1 (edytowany przez akoliber 2020-10-26 22:31:18)

Temat: SPAM - jak zaoszczędzić czas i skutecznie walczyć ze spamem

W dawnych czasach walka ze spamem była prostsza. Ilość spamu na dzień nie była tak przytłaczająca, jak trafił jakiś niechciany nadawca, kasowało się go i już.
W przypadku gdy ktoś był nadmiernie upierdliwy najprostszym rozwiązaniem było dodanie go do filtrów antyspamowych i można było o nim zapomnieć.
Ewentualnie dodawało się określone słowa które pojawiały się w spamie, np. viagra, casino, trial, offer i tym samym odfiltrowując spam do kosza.
Jedną z popularnych metod walki ze spamem były również filtry Bayesowskie. W skrócie polegało to na tym, że przygotowywało się zbiory maili pożądanej i niechcianej poczty. Następnie po nauczeniu się co jest spamem a co dobrą pocztą, program potrafił sam sklasyfikować i odfiltrować spam.

Do pewnego momentu ww. techniki działały, jednakże obecnie zalew spamu z różnych adresów jest tak duży, że człowiek nie nadąża z dodawaniem ich do filtrów.

Co się zmieniło?

Na początku spróbujmy sklasyfikować i podzielić spamerów ze względu na sposób wysyłania spamu

  1. Spamer wysyłający tylko i wyłącznie z jednego adresu email - taki spamer ma zawsze w polu nadawcy swój adres, który nie zmienia się.

  2. Spamer wysyłający z różnych adresów email, ale z tego samego adresu serwera o tym samym adresie IP - spamer ma wykupionych kilka domen i wysyła z różnych adresów email. Jednocześnie wszystkie wiadomości wysyła z tylko jednego serwera pocztowego.

  3. Spamer wysyłający z różnych adresów email i z różnych serwerów o różnych adresach IP - spamer jest w posiadaniu kilkuset do kilka tysięcy domen oraz posiada kilkanaście - kilkaset serwerów o różnych adresach IP. Każdego dnia dostajesz pocztę z innej domeny z innego adresu IP.

Dla przypadku pierwszego tak jak napisałem wcześniej najprostszym sposobem jest dodanie adresu email do filtrów antyspamowych, po dodaniu zapominasz o spamerze.
Przypadek drugi jest trudniejszy o tyle, że musisz połączyć różnych nadawców (z różnych domen) z jednym konkretnym spamerem a następnie wykluczyć adres IP z którego rozsyła spam.
Dla pierwszego przypadku miałeś spokój dopóki spamer nie zmieni domeny, przy drugim przypadku miałeś spokój dopóki spamer nie zmienił adresu IP serwera pocztowego.
A co z trzecim przypadkiem?
Dzisiaj spamer rozsyła do ciebie spam z domena A z serwera o adresie IP X, jutro z domeny B z serwera o adresie IP Y, pojutrze z domeny C i z serwera o adresie IP Z, itd.
Oczywiście nic nie stoi na przeszkodzie, abyś dostawał pocztę od spamera z różnych domen oraz różnych adresem IP tego samego dnia smile
Jak łatwo się domyśleć obecnie najwięcej jest spamerów ostatniego rodzaju.

Zatem analizując spamera - pierwsze co musisz sobie odpowiedzieć to do jakiej kategorii należy spamer:
- czy wystarczy tylko zablokować adres mailowy, czy adres IP cz też no właśnie co?

Walka z wiatrakami
Przy trzeciej kategorii spamera dodawanie każdorazowo adresu domeny mija się z celem. Dzisiaj dostajesz spam z jednej domeny, a za chwilę z innej.
<bozenattqyedz@domenaA.com>
<iwonafwrjaxkbardej@domenaB.com>
<edwardrdmyzdckustosik@domenaC.com>
<michalpkddrmy@domenaD.com>
<lidiajajwxrz@domenaE.com>
Szukanie słów kluczowych w treści maila i uczenie co jest spamem a co nie jest działaniem krótkotrwałym, a do tego i tak wymaga z twojej strony zbyt dużego zaangażowania oraz analizowania każdorazowo poczty. Po jakiś czasie spamer zmieni rodzaj spamy (czytaj za co innego dostanie kasę) i zabawa zaczyna się od początku.
Blokując adres IP jednego serwera, zablokowałeś jeden konkretny serwer, z pozostałych serwerów pocztowych spamer i tak będzie do ciebie wysyłał dalej spam.
Ale na dole jest przycisk Wypisz (ang. unsubscribe). Klikam. Świetnie wypisałeś się z jednej domeny na tysiąc, jednocześnie informując spamera, że twój adres jest prawidłowy i warto na niego dalej wysyłać spam, oczywiście z innej domeny. smile

Czy jest na to sposób?
Zacznijmy od tego, skąd spamer wysyła spam.
Na świecie jest dużo serwerowni, które udostępniają za opłatą serwery. Serwerownie takie mają określone pule adresowe IP.
Wykupując serwer otrzymujesz jakąś podsieć adresów IP do wykorzystania na swoje potrzeby. Umowa z reguły jest na rok, po którym możesz przedłużyć umowę lub zrezygnować.
Serwerownie z grubsza można podzielić na te szanujące się, gdzie administratorzy weryfikują twój sposób wykorzystania serwera (i z reguły jest to zawarte w umowie) oraz na te którym nie zależ, co robisz, do czego wykorzystujesz ich serwery, bylebyś płacił na czas.
Biorąc pod uwagę fakt, że spamer może wykupić w takiej serwerowni dowolną pulę adresacji IP i zmieniać je jak rękawiczki, do odstrzału należy wziąć nie adres IP serwera z której przyszła niechciana poczta, ale cały zakres IP danej serwerowni.
Proste?

Skąd to wziąć?
Jest takie narzędzie jak whois służące do odpytywania baz danych DNS, które pozwala poznać właściciela domeny, adres IP lub inne informacje „teleadresowe”.
Jeśli myślisz, że poznasz dane właściciela i będziesz mógł mu nawciskać co o nim myślisz, to zapomnij o tym. Od ładnych kliku lat dane można ukryć.
Jedyne co możesz uzyskać, to dane firmy obsługującej daną pulę adresów IP (czytaj serwerowni), z której korzysta spamer.

Nie każde narzędzie online wyświetla pulę adresów IP, podaję link do jednego z tych co wyświetla:
https://www.ultratools.com/tools/ipWhoisLookupResult
dla osób wykorzystujące Linuxa wystarczy narzędzie konsolowe whois.

Szukamy zatem całej puli adresowej IP dla danego dostawcy, która wygląda np. tak
inetnum:        31.220.44.0 - 31.220.45.255

zatem do filtrów wystarczy dodać całą grupę adresów 31.220.44. oraz 31.220.45.
Tadam!!! Właśnie znalazłeś jedną z puli adresów z której spamer obecnie wysyła spam i może wysyłać w przyszłości.
I taką analizę należy wykonać dla każdego spamu, który dzisiaj się pojawił. Po kilku dniach zauważysz istotną różnicę. smile

Dlaczego to działa?
Lista serwerowni na świecie udostępniająca usługi hostingowe jest zapewne duża, ale dla danego spamera ograniczona. Wyrzucając całą pulę adresów serwerowni ograniczasz dziś i w przyszłości spam, który rozsyła dany spamer.
Co z tego, że wykupi nowe miejsce i postawi nowe serwery pocztowe u danej firmy hostującej, jak ty już je i tak wykluczyłeś.
Spamer nie zmienia wykupionych serwerów codziennie, zapewne ma wykupione umowy roczne. Działa na danym serwerze przez określony czas albo dopóki go nie wywalą z danej serwerowni.
Jak przeniesie się do kolejnej serwerowni, lekcję z analizą spamera należy wykonać ponownie, jednakże działa to zdecydowanie na dłuższy czas niż dodawanie adresu email lub jednego adresu IP konkretnego serwera pocztowego.

Podejście do poczty
Zanim przejdę do technikaliów chciałbym powiedzieć o jednej prostej zasadzie, którą na pewno wielu zna. Mówię tutaj o zasadzie Inbox Zero, czyli pusta skrzynka odbiorcza. W momencie gdy przyjdzie poczta, to coś z nią powinienem zrobić.
Więcej o zasadzie Inbox zero można przeczytać w necie
https://www.google.com/search?q=Inbox+zero

Spam również wpada do skrzynki przychodzącej i coś z nim wypadałoby zrobić. Czas poświęcony na analizę danego maila jest zależny od osoby. W przypadku spamu jest to zazwyczaj kilka sekund, lecz jest to o kilka sekund za dużo zabierane z naszego życia. I tu wchodzi automatyzacja.
Jeśli coś jest spamem, to po co mam to oglądać? Wrzućmy to do kosza.

Jak tworzyć filtry w The Bat
Wchodzimy do Konto | Filtracja wiadomości
W drzewie po lewej stronie w sekcji Poczta przychodząca tworzymy nowy filtr o nazwie np. spamer IP
W oknie warunków dodajemy warunek Pole nagłówka Received zawiera dowolny z a następnie dodajemy w kolejnych liniach pule adresowe do wykluczenia, np. 31.220.44. oraz 31.220.45
W oknie operacji ustawiamy:

Przenieś do folderu Kosz
Dołącz notatkę (spamer IP)
Oznacz wiadomość jako przeczytaną 
Ustaw priorytet na niski

Pierwsza operacji przenosi wiadomość do kosza. Jak chcesz ten chłam analizować sobie dłużej to wybierz inny folder (np. Kosz\spam30dni) i ustaw w nim automatyczne czyszczenie po 30 dniach.
Kolejna operacja to taki szybki sposób na oznaczenie jakim filtrem został potraktowany mail. Pozostałe operacje nie wymagają komentarza.

Podobnie możemy filtrować pocztę dla standardowych spamerów, czyli dla danego adresu email:

Nazwa filtra: Spam Sender
Warunki: Nadawca zawiera dowolny z 
Operacje podobnie

Dla tematów:

Nazwa filtra: Spam Subject
Warunki: Temat zawiera dowolny z 
Operacje podobnie

Dla automatycznych robotów wysyłających listy odpowiadam automatycznym usuwaniem

Nazwa filtra: Spam Header X-Mailer
Warunki:Pole nagłówka X-Mailer zawiera dowolny z
Database
Datasend
EmailLabs
Fmail
OpenEMM
Lauren
PHP
PHPMailer
Xtbpsn
aspNetEmail
Traci
click365

Dla wszelkich niechcianych subskrypcji. Te, na których mi zależy wcześniej wpadają do określonych folderu.

Nazwa filtra: Spam Header Script Unsubscribe
Nagłówek zawiera dowolny z 
List-Unsubscribe
X-ListMember
X-PHP-Originating-Script
X-Brightmail-Tracker
X-PHP-Script
einternetmarketing.net

Po co nam to wszystko
Czy wiesz ile ciebie kosztuje walka ze spamem?
A ile kosztuje walka ze spamem firmę, w której pracujesz?
Kliknięcie i usunięcie poczty zajmuje kilka sekund, co to jest kilka sekund, zapewne powiesz. Ale jeśli przeliczysz to na czas poświęcony w ciągu miesiąca, zaczyna się tego już robić sporo.

Przykłady?
Firma otrzymuje od danego spamera około 10000 maili, które przeszły filtry spamowe na serwerze (Spam Assasin, RBL, itp.).
Na każdy mail użytkownik poświęca powiedzmy 5 sekund.
Policzmy 10000*5s = 50000s ~ prawie 14 godzin.
Nie oddawaj swojego życia spamerowi, ubij gada zanim on zaleje cię spamem.
Czego i wam i sobie życzę.
Pozdrawiam.