Массовые анти спам атаки по понедельникам!
Подробнее>>>
"ПОШЛИ СПАМЕРА!" - бессрочная акция.
Подробнее>>>
-----------------------------
Способы активной борьбы со спамерами. Действуй!
-----------------------------
Готовятся к публикации:
Простые меры защиты от спама.
От пассивной защиты к активным действиям против спама.
Бороться со спамом или со спамерами?
Действия против заказчиков спама.
Действия против фирм, предлагающих рассылку спама.
Программы для защиты от спама.
Spam must die!!!
Автор статьи Дмитрий Ю. Карпов
Системный администратор Internet.
E-mail: prof @ pi2.ru
Опубликовано на http://prof.pi2.ru
В последнее время (конец 2003 года) в журналах то и
дело публикуют статьи о природе спама (массовой рассылки рекламных писем
по электронной почте) и о способах борьбы с ним; но все эти статьи какие-то
убогие - в них отсутствуют основные способы противодействия спаму.
Поэтому я решил написать свою статью и надеюсь опубликовать ее в бумажном
журнале.
Теория
Спам - это непрошеная реклама. Конечно, всякая реклама -
непрошеная, и реклама посреди интересного фильма тоже раздражает, но дело
в том, что телевизионная реклама дается теми, кто заплатил за показ фильма
(отчисления владельцу фильма, оплата передачи сигнала), и все понимают,
что без рекламы не будет и фильма (желающие могут выключить телевизор,
отказавшись и от того, и от другого).
Реклама по электронной почте основана на том, что получатель просматривает
свой почтовый ящик в поиске нужных ему писем от одних людей; то, что он
при этом вынужденно просматривает рекламу других людей, ничем не обосновано.
Почему же именно электронная почта является основным местом,
где разгорается борьба между спамерами и их жертвами?
Почему такие протоколы, как FTP и HTTP/WWW, создающие основной объем Internet-трафика,
а также Telnet и SSh не подвержены спаму?
Дело в том, что электронная почта является push-сервисом (информация доставляется
по инициативе отправителя, а получатель приглашает всех желающих слать
ему письма самИм фактом открытия ящика); большинство остальных протоколов
являются pull-сервисами (соединение устанавливается по запросу клиента
и информация поставляется по запросу получателя).
Это не значит, что остальные протоколы свободны от проблем - многие поставщики
информации стараются разбавить полезные сведения разного рода рекламой,
а в WWW отработаны технологии введения в заблуждение поисковых механизмов
с целью вывести сайт в первые строчки списка найденных по запросу, но
это не имеет ничего общего с электронно-почтовым спамом. Кроме электронной
почты спаму подвержены и другие push-протоколы:
размещение в телеконференции не относящихся к ее тематике
сообщений;
массовая рассылка сообщений по ICQ и IRC;
массовая рассылка SMS-сообщений на мобильные телефоны;
массовая рассылка факсов и обзвон абонентов голосом.
Ко всем этим видам спама применимы почти все те же методы, что и к электронной
почте, за исключением специфических методов обнаружения провайдера.
Думаю, все знакомы с рекламными листовками, которые кто-то
засовывает в наши почтовые ящики.
Почему же бумажная реклама не вызывает такого возмущения, как электронно-почтовый
спам? Дело в том, что доставка электронной почты, как и любой другой
информации в Internet, оплачивается частично отправителем, а частично
получателем (причем обычно получатель платит больше, чем отправитель,
т.к. большинство провайдеров берут оплату только за входящий трафик);
впрочем, телезрители тоже оплачивают часть расходов на доставку им рекламы
в виде платы за электроэнергию.
Иными словами, спам есть кража в самом настоящем смысле этого слова -
спамер заставляет получателей платить за рекламу и временем, потраченным
на просмотр спама, и деньгами за доставку информации, не давая при этом
ничего взамен.
Как правило, спам является массовой рекламой без точного
нацеливания (профессионалы говорят "с плохим таргетингом") -
это еще одна причина недовольства получателей спама: из множества рекламных
писем очень малая доля может заинтересовать получателя.
Но почему же при том, что многие получатели борются со спамом, его количество
не уменьшается? Дело в том, что каждую секунду к Internet приобщаются
множество новых пользователей, часть из которых готова "купиться"
на спам, а часть новичков сами становится спамерами.
В литературе в качестве причины спама часто указывают его
дешевизну.
При цене доступа один доллар в час (обычно цена DialUp ниже этой суммы,
а в Internet-кафе обычно выше), скорости канала 32 килобита в секунду
(для DialUp это обычная скорость, в Internet-кафе обычно существенно выше)
и размере письма в десять килобайт цена одного письма составляет 100 центов
/ 3600 секунд в часе / 32 килобита в секунду * 8 бит в байте * 10 килобайт
= 0.07 цента = две копейки.
При этом начальные затраты для "вхождения" в рынок спам-рекламы
ничтожны по сравнению с обычной рекламой, т.к. телевидение, радио и газеты
продают неделимый показ рекламы на всю свою аудиторию, а цена простого
рекламного ролика для телевидения стОит несколько тысяч долларов (радиоролик
и картинка для размещения в газете - существенно дешевле); простенький
компьютер со всем программным обеспечением и с подключением к Internet
стОит менее пятисот долларов (к тому же обычно он уже куплен для других
целей), а при использовании Internet-кафе начальных затрат практически
нет - цена прямо пропорциональна числу разосланных писем,
Но эта дешевизна спама зачастую обманчива, ибо, как и всякое
действие, она имеет побочные эффекты, способные перевесить пользу.
Жалобы получателей спама могут заставить провайдеров, через которого спамер
рассылает письма и у которого спамер держит свой сайт, прекратить предоставление
этих услуг, а регистраторы доменных имен могут отменить делегирование
доменного имени - потеря "раскрученного" сайта сводит к нулю
все усилия по его раскрутке.
Кроме того, агрессивные действия обиженных получателей спама (этой статьей
я надеюсь научить их применяемым мной способам) могут причинить и другие
неприятности.
У спама есть некоторые устоявшиеся "экологические ниши" - прежде всего, это реклама порносайтов и финансовых пирамид. Лично меня очень обижает, что спамеры зачисляют меня в число потребителей низкопробной порнографии или думают, что я готов рисковать своими деньгами в разных глупых затеях. Еще в массовых рассылках часто рекламируют разные малополезные товары типа аквариума с замкнутым биологическим циклом.
В качестве отдельной разновидности я бы хотел выделить "нигерийский
спам": некто, называющий себя вдовой бывшего нигерийского президента
или бывшим директором национального банка или типа того, сообщает, что
на каких-то банковских счетах "зависли" несколько десятков миллионов
долларов и просит разрешения воспользоваться моим банковским счетом для
перевода этих денег куда-то еще (я не разбираюсь в этих финансовых схемах).
Меня поражает наивность людей, которые надеются, будто я поверю сказкам
о такой беспричинно свалившейся на меня удаче (мол, мой адрес нашли в
Internet и решили, что я заслуживаю доверия).
Но, судя по тому, что такой спам я получал неоднократно, в мире действительно
есть люди, способные поверить этой сказке - не дети и не умственно неполноценные
идиоты, а люди с банковским счетом, на котором лежит достаточная сумма,
чтобы ради нее затевать всю эту операцию...
Вероятно, права поговорка о том, что на одного поумневшего дурака рождается
два новых, поэтому жулики никогда не останутся без работы. (Кстати, весь
такой спам я получал на английском языке - похоже, подавляющее большинство
богатых наивных буратин живет в США.)
Я бы не советовал иметь денежные дела с теми, кто рекламирует
себя через массовую рассылку электронной почты - на мой взгляд, это неумные
и несерьезные люди. Злостные спамеры знают, что их деятельность причиняет
неудобства получателям, которые в ответ стараются причинить неприятности
спамеру - спам рассылают люди с явно криминальным складом характера.
О низком уровне интеллекта спамеров говорит и то, что некоторые из них
рекламируют услуги и товары, недоступные получателю - например, я, живя
в Москве (Россия), часто получаю англоязычную рекламу товаров, которые
продаются в США; совершенно ясно, что средний житель России (а по доменной
части моего адреса можно определить, что я живу в России, но невозможно
определить город), даже если это пользователь Internet, испытывает затруднения
с иностранным языком и не имеет средств для покупки товаров по штатовским
ценам.
Люди с антиштатовскими настроениями могут использовать в полемике спам
из США как доказательство того, что именно США являются империей зла :-)
(т.е. спамер вредит не только своему имиджу, но и имиджу своей страны).
--------------------------------------------------------------------------------
Классификация спамеров
Спамеров можно разделить на "случайных" (которым
можно объяснить, что так делать не следует) и "злостных" (которых
можно исправить только наказанием).
Обычно доброкачественный спамер - это человек, разославший полезную (на
его взгляд) для получателей информацию по неудачному списку рассылки;
получив возмущенные отклики, такой человек впредь будет тщательнее выбирать
адресатов для переписки.
Важной особенностью доброкачественного спамера является его открытость
- он не маскирует ни своего адреса, ни того факта, что рассылка проводится
по широкому списку (обычно в поле "To:"/"Cc:" находится
весь список получателей).
Должен признаться, что один раз я сам был в роли спамера (мой спам носил
не коммерческий, а политический характер); этого раза мне было вполне
достаточно, чтобы понять бесперспективность такого способа общения с внешним
миром.
Злостный спамер всячески старается скрыть от получателя факт
того, что получаемое им письмо - элемент массовой рассылки, а также свой
адрес. Очевидно, что это делается из-за того, что многие пользователи
электронной почты стараются не допустить получение массовых рассылок,
а если спам все-таки дошел - то наказать рассылателя.
Но любой коммерческий спамер должен (вынужден) указывать в письме какие-то
свои контактные координаты для того, чтобы клюнувший на спам разиня смог
вступить со спамером в сделку; любая точка контакта является уязвимостью
(в любой книге по компьютерной безопасности написано, что полностью безопасной
может быть только замкнутая система); на этом мы и будем строить свою
политику агрессивного противодействия спаму.
Очень часто рассылку спама производит одна организация по поручению другой - на рынке спамерских услуг появились профессионалы, рассылающие предложения типа "произведем массовую рассылку по вашему заказу; продадим списки адресов и программу для массовой рассылки". Это значит, что перед получателем спама стоит не один противник, а два - заказчик и исполнитель. Против кого из них надо в первую очередь бороться? Следует бороться с обоими, а т.к. жертвы спама ведут борьбу своими силами, то следует ограничиться легкодоступными точками уязвимости (иными словами, атаковать надо того, кого легче достать).
--------------------------------------------------------------------------------
Откуда спамеры берут адреса
Поисковые механизмы типа AltaVista или Rambler обшаривают
Internet, переходя по ссылкам; индексируют страницы и по запросам пользователей
подбирают наиболее подходящие.
Не так уж сложно написать и запустить механизм, который будет аналогичным
образом обходить Web-сайты, собирая опубликованные на них адреса электронной
почты.
В литературе утверждается, что именно так спамеры создают свои базы данных,
по которым потом рассылают разную чушь.
Отсюда проистекает очевидный вывод: чтобы не стать жертвой спама, следует
избегать публикации своего адреса электронной почты в WWW, в т.ч. и в
разных телеконференциях (или хотя бы как-то зашифровать его). Мое мнение
- этот способ сбора данных требует слишком много времени и трафика.
Некоторые фирмы размещают на своих сайтах анкеты для сбора
информации о посетителях.
Для того, чтобы стать зарегистрированным пользователем, необходимо заполнить
такую анкету.
Эта информация гораздо ценнее, чем просто собранные по WWW адреса электронной
почты, т.к. позволяет определить интересы каждого пользователя (разумеется,
в меру правдивости отвечающего); в принципе, можно анализировать содержимое
Web-страниц, на которых был найден каждый адрес электронной почты, но
это требует нетривиальных алгоритмов, в то время как в анкете человек
обычно выбирает один из нескольких заранее предложенных пунктов.
Никто не гарантирует, что фирма-владелец сайта или один их операторов,
имеющих доступ к этой информации, не продаст собранные сведения спамерам.
Есть еще один способ собрать адреса электронной почты, о
котором еще никто не писал - это анализ логов популярного почтового сервера.
В отличие от остальных способов, там содержатся реально работающие адреса
(за исключением фальшивых адресов, от имени которых спамеры рассылают
свою ахинею).
--------------------------------------------------------------------------------
Я разделяю способы борьбы со спамом на "пассивные" (минимизация ущерба от присылаемого спама), "агрессивные" (причинение спамеру такого неудобства и беспокойства, которое перевесит выгоду от спама) и "превентивные" (принимаемые сисадминами меры по недопущению спама из вверенных им сетей).
Фильтрация спама
Как я уже говорил, не стОит вести бизнес со спамерами.
Как быстро и надежно отличить спам от полезной почты?
Спам имеет признаки как в заголовке, так и в тексте письма, а фильтровать
его можно как на принимающем почту сервере, так и на почтовом клиенте
пользователя.
По заголовку письма:
Если в заголовках "To:"/"Cc:" находится
большой список незнакомых вам адресатов, и отправитель письма вам неизвестен,
то это, скорее всего, спам (хотя возможны исключения - например, кто-то
оповещает всех своих знакомых о важном событии).
То же самое, если в заголовке письма находится "To: unclosed-recepients"
- это значит, что письмо разослано по списку рассылки, но отправитель
не стал заполнять поле "To:". А иногда спамер заполняет это
поле какой-нибудь ахинеей.
Некоторые программы массовой рассылки ставят в заголовках письма в строчке
"X-Mailer:" свое название типа "Advanced Mass Sender"
или "Mail Bomber".
Современные спамеры уже поняли, что многие почтовые программы фильтруют
спам по этому признаку (в антивирус DrWeb для FreeBSD встроена антиспамовская
защита, работающая по этому признаку, хотя по умолчанию она отключена),
и потому помещают там что-то нейтральное типа "Outlook Express";
но если спам-программа подписалась - это точно спам.
Поле "Message-Id:" заполнено не отправителем, а получателем
(в моем случае это видно по тому, что идентификатор сообщения заканчивается
строкой "@dartal.pi2.ru>" - это hostname моего сервера).
Некоторые спамеры в качестве hostname используют "localhost" или мой IP-номер сервера-получателя, да к тому же пытаются вставить строки, имитирующие прохождение писем через какие-то чужие машины:
Received: from localhost ([61.248.83.170])
by konrad.pi2.ru (8.12.6/8.12.6) with SMTP id h3N6gjZR026333
for ; Wed, 23 Apr 2003 10:43:14 +0400 (MSD)
Received: from localhost (localhost [61.248.83.170])
by msn.com (Postfix) with ESMTP id 31949
for ; Wed, 23 Apr 2003 10:39:06
или
Received: from 212.45.19.82 (CacheFlowServer@[61.159.235.36])
by konrad.pi2.ru (8.12.6/8.12.6) with SMTP id h460eAjM087209
for ; Tue, 6 May 2003 04:40:15 +0400 (MSD)
Received: from [182.173.250.249] by 212.45.19.82 with SMTP;
Tue, 06 May 2003 04:39:29 +0300
К сожалению, я не нашел способа, позволяющего фильтровать спам по этим критериям (тем более что письма от localhost действительно бывают, но при этом они приходят с IP-номера 127.0.0.1.
По тексту письма:
Нормальное письмо начинается с личного обращения. Реальному
спамеру некогда выяснять мое настоящее имя - он использует либо "Dear
sir/madam", либо берет в качестве имени левую часть почтового адреса
(до "@").
Многие спамеры говорят, что их рассылка - одноразовая, что это не спам,
ссылаются на часть четвертую статьи 29 Конституции РФ (там гарантируется
свободу слова, но я не вижу, каким образом это разрешает спамеру использовать
оплаченный мной канал и мощности купленного мной компьютера для чуждой
мне коммерческой рекламы), а также предлагают отписаться от рассылки,
если она мне не нужна. Но некоторые спамеры прямо сообщают, что их письмо
- спам; не знаю, на что они рассчитывают - может, хотят вызвать удивление
и интерес...
Получение нескольких одинаковых или почти одинаковых писем подряд тоже
часто говорит о том, что это спам, особенно если вы имеете несколько почтовых
ящиков и/или несколько алиасов - спамерам недосуг разбираться с этими
мелочами. Аналогично при получении одинаковых или почти одинаковых писем
несколькими пользователями, не связанными общими интересами.
Часто реклама, пытаясь привлечь внимание жертвы, маскируется под что-то
другое - рекламные щиты на улицах и банеры на Web-сайтах часто содержат
изображения, не имеющие отношения к рекламируемому продукту/услуге (впрочем,
иногда такое изображение используется в качестве логотипа или элемента
логотипа).
Спам часто идет с темой ("Subject:"), совершенно не соотвествующей
тексту письма - так реклама виагры пришла ко мне с "Subject: Attention!
Your account (prof@pi2.ru) will be deleted in 2 days".
Напоследок замечу, что никогда не следует доверять адресу, записанному в строках "From:", "Reply-To:" и "Errors-To:" в заголовке письма - злостные спамеры подставляют туда какой-нибудь адрес, внешне похожий на существующий (иногда - чужой существующий).
Атака на исполнителя
Любой спамер-исполнитель должен иметь подключение к Internet и IP-адрес, с которого производится рассылка. Рассмотрим заголовок одного полученных мной спам-писем, рекламирующих курсы американского языка (на принимающей стороне работает SendMail под FreeBSD); начнем со строчки
Received: from DALVIR04.carreker.com ([65.221.249.89])
Каждая строчка "Received:" пишется машиной, принявшей
письмо (строчка, начинающаяся с пробела или табуляции, считается продолжением
предыдущей); в данном случае это написано машиной, которую я администрирую,
и я уверен, что эту строчку никто не подделал.
"DALVIR04.carreker.com" - это hostname машины-отправителя; получателю
оно сообщается отправителем и нигде не проверяется, поэтому оно абсолютно
недостоверно.
Внутри круглых скобок находится IP-адрес отправителя, а также его доменное
имя, если его удалось узнать в ReverceDNS по IP-адресу (полученное доменное
имя тут же сверяется по обычному DNS; если полученный IP-адрес не совпал
с исходным, то SendMail добавляет "(may be forged)").
Самое полезное для нас - этот IP-адрес (разумеется, при условии, что мы
умеем пользоваться этой информацией). Подделать IP-адрес можно (именно
так Кевин Митник взломал компьютер Шимомуры), но подделка IP-адреса -
штучная операция, т.к. требует индивидуального подхода к разным реализациям
TCP-протокола на разных платформах, а спаму требуется массовость.
Доменное имя, если оно было получено и не было forged, еще более полезно
- оно означает, что владелец соответствующей доменной зоны признал этот
IP-адрес своим (тогда строчка выглядит так:
Received: from hostname (доменное_имя [IP-адрес])
). Впрочем, признание IP-адреса своим еще не означает, что тамошний сисадмин займется спамером, поэтому постараемся узнать побольше.
Чтобы узнать, кто является провайдером спамера, я использую утилиту traceroute (в Windows - tracert.exe). Вот несколько урезанные результаты (удалены самые близкие ко мне роутеры (в Unix это делается ключом '-M') и убрана информация о времени задержки при получении отклика):
4 a5-0-0-2-r1-MSK-NIK.cwrussia.ru [213.152.129.121]
5 fe0-1-0-r3-MSK-NIK.cwrussia.ru [213.152.128.132]
6 iar1-so-2-2-0.Frankfurt.cw.net [166.63.198.1]
7 bcr2.Frankfurt.cw.net [166.63.194.62]
8 dcr1-loopback.NewYork.cw.net [206.24.194.99]
9 agr4-so-0-0-0.NewYork.cw.net [206.24.207.62]
10 acr2-loopback.NewYork.cw.net [206.24.194.62]
11 so-0-0-1.BR1.NYC4.ALTER.NET [204.255.174.217]
12 0.so-6-2-0.XL2.NYC8.ALTER.NET [152.63.21.126]
13 0.so-1-0-0.TL2.NYC8.ALTER.NET [152.63.0.169]
14 0.so-4-0-0.TL2.DFW9.ALTER.NET [152.63.0.182]
15 0.so-7-0-0.XL2.DFW9.ALTER.NET [152.63.2.182]
16 0.so-7-0-0.XR1.DFW9.ALTER.NET [152.63.101.250]
17 184.ATM7-0.GW1.DFW9.ALTER.NET [152.63.98.149]
18 carreker1-gw.customer.alter.net [157.130.149.138]
19 65.221.249.89
Непосредственно перед спамером находятся восемь роутеров провайдера ALTER.NET - это крупный провайдер, через которого ко мне приходит много спама (я часто вижу его, когда выясняю местоположение источника спама), поэтому более близкого ко мне провайдера CW.NET беспокоить не будем.
К сожалению, есть провайдеры, не желающие бороться со своими
клиентами, рассылающими спам - мой опыт показывает, что такие в основном
сконцентрированы в Китае (домен ".cn") в Бразилии (".br"),
Аргентине (".ar") и Чехии (".cz").
В данном случае это не так, но все равно будем действовать по полной программе
Теперь спросим, кому принадлежит IP-адрес 65.221.249.89 - команда 'whois 65.221.249.89' говорит нам:
UUNET Technologies, Inc. UUNET65 (NET-65-192-0-0-1)
65.192.0.0 - 65.223.255.255
Carreker UU-65-221-249 (NET-65-221-249-0-1)
65.221.249.0 - 65.221.249.255
К сожалению, подробностей о контактных адресах владельцев IP-адреса получить не удалось; впрочем информация whois часто бывает недостоверной или устаревшей.
Итак, напишем жалобу провайдеру спамера - в данном случае это abuse@ALTER.NET и postmaster@ALTER.NET. На всякий случай запишем IP-адрес - если спам будет по-прежнему приходить с этого IP-адреса или из той же сетИ класса C (в данном случае - 65.221.249.*), можно будет вообще заблокировать прием писем с этого IP-адреса или из всей сетИ - это можно сделать через IP-FireWall (запретить обращения с данного IP-адреса по порту SMTP:25) или настройками SendMail (/etc/mail/access).
Следует быть осторожным при запрещении приема писем - многим организациям выделяют не сеть класса C на 256 адресов, а меньше (например, нам провайдер выделил всего восемь IP-адресов), поэтому надо "банить" IP-адреса по самой строгой IP-маске, которая накрывает минимальное число IP-адресов.
Если спам из одного и того же места сильно досаждает вам, а запретить прием писем оттуда по тем или иным причинам невозможно, рекомендую обратиться на http://www.abuse.net/ - там помогут узнать, кому жаловаться на спам, внесут спамера и его нерадивого провайдера в "черный список" и помогут в блокировке спама (в т.ч. предоставят свой список спамеров).
Атака на заказчика
Информацию о заказчике спама можно выяснить только из текста письма -
в заголовках злостные спамеры практически всегда ставят фальшивый адрес.
Итак, что мы можем узнать:
электронно-почтовый адрес (многие спамеры помещают в заголовок
фальшивый адрес, а в теле - настоящий, сопровождая это просьбой не жать
кнопку "Reply", а ответить на указанный адрес;
URL сайта (многие спам-письма рекламируют именно сайт или ссылаются на
сайт как источник дополнительной информации; иногда с сайта берутся встроенные
в HTML-текст картинки);
телефонные номер (один или несколько) для голоса и факса;
реальный адрес - страна, город, улица, дом, ...;
номер счета для перечисления денег (мне встречался спам с приглашением
участвовать в финансовой пирамиде с перечислением денег через WebMoney).
Вряд ли в спам-письме будет содержаться информация по каждому пункту,
но зацепившись за что-то одно, можно выяснить остальное.
При этом нужно общаться со спамером вежливо, проявлять заинтересованность
- короче, вести себя как потенциальный клиент.
В разговоре необходимо получить подтверждение того, что ваши собеседники
- действительно те, кто инициировал рассылку спама. А потом...
Зная реальный электронно-почтовый адрес и URL сайта, можно
попробовать добиться закрытия почтового ящика и сайта, а также прекращения
делегирования спамеру доменного имени (тут многое зависит от того, держит
ли спамер DNS-зону, почтовый ящик и сайт на своем сервере, на сервере
провайдера или на бесплатном сервере типа Mail.ru).
Чтобы узнать, кому именно жаловаться, используйте утилиты traceroute и
whois, причем whois надо натравливать отдельно на IP-адрес и на доменное
имя.
Можно совершить какую-нибудь хакерскую атаку электронно-почтовый
ящик и на сайт спамера; но при этом следует помнить, что взлом компьютерных
систем является противозаконным деянием, и при вмешательстве правоохранительных
органов спамер будет признан пострадавшим, а вы - виновными (в лучшем
случае удастся пройти по статье "превышение необходимой обороны").
Впрочем, отправить спамеру вируса или "троянского коня" и заставить
его раскошелиться на противовирусную защиту не помешает.
Если в письме и/или на сайте спамера предлагается возможность
отписки от рассылки, следует хорошо подумать, прежде чем воспользоваться
этим - для многих спамеров попытка отписки служит подтверждением того,
что данный ящик существует и что его владелец получает и читает спам.
Иногда для отписки предлагается несуществующий почтовый адрес и форма-фальшивка,
которая ничего не делает.
Но и это можно обратить против спамера - достаточно подписать спамера
на спам, рассылаемый другими спамерами, заставив его самогО бороться со
спамом. Есть даже небольшая вероятность, что спамер поймет, сколь низка
эффективность спама.
Если провайдер спамера отказывается пресечь рассылаемый его клиентом спам, можно попробовать подписать провайдера на спам, внеся адрес "abuse@..." в форму на сайте спамера (лучше в поле "отписаться" - тогда отпадет обвинение в подписывании другого человека на спам) и/или послав спамеру письмо от имени его провайдера с требованием прекратить рассылку спама под угрозой отключения доступа в Internet и сайта.
Имея на руках телефонный номер спамера, можно заняться телефонным
хулиганством (разумеется, при условии, что спамер живет в одном со мной
городе, иначе это обойдется слишком дорого).
Напоминаю, что сначала необходимо убедиться, что собеседники являются
рассылателями спама; при вмешательстве правоохранительных органов оправданием
может служить письмо спамера с призывом "позвонить сейчас".
Дальнейшее зависит от вашей фантазии и наглости:
Просто грубая трехэтажная брань на тему "какого черта
мне вы мне прислали это долбанное письмо!", сопровождаемая подробными
сведениями о том, куда собеседникам следует немедленно идти и куда они
должны засунуть свои товары.
Изощренные оскорбления сотрудников офиса с подробным описанием низкого
морального облика собеседника, его родных и знакомых, а также непристойные
предложения вступить в интимную связь в нормальной и в сугубо извращенной
форме с перечислением способов совокупления и используемых при этом частей
тела.
По ходу разговора постоянно должны упоминаться рекламируемые в спаме предметы
(в случае рекламы учебных курсов, который я выбрал в качестве примера,
можно использовать сюжет дешевых порнофильмов о коитусе между учительницей
и учениками).
Угрозы лично встретиться и применить физическое насилие. Напоминаю, что
это карается законом - особенно угрозы взрыва и ложные сообщения о готовящемся
взрыве.
Болтовня не по теме, рассказывание неприличных анекдотов - это отвлекает
сотрудников спамера от работы и нервирует их.
Еще один способ возмездия спамеру я нашел на сайте анекдотов: автор истории рассказывает о том, как он разместил на порносайте объявление с предложением интимных услуг и указал телефон спамера.
Россия Он-Лайн как-то провела "акцию возмездия"
против Центра Американского Английского, который многократно рассылал
свою рекламу в течении месяца
- специальный автомат звонил на указанные в спаме телефоны и зачитывал
текст с соуждением подобного метода рекламы (вактически, была организована
DoS-атака).
Центр Американского Английского попытался делать паузу перед
тем, как допустить звонок к оператору - автомат отвечал, что оператор
сейчас подойдет (длительность паузы была расчитана по продолжительности
сообщения, которое использовал РОЛ).
Обнаружив это, я немедленно написал в РОЛ просьбу удлинить сообщение или
читать его до тех пор, пока соединение не будет разорвано (до коротких
гудков).
И теперь при получении повторного спама я обращаюсь в РОЛ с просьбой спасти
меня от спама тем же способом; к сожалению, насколько мне известно, такие
акции больше не повторялись.
По реальному адресу можно послать конверт с безобидным белым
порошком (напоминание о рассылаемой в США сибирской язве) и/или приехать
лично - напачкать в офисе, обхамить сотрудников, попортить обивку двери
и мебели.
Обращаю ваше внимание на то, что такой поступок может встретить серьезное
противодействие со стороны как сотрудников и охранников офиса, так и милиции
и даже ФСБ, поэтому поступать так я категорически не советую.
Но тем, кто собирается заняться рассылкой спама, я советую постоянно помнить
о возможности визита обиженных людей и не надоедать людям сверх меры.
Превентивные меры
Администраторы сетей и серверов принимают превентивные меры
чтобы не допустить рассылку спама из подведомственных им сетей и с использованием
подведомственных им сервером во избежание конфликтов с вышестоящим провайдером.
Когда-то давно, когда Internet еще не стал коммерческим, почтовые серверы
были готовы принять почту от кого угодно и доставить ее по адресу.
Когда спамеры почувствовали возможность наживы, а пользователи стали возмущаться,
администраторы стали запрещать прием почты с тех машин, откуда шла массовая
рассылка, а тамошние администраторы не принимали мер; списки спамеров
стали открыто публиковаться для того, чтобы каждый администратор мог воспользоваться
ими до того, как его пользователи стали жертвой спама. Тогда спамеры стали
использовать для рассылки спама сторонние серверы - так называемые "открытые
релэи".
Сейчас SendMail поставляется в конфигурации по умолчанию,
при которой сервер готов принять почту от кого угодно для своих локальных
пользователей и от локально работающих программ для кого угодно; при попытке
другой машины отправить через сервер почту для третьей машины сервер ответит
отказом "Relaying denied".
Чтобы разрешить машинам в локальной сетИ использовать мой почтовый сервер
в качестве релэя (в почтовых программах это прописывается "Outgiong
SMTP-server") я должен специально указать ему, для каких машин следует
разрешить релэинг (пересылку почты).
Я не знаю, как обстоят дела с другими почтовыми серверами
для Unix, такими как Postfix, QMail и Exim, но думаю, что по умолчанию
они тоже не допускают пересылку почты ни от кого; а вот про MicroSoft
Exchange один из профессиональных спамеров, с которым я общался по телефону,
сказал, что тот по умолчанию поставляется как открытый релэй, поэтому
как только начинающий администратор делает машину с MicroSoft Exchange
доступной из Internet, так ее тут же обнаруживают и используют для распространения
спама.
Открытые релэеи ищутся простейшими сканерами, которые перебирают все IP-номера
подряд, пытаясь открыть TCP-соединение на порт:25 и послать туда письмо,
предназначенное для пересылки.
Отдельная проблема - предоставление услуг пересылки почты
людям, которые работают из разных мест с разных IP-адресов (например,
с ноутбука) - желательно не заставлять пользователя при каждом переезде
перенастраивать почтовую программу на местный релэй.
Раньше для этого использовали POP3-авторизацию - после того, как пользователь
забирал почту по POP3, с его IP-адреса в течении нескольких минут разрешалась
отправка почты по SMTP. Сейчас в протокол SMTP ввели встроенные средства
авторизации по порту 530.
Но после того, как мы запретили пересылку почты от посторонних,
осталась возможность рассылки спама от законных пользователей - как через
наш почтовый сервер, так и напрямую (используя сервер, встроенный в программу
массовой рассылки). Особенно остро эта проблема стоит в местах типа Internet-кафе,
где пользователи часто меняются - пока жертвы получат спам, пока выяснят
его источник, пока отошлют жалобы сетевому администратору, пока он примет
меры - спамер безнаказанно покинет заведение.
Если машины работают из-под маскарадинга, то местный сетевой администратор
даже не сможет определить, с какой машины рассылался спам - получатели
зафиксируют IP-адрес маскарадингового сервера.
Запретить рассылку писем напрямую можно через IP-FireWall (запретить проходящие насквозь SMTP-соединения). Пресечь рассылку спама через SMTP-сервер можно ограничением числа проходящих писем - нормальный пользователь вряд ли захочет отправить более пяти писем в минуту, а спамеру это ограничение сделает его бизнес нерентабельным.
Дополнительно хотелось бы, чтобы крупные провайдеры, имеющие
бесплатный Internet-трафик, организовывали бы у себя "черные дыры"
- почтовые серверы, выглядящие со стороны как "открытый релэй",
т.е. принимающие письма от кого угодно и для пересылки кому угодно, но
не пересылающие эти письма, а отправляющие их прямо в /dev/null.
"Черные дыры" затруднят спамерам обнаружение реальных открытых
релэев, а при введении спамера в заблуждение заставят его потратить время
и силы, не причинив никому беспокойства; неисполнение спамером своих обязательств
приведет к снижению интереса заказчиков к такому роду рекламы.
--------------------------------------------------------------------------------
Спам как "черный пиар"
"Пиар" - это "PR", "Public Relations";
этот термин обозначает рекламу, пропаганду и прочее промывание мозгов
широким массам.
"Черный пиар" - это манипуляция сознанием масс, проводимая от
чужого имени. Например, для компрометации какого-либо политика организуется
акция в его поддержку из лиц, пользующихся дурной славой среди населения:
в зависимости от разных обстоятельств это могут быть представители сексуальных
меньшинств, уголовники, скинхеды (бритоголовые неонацисты), лица кавказской
национальности и т.п.
Существует еще более глубокий "черный пиар" - это когда политик сам организует компрометирующую его акцию поддержки, а потом обвиняет своих конкурентов в использовании незаконных и аморальных политтехнологий.
Спам, как вызывающий наибольшее неприятие метод рекламы,
лучше всего подходит для компрометации того, от чьего имени он рассылается.
В этом случае придется забыть об атаке на заказчика, т.к. ни в заголовках,
ни в тексте письма не будет его реальных координат.
--------------------------------------------------------------------------------
Напоследок - пара советов спамерам
Продавцы чужих электронно-почтовых адресов, которые предлагается использовать для массовой рассылки рекламы, мало заботятся об их качестве; да и нельзя обеспечить хороший таргетинг, не разбираясь в особенностях бизнеса заказчика. Я советую всем спамерам тщательнее подходить к составлению списков рассылки - чем меньше посторонних людей окажется среди адресатов, тем меньше вероятность, что кто-то из них станет применять к спамеру меры, перечисленные в этой статье.
Если среди адресатов оказался злобный и мстительный человек с буйной фантазией типа меня, :-) то лучше не упорствовать, а вычеркнуть его из всех списков рассылки - такой человек вряд ли что-то купит, а крови может попортить изрядно.
И наконец, следует серьезно подумать, следует ли вообще заниматься спамом, особенно если параллельно с ним применяются "приличные" виды рекламы: высокое качество товара и интересная телереклама (типа той, что была у банка "Империал") может создать хорошую репутацию, а массовая рассылка спама легко ее погубит.
--------------------------------------------------------------------------------
Опубликовано на http://prof.pi2.ru
Если ты поддерживаешь Джихад против спама и
у тебя есть сайт - поставь кнопку
со ссылкой на
http://antispam-jihad.narod.ru
или текстовую ссылку "Джихад анти спам".
-----------------------------
-----------------------------
Статьи:
Статистика поисковых запросов со словом СПАМ.
Охота на спамера. Как бороться со спамом.
Как не получать рекламу через Internet. Советы спамера. Как уберечься от спама.
Спам - причина убийства главы Центра американского английского?
Подари спамеру 500000 левых адресов ;-))
Дела против спамеров будут возбуждать по заявлению.
-----------------------------
На главную страницу
Джихад анти спам.
