В частности, с «Мегафоном». Но в ответ получил предложение написать заявление и ждать ответа. Сейчас г-н Нарманов предлагает клиентам InfoBox самим обращаться к техническим специалистам фирм, почтовые сервера которых не принимают их почту. По его мнению, в данном случае нарушается закон «О связи» и решать вопрос надо кардинально — через суд.

Александр Демидов имеет по преимуществу печальный опыт обращения к коллегам по поводу SORBS. Интересно, что именно в госструктуре ему удалось встретить понимание. «Порой доходит до абсурда. Как-то мы не могли отправить письмо на адрес в домене minsvyaz.ru. В итоге я связался с администраторами этого домена, и они ответили, что не знали сами, как им быть с SORBS, поблагодарили за нашу статью и сказали, что на ее основании перейдут к использованию не всей системы, а только ее части». Но пока не все сисадмины откликаются на просьбы компании. «Зенон Н.С.П.» советует своим клиентам отправлять послания через почтовые сервера, которые не фильтруются SORBS, или связываться с корреспондентами и с их администраторами сети.

Кстати, до недавнего времени такие обращения нередко поступали в «МТУ-Интел». Но, по словам Артура Аликперова, пресс-секретаря «МТУ-Интел», проблемы с прохождением почты были связаны не с политикой компании, а c тестированием нового сервера, на котором в течение нескольких дней использовался полный составной список SORBS. Однако после получения жалоб в «МТУ-Интел» от него отказались.

В большинстве российских хостинг-компаний понимают, что бороться с SORBS бесполезно. «Они не понимают, что такое Россия. Для них Россия — вообще неизвестно что. С одного адреса пришел спам, а они включают [в список] целую огромную сеть», — считает Игорь Ашманов.

Впрочем, не исключено, что со временем ситуация разрешится сама собой. Одним из фактором может стать включение в списки SORBS критически значимого числа российских хостинг-провайдеров. Тогда системные администраторы, использующие блок-листы SORBS, фактически изолируют своих клиентов от остального мира и будут вынуждены отказаться от списков запрещенных. Такая участь постигла список SPEWS.

Другая причина отказа от DNSBL-систем в будущем — их неэффективность.

«Сейчас происходит закат списков запрещенных, они перестают работать. Почему? Потому что опытные спамеры не пользуются открытыми релеями. А [сисадминов] интересуют только опытные, только суперпрофессионалы, потому что шпану всякую зафильтровать нетрудно. А профессионалы сейчас использую сети из зараженных машин. У них адреса всякий раз новые», — считает Игорь Ашманов.

Ну а пока единственный выход из сложившейся ситуации, по мнению хостинг-провайдеров, — просветительская работа. «Террориста можно не показывать по телевизору. Говорят, помогает. А тут обратная ситуация: о проблеме знают мало, и знают с каких-то странных сторон. Наоборот, надо о ней говорить, чтобы до системных администраторов, а главное, до их начальников дошло, что порой «борьба со спамом»- это не только борьба со спамом, но и с легитимной почтой иногда тоже. Или «часто тоже». Зависит от технологии», — полагает Алексей Тутубалин.

[1] — Использование DNSBL (Domain Name Service Blocking List) — один из самых простых методов борьбы со спамом. Он не требует финансовых вложений, в отличие от большого числа фильтров, а его установка не занимает много времени. Поэтому немало начинающих системных администраторов, получив приказ от руководства «что-то сделать со спамом», первым делом обращается ко всем DNSBL, какие только можно найти в Сети. Однако далеко не все они одинаково эффективны и безопасны. Списки запрещенных можно условно разделить на две части — «технические» и «политические». Первые состоят из перечней серверов, работающих с явными техническими нарушениями в конфигурации различных сетевых сервисов. Например, open proxy. Они определяются автоматически и автоматически же выносятся из списка, когда уязвимость исправляется. Такие базы, будучи использованы одновременно с другими средствами борьбы с несанкционированными рассылками, довольно эффективны. Другие, в частности spam.dnsbl.sorbs.net, составляют администраторы базы, исходя из своих собственных представлений о борьбе со спамом. Исключение из подобных списков возможно только по решению владельцев последних. При этом эффективность таких систем невысока, а процент фильтрации валидной почты довольно высок.

SORBS: заплати $50 и спи спокойно

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике