Архив новостей

Спамеры и антиспамеры: путь к компромиссу

Мы не любим спам!

На данный момент в околокомпьютерной прессе опубликовано достаточно статей на тему спама. Большая часть из них сводится к банальным высказываниям вроде «спам — это плохо», «спам — вреден» и что-нибудь из разряда «я лично спам не люблю». Обычно такие статьи являются чем-то вроде монолога, в котором места для ответа не предусмотрено.

Из подобных статей может показаться, что молчаливый интернет-обыватель, судя по всему, думает примерно так же: он не любит спам. Рекламные сообщения заваливают его почтовый ящик и он должен выискивать среди них важные деловые письма, вынужденное чтение спама приводит к психическим расстройствам, потере времени и денег — «он не любит спам».

Кроме антиспамерских статей в Интернете есть и спамерские форумы, где можно обнаружить точно такие же монологи, но «с другой точки зрения». Вот, к примеру, FAQ одного из таких спамерских форумов, в котором один из самых больших пунктов посвящен именно ответу на утверждение, что «спам — это плохо».

Не стоит цитировать весь этот текст целиком, достаточно только одного: спамеры не считают свою работу злом. Мало того, они уверены, что спам — это всего лишь законная разновидность рекламы, соответственно, антиспамеры для них — это люди, которые завидуют успехам спамеров:

«Господа, зарабатывайте деньги, как умеете, и не вставляйте палки в колеса другим. Тем более что в нашем случае это бесполезно.»

Эти два полярных мнения просто созданы друг для друга. Они подчеркивают нелогичность каждого из них. Это мнение людей, никогда не обсуждавших проблему спама и не задумывающихся о ее решении.

Тем не менее, проблема спама существует. И если мы сможем ее каким-нибудь образом решить, то есть сделать так, чтобы все три стороны (спамеры, антиспамеры и молчаливые пользователи) были бы довольны, то этот мир станет немного лучше. Вполне вероятно, что задача не имеет решения, но, тем не менее, можно попытаться немного порассуждать.

Действительно ли мы не любим спам?

Антиспамеры обычно утверждают, что спам бесполезен, вреден и т.д. А правда ли это?

Как и любое социальное явление, спам не может существовать просто так, он обязательно связан с чем-то еще. Давайте говорить конкретно: рассылка спама стоит некоторых денег. Эти деньги тратятся спамерами на программное обеспечение для рассылки спама, сбор базы данных почтовых адресов, подготовку рекламных материалов для спамерских атак, непосредственную передачу почты и поиск новых способов для обхода спам-фильтров. Можно представить себе эти затраты, основываясь на том же спамерском FAQ:

  • База адресов: хорошие свежие базы стоят от 5 до 25к и выше. Не будем считать «по-хорошему», положим вместо этого долларов 500 — я уверен, что подобными качественными базами пользуются далеко не все спамеры.
  • Программа: от 100 долларов за разовое использование рассылки и от 500 долларов за аренду сервера или написание своей программы. Числа очень похожи на правду, насколько автор может себе представлять оценку труда программистов.
  • Хостинг на рекламируемый сайт: от 100 долларов в месяц (что считается дешево).

Мы не будем дотошно разбирать баланс спамеров, достаточно понять приблизительные числа: в зависимости от профессионализма спамера, бюджета рекламодателя и охвата аудитории стоимость одной рассылки колеблется от 100 до нескольких тысяч долларов. При этом 100 долларов, это цена для начинающих. Приведем опять цитату из FAQ:

«Итак, начитавшись мануалов и факов, молодой человек решается с головой окунутся в загадочный, рисковый, но чертовски манящий большими деньгами бизнес спам-услуг. Человек находит стартовый капитал, скажем, в размере 100 у.е. Что делать дальше? С чего начать?»

Итак, рассылка спама — удовольствие не бесплатное. Мало того, очень редко спамеры занимаются этим из любви к искусству. Каждая рассылка предназначена для извлечения выгоды из нее, то есть спамер должен заработать денег больше, чем было потрачено, а рекламодатель — получить клиентов для рекламируемого бизнеса.

В такой ситуации спамер и рекламодатель предстают перед нами людьми расчетливыми, тратящими свои собственные деньги на достижение поставленной цели: привлечение новых клиентов. Зададимся вопросом: насколько возможно было бы наблюдаемое в течение прошедшего года увеличение доли спама в почтовом потоке, если его рассылка была неэффективна? Ясно, что это было бы невозможно.

Таким образом, спам — эффективен, несмотря на фильтры, RBL, деятельность антиспамеров, негативную оценку в прессе и т.д. Более того, большинство пользователей электронной почты любят спам настолько, что спам является прибыльным. В тот день, когда пользователи .разлюбят. спам, спамеры разорятся и в Интернете настанут .райские. времена.

Но я все-таки спам не люблю

Теперь отвлечемся от массовости интернет-пользователей и рассмотрим некий конкретный случай на примере автора этой статьи. Для меня почта является прежде всего рабочим инструментом и появление в ней рекламы меня несколько раздражает. Я читаю в день до сотни писем, которые прислали мне мои коллеги, друзья, да и просто из разных интересных мне почтовых рассылок. При этом спама я получаю столько же и никогда не пользовался рекламируемыми услугами. Единственное, что может получить от меня спамер, так это письмо на адрес abuse@ своего провайдера.

Естественно, меня пугает возрастающее количество спама, так как он мне только мешает. Никаких возражений от спамеров я принять не могу, их письма для меня лишняя обуза и все их оправдания на меня не действуют. Я все-таки «не люблю спам».

Тем не менее, иногда мне приходят рассылки, например, о новых поступлениях английских книг технической тематики в некий интернет-магазин, против которых я ничего не имею. Мало того, они мне интересны и я даже когда-то что-то покупал в этом магазине.

Таким образом, для меня понятие спама — выборочное. Я действительно не люблю спам, но рассылки о продаже книг меня могут заинтересовать и относительно них я не могу сказать, что они являются спамом. Следовательно, они никак не подпадают под мое утверждение о том, что «я спам не люблю».

Из чего автоматически следует мое согласие с позицией антиспамеров: спам это плохо и если его удалить, то для меня жизнь станет лучше. Но это не касается рассылок о продаже книг технической тематики.

Таким образом, понятие спама не является черно-белым. Как и в любом явлении, в нем есть полутона.

Провайдеры ненавидят спам.

До сих пор были учтены интересы трех стороны: получателя почты, спамера и антиспамера. Незримо за ними тенью стоит рекламодатель, но он зачастую недосягаем (кроме случаев, когда спамер и рекламодатель — одно лицо).

Есть еще один персонаж, который время от времени решительными действиями показывает свою заинтересованность в этом вопросе. Провайдер, который, собственно и занимается доставкой почты. Он руководствуется также исключительно прагматическими соображениями: если спам никому не нужен, то принимать его или передавать совершенно бессмысленно, для провайдера это лишние затраты на трафик, головная боль от переписки с техподдержкой (Abuse) других провайдеров и пользователями, которые «не любят спам», неоправданная нагрузка на почтовые сервера.

Провайдер всегда заинтересован в таком средстве, которое могло бы защитить его от спама, не требуя никаких затрат. Обычно таким средством становится RBL. И вот тут начинаются проблемы. RBL имеет очень высокий уровень ложных срабатываний, который не позволяет использовать его в качестве фильтра. Конечно же, уровень тревог очень сильно зависит от конкретного RBL, его владельца, порядка занесения ip-адреса в базу данных и его исключения оттуда, но в целом картина очень печальная.

Такое свойство RBL приводит к потере писем, именно в таких ситуациях конечный пользователь сталкивается с проблемой выбора: либо почтовый ящик будет заполнен спамом, либо достаточно высока вероятность потерять важное сообщение. Пользователь, естественно должен иметь возможность этот выбор сделать, но чаще всего провайдеры не дают ему такой возможности. Тем самым, пользователь попадает в зависимость от провайдеров, через которых проходит его корреспонденция.

Более сложный метод заключается в установке специальных программ-фильтров, дающих возможность не только учитывать RBL, но и проверять какие-то эвристики, связанные с письмом. Сейчас видна, по крайней, мере заинтересованность провайдеров в тестировании подобных фильтров. Проблема, связанная с фильтрами, заключается в сложности настройки и необходимости постоянно поддерживать фильтр в состоянии, адекватном текущему спаму. Если фильтр будет настраивать непосредственно администратор провайдера, то, скорее всего, ничего хорошего не получится: он либо создаст какие-то непродуманные правила, либо ему просто надоест постоянно перенастраивать фильтр.

Тем не менее, провайдеры являются единственной сколь либо значимой силой в борьбе против спамеров. Надо признать, что если бы не позиция провайдеров, не их желание бороться со спамом, мы бы утонули в спаме очень давно.

Но сейчас их сила действует в неверном направлении: мало того, что она доставляет неудобства честным пользователям, она вынуждает спамеров искать новые методы рассылки и вообще увеличивать свою активность. А ведь любой фильтр никогда не сможет дать 100% гарантии блокировки спама: чем выше вероятность определения спама, тем выше уровень ложных тревог. В то же самое время, если вероятность подавления спама составляет 95%, то она, скорее всего, поможет человеку, который получает 100 спамерских писем в день, но что будет если спамеры увеличат свою активность в 20 раз? Вполне вероятно, что он опять будет получать 100 спамовых писем в день, но теперь у него уже не будет возможности отключить фильтр.

Хуже спама может быть только борьба с ним

В любом случае, принудительная, неконтролируемая блокировка спама провайдерами не является выходом из ситуации. Дело в том, что спамеры поставлены в такие условия, когда они должны искать какие-то лазейки, пытаться пробить защиту провайдеров и т.д. Соответственно, любое эффективное средство, используемое провайдером, останется эффективным только до той поры, пока оно не станет популярным, после чего спамеры найдут против него противодействие и все вернется обратно, только в более крупных масштабах.

Это как гидра, у которой после каждого удара вырастает больше голов, чем было. Конечно же, активность спамеров возрастает и из-за того, что реклама в Интернете становится более эффективной (за счет возрастающей популярности Интернета), да и количество рекламодателей возрастает, но средства фильтрации или блокировки так же вынуждают их увеличивать свою активность.

Мало того, эти средства скоро станут суровой необходимостью: если провайдеры решат отключить свои фильтры, то поток спама резко возрастет. Но в условиях борьбы со спамом спамер может говорить о своем благородстве, которое заключается в том, что торговое предложение таки дошло до того человека, которому оно было необходимо, несмотря на все происки провайдеров. Конечно, такое «благородство» является благородством жуликов, красочно описанных в рассказах О. Генри.

Ситуация кажется безвыходной: спамеры и антиспамеры, кажется, никогда не смогут помириться.

А возможен ли компромисс?

Вернемся к спамерскому FAQ, цитаты из которого уже приводились в качестве примеров. Там есть очень интересное место, которое, возможно, написано специально, чтобы попасться на глаза, но все равно:

«Работает ли пресловутый unsubscribe? Отвечу так — у меня да. И, почти уверен, у всех спамеров-профессионалов тоже. Нам не нужны отписчики — с них нечего брать кроме дополнительных абьюзов. Еще раз призываю всех, кто собирается стать спамером — БУДЬТЕ ПРОФЕССИОНАЛАМИ!»

Вполне вероятно, что это правда. Во всяком случае, выглядит логично: действительно, зачем спамеру рассылать почту людям, которые им недовольны и могут только навредить?

Да, широко известно мнение, что таким образом спамер может отличить «живых» людей от «мертвых душ» и такое мнение тоже логично. Я не хочу агитировать за использование возможности «unsubscribe», тем более что по пришедшему спаму вряд ли можно однозначно сказать, разослано оно спамером-профессионалом, или нет.

Мало того, вот еще одна выдержка из того же FAQ, показывающая что на спамеров все-таки есть управа:

НЕ ВЕДИТЕСЬ на заманчивые предложения спама лолит. Это очень рисково. Прошло время, когда на лолитах срубали немеряно бабла. Сейчас это ОЧЕНЬ неустойчивый бизнес. Лолитные мерчы на билингах постоянно закрывают, банки глушат билинги и не выплачивают заработанных денег, ХОЛДЫ (задержки от заработка до выплат) предельно велики.

Лолиты — это детская порнография, мерчи — карточные счета в банках. Фактически, это означает, что спамеры, конечно же, не отказывались бы от рекламы детской порнографии, если бы не были поставлены в такие условия, что рекламировать семинары, «ненаказуемую» продукцию на грани эротики и порнографии или, например, какие-нибудь традиционные товары или услуги стало выгоднее, чем заниматься абсолютно противозаконной деятельностью.

Тем самым, для спамеров нужно, во-первых, создать невыносимые условия постоянной борьбы с разнообразными фильтрами и, во-вторых, дать «легальную» возможность массовой рассылки по списку адресов без предварительной подписки получателей, естественно, что на легальные рассылки должны быть наложены дополнительные условия, позволяющие, в конце концов, гарантированно не получить письмо неинтересной тематики.

Жизнь без спама

Давайте рассмотрим те принципы, на которых может быть построен компромисс.

  • Конечный пользователь должен иметь возможность получать только те рекламные рассылки, которые ему интересны.
  • Провайдер должен предоставлять конечному пользователю средства фильтрации почты. Клиента совершенно не интересует судьба неинтересной ему почты, таким образом, провайдер может удалять (или не принимать) почту, если он заранее уверен в том, что клиент в ней не заинтересован. Клиент должен явно указать провайдеру, в чем он не заинтересован. Мало того, клиент может указать то, в чем он явно заинтересован, и тогда провайдер будет доставлять ему и те массовые рассылки, которые спамер ему не посылал. Такая возможность будет отдельным лакомым куском для легального спамера.
  • Признаки, по которым провайдер определяет, является ли почта неинтересной для своего клиента, должны быть абсолютно формальны.
  • Спамер должен проставлять общепринятые признаки рассылки, по которым клиент (или провайдер) может различить тематику письма.

Это — идиллия. Теперь рассмотрим, насколько это может быть реализовано в настоящей жизни.

Конечного получателя нельзя заставить выполнить какие-нибудь действия, можно только рассчитывать на то, что если ему что-то мешает (спам, например), то он догадается выполнить простейшие операции (в своем «кабинете пользователя» у провайдера нажать на кнопку «я не люблю спам»). Если он не догадается до этого самостоятельно, ему всегда сможет помочь сотрудник службы технической поддержки провайдера.

Провайдер может установить у себя любое программное обеспечение, если оно ему понадобится. Как показывает практика, провайдеры обычно согласны установить себе антиспамерское программное обеспечение, если же оно будет достаточно простым и бесплатным, то можно утверждать наверняка, что такое ПО будет пользоваться популярностью.

Единственное звено, которое не пойдет на этот компромисс добровольно, это спамеры.

Конечно же, нельзя заставить спамеров что-то делать против их воли. Необходимо создать для них условия, при которых они будут вынуждены проставлять такие метки в своих рассылках.

На мой взгляд, единственное, что тут можно придумать, это возможность легальной массовой рассылки, отличительной особенностью которой будет являться именно наличие формального признака тематики письма. Такая рассылка должна будет предоставляться в качестве услуги любым провайдером, который желает ее предоставить. То есть, наравне с тарифами на трафик, хостинг и т.п. будет еще цена на массовую рассылку. Для того чтобы осуществить это, спамеру нужно предоставить письмо для рассылки провайдеру, список адресов и предлагаемые формальные признаки. Провайдер может принять письмо к рассылке, или потребовать, чтобы спамер сменил формальные признаки.

Цена на подобную легальную рассылку должна быть значительно меньше, чем если бы та же рассылка распространялась бы «подпольными» способами.

Ответственность за соответствие рассылки её же формальным признакам лежит в этом случае целиком на провайдере, так же как и сейчас на нем лежит ответственность за рассылку спамерских писем.

Для того чтобы избежать подделки нелегальных рассылок под легальные, могут использоваться такие средства, как подписывание писем сертификатом провайдера, организация списков разрешенных (подобных спискам запрещенных RBL) и т.д.

Вся существующая технология фильтрации, конечно же, должна остаться. В любом случае, спамер-любитель не должен иметь возможность сделать рассылку, которую провайдеры не смогут своевременно заблокировать. Спамеры-профессионалы должны быть поставлены в те условия, когда легальная рассылка становится значительно выгоднее, чем нелегальная.

Выводы

Конечно же, к предложениям этой статьи надо относиться скептически. Автор отдает себе отчет в том, что Интернет является очень большой и неповоротливой структурой, так что, вполне вероятно, подобное начинание просто невозможно в силу организационных причин. Тем не менее, автор уверен, что никакое технологическое решение не будет эффективным до тех пор, пока ситуация не станет контролируемой.

На текущий момент проблема спама (включающая в себя как его рассылку, так и борьбу с этой рассылкой) решается спонтанно и зачастую эти решения носят временный, частный характер и никак не обоснованы. Как только массовые рассылки без предварительной регистрации получателей примут более-менее организованный вид, ситуация изменится в корне. Именно после этого технологические средства сразу же станут высокоэффективными.

Но для того, чтобы достичь порядка в этой области, нужно обсуждать проблему и выдвигать предложения, учитывающие интересы всех сторон: получателей почты (не будем выделять из них антиспамеров на этот раз), спамеров, провайдеров. Только в этом случае решение позволит снять проблему спама.

Все это чем-то напоминает сухой закон в США: его отмена позволила контролировать алкоголь в стране. Так же будет и со спамом, если будут выполнены следующие условия:

  • будут существовать достаточно эффективные средства борьбы со спамом (не абсолютно, а достаточно).
  • слово «спам» перестанет иметь столь негативную окраску, которую имеет сейчас.

И вот тогда простое организационное решение сможет навести порядок, после чего, как я написал в начале статьи, мир станет чуточку лучше.

Спамеры и антиспамеры: путь к компромиссу

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике