Проблемы защиты от почтового спама: влияние облачных технологий

Ляпичева Нина Г.

doi:10.33276/S0000044-1-1

Русский

Войти Регистрация

Главная>Выпуск 1>Проблемы защиты от почтового спама: влияние облачных технологий

Проблемы защиты от почтового спама: влияние облачных технологий

Оглавление

Аннотация Оценить Содержание публикации

Библиография Комментарии

Проблемы защиты от почтового спама: влияние облачных технологий

Аннотация

Код статьи

S111111110000044-1-1

DOI

10.33276/S0000044-1-1

Тип публикации

Статья

Статус публикации

Опубликовано

Авторы

Ляпичева Нина Григорьевна Связаться с автором

Должность: Заведующая лабораторией программного обеспечения сетевых информационных технологий
Аффилиация: Центральный экономико-математический институт РАН
Адрес: Российская Федерация, Москва

Выпуск

Том 1 Выпуск 1

Аннотация

Целью описанной в статье работы является решение новых проблем защиты от спама. связанных с широким распространением облачных технологий. Анализ спам-трафика проводился на основе протоколирования заголовков входящей почты, проводившегося антивирусным/антиспамовым шлюзом. В результате предложена схема взаимодействия пользователя с почтовыми клиентами, позволяющая минимизировать количество получаемого спама. Схема может быть рекомендована для почтовых сервисов, работающих по упомянутом в статье многоуровневом почтовом сервисе, в условиях частично обновленной аппаратно-программной среды.

Ключевые слова

почтовый сервис, защита от спама, информационная безопасность

Классификатор

Получено

07.09.2018

Дата публикации

20.11.2018

Всего подписок

Всего просмотров

2418

Оценка читателей

0.0 (0 голосов)

Цитировать Скачать pdf

ГОСТ	Ляпичева Н. Г. Проблемы защиты от почтового спама: влияние облачных технологий // Вестник ЦЭМИ РАН. – 2018. – T. 1. – Выпуск 1. URL: https://cemi.jes.su/s111111110000044-1-1/. DOI: 10.33276/S0000044-1-1
MLA	Lyapicheva, Nina "Problems of the Anti-spam Defense: Influence of the Cloud services." Herald of CEMI. 1.1 (2018). DOI: 10.33276/S0000044-1-1
APA	Lyapicheva N. (2018). Problems of the Anti-spam Defense: Influence of the Cloud services. Herald of CEMI. vol. 1, no. 1 DOI: 10.33276/S0000044-1-1

ВВЕДЕНИЕ Спам как явление возник в 80-х годах прошлого века практически одновременно с появлением электронной почты в ее Интернет-исполнении, которое позволяет передавать сообщения с использованием MTA – транспортных почтовых агентов, разрешающих скрывать реальный адрес отправителя, переадресовывать сообщение и организовывать массовую групповую рассылку сообщений. Достаточно быстро массовые спам-рассылки стали видом бизнеса, ограниченного на тот период только возможностями программного обеспечения и скоростью ручной работы спамеров.

В 2000-годах в Интернете произошел резкий скачок объёмов почтового трафика, как в процентном выражении, так и в абсолютных цифрах (~в три раза ежегодно). Механика этого явления, тесно связанного с эпидемиями почтовых вирусов, была рассмотрена в предыдущих публикациях¹ ² ³. В это время широко распространились как средства антивирусной защиты⁴ ⁵ ⁶ ⁷, так и средства защиты от спама⁸. При этом пользователи Интернета несли значительные потери от обработки нежелательных сообщений⁹.

1. Ляпичева Н.Г. Обнаружение сетевых почтовых атак. / "Развитие и использование средств сетевого мониторинга и аудита. Выпуск 2". - Сб.статей под ред. М.Д.Ильменского. - М., ЦЭМИ РАН, 2005, с.28-39

2. Ляпичева Н.Г. Анализ вирусной активности в почтовом трафике на узле ЦЭМИ РАН../Труды Третьей Всероссийской научно-практической конференции «Научное, экспертно-аналитическое и информационное обеспечение стратегического управления, разработки и реализации приоритетных национальных проектов и программ», 31 мая - 1 июня 2007 года, ИНИОН РАН, М:2007, сс. 538-542

3. Ляпичева Н.Г.,Никонова О.М. Математико-статистический анализ объёмов спама на узле ЦЭМИ РАН. /Обозрение прикладной и промышленной математики, т.15, Выпуск 4. ТВП, 2008. сс.670-671

4. Терентьев А.М. Выбор адекватных средств информационной защиты персонального компьютера в России / Журнал «Национальные интересы. Приоритеты и безопасность» М., ООО «Издательский дом Финансы и кредит», N33(174)-2012, с. 37-42

5. Терентьев А.М. Корпоративный вариант реализации антивирусных пакетов Doctor Web в научных учреждениях: предпосылки. / Журнал «Национальные интересы. Приоритеты и безопасность» М., «Издательский дом Финансы и кредит», N17(206), 2013, с.41-48

6. Терентьев А.М. Корпоративный вариант реализации антивирусных пакетов Doctor Web в научных учреждениях: реализация. / Журнал «Национальные интересы. Приоритеты и безопасность» М., «Издательский дом Финансы и кредит», N19(208), 2013, с.40-45

7. Терентьев А.М. Корпоративный вариант реализации антивирусных пакетов Doctor Web в научных учреждениях: результаты. / Журнал «Национальные интересы. Приоритеты и безопасность» М., «Издательский дом Финансы и кредит», N20(209), 2013, с.41-46

8. Ляпичева Н.Г. Реализация многоуровневой схемы антиспамовой обработки электронной почты на примере ЦЭМИ РАН / Развитие технологий и инструментальных средств информационной безопасности. Вып. 1. Сборник трудов под ред. А.М.Терентьева – М.: ЦЭМИ РАН, 2010, с.21-34

9. Ляпичева Н.Г., Никонова О.М., Современные проблемы почтового сервиса. /В сб. Обозрение прикладной и промышленной математики. Десятый Всероссийский симпозиум по прикладной и промышленной математике, Санкт-Петербург, 19-24 мая 2009 г. Тезисы докладов. М.:ОПиПМ, 2009. т.16, вып.2. сс.362-363

1. Ляпичева Н.Г. Обнаружение сетевых почтовых атак. / "Развитие и использование средств сетевого мониторинга и аудита. Выпуск 2". - Сб.статей под ред. М.Д.Ильменского. - М., ЦЭМИ РАН, 2005, с.28-39 2. Ляпичева Н.Г. Анализ вирусной активности в почтовом трафике на узле ЦЭМИ РАН../Труды Третьей Всероссийской научно-практической конференции «Научное, экспертно-аналитическое и информационное обеспечение стратегического управления, разработки и реализации приоритетных национальных проектов и программ», 31 мая - 1 июня 2007 года, ИНИОН РАН, М:2007, сс. 538-542 3. Ляпичева Н.Г.,Никонова О.М. Математико-статистический анализ объёмов спама на узле ЦЭМИ РАН. /Обозрение прикладной и промышленной математики, т.15, Выпуск 4. ТВП, 2008. сс.670-671 4. Терентьев А.М. Выбор адекватных средств информационной защиты персонального компьютера в России / Журнал «Национальные интересы. Приоритеты и безопасность» М., ООО «Издательский дом Финансы и кредит», N33(174)-2012, с. 37-42 5. Терентьев А.М. Корпоративный вариант реализации антивирусных пакетов Doctor Web в научных учреждениях: предпосылки. / Журнал «Национальные интересы. Приоритеты и безопасность» М., «Издательский дом Финансы и кредит», N17(206), 2013, с.41-48 6. Терентьев А.М. Корпоративный вариант реализации антивирусных пакетов Doctor Web в научных учреждениях: реализация. / Журнал «Национальные интересы. Приоритеты и безопасность» М., «Издательский дом Финансы и кредит», N19(208), 2013, с.40-45 7. Терентьев А.М. Корпоративный вариант реализации антивирусных пакетов Doctor Web в научных учреждениях: результаты. / Журнал «Национальные интересы. Приоритеты и безопасность» М., «Издательский дом Финансы и кредит», N20(209), 2013, с.41-46 8. Ляпичева Н.Г. Реализация многоуровневой схемы антиспамовой обработки электронной почты на примере ЦЭМИ РАН / Развитие технологий и инструментальных средств информационной безопасности. Вып. 1. Сборник трудов под ред. А.М.Терентьева – М.: ЦЭМИ РАН, 2010, с.21-34 9. Ляпичева Н.Г., Никонова О.М., Современные проблемы почтового сервиса. /В сб. Обозрение прикладной и промышленной математики. Десятый Всероссийский симпозиум по прикладной и промышленной математике, Санкт-Петербург, 19-24 мая 2009 г. Тезисы докладов. М.:ОПиПМ, 2009. т.16, вып.2. сс.362-363

В результате совершенствования как средств рассылки спама, так и средств защиты о него в почтовом трафике Интернета установилось определенное равновесие: - спам из источников рассылки отправлялся различными спам-генераторами ¹⁰; - комплексными мерами информационной защиты¹¹. в процессе доставки спам удалялся из почтового трафика, не доходя до пользователей. Различные разработчики средств антиспамовой защиты оценивают очистку от спама своими продуктами до 80-90%, что соответствует имеющемуся опыту использования антивирусной/антиспамовой защиты в ЦЭМИ РАН.

10. Ляпичева Н.Г. Анализ вирусной активности в почтовом трафике на узле ЦЭМИ РАН../Труды Третьей Всероссийской научно-практической конференции «Научное, экспертно-аналитическое и информационное обеспечение стратегического управления, разработки и реализации приоритетных национальных проектов и программ», 31 мая - 1 июня 2007 года, ИНИОН РАН, М:2007, сс. 538-542

11. Ляпичева Н.Г., Никонова О.М.,Левенко Е.С. Избавление от спама: «последняя миля» почтового сервиса. / Сб.. «Обозрение прикладной и промышленной математики». М., ОПиПМ, 2012. т.19, вып.4. с. 581-582

Однако происходят непрерывные попытки провести рассылку спама в промышленных масштабах, с использованием любых недоработок, обнаруженных в новых технологиях. В данной работе описано исследование и реализация защиты от спама в ЦЭМИ РАН, связанные с появлением новых средств нападения.

ОСНОВНАЯ ЧАСТЬ Разработанная и реализованная в ЦЭМИ РАН многоуровневая схема антиспамовой обработки, функционирующая с 2009 г., на пике своей производительности удаляла до 98% нежелательного почтового трафика. Схема достаточно успещно действует по сей день, модифицируясь в процессе обновления оборудования, замены его программного обеспечения и программных компонентов антивирусной/антиспамовой защиты.

Основной точкой входа электронной почты на серверы ЦЭМИ РАН является антивирусный и антиспамовый почтовый шлюз производства Symantec, текущая реализация которого Symantec Message Gateway 10.6.4-3 стандартно базируется на специализированном устройстве 8340 (аппаратная реализация), однако вполне работоспособна в виде виртуальной машины, запущенной под управлением VMware ESXi или Microsoft Hyper-V (программная реализация). С этой целью на узле ЦЭМИ РАН установлена аппаратно-программная платформа VMware ESXi 5.1 и виртуальная реализация антивирусного/антиспамового шлюза Symantec Message Gateway 10.6.4-3.

Вторым уровнем схемы является почтовый сервер ЛВС ЦЭМИ РАН, который обеспечивает комплексную обработку внутренней почты на сервере, поддержку почтовых ящиков пользователей, их авторизацию, совместную работу пользователей над письмами. Сервер оснащен средствами информационной защиты, обеспечивая дополнительное удаление спама из почтового трафика.

Третий уровень - окончательная очистка собственного почтового ящика - реализуется в процессе чтения почты, что обеспечивается настройкой спам –фильтров почтового клиента непосредственно в компьютере пользователя. Главной трудностью в использовании этого метода очистки от спама является человеческий фактор. Недостаток знаний настройки, нежелание выделять спам в отдельную папку, привычные манипуляции с пришедшей почтой – и в результате ежедневное получение дополнительных спам-писем. Преодоление этого фактора возможно только распространением компьютерной грамотности и активной работой пользователя по настройке своего рабочего стола.

Достигнутый уровень очистки от спама >= 90% обеспечивался в течение довольно длительного периода использования многоуровневой схемы антиспамовой обработки. Однако с течением времени эффективность очистки начала падать (Рис. 1, Процент писем, принятых антиспамовым шлюзом за период 2013-2018 г), что потребовало изучения причин этого явления.

Рис. 1 Процент писем, принятых антиспамовым шлюзом за период 2013-2018 г.

В качестве одной из причин данного явления можно назвать все более широкое внедрение виртуализации и облачных сервисов.

Постоянное соединение Интернет-приложений мобильных устройств с сетевой средой и погружённости человека в мобильный Интернет стало возможным с созданием, распространением и продвижением облачных технологий в широкие круги пользователей-неспециалистов, вплоть до персон, полностью неосведомлённых в каких-либо аспектах IT-технологий. В результате включение пользователя в информационную среду происходит установкой соединения с поставщиками облачного сервиса; а все технологии связи реализуются специализированными поставщиками IT-услуг. Для более продвинутых пользователей предоставляется возможность создавать в облаке собственные сервисы с поддержкой их работоспособности провайдерами облачных услуг – архивизацией, обновлением ПО, обеспечением информационной защиты.

Темной стороной комфортной работы с облачными сервисами является возможность их использования в нелегитимных целях¹² . Лёгкость создания почтового сервиса, его ликвидации, перемены владельца облачной почты провоцирует спам-отправителей на развитие их бизнеса. Легальность отправки обеспечивается легальностью купленного сервиса, а при возникновении претензий, достигающих администратора сервиса, всё свёртывается (или просто бросается) и сервис заводится заново в другом или даже том же облаке. Именно эта сторона облачного почтового сервиса затрудняет работу почтовых антиспамовых продуктов, повышая нагрузку на пользователей.

12. Ляпичева Н.Г., Никонова О.М., Прикосновение к "облаку" - заметки постороннего.. В сб. «Обозрение прикладной и промышленной математики». М., ОПиПМ, 2013. т.20, вып.5. с. 581-582

В качестве примера можно привести исследование почтового трафика, вызванное заметным повышением количества приходящего спама 06-09 ноября 2015 г. Исследование проводилось на выборке из полных протоколов почтового трафика через антиспамовый шлюз, ограниченной по времени в связи с лимитами объемов файла протоколов. В протоколировании используются только данные из стандартных заголовков электронной почты, тексты не могут быть включены в протоколирование. Из таблицы 1 «Почтовый трафик отдельных доменов 06-09 ноября 2015 г» можно отметить, что с почтовых серверов домена «*.co.ua» появилось значительное количество спама, причём доменные адреса (и ip-адреса почтовых серверов) отправителя вполне легальны - не содержатся в «черных списках» источников спама (нахождение в которых приводит к отказу в доставке писем). Звездочкой ( * ) обозначена переменная часть доменного имени, например: isteras.co.ua, goddis.co.ua, rarmelatio.co.ua, ledinters.co.ua и т.д.; всего за рассмотренный период использовалось 12 подобных доменных имен.

Таблица 1. Почтовый трафик отдельных доменов 06-09 ноября 2015 г

Домен	Спам и подозрительные	Принято писем	% принятых писем
*.co.ua	1271	0	0,0
gmail.com	178	211	54,2
mail.ru	230	180	43,9
yandex.ru	117	418	78,1
*.br	28	6	17,6
Итого	1824	815	30,9

Таблица 1. Почтовый трафик отдельных доменов 06-09 ноября 2015 г<table class="docx-publication-table"><tr><td class="docx-publication-cell"> Домен</td><td class="docx-publication-cell"> Спам и подозрительные</td><td class="docx-publication-cell"> Принято писем</td><td class="docx-publication-cell"> % принятых писем</td></tr><tr><td class="docx-publication-cell"> *.co.ua</td><td class="docx-publication-cell"> 1271</td><td class="docx-publication-cell"> 0</td><td class="docx-publication-cell"> 0,0</td></tr><tr><td class="docx-publication-cell"> gmail.com</td><td class="docx-publication-cell"> 178</td><td class="docx-publication-cell"> 211</td><td class="docx-publication-cell"> 54,2</td></tr><tr><td class="docx-publication-cell"> mail.ru</td><td class="docx-publication-cell"> 230</td><td class="docx-publication-cell"> 180</td><td class="docx-publication-cell"> 43,9</td></tr><tr><td class="docx-publication-cell"> yandex.ru</td><td class="docx-publication-cell"> 117</td><td class="docx-publication-cell"> 418</td><td class="docx-publication-cell"> 78,1</td></tr><tr><td class="docx-publication-cell"> *.br</td><td class="docx-publication-cell"> 28</td><td class="docx-publication-cell"> 6</td><td class="docx-publication-cell"> 17,6</td></tr><tr><td class="docx-publication-cell"> Итого</td><td class="docx-publication-cell"> 1824</td><td class="docx-publication-cell"> 815</td><td class="docx-publication-cell"> 30,9</td></tr></table>

Для сравнения был рассмотрен почтовый трафик, приходивший от имени наиболее популярных публичных почтовых серверов, доменные адреса которых часто используются в качестве условного отправителя спам-писем. Однако из почтового трафика этих доменов было доставлено значительное количество легитимных писем. В то же время доменное имя « *.br» , которое долгое время отмечалось как источник спама, уже утратило свою привлекательность для этой цели.

Почтовый трафик домена «*.co.ua» был рассмотрен более подробно (см. Таблицу 2 «Решения спам-анализатора о письмах домена *.co.ua»), при этом для анализа использовалась поля заголовков входящей почты «Тема: (Subject)» и «Решение спам-анализатора (Verdict)». Темы писем с вердиктом «Принято» (общим числом 644 письма) были рассмотрены отдельно, как по полю «Тема», так и по адресатам. Наиболее легальной темой для адресатов в ЦЭМИ РАН была «компьютерная обучающая программа». Однако письма с данной темой были разосланы по списку, включающему не только адресатов в ЦЭМИ РАН, но и нескольких несуществующих адресатов - т.е. это спам-рассылка.

Таблица 2. Решения спам-анализатора о письмах домена «*.co.ua»

Решение спам-анализатора	Количество писем	Из них- спам
None (Принято)	644	644
Spam (Спам)	500	500
Suspected spam (Подозрительное)	122	122
Rejected message by MTA (Отвергнуто на входе)	5	5
ИТОГО	1271	1271

Таблица 2. Решения спам-анализатора о письмах домена «*.co.ua»<table class="docx-publication-table"><tr><td class="docx-publication-cell"> Решение спам-анализатора</td><td class="docx-publication-cell"> Количество писем</td><td class="docx-publication-cell"> Из них- спам</td></tr><tr><td class="docx-publication-cell"> None (Принято)</td><td class="docx-publication-cell"> 644</td><td class="docx-publication-cell"> 644</td></tr><tr><td class="docx-publication-cell"> Spam (Спам)</td><td class="docx-publication-cell"> 500</td><td class="docx-publication-cell"> 500</td></tr><tr><td class="docx-publication-cell"> Suspected spam (Подозрительное)</td><td class="docx-publication-cell"> 122</td><td class="docx-publication-cell"> 122</td></tr><tr><td class="docx-publication-cell"> Rejected message by MTA (Отвергнуто на входе)</td><td class="docx-publication-cell"> 5</td><td class="docx-publication-cell"> 5</td></tr><tr><td class="docx-publication-cell"> ИТОГО</td><td class="docx-publication-cell"> 1271</td><td class="docx-publication-cell"> 1271</td></tr></table>

В результате анализа выяснилось, что из рассмотренных доменов «*.co.ua» появилось ни одного легального письма (0% легитимных писем), следовательно, данные сервисы используются специально для рассылки спама. На основании данных, включенных в таблицу 2, было принято решение о временном включении доменного имени «*.co.ua» в персональный черный список антиспамового шлюза. После того, как доменные имена «*.co.ua» были занесены в персональный черный список антиспамового шлюза, потоки спама прекратились, и доменные имена «*.co.ua» были удалены из персонального черного списка.

РЕЗУЛЬТАТЫ. В результате изучения почтового трафика и принятых мер по прекращению массовой рассылки понизился процент принятых писем - с 17,5% до 10,8%. (см. Рис 1, период после ноября 2015 г.), хотя общий объем почтового трафика за данный период вырос с 360072 писем в ноябре до 480121 в декабре.

ВЫВОДЫ Проблема размножения функционирования спам-сущностей в облаке решается именно таким образом – занесением их доменных имен и ip-адресов в черные списки, и затем периодическим удалением из черных списков по прекращении функционирования. В настоящее время источники спама автоматически попадают в черные списки на централизованные сайты по мере их обнаружения антиспамовыми анализаторами. Однако это не отменяет возникающей необходимости анализа почтового трафика и ведения персональных черных списков.

Библиография

1. Ляпичева Н.Г. Анализ вирусной активности в почтовом трафике на узле ЦЭМИ РАН. // Труды Третьей Всероссийской научно-практической конференции «Научное, экспертно-аналитическое и информационное обеспечение стратегического управления, разработки и реализации приоритетных национальных проектов и программ», 31 мая - 1 июня 2007 года, ИНИОН РАН, М:2007, сс. 538-542 (рус.),http://cemi.socionet.ru/files/inion2007_ngl.doc

2. Ляпичева Н.Г., Никонова О.М.,Левенко Е.С. Избавление от спама: «последняя миля» почтового сервиса. // Сб.. «Обозрение прикладной и промышленной математики». М., ОПиПМ, 2012. т.19, вып.4. с. 581-582

3. Ляпичева Н.Г.,Никонова О.М. Математико-статистический анализ объёмов спама на узле ЦЭМИ РАН. // Обозрение прикладной и промышленной математики, т.15, Выпуск 4. ТВП, 2008. сс.670-671

4. Ляпичева Н.Г. Обнаружение сетевых почтовых атак. // "Развитие и использование средств сетевого мониторинга и аудита. Выпуск 2". - Сб.статей под ред. М.Д.Ильменского. - М., ЦЭМИ РАН, 2005, с.28-39, ISBN 5-8211-0365-7 http://av.cemi.rssi.ru/av/r4lit18.htm

5. Ляпичева Н.Г., Никонова О.М., Прикосновение к "облаку" - заметки постороннего.. В сб. «Обозрение прикладной и промышленной математики». М., ОПиПМ, 2013. т.20, вып.5. с. 581-582

6. Ляпичева Н.Г. Реализация многоуровневой схемы антиспамовой обработки электронной почты на примере ЦЭМИ РАН // Развитие технологий и инструментальных средств информационной безопасности. Вып. 1. Сборник трудов под ред. А.М.Терентьева – М.: ЦЭМИ РАН, 2010, с.21-34. ISBN 978-5-8211-0543-1

7. Ляпичева Н.Г., Никонова О.М., Современные проблемы почтового сервиса. // В сб. Обозрение прикладной и промышленной математики. Десятый Всероссийский симпозиум по прикладной и промышленной математике, Санкт-Петербург, 19-24 мая 2009 г. Тезисы докладов. М.:ОПиПМ, 2009. т.16, вып.2. сс.362-363 http://cemi.socionet.ru/files/doklad2009_ngl-nik.pdf

8. Терентьев А.М. Выбор адекватных средств информационной защиты персонального компьютера в России // Журнал «Национальные интересы. Приоритеты и безопасность» М., ООО «Издательский дом Финансы и кредит», N33(174)-2012, с. 37-42

9. Терентьев А.М. Корпоративный вариант реализации антивирусных пакетов Doctor Web в научных учреждениях: предпосылки. // Журнал «Национальные интересы. Приоритеты и безопасность» М., «Издательский дом Финансы и кредит», N17(206), 2013, с.41-48.

10. Терентьев А.М. Корпоративный вариант реализации антивирусных пакетов Doctor Web в научных учреждениях: реализация. // Журнал «Национальные интересы. Приоритеты и безопасность» М., «Издательский дом Финансы и кредит», N19(208), 2013, с.40-45.

11. Терентьев А.М. Корпоративный вариант реализации антивирусных пакетов Doctor Web в научных учреждениях: результаты. // Журнал «Национальные интересы. Приоритеты и безопасность» М., «Издательский дом Финансы и кредит», N20(209), 2013, с.41-46.

12. Ляпичева Н.Г., Никонова О.М., Прикосновение к "облаку" - заметки постороннего.. В сб.«Обозрение прикладной и промышленной математики». М., ОПиПМ, 2013. т.20, вып.5. с. 581-582

Библиография

Комментарии

Войти через