Đề tài Nghiên cứu và cung cấp các công cụ chống spam trên hệ thống mail server

NGHIÊN CỨU VÀ CUNG CẤP CÁC CƠNG CỤ CHỐNG SPAM TRÊN HỆ THỐNG MAIL SERVER MƠN : AN TỒN MẠNG GIÁO VIÊN: Thầy Võ ðỗ Thắng, GV an ninh mạng ATHENA SINH VIÊN THỰC HIỆN: 0512130 – Dương Thanh Huy 0512408 – Hồ Thị Thanh Vy 0512418 – Phạm Hồng Linh Contents 1. Spam mail ................................................................................................................. 4 Chống spam trên hệ thống mail server An Tồn Mạng 2 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn 1.1. Spam mail là gì ? .................................................................................................... 4 1.2. ðặc điểm của Spam mail....................................................................................... 4 1.3. Cách thức hoạt động của Spam mail..................................................................... 5 1.3.1. Thu thập địa chỉ email ......................................................................................... 5 1.3.2. Phát tán email ...................................................................................................... 6 1.4. Các loại Spam mail................................................................................................. 7 1.4.1. Harvested address spam ...................................................................................... 7 1.4.2. Virus spam........................................................................................................... 7 1.4.3. Domain name spam ............................................................................................. 7 1.4.4. Dictionary spam................................................................................................... 7 1.4.5. Window messenger spam .................................................................................... 8 1.4.6. Hacked mail service spam ..................................................................................... 8 1.5. Tác hại của spam mail ............................................................................................ 8 2. Chống Spam trên hệ thống mail server ................................................................... 10 2.1. Các cơ chế chống spam mail ................................................................................ 10 2.1.1. Sử dụng DNS blacklist ........................................................................................ 10 2.1.2. Sử dụng SURBL list ........................................................................................... 11 2.1.3. Kiểm tra người nhận........................................................................................... 12 2.1.4. Kiểm tra địa chỉ .................................................................................................. 13 2.1.5. Chặn IP .............................................................................................................. 13 2.1.6. Sử dụng bộ lọc Bayesian ................................................................................... 14 2.1.7. Sử dụng danh sách Black/white list................................................................... 15 2.1.8. Kiểm tra Header................................................................................................. 16 2.1.9. Sử dụng tính năng Challenge/Response ............................................................ 17 Chống spam trên hệ thống mail server An Tồn Mạng 3 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn 2.2. Các cơng nghệ chống spam mail .......................................................................... 18 2.2.1. Tem cho email ................................................................................................... 18 2.2.2. Cài mật mã......................................................................................................... 18 2.2.3. Khai báo thơng tin ............................................................................................. 18 2.2.4. Lọc email qua nội dung ..................................................................................... 18 2.2.5. Lọc theo danh sách website chuyển tiếp ........................................................... 19 2.3. Các biện pháp phịng tránh spam mail ................................................................. 19 3. Các cơng cụ chống spam cho mail server ................................................................ 21 3.1. Software................................................................................................................ 21 3.1.1. VinaCIS AntiSpam............................................................................................ 21 3.1.2. GFI Mail Essentials ........................................................................................... 22 3.1.3. eWall.................................................................................................................. 24 3.2. Hardware .............................................................................................................. 25 3.2.1. Tường lửa lọc thư rác Barracuda Spam Firewall .............................................. 25 Tài liệu tham khảo ......................................................................................................... 27 I . Spam mail và các vấn đề liên quan Chống spam trên hệ thống mail server An Tồn Mạng 4 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn 1. Spam mail 1.1 . Spam mail là gì ? Spam mail (thư rác) là các thư điện tử vơ bổ thường chứa các loại quảng cáo được gửi một cách vơ tội vạ và nơi nhận là một danh sách rất dài gửi từ các cá nhân hay các nhĩm người và chất lượng của loại thư này thường thấp. ðơi khi, nĩ dẫn dụ người nhẹ dạ, tìm cách đọc số thẻ tín dụng và các tin tức cá nhân của họ. 1.2 . ðặc điểm của Spam mail Người dùng hộp thư cĩ thể cĩ cảm giác bị "tra tấn" bằng các thư điện tử quảng cáo. Các spam thì vơ hại nhưng mỗi ngày nhiều người cĩ thể vì các spam mail này mà bị đầy cả hộp thơ. Trong năm 2003 khi các phần mềm chống spam chưa phổ biến và cỡ của các hộp thư điện tử cịn giới hạn thì đã cĩ rất nhiều người dùng email phải nhận cả trăm spam trong một ngày mà chỉ cĩ đúng vài nội dung khác nhau. Tại sao các spam lại lặp đi lặp lại một cái thư quảng cáo cả chục lần cho một hộp thư? Một lý do là các hãng quảng cáo muốn dùng hiệu ứng tâm lý. Khi hình ảnh sản phẩm nào đĩ cứ đập vào mắt người đọc mãi thì đến lúc cần mua một thứ cĩ chức năng tương tự (hay cùng loại) thì chính hình ảnh thương hiệu của cái spam mail sẽ hiện đến trong ĩc người đĩ trước tiên. Lý do khác là kích thích sự tị mị của người dùng email muốn đọc thử một spam xem cĩ nội dung gì bên trong. Spam mail khơng cĩ "độc tính", hiểu theo nghĩa cĩ hại cho máy tính, mà chỉ đơi khi làm người chủ hộp thư khĩ chịu hoặc đơi khi làm cho các thư từ khác quan trọng hơn thay vì nhận được thì lại bị trả về cho người gửi vì lí do hộp thư người nhận đã quá đầy. Tuy nhiên, khơng thể tránh được các spam mail cĩ nội dung khiêu khích hay lợi dụng. Việc quan trọng nhất của ngưịi dùng hộp thư là đừng bao giờ trả lời hay xác nhận bất kì gì mà các thư này yêu cầu và việc đơn giản là xĩa chúng đi. Chống spam trên hệ thống mail server An Tồn Mạng 5 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn Các chi phí chuyển thư, chứa thư và xử lý thư nhũng lạm thuộc về người dùng hay tổ chức cung ứng Webmail. Tuy nhiên cần phân biệt rõ rằng hồn tồn hơp pháp khi cĩ các email tiếp thị. Những người gửi spam thường ngụy tạo những thơng tin giả như là tên, địa chỉ, số điện thoại... để đánh lừa các ISP. Họ cũng thường dùng số giả hay số ăn cắp của các thẻ tín dụng để chi trả cho các tài khoản. Việc này cho phép họ di chuyển thật nhanh từ một tài khoản này sang tài khoản khác mỗi lần bị phát hiện và bị đĩng tài khoản bởi các chủ ISP. 1.3. Cách thức hoạt động của Spam mail 1.3.1. Thu thập địa chỉ email Bước đầu tiên mà các Spammer sử dụng đĩ là thu thập email càng nhiều càng tốt, và sau đĩ gửi mail hàng loạt cho các địa chị email đã đã cĩ. ðầu tiên, các Spammer sẽ thu thập địa chỉ email từ các trang web được xuất bản trên mạng internet thơng qua việc nhận dạng kí tự @ - đại diện cho một địa chỉ email. Cách này khá hiệu quả dưới sự trợ giúp của các phần mềm lọc email chuyên dụng. Cách thứ 2 là thành lập các trang web với nội dung "nĩng bỏng, khiêu gợi", hấp dẫn chiêu dụ những người nhẹ dạ, chỉ cần để lại email trên textbox: "Would you like to receive e-mail newsletters from our partners?" hoặc: “Enter email to receive largest prize of the year”... hoặc là: “Enter email to chat with her” bên cạnh là tấm hình một cơ gái xinh đẹp nào đĩ. Cách thứ 3 là tham gia các diễn đàn, website cĩ sử dụng thơng tin đăng kí qua email để kích hoạt tài khoản, những tay spammer thường thu thập số lượng lớn từ các forum dạng này thơng qua các phần mềm, các bot tự động dị tìm email hoặc... các Admin bán email thành viên cho những cty chuyên đi spam mail hay gọi với cái tên “đẹp” hơn là Email Marketing. Cách thứ 4 và mang lại hiệu quả nhất vẫn là Dictionary Attack, cách này sử dụng phương thức lập trình sẵn cho một chiếc máy tính cĩ thể tạo ra rất nhiều biến Chống spam trên hệ thống mail server An Tồn Mạng 6 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn thể từ một địa chỉ email bằng cách thay đổi các ký tự - ví dụ như email1@gmail.com rồi tới email2@gmail.com, cứ tiếp tục như vậy... nĩ sẽ tự động sinh ra cả ngàn cái email khác nhau chỉ bằng cách sửa vài chữ cái hay vài con số. 1.3.2. Phát tán email Sau khi đã “thu thập” được hàng trăm ngàn email bằng các cách ở trên. Bước tiếp theo Spammer phát tán thư tới các email đã thu thập được. Việc phát tán email được thực hiện với nhiều cách. Cách thứ nhất là các Spammer phải bỏ tiền đầu tư trang bị cho mình rất nhiều hệ thống máy tính, modem và đường truyền Internet tốc độ cao để Spam, cách thứ hai là gửi Spam thơng qua những máy chủ (open proxy servers). Cách nữa khơng thể khơng nĩi đến hệ thống Botnet – những máy bị nhiễm backdoor chiếm quyền điều khiển, những máy con này tạo thành một hệ thống mạng Botnet khổng lồ cĩ thể lên đến hàng nghìn máy tính nối mạng, ngồi cơng dụng DDoS hữu hiệu nĩ cịn là nơi phát tán thư rác ngoan ngỗn và “an tồn” cho các Spammer, Hacker. Cách này khá nguy hiểm cho người dùng internet nhưng mang lại hiệu quả khá lớn cho các Spammer chuyên nghiệp. Chống spam trên hệ thống mail server An Tồn Mạng 7 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn 1.4. Các loại Spam mail 1.4.1. Harvested address spam ðây là loại spam phổ biến nhất. Spammer sử dụng gián điệp hay spam bot để kiểm tra hầu hết các địa chỉ website trên internet. Spam bot sẽ tìm kiếm trong code của mỗi trang web kí tự @. Khi nĩ tìm thấy một kí tự @, nĩ biết rằng nĩ đã tìm thấy một địa chỉ email. Sau đĩ nĩ sẽ thu thập các bit kế cận kí tự @ để lấy được địa chỉ email đĩ và thêm vào trong cơ sở dữ liệu của spammer, nơi chứa hàng triệu địa chỉ đã thu thập được. Từ đĩ những địa chỉ này sẽ nhận được rất nhiều spam. 1.4.2. Virus spam Máy tính của một ai đĩ bị nhiễm loại virus này. Khơng may là trong address book của họ cĩ chứa địa chỉ email của bạn. Virus sẽ gửi spam tới mỗi địa chỉ cĩ trong address book đĩ. 1.4.3. Domain name spam Spammer cho rằng hầu hết các website đều sử dụng địa chỉ email dạng chung là sale@... hay info@... Họ chỉ việc gửi spam đến tất cả các email cĩ chuẩn chung như vậy tại mỗi tên miền trên thế giới. 1.4.4. Dictionary spam ðơi khi bạn nhận được spam theo dạng từ điển khi bạn sử dụng một dịch vụ email phổ biến. Spammer sẽ tạo ra các biến thể từ một địa chỉ email bằng cách thay đổi một vài ký tự, cứ như thế sẽ tạo được hàng nghìn các địa chỉ khác nhau. Chống spam trên hệ thống mail server An Tồn Mạng 8 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn 1.4.5. Window messenger spam Bạn cĩ thấy xuất hiện thanh pop up với dịng chữ “Messenger Service” trên thanh tiêu đề hay khơng ? Nếu cĩ tức là bạn cĩ thể đã nhận được Window messenger spam. 1.4.6. Hacked mail service spam Một vài ISP hay dịch vụ webmail cĩ thể bị hack bởi các spammer hay các địa chỉ mail cĩ thể bị bán cho các spammer. Cần đọc kỹ những điều lệ khi đăng ký địa chỉ mail. Tìm xem cĩ box nào nĩi rằng: “ Chúng tơi cĩ thể gửi địa chỉ email của bạn cho một bên thứ 3, đánh dấu vảo đây nếu bạn khơng muốn nhận những thơng tin tiếp thị từ các cơng ty khác ..” hay khơng. 1.5. Tác hại của spam mail Mỗi năm lượng thư rác tăng lên một cách chĩng mặt vượt qua mọi sự ngăn chặn của nhiều phần mềm bảo mật, các tổ chức nghiên cứu. Và tác hại do nĩ thì khơng thể đo hay tính được, nhưng theo thống kê của Internet Week thì "50 tỉ USD mỗi năm" là số tiền mà các cơng ty, tổ chức thương mại trên thế giới phải bỏ ra để đối phĩ với nạn thư rác đang hàng ngày tấn cơng vào hịm thư của nhân viên. Mỹ là quốc gia chịu nhiều thiệt hại nhất, chiếm 1/3 số tiền nĩi trên. Ngồi việc giảm năng suất lao động, gây khĩ chịu cho người nhận, tắc nghẽn băng thơng mạng và tài nguyên lưu trữ, làm tăng thời gian xử lý của hệ thống máy chủ e-mail, spam cịn là nguyên nhân gây đau đầu cho những nhà quản trị các doanh nghiệp lớn vì chúng làm họ tốn hàng triệu USD mỗi năm để xử lý và loại bỏ spam mail. Thống kê về spam trên thế giới cho thấy: 31 tỷ là tổng số spam đã được gửi qua internet trong năm 2002, và 60 tỷ vào năm 2006 (theo Báo cáo tháng 1/2003 của chính phủ Canada: “E-mail marketing: Consumer choices and business opportunities”). Chống spam trên hệ thống mail server An Tồn Mạng 9 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn 36% là tỷ lệ mà spam chiếm trong tổng số e-mail lưu thơng trên internet năm 2002, tăng 8% so với 2001 ( 42 spam/ngày là con số trung bình một địa chỉ e-mail nhận. Theo nghiên cứu của Cơng ty Jupiter Research (Mỹ), con số đĩ tăng lên thành 70 vào năm 2007 (theo PC Magazine 5/2003). 15 giờ/năm là tổng số giờ một người phải bỏ ra để xĩa spam vào năm 2003, so sánh với 2,2 giờ/năm của năm 2000 (theo Ferris Research; 2-3 USD/tháng là chi phí người dùng phải trả cho ISP để kiểm sốt spam (theo Information Week, 2000). 10 tỷ Euro là tổng số tiền ước tính người dùng e-mail trên tồn thế giới phải chi trả hàng năm cho spam ( 25% trong tổng số spam mang nội dung khiêu dâm và rao bán các sản phẩm, dịch vụ liên quan ( Trên 53% là tổng số giờ hoạt động hàng năm của các máy chủ e-mail phải dùng để xử lý spam và các dạng tấn cơng e-mail vào năm 2002 (theo cơng ty Postini, chuyên cung cấp cơng nghệ xử lý spam - 74% là tỷ lệ người dùng internet tin rằng ISP của họ phải cĩ trách nhiệm xử lý spam (Cơng ty Nghiên cứu Gartner Group). 36% là tỷ lệ người dùng đã phải thay đổi ISP để giảm bớt số lượng spam mà họ nhận (Cơng ty Nghiên cứu Gartner Group). Spam là lý do thứ tư khiến người dùng thay đổi ISP: Lý do thứ nhất là lỗi kết nối, thứ hai là giá thành, thứ ba là thơng báo bận, thứ tư là spam (theo SpamCon Foundation, 2002). ðối với các doanh nghiệp, các chi phí trực tiếp phải trả bao gồm phần cứng máy chủ (khơng gian đĩa cứng để lưu giữ các thơng điệp), băng thơng (spam làm nghẽn mạng hoặc khiến mạng hoạt động khơng ổn định) và chi phí nâng cấp máy trạm. Nhưng hao tốn thời gian để xĩa các spam mới là điều đáng nĩi hơn. Các nhà Chống spam trên hệ thống mail server An Tồn Mạng 10 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn cung cấp dịch vụ internet (ISP) cũng là nạn nhân đặc biệt của spam bởi chúng lưu thơng trên mạng thường xuyên, khiến họ phải lưu trữ hàng triệu thư rác như vậy. Các chuyên gia về spam lo ngại: Spam sẽ làm thay đổi cách sử dụng e-mail và cấu trúc internet tồn cầu. 2. Chống Spam trên hệ thống mail server 2.1. Các cơ chế chống spam mail Spam mail gây ra rất nhiều tác hại, vì thế việc phịng chống và ngăn chặn spam mail là cần thiết. Hiện cĩ nhiều cơng ty phần mềm cung cấp các giải pháp chống spam, mỗi dịng sản phẩm cĩ những tính năng và ưu nhược điểm riêng nhưng hầu hết các sản phẩm đĩ hoạt động đều dựa vào một số nguyên lý sau: 2.1.1. Sử dụng DNS blacklist Phương pháp sử dụng DNS black list sẽ chặn các email đến từ các địa chỉ nằm trong danh sách DNS blacklist. Cĩ hai loại danh sách DNS Blacklist thường được sử dụng, đĩ là: Chống spam trên hệ thống mail server An Tồn Mạng 11 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn • Danh sách các miền gửi spam đã biết, danh sách các miền này được liệt kê và cập nhật tại địa chỉ • Danh sách các máy chủ email cho phép hoặc bị lợi dụng thực hiện việc chuyển tiếp spam được gửi đi từ spammer. Danh sách này được liệt kê và cập nhật thường xuyên tại địa chỉ Cơ sở dữ liệu Open Relay Database này được duy trì bởi ORDB.org là một tổ chức phi lợi nhuận. Khi một email được gửi đi, nĩ sẽ đi qua một số SMTP server trước khi chuyển tới địa chỉ người nhận. ðịa chỉ IP của các SMTP server mà email đĩ đã chuyển qua được ghi trong phần header của email. Các chương trình chống spam sẽ kiểm tra tất cả các địa chỉ IP đã được tìm thấy trong phần header của email đĩ sau đĩ so sánh với cơ sở dữ liệu DNS Blacklist đã biết. Nếu địa chỉ IP tìm thấy trong phần này cĩ trong cơ sở dữ liệu về các DNS Blacklist, nĩ sẽ bị coi là spam, cịn nếu khơng, email đĩ sẽ được coi là một email hợp lệ. Phương pháp này cĩ ưu điểm là các email cĩ thể được kiểm tra trước khi tải xuống, do đĩ tiết kiệm được băng thơng đường truyền. Nhược điểm của phương pháp này là khơng phát hiện ra được những email giả mạo địa chỉ người gửi. 2.1.2. Sử dụng SURBL list Chống spam trên hệ thống mail server An Tồn Mạng 12 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn Phương pháp sử dụng SURBL phát hiện spam dựa vào nội dung của email. Chương trình chống spam sẽ phân tích nội dung của email xem bên trong nĩ cĩ chứa các liên kết đã được liệt kê trong Spam URI Realtime Blocklists (SURBL) hay khơng. SURBL chứa danh sách các miền và địa chỉ của các spammer đã biết. Cơ sở dữ liệu này được cung cấp và cập nhật thường xuyên tại địa chỉ www.surbl.org. Cĩ nhiều danh sách SURBL khác nhau như sc.surbl.org, ws.surbl.org, ob.surbl.org, ab.surbl.org..., các danh sách này được cập nhật từ nhiều nguồn. Thơng thường, người quản trị thường kết hợp các SURBL list bằng cách tham chiếu tới địa chỉ multi.surbl.org. Nếu một email sau khi kiểm tra nội dung cĩ chứa các liên kết được chỉ ra trong SURBL list thì nĩ sẽ được đánh dấu là spam email, cịn khơng nĩ sẽ được cho là một email thơng thường. Phương pháp này cĩ ưu điểm phát hiện được các email giả mạo địa chỉ người gửi để đánh lừa các bộ lọc. Nhược điểm của nĩ là email phải được tải xuống trước khi tiến hành kiểm tra, do đĩ sẽ chiếm băng thơng đường truyền và tài nguyên của máy tính để phân tích các nội dung email. 2.1.3. Kiểm tra người nhận Tấn cơng spam kiểu “từ điển” sử dụng các địa chỉ email và tên miền đã biết để tạo ra các địa chỉ email hợp lệ khác. Bằng kỹ thuật này spammer cĩ thể gửi spam tới các địa chỉ email được sinh ra một cách ngẫu nhiên. Một số địa chỉ email trong số đĩ cĩ thực, tuy nhiên một lượng lớn trong đĩ là địa chỉ khơng tồn tại và chúng gây ra hiện tượng “lụt” ở các máy chủ mail. Phương pháp kiểm tra người nhận sẽ ngăn chặn kiểu tấn cơng này bằng cách chặn lại các email gửi tới các địa chỉ khơng tồn tại trên Active Directory hoặc trên máy chủ mail server trong cơng ty. Tính năng này sẽ sử dụng Active Directory hoặc LDAP server để xác minh các địa chỉ người nhận cĩ tồn tại hay Chống spam trên hệ thống mail server An Tồn Mạng 13 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn khơng. Nếu số địa chỉ người nhận khơng tồn tại vượt quá một ngưỡng nào đĩ (do người quản trị thiết lập) thì email gửi tới đĩ sẽ bị coi là spam và chặn lại. 2.1.4. Kiểm tra địa chỉ Bằng cách kiểm tra địa chỉ người gửi và người nhận, phần lớn spam sẽ được phát hiện và chặn lại. Thực hiện kiểm tra địa chỉ người gửi trước khi email được tải xuống sẽ tiết kiệm được băng thơng đường truyền cho tồn hệ thống. Kỹ thuật Sender Policy Framework (SPF, www.openspf.org) được sử dụng để kiểm tra địa chỉ người gửi email. Kỹ thuật SPF cho phép chủ sở hữu của một tên miền Internet sử dụng các bản ghi DNS đặc biệt (gọi là bản ghi SPF) chỉ rõ các máy được dùng để gửi email từ miền của họ. Khi một email được gửi tới, bộ lọc SPF sẽ phân tích các thơng tin trong trường “From” hoặc “Sender” để kiểm tra địa chỉ người gửi. Sau đĩ SPF sẽ đối chiếu địa chỉ đĩ với các thơng tin đã được cơng bố trong bản ghi SPF của miền đĩ xem máy gửi email cĩ được phép gửi email hay khơng. Nếu email đến từ một server khơng cĩ trong bản ghi SPF mà miền đĩ đã cơng bố thì email đĩ bị coi là giả mạo. 2.1.5. Chặn IP Chống spam trên hệ thống mail server An Tồn Mạng 14 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn Phương pháp này sẽ chặn các email được gửi đến từ các địa chỉ IP biết trước. Khi một email đến, bộ lọc sẽ phân tích địa chỉ máy gửi và so sánh với danh sách địa chỉ bị chặn. Nếu email đĩ đến từ một máy cĩ địa chỉ trong danh sách này thì nĩ sẽ bị coi là spam, ngược lại nĩ sẽ được coi là email hợp lệ. 2.1.6. Sử dụng bộ lọc Bayesian Bộ lọc Bayesian hoạt động dựa trên định lý Bayes để tính tốn xác suất xảy ra một sự kiện dựa vào những sự kiện xảy ra trước đĩ. Kỹ thuật tương tự như vậy được sử dụng để phân loại spam. Nếu một số phần văn bản xuất hiện thường xuyên trong các spam nhưng thường khơng xuất hiện trong các email thơng thường, thì cĩ thể kết luận rằng email đĩ là spam. Trước khi cĩ thể lọc email bằng bộ lọc Bayesian, người dùng cần tạo ra cơ sở dữ liệu từ khĩa và dấu hiệu (như là ký hiệu $, địa chỉ IP và các miền...) sưu tầm từ các spam và các email khơng hợp lệ khác. Mỗi từ hoặc mỗi dấu hiệu sẽ được cho một giá trị xác suất xuất hiện, giá trị Chống spam trên hệ thống mail server An Tồn Mạng 15 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn này dựa trên việc tính tốn cĩ bao nhiêu từ thường hay sử dụng trong spam, mà trong các email hợp lệ thường khơng sử dụng. Việc tính tốn này được thực hiện bằng cách phân tích những email gửi đi của người dùng và phân tích các kiểu spam đã biết. ðể bộ lọc Bayesian hoạt động chính xác và cĩ hiệu quả cao, cần phải tạo ra cơ sở dữ liệu về các email thơng thường và spam phù hợp với đặc thù kinh doanh của từng cơng ty. Cơ sở dữ liệu này được hình thành khi bộ lọc trải qua giai đoạn “huấn luyện”. Người quản trị phải cung cấp khoảng 1000 email thơng thường và 1000 spam để bộ lọc phân tích tạo ra cơ sở dữ liệu cho riêng nĩ. 2.1.7. Sử dụng danh sách Black/white list Việc sử dụng các danh sách black list, white list giúp cho việc lọc spam hiệu quả hơn. Black list là cơ sở dữ liệu các địa chỉ email và các miền mà bạn khơng bao giờ muốn nhận các email từ đĩ. Các email gửi tới từ các địa chỉ này sẽ bị đánh dấu là spam. Chống spam trên hệ thống mail server An Tồn Mạng 16 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn White list là cơ sở dữ liệu các địa chỉ email và các miền mà bạn mong muốn nhận email từ đĩ. Nếu các email được gửi đến từ những địa chỉ nằm trong danh sách này thì chúng luơn được cho qua. Thơng thường các bộ lọc cĩ tính năng tự học, khi một email bị đánh dấu là spam thì địa chỉ người gửi sẽ được tự động đưa vào danh sách black list. Ngược lại, khi một email được gửi đi từ trong cơng ty thì địa chỉ người nhận sẽ được tự động đưa vào danh sách white list. 2.1.8. Kiểm tra Header Phương pháp này sẽ phân tích các trường trong phần header của email để đánh giá email đĩ là email thơng thường hay là spam. Spam thường cĩ một số đặc điểm như: • ðể trống trường From: hoặc trường To: • Trường From: chứa địa chỉ email khơng tuân theo các chuẩn RFC. • Các URL trong phần header và phần thân của message cĩ chứa địa chỉ IP được mã hĩa dưới dạng hệ hex/oct hoặc cĩ sự kết hợp theo dạng username/password (ví dụ các địa chỉ: www.citibank.com@scammer.com). • Phần tiêu đề của email cĩ thể chứa địa chỉ email người nhận để cá nhân hĩa email đĩ. Lưu ý khi sử dụng tính năng này với các địa chỉ email dùng chung cĩ dạng như sales@company.com. Ví dụ khi một khách hàng phản hồi bằng cách Chống spam trên hệ thống mail server An Tồn Mạng 17 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn sử dụng tính năng auto-reply với tiêu đề “your email to sales” cĩ thể bị đánh dấu là spam. • Gửi tới một số lượng rất lớn người nhận khác nhau. • Chỉ chứa những file ảnh mà khơng chứa các từ để đánh lừa các bộ lọc. • Sử dụng ngơn ngữ khác với ngơn ngữ mà người nhận đang sử dụng. Dựa vào những đặc điểm này của spam, các bộ lọc cĩ thể lọc chặn. 2.1.9. Sử dụng tính năng Challenge/Response Tính năng này sẽ yêu cầu người lần đầu gửi email xác nhận lại email đầu tiên mà họ đã gửi, sau khi xác nhận, địa chỉ email của người gửi được bổ sung vào danh sách White list và từ đĩ trở về sau các email được gửi từ địa chỉ đĩ được tự động cho qua các bộ lọc. Do spammer sử dụng các chương trình gửi email tự động và họ khơng thể xác nhận lại tất cả các email đã gửi đi, vì thế những email khơng được xác nhận sẽ bị coi là spam. Chống spam trên hệ thống mail server An Tồn Mạng 18 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn Phương pháp này cĩ hạn chế là nĩ yêu cầu những người gửi mới phải xác nhận lại email đầu tiên mà họ gửi. ðể khắc phục nhược điểm này, người quản trị chỉ nên sử dụng phương pháp này đối với những email mà họ nghi ngờ là spam. 2.2. Các cơng nghệ chống spam mail 2.2.1. Tem cho email Theo hai nhà nghiên cứu Fahlman và Mark Wegman thuộc Trung tâm Nghiên cứu của IBM tại Watson, Mỹ, phương pháp chống spam hiệu quả nhất là yêu cầu những người khơng cĩ tên trong danh sách “khách hàng thân thiết” của bạn phải mua tem cho mỗi e-mail mà họ gửi cho bạn. Một chương trình sẽ được đặt nằm giữa máy chủ e-mail và máy tính cá nhân của khách hàng để đối chiếu tên người gửi với danh sách khách hàng của bạn. “ðồng tiền đi liền khúc ruột”, những kẻ gửi spam sẽ phải cân nhắc kỹ trước khi bấm “send” để gửi hàng loạt e-mail. 2.2.2. Cài mật mã Bạn gửi e-mail thơng báo cho tất cả mọi người với một đoạn mật mã đã được cài đặt sẵn trong e-mail của bạn, và máy chủ e-mail của ISP sẽ chỉ cho phép những e- mail nào cĩ đoạn mật mã này đi qua. 2.2.3. Khai báo thơng tin Một chương trình sẽ chặn e-mail từ những người lạ, và yêu cầu cung cấp đầy đủ thơng tin cá nhân trước khi chuyển e-mail đến người nhận. 2.2.4. Lọc email qua nội dung Một chương trình sẽ thu thập thơng tin nằm trong phần nội dung của e-mail để giúp cho các quản trị viên máy chủ e-mail tách spam ra khỏi hệ thống. Phần mềm sẽ lướt qua tồn bộ thơng điệp để tìm kiếm những từ khĩa cĩ liên quan đến Chống spam trên hệ thống mail server An Tồn Mạng 19 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn spam. Chẳng hạn nếu bạn khơng phải là một bác sĩ, những bức thư bạn mong nhận được ít cĩ liên quan đến các vấn đề giới tính. Vì vậy, “viagra” cĩ thể là một từ khĩa lọc thư quan trọng. Các cơ chế lọc thư phức tạp hơn cĩ thể lọc nguyên cả một đoạn mã lệnh đầu của thơng điệp, những đoạn mã này bám theo suốt quá trình luân chuyển của e-mail và cung cấp thơng tin về chuyến đi đĩ. Nếu một site spam cĩ tên trong lịch trình đĩ, phần mềm sẽ tự động chặn bức thơng điệp lại. 2.2.5. Lọc theo danh sách website chuyển tiếp Một cơng nghệ lọc khác dựa trên danh sách các site chuyển tiếp. Cơng nghệ lọc này kiểm tra và chặn các thơng điệp được truyền tải qua những điểm chuyển tiếp mở rộng, tức là các hệ thống trên internet cho phép người sử dụng dùng chúng như những điểm quá cảnh thư. Những kẻ tấn cơng bằng spam (spammer) thường xuyên sử dụng các điểm chuyển tiếp mở này để che dấu tung tích xuất xứ của mình. Trong nhiều trường hợp, tin tặc tận dụng các lỗ hổng bảo mật để “ra lệnh” cho các máy chủ chuyển tiếp làm cơng việc của spam. 2.3. Các biện pháp phịng tránh spam mail Ngồi việc sử dụng các bộ lọc chống spam, người sử dụng cũng đĩng vai trị quan trọng trong việc chống lại “đại dịch” thư rác. Bởi vậy người dùng cần tuân theo một số nguyên tắc sau: • Luơn cập nhật các bản vá mới nhất của các phần mềm đang cài đặt trên máy. • ðảm bảo tất cả các máy luơn được cập nhật các phần mềm chống virus và chống spam. • Sử dụng các firewall để bảo vệ hệ thống. • Khơng trả lời các email lạ khơng rõ nguồn gốc. ðối với các spammer, khi nhận được một trả lời từ hàng ngàn email họ gửi đi thì cũng chứng minh là phương pháp đĩ cĩ hiệu quả. Ngồi ra, việc trả lời lại cịn xác nhận là địa chỉ Chống spam trên hệ thống mail server An Tồn Mạng 20 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn email của bạn là cĩ thực và hiện đang được sử dụng. Do vậy địa chỉ email của bạn sẽ “đáng giá” hơn, và các spammer sẽ gửi nhiều thư rác hơn. • Khơng gửi các thơng tin cá nhân của bạn (số thẻ tín dụng, mật khẩu, tài khoản ngân hàng, v.v... ) trong thư điện tử. Các spammer và những kẻ lừa đảo qua mạng cĩ thể tạo ra những trang web giả mạo các tổ chức, ngân hàng... đề nghị bạn gửi mật khẩu và một số thơng tin về thẻ tín dụng của bạn qua email. • Khơng hồi đáp email bằng cách nhấn lên từ như “loại bỏ” (remove) hoặc “ngừng đăng ký” (unsubscribe) trong dịng tiêu đề hoặc trong nội dung của thư trừ khi đây là nguồn đáng tin cậy (các email tiếp thị trực tiếp). ðây là tiểu xảo của các spammer để người sử dụng hồi đáp lại các spam của họ. Khi nhận được hồi đáp, các spammer khơng những khơng loại bỏ địa chỉ email của bạn ra khỏi