Versions Compared

Old Version 8

changes.mady.by.user Unknown User (vegardks)

Saved on

compared with

New Version Current

changes.mady.by.user Unknown User (vegardks)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Migrated to Confluence 5.3

Tiltak mot

...

spam

  • TDAT2004 - Datakommunikasjon med nettverksprogrammering.
  • Oppgave 15: Tiltak mot Spam
  • Erik Kjosavik, Vegard Stenvik

Widget Connector
width500
urlhttps://www.youtube.com/watch?v=-KYVe1VquSM

Innledning

Spam er en betegnelse på uønsket epost som e-post man ikke har bedt om, også kalt uønsket e-post. Disse kan ofte inneholde inneholder som oftest reklame eller virus, eller være et forsøk på svindel men kan også være svindelforsøk (phishing).[3]. Man  Man kan også motta “spam” "uønsket e-post" som man har bedt om selv, typisk nyhetsbrev og lignende, men da kalles dette bacn. Legitim mail e-post kan betegnes som ham. [4]

Det er flere årsaker til at SPAM spam er et problem. Blant annet Dette er dette som nevnt en vanlig måte å spre virus på eller å forsøke å svindle folk ved å lure de til å oppgi sensitiv informasjon. En type virus som er vanlig å sende med SPAM, er et som vil prøve å sende epost fra deg. De kan typisk se på dine kontakter og sende ut epost i deres navn. Det å sende epost, som ser ut som det er sendt fra en annen adresse kalles spoofing. på, men også forsøk på å svindle mennesker til å utgi sensitiv informasjon som senere kan misbrukes av krimimelle. Da brukes ofte teknikken phishing, som går ut på at man utgir seg for å være en troverdig avsender, for eksempel et firma du er kunde hos, og ber deg bekrefte betalingsinformasjon eller lignende. Et annet kjent eksempel på e-postsvindel er såkalt spoofing. Spoofing kjennetegnes ved at et virus innhenter kontaktinformasjon fra din maskin og senere bruker dette til å sende e-post i andres navn tilbake til deg, slik at det ser ut som om noen i kontaktlisten har sendt dette, og det er da større sjanse for at mottakeren tror det er legitimt. [10]

Selve mengden av SPAM spam som sendes er også et problem og i . I følge tall fra sikkerhetsselskapet Kaspersky utgjorde SPAM spam hele 66,34 % av all epost e-post sendt første kvartal av 2014 [1]. Håndtering av slik uønsket e-post kan være svært tidkrevende og kostbart, og et estimat gjort av American Economic Association regner at dette koster amerikanske bedrifter og privatpersoner rundt 20 milliarder dollar i året. [2]

Epost E-post er en tjeneste i applikasjonslaget som benytter SMTP-protokollen til sending av epost e-post og POP eller IMAP for å hente eposter e-poster fra en eposte-serverpostserver.


Ønsket funksjonalitet

Det vi ønsker å oppnå med et spamfilter er å filtrere ut spam og kun slippe gjennom ham, slik at legitim e-post, såkalt ham. Slik får brukeren kun får den informasjonen som han ønsker. Utfordringen er da å finne en eller flere metoder som gjør dette med såpass stor nøyaktighet slik at man slipper at for eksempel legitim e-post blir sett på som spam, eller at spam ikke blir filtrert ut. Ved filtrering kan det være ønskelig at epost som spam-filteret e-post som spamfilteret er usikker på blir sendt til en egen spam-mappemappe hvor man selv kan definere e-posten som spam eller ham.


Virkemåte

Det finnes flere måter å filtrere SPAM spam , og det er tre kategorier med filtreringsmetoder som er vanlige:

  • Reversoppslag i DNS

  • Lister med godkjente/ikke-godkjente avsendere

  • Analyse av innhold



Reversoppslag i DNS

rDNS_illustrasjon.png

Illustrasjon: reversoppslag i DNS. E-posttjeneren spør DNS om en IP-adresse har et tilhørende domene. E-posten kan forkastes hvis IP-adressen ikke tilhører et domene.


For at en datamaskin skal vite hvilken server den skal sende en forespørsel til, trenger den å vite hva IP-adressen til serveren er. Det kan være vanskelig å huske mange forskjellige IP-adresser da de består av mange tall. Det er mye enklere å huske en adresse bestående av ord. Derfor benyttes DNS-servere, eller Domain Name System. Dette er en tjener som oversetter en adresse bestående av ord til en IP-adresse, som består av tall. Eksempelvis vil “vg.no” bli oversatt til “2001:67c:21e0::16”(IPv6). “VgAdressen “vg.no” er annsett vil anses som enklere å huske enn “2001:67c:21e0::16”.

...

I et spam-filtreringssystem kan dette gjøres i revers for å avdekke om en IP-adresse har et tilhørende domenenavn. Dersom en epost e-post kommer fra en IP-adresse som ikke har et domenenavn vil den kunne markeres som spam. Dette er ikke nødvendigvis en veldig sikker metode å filtrere ut spam på, da spammere kan opprette egne poster i DNS-tjeneren sin for revers-DNS som peker til et vilkårlig domene, for å omgå filtreringen. Det er forøvrig ingen krav om at man faktisk har tillatelse til å peke til et domenenavn i DNS-tjeneren, noe som gjør dette mulig.


Svartelister/hvitelister

En annen metode for å som kan avgjøre om en epost e-post er spam eller ikke er ved å ha lage en liste med godkjente avsendere, såkalt hvitelister (DNSWL), eller en liste med blokkerte avsendere, såkalt svartelister (DNSBL)[7]. Det finnes mange slike lister tilgjengelig ute etablerte hvite- og svartelister tilgjengelig på nettet som man kan benytte seg av. En , og en av de eldste slike lister er SURBL. 


Svartelister kan ha flere forskjellige ulike hensikter og virkemåter. For eksempel kan en svarteliste inneholde en liste en liste med IP-adresser som tilhører eposte-servere postservere som er kjent for å sende SPAMspam, IP-adresser som tilhører en hel internett-tilbyder som er kjent for å godta spammere, eller enkelte eposte-adresser postadresser som mange brukere har markert som spam. Hvordan flere eposte-avsendere postavsendere blir lagt til i listen varierer også. Noen benytter en manuell framgangsmåte hvor brukerene er de som avgjør om noe er spam eller ikke, og som så melder at avsenderen av eposten e-posten er en spammer. Det finnes også automatiske metoder for å bygge opp en slik liste, for eksempel med såkalte honeypot-systemer. Siden Honeypot-systemer utnytter det at mange spammere benytter åpne sårbare epost-tjenester så kan en DNSBL-leverandør opprette egne epost-tjenere som framstår som sårbare, for så å overvåke disse og fange opp IP-adressene til spammere som prøver å benytte seg av systemete-postreléer, og går ut på at man oppretter en tilsynelatende åpen og sårbar e-postrelé som skal fange opp hvilke spammere som utnytter den.[6]


Noen svartelister angir en Time To Live (TTL) for hver oppføring, som bestemmer hvor lenge svartelistingen skal gjelde for, mens andre systemer krever at en svartelisting blir manuelt fjernet av en administrator.


Analyse av innhold

Å sjekke en epost e-post for spesifikke ord er også en populær måte å filtrere spam på. For eksempel så er det stor sjanse for at en epost e-post er spam hvis den inneholder ordet “viagra”. Her brukes det ofte statistikk for å avgjøre hvilke ord som gir stor sannsynlighet for at eposten e-posten er spam. Spamfilteret gir dermed hvert ord en egen score, og så filtreres eposten e-posten basert på om totalsummen av ordenes total score er over eller under en satt grense.

...

Naive Bayes er en en populær formel for å beregne sannsynligheten for at en epost e-post som inneholder et bestemt ord er spam. Denne formelen angir sannsynligheten for at en epost e-post er spam gitt at ordet et ord er med slik:.


equation-6540.png



Tilfeldig utvalg av ord som er vanlige i emnefeltet på SPAMspam-mail

 

Viagra

F R E E

Cash

$$$

Winner

Weight loss

Million

Credit

Spammere er kjent med at dette er en vanlig måte å filtrere SPAM spam på og kontrer vanligvis dette med å bytte ut bokstaver med tegn som ligner, for eksempel den latinske 'A' er byttet ut med kyrilliske 'A'.



Andre metoder for å forhindre

...

spam

Ved å bruke

...

Man kan benytte sjekking av at innkommende eposter følger standardene satt i RFC5321 for SMTP for å kan man avgjøre om eposten en innkommende e-post er spam eller ikke. For eksempel kan eposte-serveren postserveren avvise eposten e-posten første gang den ser den, og en legitim avsender vil da automatisk forsøke å levere eposten e-posten igjen, mens en spammer gir opp med en gang for å spare båndbredde. I RFC5321 er det også spesifisert at en SMTP-forespørsel skal avsluttes med en quit-kommando for å lukke tilkoblingen, noe mange spammere ikke alltid gjør. Dermed kan vi også luke ut eposter man også forkaste e-poster som kommer fra tilkoblinger som ikke blir skikkelig lukket.[9]



Referanser

[1] "SPAM statistics report q1 2014". Kaspersky. URL: https://usa.kaspersky.com/internet-security-center/threats/spam-statistics-report-q1-2014#.WKctE7G-Isk 17.02.16

[2] Justin M. Rao and David H. Reiley (2012). “The Economics of Spam”. American Economic Association. URL: http://pubs.aeaweb.org/doi/pdfplus/10.1257/jep.26.3.87

[3] "Spam" (2012). Store Norske Leksikon. URL: https://snl.no/spam 

[4] "Bacn" (2007) New York Times URL: http://www.nytimes.com/2007/12/23/weekinreview/23buzzwords.html?ref=weekinreview

[5] "Reverse DNS check". (Hentet 26.02.2017) URL: https://www.debouncer.com/reverse-dns-check

[6] "Honeypot" (2017) Wikipedia. URL: https://en.wikipedia.org/wiki/Honeypot_(computing)#frbanner3

[7] "Overview of Best Email DNS-Based List (DNSBL) Operational Practices" (2012) C.Lewis, M.Sergeant. URL: https://tools.ietf.org/html/rfc6471#page-3

[8] "List of email SPAM Trigger words" (2012) Karen Rubin. URL: https://blog.hubspot.com/blog/tabid/6307/bid/30684/The-Ultimate-List-of-Email-SPAM-Trigger-Words.aspx#sm.000y7k33yxwhegz10701kfiw9ofsi

[9]  "Simple Mail Transfer Protocol" (2008) J. Klensin. URL: https://tools.ietf.org/html/rfc5321

[10] "Spoofing" wwLegal. URL:  http://www.wwlegal.com/posts/e-mail-impersonators-identifying-spoofed-e-mail/