Везде
Problems of the Anti-spam Defense: Influence of the Cloud services
Table of contents
Annotation Estimate Publication content
References Comments
Share
QR
Metrics
Problems of the Anti-spam Defense: Influence of the Cloud services
Annotation
PII
S111111110000044-1-1
DOI
10.33276/S0000044-1-1
Publication type
Article
Status
Published
Authors
Nina Lyapicheva 
Occupation: Head of Laboratory of the Software for Network Innformation Technology
Affiliation: CEMI RAS
Address: Russian Federation, Moscow
Edition
Volume 1 Issue 1
Abstract
The purpose of the work described in this article is to solve new problems of antispam protection. associated with the widespread use of cloud technologies. Analysis of spam traffic was carried out on the basis of logging incoming mail headers, conducted by anti-virus/anti-spam gateway. As a result, a scheme of user interaction with mail clients is proposed, which allows to minimize the amount of spam received. Scheme it can be recommended for mail services running on the multi-level mail service mentioned in the article, in the conditions of partially updated hardware and software environment.
Keywords
mail service, anti-spam protection, information security
Received
07.09.2018
Date of publication
20.11.2018
Number of purchasers
13
Views
2419
Readers community rating
0.0 (0 votes)
Cite Download pdf
1 ВВЕДЕНИЕ Спам как явление возник в 80-х годах прошлого века практически одновременно с появлением электронной почты в ее Интернет-исполнении, которое позволяет передавать сообщения с использованием MTA – транспортных почтовых агентов, разрешающих скрывать реальный адрес отправителя, переадресовывать сообщение и организовывать массовую групповую рассылку сообщений. Достаточно быстро массовые спам-рассылки стали видом бизнеса, ограниченного на тот период только возможностями программного обеспечения и скоростью ручной работы спамеров.
2 В 2000-годах в Интернете произошел резкий скачок объёмов почтового трафика, как в процентном выражении, так и в абсолютных цифрах (~в три раза ежегодно). Механика этого явления, тесно связанного с эпидемиями почтовых вирусов, была рассмотрена в предыдущих публикациях1 2 3. В это время широко распространились как средства антивирусной защиты4 5 6 7, так и средства защиты от спама8. При этом пользователи Интернета несли значительные потери от обработки нежелательных сообщений9.
1. Ляпичева Н.Г. Обнаружение сетевых почтовых атак. / "Развитие и использование средств сетевого мониторинга и аудита. Выпуск 2". - Сб.статей под ред. М.Д.Ильменского. - М., ЦЭМИ РАН, 2005, с.28-39

2. Ляпичева Н.Г. Анализ вирусной активности в почтовом трафике на узле ЦЭМИ РАН../Труды Третьей Всероссийской научно-практической конференции «Научное, экспертно-аналитическое и информационное обеспечение стратегического управления, разработки и реализации приоритетных национальных проектов и программ», 31 мая - 1 июня 2007 года, ИНИОН РАН, М:2007, сс. 538-542

3. Ляпичева Н.Г.,Никонова О.М. Математико-статистический анализ объёмов спама на узле ЦЭМИ РАН. /Обозрение прикладной и промышленной математики, т.15, Выпуск 4. ТВП, 2008. сс.670-671

4. Терентьев А.М. Выбор адекватных средств информационной защиты персонального компьютера в России / Журнал «Национальные интересы. Приоритеты и безопасность» М., ООО «Издательский дом Финансы и кредит», N33(174)-2012, с. 37-42

5. Терентьев А.М. Корпоративный вариант реализации антивирусных пакетов Doctor Web в научных учреждениях: предпосылки. / Журнал «Национальные интересы. Приоритеты и безопасность» М., «Издательский дом Финансы и кредит», N17(206), 2013, с.41-48

6. Терентьев А.М. Корпоративный вариант реализации антивирусных пакетов Doctor Web в научных учреждениях: реализация. / Журнал «Национальные интересы. Приоритеты и безопасность» М., «Издательский дом Финансы и кредит», N19(208), 2013, с.40-45

7. Терентьев А.М. Корпоративный вариант реализации антивирусных пакетов Doctor Web в научных учреждениях: результаты. / Журнал «Национальные интересы. Приоритеты и безопасность» М., «Издательский дом Финансы и кредит», N20(209), 2013, с.41-46

8. Ляпичева Н.Г. Реализация многоуровневой схемы антиспамовой обработки электронной почты на примере ЦЭМИ РАН / Развитие технологий и инструментальных средств информационной безопасности. Вып. 1. Сборник трудов под ред. А.М.Терентьева – М.: ЦЭМИ РАН, 2010, с.21-34

9. Ляпичева Н.Г., Никонова О.М., Современные проблемы почтового сервиса. /В сб. Обозрение прикладной и промышленной математики. Десятый Всероссийский симпозиум по прикладной и промышленной математике, Санкт-Петербург, 19-24 мая 2009 г. Тезисы докладов. М.:ОПиПМ, 2009. т.16, вып.2. сс.362-363
3 В результате совершенствования как средств рассылки спама, так и средств защиты о него в почтовом трафике Интернета установилось определенное равновесие: - спам из источников рассылки отправлялся различными спам-генераторами 10; - комплексными мерами информационной защиты11. в процессе доставки спам удалялся из почтового трафика, не доходя до пользователей. Различные разработчики средств антиспамовой защиты оценивают очистку от спама своими продуктами до 80-90%, что соответствует имеющемуся опыту использования антивирусной/антиспамовой защиты в ЦЭМИ РАН.
10. Ляпичева Н.Г. Анализ вирусной активности в почтовом трафике на узле ЦЭМИ РАН../Труды Третьей Всероссийской научно-практической конференции «Научное, экспертно-аналитическое и информационное обеспечение стратегического управления, разработки и реализации приоритетных национальных проектов и программ», 31 мая - 1 июня 2007 года, ИНИОН РАН, М:2007, сс. 538-542

11. Ляпичева Н.Г., Никонова О.М.,Левенко Е.С. Избавление от спама: «последняя миля» почтового сервиса. / Сб.. «Обозрение прикладной и промышленной математики». М., ОПиПМ, 2012. т.19, вып.4. с. 581-582
4 Однако происходят непрерывные попытки провести рассылку спама в промышленных масштабах, с использованием любых недоработок, обнаруженных в новых технологиях. В данной работе описано исследование и реализация защиты от спама в ЦЭМИ РАН, связанные с появлением новых средств нападения.
5 ОСНОВНАЯ ЧАСТЬ Разработанная и реализованная в ЦЭМИ РАН многоуровневая схема антиспамовой обработки, функционирующая с 2009 г., на пике своей производительности удаляла до 98% нежелательного почтового трафика. Схема достаточно успещно действует по сей день, модифицируясь в процессе обновления оборудования, замены его программного обеспечения и программных компонентов антивирусной/антиспамовой защиты.
6 Основной точкой входа электронной почты на серверы ЦЭМИ РАН является антивирусный и антиспамовый почтовый шлюз производства Symantec, текущая реализация которого Symantec Message Gateway 10.6.4-3 стандартно базируется на специализированном устройстве 8340 (аппаратная реализация), однако вполне работоспособна в виде виртуальной машины, запущенной под управлением VMware ESXi или Microsoft Hyper-V (программная реализация). С этой целью на узле ЦЭМИ РАН установлена аппаратно-программная платформа VMware ESXi 5.1 и виртуальная реализация антивирусного/антиспамового шлюза Symantec Message Gateway 10.6.4-3.
7 Вторым уровнем схемы является почтовый сервер ЛВС ЦЭМИ РАН, который обеспечивает комплексную обработку внутренней почты на сервере, поддержку почтовых ящиков пользователей, их авторизацию, совместную работу пользователей над письмами. Сервер оснащен средствами информационной защиты, обеспечивая дополнительное удаление спама из почтового трафика.
8 Третий уровень - окончательная очистка собственного почтового ящика - реализуется в процессе чтения почты, что обеспечивается настройкой спам –фильтров почтового клиента непосредственно в компьютере пользователя. Главной трудностью в использовании этого метода очистки от спама является человеческий фактор. Недостаток знаний настройки, нежелание выделять спам в отдельную папку, привычные манипуляции с пришедшей почтой – и в результате ежедневное получение дополнительных спам-писем. Преодоление этого фактора возможно только распространением компьютерной грамотности и активной работой пользователя по настройке своего рабочего стола.
9 Достигнутый уровень очистки от спама >= 90% обеспечивался в течение довольно длительного периода использования многоуровневой схемы антиспамовой обработки. Однако с течением времени эффективность очистки начала падать (Рис. 1, Процент писем, принятых антиспамовым шлюзом за период 2013-2018 г), что потребовало изучения причин этого явления.
10

Рис. 1 Процент писем, принятых антиспамовым шлюзом за период 2013-2018 г.
11 В качестве одной из причин данного явления можно назвать все более широкое внедрение виртуализации и облачных сервисов.
12 Постоянное соединение Интернет-приложений мобильных устройств с сетевой средой и погружённости человека в мобильный Интернет стало возможным с созданием, распространением и продвижением облачных технологий в широкие круги пользователей-неспециалистов, вплоть до персон, полностью неосведомлённых в каких-либо аспектах IT-технологий. В результате включение пользователя в информационную среду происходит установкой соединения с поставщиками облачного сервиса; а все технологии связи реализуются специализированными поставщиками IT-услуг. Для более продвинутых пользователей предоставляется возможность создавать в облаке собственные сервисы с поддержкой их работоспособности провайдерами облачных услуг – архивизацией, обновлением ПО, обеспечением информационной защиты.
13 Темной стороной комфортной работы с облачными сервисами является возможность их использования в нелегитимных целях12 . Лёгкость создания почтового сервиса, его ликвидации, перемены владельца облачной почты провоцирует спам-отправителей на развитие их бизнеса. Легальность отправки обеспечивается легальностью купленного сервиса, а при возникновении претензий, достигающих администратора сервиса, всё свёртывается (или просто бросается) и сервис заводится заново в другом или даже том же облаке. Именно эта сторона облачного почтового сервиса затрудняет работу почтовых антиспамовых продуктов, повышая нагрузку на пользователей.
12. Ляпичева Н.Г., Никонова О.М., Прикосновение к "облаку" - заметки постороннего.. В сб. «Обозрение прикладной и промышленной математики». М., ОПиПМ, 2013. т.20, вып.5. с. 581-582
14 В качестве примера можно привести исследование почтового трафика, вызванное заметным повышением количества приходящего спама 06-09 ноября 2015 г. Исследование проводилось на выборке из полных протоколов почтового трафика через антиспамовый шлюз, ограниченной по времени в связи с лимитами объемов файла протоколов. В протоколировании используются только данные из стандартных заголовков электронной почты, тексты не могут быть включены в протоколирование. Из таблицы 1 «Почтовый трафик отдельных доменов 06-09 ноября 2015 г» можно отметить, что с почтовых серверов домена «*.co.ua» появилось значительное количество спама, причём доменные адреса (и ip-адреса почтовых серверов) отправителя вполне легальны - не содержатся в «черных списках» источников спама (нахождение в которых приводит к отказу в доставке писем). Звездочкой ( * ) обозначена переменная часть доменного имени, например: isteras.co.ua, goddis.co.ua, rarmelatio.co.ua, ledinters.co.ua и т.д.; всего за рассмотренный период использовалось 12 подобных доменных имен.
15 Таблица 1. Почтовый трафик отдельных доменов 06-09 ноября 2015 г
Домен Спам и подозрительные Принято писем % принятых писем
*.co.ua 1271 0 0,0
gmail.com 178 211 54,2
mail.ru 230 180 43,9
yandex.ru 117 418 78,1
*.br 28 6 17,6
Итого 1824 815 30,9
16 Для сравнения был рассмотрен почтовый трафик, приходивший от имени наиболее популярных публичных почтовых серверов, доменные адреса которых часто используются в качестве условного отправителя спам-писем. Однако из почтового трафика этих доменов было доставлено значительное количество легитимных писем. В то же время доменное имя « *.br» , которое долгое время отмечалось как источник спама, уже утратило свою привлекательность для этой цели.
17 Почтовый трафик домена «*.co.ua» был рассмотрен более подробно (см. Таблицу 2 «Решения спам-анализатора о письмах домена *.co.ua»), при этом для анализа использовалась поля заголовков входящей почты «Тема: (Subject)» и «Решение спам-анализатора (Verdict)». Темы писем с вердиктом «Принято» (общим числом 644 письма) были рассмотрены отдельно, как по полю «Тема», так и по адресатам. Наиболее легальной темой для адресатов в ЦЭМИ РАН была «компьютерная обучающая программа». Однако письма с данной темой были разосланы по списку, включающему не только адресатов в ЦЭМИ РАН, но и нескольких несуществующих адресатов - т.е. это спам-рассылка.
18 Таблица 2. Решения спам-анализатора о письмах домена «*.co.ua»
Решение спам-анализатора Количество писем Из них- спам
None (Принято) 644 644
Spam (Спам) 500 500
Suspected spam (Подозрительное) 122 122
Rejected message by MTA (Отвергнуто на входе) 5 5
ИТОГО 1271 1271
19 В результате анализа выяснилось, что из рассмотренных доменов «*.co.ua» появилось ни одного легального письма (0% легитимных писем), следовательно, данные сервисы используются специально для рассылки спама. На основании данных, включенных в таблицу 2, было принято решение о временном включении доменного имени «*.co.ua» в персональный черный список антиспамового шлюза. После того, как доменные имена «*.co.ua» были занесены в персональный черный список антиспамового шлюза, потоки спама прекратились, и доменные имена «*.co.ua» были удалены из персонального черного списка.
20 РЕЗУЛЬТАТЫ. В результате изучения почтового трафика и принятых мер по прекращению массовой рассылки понизился процент принятых писем - с 17,5% до 10,8%. (см. Рис 1, период после ноября 2015 г.), хотя общий объем почтового трафика за данный период вырос с 360072 писем в ноябре до 480121 в декабре.
21 ВЫВОДЫ Проблема размножения функционирования спам-сущностей в облаке решается именно таким образом – занесением их доменных имен и ip-адресов в черные списки, и затем периодическим удалением из черных списков по прекращении функционирования. В настоящее время источники спама автоматически попадают в черные списки на централизованные сайты по мере их обнаружения антиспамовыми анализаторами. Однако это не отменяет возникающей необходимости анализа почтового трафика и ведения персональных черных списков.

References

1. Lyapicheva N.G. Analiz virusnoj aktivnosti v pochtovom trafike na uzle TsEhMI RAN. // Trudy Tret'ej Vserossijskoj nauchno-prakticheskoj konferentsii «Nauchnoe, ehkspertno-analiticheskoe i informatsionnoe obespechenie strategicheskogo upravleniya, razrabotki i realizatsii prioritetnykh natsional'nykh proektov i programm», 31 maya - 1 iyunya 2007 goda, INION RAN, M:2007, ss. 538-542 (rus.),http://cemi.socionet.ru/files/inion2007_ngl.doc

2. Lyapicheva N.G., Nikonova O.M.,Levenko E.S. Izbavlenie ot spama: «poslednyaya milya» pochtovogo servisa. // Sb.. «Obozrenie prikladnoj i promyshlennoj matematiki». M., OPiPM, 2012. t.19, vyp.4. s. 581-582

3. Lyapicheva N.G.,Nikonova O.M. Matematiko-statisticheskij analiz ob'yomov spama na uzle TsEhMI RAN. // Obozrenie prikladnoj i promyshlennoj matematiki, t.15, Vypusk 4. TVP, 2008. ss.670-671

4. Lyapicheva N.G. Obnaruzhenie setevykh pochtovykh atak. // "Razvitie i ispol'zovanie sredstv setevogo monitoringa i audita. Vypusk 2". - Sb.statej pod red. M.D.Il'menskogo. - M., TsEhMI RAN, 2005, s.28-39, ISBN 5-8211-0365-7 http://av.cemi.rssi.ru/av/r4lit18.htm

5. Lyapicheva N.G., Nikonova O.M., Prikosnovenie k "oblaku" - zametki postoronnego.. V sb. «Obozrenie prikladnoj i promyshlennoj matematiki». M., OPiPM, 2013. t.20, vyp.5. s. 581-582

6. Lyapicheva N.G. Realizatsiya mnogourovnevoj skhemy antispamovoj obrabotki ehlektronnoj pochty na primere TsEhMI RAN // Razvitie tekhnologij i instrumental'nykh sredstv informatsionnoj bezopasnosti. Vyp. 1. Sbornik trudov pod red. A.M.Terent'eva – M.: TsEhMI RAN, 2010, s.21-34. ISBN 978-5-8211-0543-1

7. Lyapicheva N.G., Nikonova O.M., Sovremennye problemy pochtovogo servisa. // V sb. Obozrenie prikladnoj i promyshlennoj matematiki. Desyatyj Vserossijskij simpozium po prikladnoj i promyshlennoj matematike, Sankt-Peterburg, 19-24 maya 2009 g. Tezisy dokladov. M.:OPiPM, 2009. t.16, vyp.2. ss.362-363 http://cemi.socionet.ru/files/doklad2009_ngl-nik.pdf

8. Terent'ev A.M. Vybor adekvatnykh sredstv informatsionnoj zaschity personal'nogo komp'yutera v Rossii // Zhurnal «Natsional'nye interesy. Prioritety i bezopasnost'» M., OOO «Izdatel'skij dom Finansy i kredit», N33(174)-2012, s. 37-42

9. Terent'ev A.M. Korporativnyj variant realizatsii antivirusnykh paketov Doctor Web v nauchnykh uchrezhdeniyakh: predposylki. // Zhurnal «Natsional'nye interesy. Prioritety i bezopasnost'» M., «Izdatel'skij dom Finansy i kredit», N17(206), 2013, s.41-48.

10. Terent'ev A.M. Korporativnyj variant realizatsii antivirusnykh paketov Doctor Web v nauchnykh uchrezhdeniyakh: realizatsiya. // Zhurnal «Natsional'nye interesy. Prioritety i bezopasnost'» M., «Izdatel'skij dom Finansy i kredit», N19(208), 2013, s.40-45.

11. Terent'ev A.M. Korporativnyj variant realizatsii antivirusnykh paketov Doctor Web v nauchnykh uchrezhdeniyakh: rezul'taty. // Zhurnal «Natsional'nye interesy. Prioritety i bezopasnost'» M., «Izdatel'skij dom Finansy i kredit», N20(209), 2013, s.41-46.

12. Lyapicheva N.G., Nikonova O.M., Prikosnovenie k "oblaku" - zametki postoronnego.. V sb.«Obozrenie prikladnoj i promyshlennoj matematiki». M., OPiPM, 2013. t.20, vyp.5. s. 581-582

Comments

No posts found

Write a review
Translate