danh sách mà cịn gửi tới nhiều spam hơn bởi vì họ biết rằng địa chỉ email của bạn hiện đang hoạt động. • Khơng bao giờ bấm vào các liên kết URL hoặc địa chỉ trang web được ghi trong spam ngay cả khi nĩ hướng dẫn người nhận ngừng đăng ký. ðiều này cũng cho người gửi biết rằng địa chỉ email của bạn đang được sử dụng và bạn cĩ thể sẽ nhận được nhiều spam hơn. • Hãy sử dụng hai địa chỉ email khác nhau, một địa chỉ sử dụng cho các việc riêng như bạn bè, cơng việc. Một địa chỉ sử dụng để đăng ký trở thành thành viên của các diễn đàn, các tổ chức... những nơi mà địa chỉ email của bạn cĩ thể bị lạm dụng hoặc bán. • Khơng nên đăng địa chỉ email của bạn ở những nơi cơng cộng (ví dụ như các diễn đàn, bảng tin, chat room...) nơi các spammer thường sử dụng các tiện ích để thu thập và tìm kiếm địa chỉ email. • Sử dụng các dịch vụ email cung cấp cơng cụ chống spam, ví dụ như Yahoo! Mail, Gmail. • Khơng bao giờ được chuyển tiếp spam cho người khác. • Chuyển spam nhận được đến người quản trị hệ thống email. Quản trị viên Chống spam trên hệ thống mail server An Tồn Mạng 21 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn sẽ thay đổi chương trình lọc để lần sau hệ thống sẽ chặn lại những email tương tự như thế. 3. Các cơng cụ chống spam cho mail server 3.1. Software 3.1.1. VinaCIS AntiSpam VinaCIS AntiSPAM phần mềm chuyên dùng chống lại nạn thư rác được dùng miễn phí cho Microsoft Outlook, Outlook Express, Windows Mail (phiên bản Standard). VinaCIS Corporation đã Việt hĩa hồn tồn phần mềm Spamfighter chống lại nạn thư rác từ Spamfighter ApS VinaCIS AntiSPAM cơ chế lọc thư rác với các đặc điểm ưu việt đã tạo nên 1 thương hiệu về phần mềm lọc thư rác chuyên dùng cho việc phịng chống thư rác hiệu quả. VinaCIS AntiSPAM ngăn chặn hồn tồn sự xâm nhập bất hợp pháp của các phần mềm Gián điệp, Thư lừa đảo, Thư chứa Virus...Với cơ chế hoạt động hồn tồn tự động và lọc chính xác đến 99,9%, cộng với việc cài đặt và sử dụng dễ dàng(vì được Việt hĩa hồn tồn) nên phần mềm VinaCIS AntiSPAM là sự lựa chọn cho việc chống lại nạn thư rác hữu hiệu và chuyên dùng cho người Việt. Một số tính năng đặt biệt của VinaCIS AntiSPAM: Giao diện hồn tồn bằng tiếng Việt. Việc cài đặt đơn giản và sử dụng dễ dàng. Tích hợp sử dụng bộ lọc thư rác cho nhiều tài khoản trên một máy ví tính. Tự động quản lý danh sách thư sạch. Khả năng lọc tùy chọn theo ngơn ngữ. Khơng giới hạn danh sách thư rác và thư sạch. Tùy chọn việc di chuyển thanh cơng cụ trong Microsoft Outlook. Khĩa và mở khĩa thư rác bằng điạ chỉ thư điện tử và tên miền website. Chống spam trên hệ thống mail server An Tồn Mạng 22 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn 3.1.2. GFI Mail Essentials GFi MailEssentials chống Spam bằng cơ chế Bayesian : cơ chế Bayesian được các chuyên gia hàng đầu thế giới tin dùng là cơng cụ nhận bết Spam tốt nhất hiện nay. Cơng nghệ này sử dụng thuật tốn nhận biết thư Spam và Ham .Do đĩ tỉ lệ lọc Spam của GFi MailEssentials lại lên đến 98% chỉ sau hai tuần cập nhật . Ngăn chặn Spam và Phising ngay tại Server : GFi MailEssentials là một ứng dụng cài đặt trên máy chủ hoặc trên Gateway giúp cho người quản trị dễ dàng cài đặt và quản lý dựa trên nền Desktop. Quản lý whitelist thơng minh tránh nhầm lẫn : Tính năng Whitelist đánh dấu những mail " khơng phải là Spam" từ những địa chỉ người gửi qua cơ chế lọc: Domain, địa chỉ mail và keyword. Kiểm tra hệ thống tên miền đen trung gian : GFi MailEssentials nhận biết các blacklist DNS (Real time black hole list) . Nhận biết các tên miền trung gian đen như : ORDB , Spam Haus , Spam cop và cho phép admin định dạng các RBL servers. Hỗ trợ SPF và các SURBL server trung gian : GFi mailEssentials tự động kiểm tra các địa chỉ mail cĩ thực sự được gửi đi từ một domain đã được đăng ký Chống spam trên hệ thống mail server An Tồn Mạng 23 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn hay khơng. Nếu một địa chỉ Email mà được gửi đi từ một domain trung gian sẽ bị GFi MailEssentials đánh dấu là SPAM . Loại bỏ cách thu thập Email của các Spamer (directory harvesting ) : Các spamer thường tạo ra một danh sách địa chỉ Email ngẫu nhiên và gửi email tới những địa chỉ này . GFi MailEssentials kiểm tra độ xác thực của mỗi địa chỉ Email được gửi đi thơng qua Active desktop hay qua hỗ trợ của LDAP . Nếu khơng phù hơp , email đĩ sẽ bị đánh dấu là SPAM. Sắp xếp các SPAM vào hịm thư rác (Junk Mail ) của người dùng : GFi MailEssentials cho phép người dùng dễ dàng xác định , xử lý mail được đánh dấu là SPAM . Cĩ thể di chuyển mail SPAM này vào một Folder và cĩ thể xem lại chúng . Phân tích tiêu đề thư và kiểm tra các từ khĩa : Với chức năng thơng minh của GFi Mail Essentials dễ dàng phân biệt các tiêu đề của email . phát hiện các tiêu đề giả mạo , các Spam biến đổi các IP khơng cĩ thực . Chức năng xem nhanh các Mail lạ : Chức năng New senders cho phép người sử dụng cĩ thể xem những địa chỉ E-mail của khách hàng mà họ chưa từng gửi . Dễ dàng điều chỉnh bộ lọc Bayesian thơng qua các Folder dùng chung : Các Admin dễ dàng điều chỉnh bộ lọc Bayesian bằng cách kéo thả các email Spam vào thư mục dùng chung . Báo cáo tính năng lọc và sử dụng thư : Tính năng quản lý Email đến và đi giúp tạo bản báo cáo rõ ràng và báo cáo chế độ nào lọc SPAM tốt nhất . Dễ dàng phân biệt whitelist hay backlist : GFi MailEssentials giúp người sử dụng dễ dàng quản lý được danh sách mail whitelist hay backlist bằng cách kéo thả Email spam vào Public Folder . Giúp làm giảm cơng việc cho người quản trị. Các Admin cĩ thể điều khiển tăng tính bảo mật cho Public Folder này . Tải Update cơ sở dữ liệu về Spam: GFi MailEssentials tải các bản cập nhật chống Spam vào cơ sở dữ liệu của Bayesian từ trang web của GFi . ðảm bảo chắc chắn cập nhật những kỹ thuật chống Spam mới nhất cho hệ thống . Chống spam trên hệ thống mail server An Tồn Mạng 24 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn Chức năng tại Disclaimer ở đầu hoặc cuối Email cơng ty : GFi MailEssentials cho phép bạn tạo disclaimer ở đầu hoặc cuối Email của cơng ty dưới dạng text hoặc HTML .Bạn cĩ thể tạo nhiều disclaimer cho từng user , từng nhĩm và từng domain. 3.1.3. eWall eWall là một gateway cĩ thể lập trình được cho bất kỳ máy chủ mail nào. Nĩ hỗ trợ phần mềm chống virut mạnh như các kỹ thuật chống spam khác như (SPF, SURBL, DNSBL, Greylisting, Harvester detection, country block,...). Hơn thế nữa, nĩ cũng cĩ thể được sử dụng để cung cấp các dịch vụ mới đến các kháck hàng của bạn với một loạt các filter, API, và scripting engine. Phần mềm miễn phí EWLSP làm cho eWall thực sự trong suốt với các mail server và là vật cản vơ hình trên đường dẫn của spam, scam, viruses, và các tài liệu khác. eWall cĩ hai phiên bản: X Edition là rẻ hơn nhưng chỉ cho một số lượng giới hạn của mail server giá thành thấp hay miễn phí như: XMail, hMailServer, Chống spam trên hệ thống mail server An Tồn Mạng 25 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn MailEnable, ArGoSoft Mail Server và chúng cĩ tên "X" là dựa vào từ Xmail, cịn Unlimited Edition là khơng bị hạn chế. 3.2. Hardware 3.2.1. Tường lửa lọc thư rác Barracuda Spam Firewall Barracuda Spam Firewall (BSF) là một giải pháp hồn hảo tích hợp phần mềm trên phần cứng chống Spam hiệu quả. ðây thực sự là một giải pháp mạnh mẽ,dể sử dụng và tiết kiệm cho doanh nghiệp.Với việc tích hợp các cơng nghệ chống spam và virus: • Anti-Spam • Anti-Virus • Anti-Spoofing • Anti-Phishing • Anti-Spyware(Attachments) • Denials of Services BSF tương thích với tất cả các máy chủ Mail và cĩ thể sử dụng ở bất kỳ tổ chức hoặc doanh nghiệp từ vài người dùng cho đến những tổ chức lớn đến 200.000 người sủ dụng.Mỗi một thiết bị cĩ thể hổ trợ đến 30.000 tài khoản email và cĩ thể xử lý 20 triệu thư mỗi ngày.Thiết bị cĩ hổ trợ chạy cluster để tăng dung lượng và khả năng chịu tải cao. Tất cả các email trước khi đến máy chủ đều được xử lý qua hệ thống 12 lớp Chống spam trên hệ thống mail server An Tồn Mạng 26 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn bảo vệ của thiết bị Barracuda: • Denial of Service and Security Protection • Rate Control • IP Reputation Analysis • Sender Authentication • Recipient Verification • Virus Check • Policy (User-specified rules) • Spam Fingerprint Check • Intent Analysis • Image Analysis • Bayesian Analysis • Rule-based Scoring BSF khắc phục được những nhược điểm của phần mềm đang phải gánh chịu: • Khơng cần sự tương thích giữa phần mềm và phần cứng • Khơng chiếm tài nguyên hệ thống và giảm tải trên máy chủ bằng việc loại bỏ các thư rác,virus… ngay tại thiết bị BSF,chỉ cho những thư tốt và khơng chứa virus đến máy chủ. Ngồi ra,tất cả các dịng sản phẩm của BSF đều tích hợp sẵn chức năng Outbound ,lọc và đảm bảo tất cả các thư gửi ra đều là thư tốt và khơng chứa virus,chỉ đơn giản là Convert sang chế độ Outbound. Hơn thế nữa,BSF cịn hỗ trợ một số dịch vụ cho người sử dụng tinh chỉnh một số filter,API…BSF thực sự trong suốt với các Mail Server và một cơng cụ hồn hảo cho server của bạn trong việc chống lại thư rác và virus. Tính dể sử dụng: Khơng cài đặt phần mềm,khơng chỉnh sửa nhiều trên hệ thống máy chủ mail cĩ sẵn,việc thiết lập nhanh chĩng và khá đơn giản.Tất cả đều sử dụng giao diện Web để theo dõi và bảo trì. Chống spam trên hệ thống mail server An Tồn Mạng 27 Trung tâm đào tạo quản trị & an ninh mạng ATHENA www.ATHENA.edu.vn Với dịch vụ Energize Update,thiết bị BSF được cập nhật mới liên tục hằng giờ từ trung tâm Barracuda đặt tại Mỹ. Giải pháp tiết kiệm chi phí cho doanh nghiệp: ðây là thiết bị khơng tính phí theo người dùng.Do đĩ BSF là một giải pháp tiết kiệm nhất cho doanh nghiệp,tổ chức trong việc chống thư rác và virus lây lan qua đường mail. Tài liệu tham khảo • How to prevent spam : prevent-spam.htm • Wikipedia: • Antispam: