Giới thiệu về SPAM

Mục lục I.Spam II.Chống spam trên hệ thống mail server III.Các công cụ chống Spam trên mail server IV.Kết luận I.Giới thiệu về SPAM SPAM là gì? Spam hay còn gọi là UBE (Unsolicited Bulk Email) . Spam là những email không được sự cho phép của người nhận (unsolicited email) được gừi đi với số lượng lớn tới hồm thư của người dùng internet. Spam đôi khi cũng là những email thư ơng mại không được sự cho phép của người nhận(UCE-Unsolicited Commercial E-Mail). Vậy Spam làm tràn môi trường Internet bằng cách gửi đi nhiều gói tin với cùng một nội dung, những gói tin này được truyền đến những người mà họ không thể không nhận chúng. Những nội dung quảng cáo hay chiêu dụ người dùng …. Gọi là spam. 2. Các loại SPAM Có hai loại spam chính, chúng có những ảnh hưởng khác nhau đến người dùng Internet: Usernet spam: đây là dạng spam ta thư ờng gặp trên các forum, một gói tin sẽ được gửi đến trên 20 newsgroup. Qua quá trình sử dụng, người dùng đã thấy rằng bất kỳ một tin nào được gửi đến nhiều newgroup một lúc thư ờng sẽ mang những thông tin không cần thiết. Usernet spam cố gắng trở thành một “kẻ giấu mặt” – đọc thông tin trong các newsgroup nhưng ít khi hoặc không bao giờ post bài hay cho địa chỉ của mình. Usernet spam chiếm quyền sử dụng của các newsgroup bằng cách làm tràn ngập các quảng cáo hoặc những bài viết không phù hợp. Ngoài ra, Usernet spam có khi còn làm ảnh hưởng đến quyền điều khiển của quản trị hệ thống, chiếm quyền quản lý một topic nào đó. Email spam: Email spam nhắm đến người dùng riêng biệt trực tiếp qua các thư điện tử. Các spammer sẽ tiến hành thu thập địa chỉ mail bằng cách duyệt qua hòm thư Usenet, ăn cắp danh sách mail hay tìm kiếm trên web. Đối với những user sử dụng dịch vụ điện thoại thì đồng hồ đo vẫn chạy trong khi họ nhận hay đọc mail, chính vì vậy mà spam làm họ tốn thêm một khoản tiền. Trên hết,các ISP và các dịch vụ trực tuyến ( online services) phải tốn tiền để chuyển các email – spam đi, những chi phí này sẽ được chuyển trực tiếp đến các thuê bao. Bất cứ ai cũng có thể trở thành người gửi thư rác (spammer) Chẳng hạn, bạn có một món hàng độ c đáo cần bán ngay. Nhưng làm sao để mọi người biết . Trước hết bạn thông báo cho bạn bè bằng cách gửi email cho 100 người nằm trong sổ địa chỉ của bạn. Như thế bạn không mất một đồng nào mà vẫn có thể gửi đi 100 email quảng cáo sản phẩm của mình. Nếu có người biết để mua hàng thì bạn sẽ lời to. Và bạn tự nhủ : "Tại sao mình không gửi email cho nhiều người khác nữa? Mình sẽ có thể thu được nhiều lợi nhuận hơn?” Rồi bạn sẽ tìm tòi ứng dụng các giải pháp để gửi đi được nhiều email cho cả những người bạn không quen biết hơn. Vậy là bạn đã trở thành spammer. SPAM là một tai hoạ đối với thư điện tử và nhóm thảo luận (newsgroup) trên Internet. 3.Tác hại của spam SPAM có thể gây trở ngại đến sự hoạt độ ng của các dịch vụ công cộng. Đấy là chúng ta còn chưa nói đến tác độ ng của nó đối với hệ thống email. Những kẻ chuyên gửi SPAM lấy đi những nguồn tài nguyên của người dùng và nhà cung cấp dịch vụ mà không phải đề n bù bất cứ cái gì.” (Vint Cerf – Cha đẻ của Internet) Hầu hết các spam đều nhằm mục đích quảng cáo, thư ờng cho những sản phẩm không đáng tin cậy hoặc những dịch vụ có vẻ như hợp pháp. Tuy nhiên, không phải mọi vụ gửi SPAM đều là nhằm mục đích quảng cáo thư ơng mại. Một số vụ gửi SPAM lại nhằm mục đích bất chính hoặc cũng có những kẻ gửi SPAM chỉ để bày tỏ quan điểm chính trị hoặc tôn giáo. Hình thức gửi SPAM nguy hiểm nhất là hình thức gửi đi những thông điệp để lừa người dùng tiết lộ thông tin tài khoản ngân hàng trực tiếp, số thẻ tín dụng … - hay đây chính là một dang phổ biến của lừa đảo trực tuyến. Do không có một cách thức hiệu quả nào để lọc spam nhận vào trước khi nó được nhận bởi server tại ISP cục bộ , ISP phải trả chi phí về băng thông cho các gói tin mà họ nhận. Theo thống kê của phần lớn các ISP thì họ thường bị spam chiếm khoảng 25-30% băng thông. Spam làm tràn bộ đệm của người dùng với các mail quảng cáo, có khi làm họ không nhận được các mail khác. Qua đó ta thấy spam đã sử dụng một lượng lớn tài nguyên mà không cần sự cho phép hay có bất kỳ một hành độ ng bồi thư ờng thiệt hại nào, làm cho cộng đồng Internet phải tốn một chi phí đáng kể. Những chi phí liên quan khi spam sẽ được trả bởi người nhận chứ không phải là từ các spammer. Tài khoản của spammer sẽ bị hủy bỏ ngay khi ISP phát hiện ra nó dùng để gửi spam, vì thế mà hầu hết các spam đều được gửi từ những tài khoản thử miễn phí (Trial account) để không mất bất kỳ một chi phí nào. Do hầu hết các ISP đều có một chính sách giới hạn tự độ ng nhằm tránh sự lạm dụng hệ thống của họ , các spammer sẽ chuyển gói tin sang các hệ thống ở các nước khác, chiếm thời gian xử lý và băng thông mà không cần hiểu rõ về các hệ thống đó. Theo báo cáo vào khoảng tháng 6 năm 2008 thì phần trăm Spam trong tổ ng số email trên toàn thế giới có xu hướng tăng lên khá rõ. Và tác hại do nó thì không thể đo hay tính được, nhưng theo thống kê của Internet Week thì "50 tỉ USD mỗi năm" là số tiền mà các công ty, tổ chức thư ơng mại trên thế giới phải bỏ ra để đối phó với nạn thư rác đang hàng ngày tấn công vào hòm thư của nhân viên. Mỹ là quốc gia chịu nhiều thiệt hại nhất, chiếm 1/3 số tiền nói trên. Đó là tác hại chung về kinh tế, riêng cá nhân thì mỗi người cũng có ý kiến riêng của mình về tác hại của Spam. Vậy, biện pháp và cách hạn chế như thế nào để mỗi khi check mail, bạn không còn phải đối phó với đống thư Spam kia nữa? Màu xanh là spam tăng theo tháng 2. Cơ chế hoạt độ ng của spam Để gởi một spam thì các spammer thông qua 2 bước cơ bản là thu thập địa chỉ email và gửi spam. Thu thập địa chỉ email Spammer có rất rất nhiều cách để thu thập địa chỉ email. Biện pháp đơn giản như là họ tạo ra các trang web mà đòi hỏi bạn phải “log on”, “sign up” để được xem nội dung đầy đủ hay là các trang web với những chủ đề hấp dẫn để chiêu dụ những người nhẹ dạ như “Bạn muốn là người may mắn sở hữu chiếc laptop trị giá 30 triệu hảy để lại địa chỉ email của bạn” ,vậy là spammer đã có email của bạn. Thủ công hơn nữa là họ thu thập địa chỉ email của bạn khi nó “vô tình” hiện diện trên một trang web nào đó, đơn giản họ dùng chương trình tìm kiếm (google) với key là “@”,đây là ký tự của địa chỉ email ,ví dụ như “Mình cũng cần tài liệu này,nick của mình là email@........ Ngoài ra họ còn có thể thu thập địa chỉ email dựa trên các phương tiện phi điện tử, như thông tin in trên danh thiếp, tờ khai… Kiểu thu thập này thì bạn cần có biện pháp phòng chống khác. Phương pháp thu thập phổ biến là Dictionary attack(tấn công từ điển), Dictionary attack là phương thức được lập trình sẵn cho một chiếc máy tính có thể tạo ra rất nhiều những biến thể từ 1 địa chỉ email bằng cách thay đổi các ký tự: + Ví dụ email1@gmail.com, email1@yahoo.com …và email2@gmail.com email2@yahoo.com... Phần mềm này sẽ cũng sẽ tạo một kết nối đến một máy chủ thư điện tử để gửi lên hàng triệu địa chỉ email bất kỳ và sẽ kiểm tra xem địa chỉ email nào còn hoạt độ ng hay không,nếu còn hoạt độ ng địa chỉ đó sẽ được cho vào danh sách của SPAMMER”. Một công cụ thu thập địa chỉ email bằng phương thức Dictionary attack. Cách để có địa chỉ email đơn giản nhất là mua lại địa chỉ từ các spammer,hay trao đổi số email có được với nhau giữa các spammer… Khi đã có một lượng email nhất định thì hành độ ng tiếp theo của họ là gửi spam. 2.2 Gửi SPAM Cũng như việc thu thập địa chỉ email thì việc gởi spam cũng có nhiều cách khác nhau. Các spammer trang bị cho mình hệ thống máy tính, modem, kết nối Internet để gửi spam. Đây là cách thức tốn kém nhưng hiệu quả cao và hợp pháp. Cách đỡ tốn kém hơn nhưng bất hợp pháp là gửi spam thông qua máy chủ ủy nhiệm mở (open proxy server). Spammer độ t nhập và kiểm soát máy tính của người khác để xây dựng một botnet. Trước hết spammer dùng các công cụ cũng như các thủ đoạn cần thiết để cài đặt một phần mềm cho phép kiểm soát máy tính từ xa lên hệ thống của người dùng. Các máy tính như thế đã trở thành một “ZombiePC”, đã bị kiểm soát. Sau đó spammer tiến hành xây dựng một hệ thống các ZombiePC – tức là botnet. Như vậy các spammer đã có hệ thống như cách thứ nhất mà không cần phải tốn nhiều chi phí. Khi đó các Zombie này phải liên tục gửi đi các email spam, đường truyền Internet của máy Zombie sẽ bị chậm đi và các tài nguyên đều bị sử dụng, chưa kể chúng sẽ trở thành nạn nhân bất đắc dĩ khi bị phát hiện đã gửi email spam. Cách thức thứ hai là một cách nguy hiểm và độ c hại không thua kém các phần mềm virus, trojan… vì để kiểm soát được máy tính của người khác thì spammer phải khai thác các lỗi về bảo mật và các phần mềm kiểm soát máy tính người dùng từ xa cũng là các phần mềm virus, trojan… Như vậy spam đã trở thành công cụ phát tán virus, trojan… và ngược lại các phần mềm độ c hại đó là công cụ gửi spam. II. Chống Spam trên hệ thống mail server Spam mail gây ra rất nhiều tác hại, vì thếviệc phòng chống và ngăn chặn spam mail là cần thiết. Hiện có nhiều công ty phần mềm cung cấp các giải pháp chống spam, mỗi dòng sản phẩm có những tính năng và ưu nhược điểm riêng nhưng hầu hết các sản phẩm đó hoạt độ ng đều dựa vào một sốnguyên lý sau: 2.1. Sử dụng DNS blacklist Phương pháp sử dụng DNS black list sẽchặn các email đến từ các địa chỉ nằm trong danh sách DNS blacklist. Có hai loại danh sách DNS Blacklist thư ờng được sử dụng, đó là: • Danh sách các miền gửi spam đã biết, danh sách các miền này được liệt kê và cập nhật tại địa chỉ • Danh sách các máy chủ email cho phép hoặc bị lợi dụng thực hiện việc chuyển tiếp spam được gửi đi từ spammer. Danh sách này được liệt kê và cập nhật thư ờng xuyên tại địa chỉ Cơ sở dữ liệu Open Relay Database này được duy trì bởi ORDB.org là một tổ chức phi lợi nhuận. Khi một email được gửi đi, nó sẽ đi qua một số SMTP server trước khi chuyển tới địa chỉ người nhận. Địa chỉ IP của các SMTP server mà email đó đã chuyển qua được ghi trong phần header của email. Các chương trình chống spam sẽkiểm tra tất cả các địa chỉ IP đã được tìm thấy trong phần header của email đó sau đó so sánh với cơ sở dữ liệu DNS Blacklist đã biết. Nếu địa chỉ IP tìm thấy trong phần này có trong cơ sở dữ liệu vềcác DNS Blacklist, nó sẽ bị coi là spam, còn nếu không, email đó sẽ được coi là một email hợp lệ. Phương pháp này có ưu điểm là các email có thể được kiểm tra trước khi tải xuống, do đó tiết kiệm được băng thông đường truyền. Nhược điểm của phương pháp này là không phát hiện ra được những email giả mạo địa chỉ người gửi. 2.2. Sử dụng SURBL list Phương pháp sử dụng SURBL phát hiện spam dựa vào nội dung của email. Chương trình chống spam sẽphân tích nội dung của email xem bên trong nó có chứa các liên kết đã được liệt kê trong Spam URI Realtime Blocklists (SURBL) hay không. SURBL chứa danh sách các miền và địa chỉ của các spammer đã biết. Cơ sở dữ liệu này được cung cấp và cập nhật thư ờng xuyên tại địa chỉ www.surbl.org. Có nhiều danh sách SURBL khác nhau nhưsc.surbl.org, ws.surbl.org, ob.surbl.org, ab.surbl.org..., các danh sách này được cập nhật từ nhiều nguồn. Thông thư ờng, người quản trị thư ờng kết hợp các SURBL list bằng cách tham chiếu tới địa chỉ multi.surbl.org. Nếu một email sau khi kiểm tra nội dung có chứa các liên kết được chỉ ra trong SURBL list thì nó sẽ được đánh dấu là spam email, còn không nó sẽ được cho là một email thông thư ờng. Phương pháp này có ưu điểm phát hiện được các email giả mạo địa chỉ người gửi để đánh lừa các bộ lọc. Nhược điểm của nó là email phải được tải xuống trước khi tiến hành kiểm tra, do đó sẽ chiếm băng thông đường truyền và tài nguyên của máy tính để phân tích các nội dung email. 2.3. Kiểm tra người nhận Tấn công spam kiểu “từ điển” sử dụng các địa chỉ email và tên miền đã biết để tạo ra các địa chỉ email hợp lệ khác. Bằng kỹ thuật này spammer có thể gửi spam tới các địa chỉ email được sinh ra một cách ngẫu nhiên. Một số địa chỉ email trong số đó có thực, tuy nhiên một lượng lớn trong đó là địa chỉ không tồn tại và chúng gây ra hiện tượng “lụt” ởcác máy chủ mail. Phương pháp kiểm tra người nhận sẽ ngăn chặn kiểu tấn công này bằng cách chặn lại các email gửi tới các địa chỉ không tồn tại trên Active Directory hoặc trên máy chủ mail server trong công ty. Tính năng này sẽsử dụng Active Directory hoặc LDAP server để xác minh các địa chỉ người nhận có tồn tại hay không. Nếu số địa chỉ người nhận không tồn tại vượt quá một ngưỡng nào đó (do người quản trị thiết lập) thì email gửi tới đó sẽ bị coi là spam và chặn lại. 2..4. Kiểm tra địa chỉ Bằng cách kiểm tra địa chỉ người gửi và người nhận, phần lớn spam sẽ được phát hiện và chặn lại. Thực hiện kiểm tra địa chỉ người gửi trước khi email được tải xuống sẽ tiết kiệm được băng thông đường truyền cho toàn hệ thống. Kỹ thuật Sender Policy Framework (SPF, www.openspf.org) được sử dụng để kiểm tra địa chỉ người gửi email. Kỹthuật SPF cho phép chủ sở hữu của một tên miền Internet sử dụng các bản ghi DNS đặc biệt (gọi là bản ghi SPF) chỉ rõ các máy được dùng để gửi email từ miền của họ . Khi một email được gửi tới, bộ lọc SPF sẽphân tích các thông tin trong trường “From” hoặc “Sender” để kiểm tra địa chỉ người gửi. Sau đó SPF sẽ đối chiếu địa chỉ đó với các thông tin đã được công bốtrong bản ghi SPF của miền đó xem máy gửi email có được phép gửi email hay không. Nếu email đến từ một server không có trong bản ghi SPF mà miền đó đã công bố thì email đó bị coi là giả mạo. 2.5. Chặn IP Phương pháp này sẽ chặn các email được gửi đến từ các địa chỉ IP biết trước. Khi một email đến, bộ lọc sẽ phân tích địa chỉ máy gửi và so sánh với danh sách địa chỉ bị chặn. Nếu email đó đến từ một máy có địa chỉ trong danh sách này thì nó sẽ bị coi là spam, ngược lại nó sẽ được coi là email hợp lệ. 2.6. Sử dụng bộ lọc Bayesian Bộ lọc Bayesian hoạt độ ng dựa trên định lý Bayes để tính toán xác suất xảy ra một sự kiện dựa vào những sự kiện xảy ra trước đó. Kỹ thuật tương tự nhưvậy được sử dụng để phân loại spam. Nếu một số phần văn bản xuất hiện thư ờng xuyên trong các spam nhưng thư ờng không xuất hiện trong các email thông thư ờng, thì có thể kết luận rằng email đó là spam. Trước khi có thể lọc email bằng bộ lọc Bayesian, người dùng cần tạo ra cơ sở dữ liệu từ khóa và dấu hiệu (như là ký hiệu $, địa chỉ IP và các miền...) sưu tầm từ các spam và các email không hợp lệkhác. Mỗi từ hoặc mỗi dấu hiệu sẽ được cho một giá trị xác suất xuất hiện, giá trị này dựa trên việc tính toán có bao nhiêu từ thư ờng hay sử dụng trong spam, mà trong các email hợp lệthư ờng không sử dụng. Việc tính toán này được thực hiện bằng cách phân tích những email gửi đi của người dùng và phân tích các kiểu spam đã biết. để bộ lọc Bayesian hoạt độ ng chính xác và có hiệu quảcao, cần phải tạo ra cơ sở vềcác email thông thư ờng và spam phù hợp với đặc thù kinh doanh của từ ng công ty. cơ sở này được hình thành khi bộ lọc trải qua giai đoạn “huấn luyện”. Người quản trị phải cung cấp khoảng 1000 email thông thư ờng và 1000 spam để bộ lọc phân tích tạo ra cơ sở cho riêng nó. 2.7. Sử dụng danh sách Black/white list Việc sử dụng các danh sách black list, white list giúp cho việc lọc spam hiệu quả hơn. Black list là cơ sở các địa chỉ email và các miền mà bạn không bao giờ muốn nhận các email từ đó. Các email gửi tới từ các địa chỉ này sẽ bị đánh dấu là spam. White list là cơ sở các địa chỉ email và các miền mà bạn mong muốn nhận email từ đó. Nếu các email được gửi đến từ những địa chỉ nằm trong danh sách này thì chúng luôn được cho qua. Thông thư ờng các bộ lọc có tính năng tự họ c, khi một email bị đánh dấu là spam thì địa chỉ người gửi sẽ được tự độ ng đưa vào danh sách black list. Ngược lại, khi một email được gửi đi từ trong công ty thì địa chỉ người nhận sẽ được tự độ ng đưa vào danh sách white list. 2.8. Kiểm tra Header Phương pháp này sẽphân tích các trường trong phần header của email để đánh giá email đó là email thông thư ờng hay là spam. Spam thư ờng có một số đặc điểm như: • Để trống trường From: hoặc trường To: • Trường From: chứa địa chỉ email không tuân theo các chuẩn RFC. • Các URL trong phần header và phần thân của message có chứa địa chỉ IP được mã hóa dưới dạng hệ hex/oct hoặc có sự kết hợp theo dạng username/password (ví dụcác địa chỉ : www.citibank.com@scammer.com). • Phần tiêu đề của email có thể chứa địa chỉ email người nhận để cá nhân hóa email đó. Lưu ý khi sử dụng tính năng này với các địa chỉ email dùng chung có dạng như sales@company.com. Ví dụkhi một khách hàng phản hồi bằng cách sử dụng tính năng auto-reply với tiêu đề “your email to sales” có thể bị đánh dấu là spam. • Gửi tới một sốlượng rất lớn người nhận khác nhau. • Chỉ chứa những file ảnh mà không chứa các từ để đánh lừa các bộ lọc. • Sử dụng ngôn ngữkhác với ngôn ngữmà người nhận đang sử dụng. Dựa vào những đặc điểm này của spam, các bộ lọc có thể lọc chặn. 2.9. Sử dụng tính năng Challenge/Response Tính năng này sẽyêu cầu người lần đầu gửi email xác nhận lại email đầu tiên mà họ đã gửi, sau khi xác nhận, địa chỉ email của người gửi được bổsung vào danh sách White list và từ đó trở về sau các email được gửi từ địa chỉ đó được tự độ ng cho qua các bộ lọc. Do spammer sử dụng các chương trình gửi email tự độ ng và họ không thể xác nhận lại tất cảcác email đã gửi đi, vì thếnhững email không được xác nhận sẽ bị coi là spam. Phương pháp này có hạn chế là nó yêu cầu những người gửi mới phải xác nhận lại email đầu tiên mà họ gửi. Để khắc phục nhược điểm này, người quản trị chỉ nên sử dụng phương pháp này đối với những email mà họ nghi ngờlà spam. III. Các công cụchống spam cho mail server 3.1. Software 3.1.1. GFI Mail Essentials GFi MailEssentials chống Spam bằng cơchếBayesian : cơchếBayesian được các chuyên gia hàng đầu thế giớ i tin dùng là công cụ nhận bết Spam tốt nhất hiện nay. Công nghệ này sử dụng thuật toán nhận biết thư Spam và Ham .Do đó tỉ lệlọc Spam của GFi MailEssentials lại lên đến 98% chỉ sau hai tuần cập nhật . Ngăn chặn Spam và Phising ngay tại Server : GFi MailEssentials là một ứng dụng cài đặt trên máy chủ hoặc trên Gateway giúp cho người quản trị dễdàng cài đặt và quản lý dựa trên nền Desktop. Quản lý whitelist thông minh tránh nhầm lẫn : Tính năng Whitelist đánh dấu những mail " không phải là Spam" từ những địa chỉ người gửi qua cơchếlọc: Domain, địa chỉ mail và keyword. Kiểm tra hệ thống tên miền đen trung gian : GFi MailEssentials nhận biết các blacklist DNS (Real time black hole list) . Nhận biết các tên miền trung gian đen như: ORDB , Spam Haus , Spam cop và cho phép admin định dạng các RBL servers. Hỗ trợ SPF và các SURBL server trung gian : GFi mailEssentials tự độ ng kiểm tra các địa chỉ mail có thực sự được gửi đi từ một domain đã được đăng ký hay không. Nếu một địa chỉ Email mà được gửi đi từ một domain trung gian sẽbị GFi MailEssentials đánh dấu là SPAM . Loại bỏcách thu thập Email của các Spamer (directory harvesting ) : Các spamer thư ờng tạo ra một danh sách địa chỉ Email ngẫu nhiên và gửi email tới những địa chỉ này . GFi MailEssentials kiểm tra độ xác thực của mỗi địa chỉ Email được gửi đi thông qua Active desktop hay qua hỗ trợ của LDAP . Nếu không phù hơp , email đó sẽbị đánh dấu là SPAM. Sắp xếp các SPAM vào hòm thư rác (Junk Mail ) của người dùng : GFi MailEssentials cho phép người dùng dễdàng xác định , xử lý mail được đánh dấu là SPAM . Có thể di chuyển mail SPAM này vào một Folder và có thể xem lại chúng . Phân tích tiêu đề thư và kiểm tra các từ khóa : Với chức năng thông minh của GFi Mail Essentials dễdàng phân biệt các tiêu đề của email . phát hiện các tiêu đề giảmạo , các Spam biến đổi các IP không có thực . Chức năng xem nhanh các Mail lạ: Chức năng New senders cho phép người sử dụng có thể xem những địa c