Các phÆ°Æ¡ng pháp lá»c và phòng chống spam
SPAM là má»™t trong những thách thức lá»›n nhất hiện nay mà khách hà ng và các nhà cung cấp dịch vụ phải đối phó. Spam đã trở thà nh má»™t hình thức quảng cáo chuyên nghiệp, phát tán virus, ăn cắp thông tin... vá»›i nhiá»u thủ Ä‘oạn và mánh khóe cá»±c kỳ tinh vi. NgÆ°á»i dùng sẽ phải mất khá nhiá»u thá»i gian để xóa những email “không má»i mà đếnâ€, nếu vô ý còn có thể bị nhiá»…m virus, trojan, spyware ... và nặng ná» hÆ¡n là mất thông tin nhÆ° thẻ tÃn dụng, tà i khoản ngân hà ng qua các email dạng phishing. Phần má»™t của bà i viết nà y sẽ trình bà y vỠđặc Ä‘iểm của spam, cách phát tán và tác hại của spam. Phần hai của bà i viết sẽ trình bà y vá» các phÆ°Æ¡ng pháp lá»c spam và cách phòng chống.
ÄẶC ÄIỂM CỦA SPAM Spam (hay spam email) là thÆ° Ä‘iện tá» quảng cáo hay là thÆ° được gá»i mà không có sá»± yêu cầu từ ngÆ°á»i nháºn. Spam thÆ°á»ng là những email vô hại và được gá»i tá»›i má»™t số lượng lá»›n ngÆ°á»i nháºn khác nhau. Spam được gá»i vá»›i số lượng lá»›n có thể là m đầy hòm thÆ° của ngÆ°á»i nháºn, nên há» không nháºn được các thÆ° má»›i. Ngoà i ra spam còn chiếm dụng băng thông, có thể gây tắc nghẽn Ä‘Æ°á»ng truyá»n. Má»™t số loại spam còn chứa ná»™i dung lừa đảo, nhằm mục Ä‘Ãch lừa ngÆ°á»i dùng cung cấp các thông tin cá nhân nhÆ° mã số thẻ tÃn dụng, máºt khẩu... Äể tiến hà nh gá»i spam, ngÆ°á»i gá»i (spammer) cần phải có má»™t số lượng lá»›n các địa chỉ email ngÆ°á»i nháºn, danh sách có thể lên đến hà ng triệu. Các địa chỉ email có thể được thu tháºp bằng nhiá»u cách nhÆ°: sá» dụng các chÆ°Æ¡ng trình tá»± Ä‘á»™ng tìm các địa chỉ email trên Internet, tấn công và o các diá»…n Ä‘Ã n để lấy trá»™m cÆ¡ sở dữ liệu vá» các thà nh viên, dùng phÆ°Æ¡ng pháp tấn công kiểu từ Ä‘iển, dùng các tên thông dụng (và dụ John, Smith, Steve,...) ghép vá»›i hà ng ngà n tên miá»n khác nhau thà nh các địa chỉ đúng và có xác suất thà nh công rất cao. Spam có đặc Ä‘iểm là không tốn nhiá»u chi phà khi gá»i đến má»™t số lượng ngÆ°á»i nháºn lá»›n, vì thế các spammer không cần sà ng lá»c các đối tượng nháºn thÆ° được gá»i trùng lặp nhiá»u lần tá»›i cùng má»™t địa chỉ ngÆ°á»i nháºn.CÃC PHÆ¯Æ NG PHÃP CHỌN LỌC SPAM Spam gây ra rất nhiá»u tác hại, do váºy việc phòng chống và ngăn chặn các spam là cần thiết. Hiện có nhiá»u công ty phần má»m cung cấp giải pháp chống spam, má»—i dòng sản phẩm có những tÃnh năng và các Æ°u nhược Ä‘iểm riêng, nhÆ°ng hầu hết các sản phẩm đó Ä‘á»u hoạt Ä‘á»™ng dá»±a và o má»™t số nguyên lý sau: Sá» dụng DNS blacklist PhÆ°Æ¡ng pháp sá» dụng DNS black list sẽ chặn các email đến từ các địa chỉ nằm trong danh sách DNS blacklist. Có hai loại danh sách DNS Blacklist thÆ°á»ng được sá» dụng, đó là : • Danh sách các miá»n gá»i spam đã biết, danh sách các miá»n nà y được liệt kê và cáºp nháºt tại địa chỉ http://spamhaus.org/sbl . • Danh sách các máy chủ email cho phép hoặc bị lợi dụng thá»±c hiện việc chuyển tiếp spam được gá»i Ä‘i từ spammer. Danh sách nà y được liệt kê và cáºp nháºt thÆ°á»ng xuyên tại địa chỉ http://www.ordb.org. CÆ¡ sở dữ liệu Open Relay Database nà y được duy trì bởi ORDB.org là má»™t tổ chức phi lợi nhuáºn. Khi má»™t email được gá»i Ä‘i, nó sẽ Ä‘i qua má»™t số SMTP server trÆ°á»›c khi chuyển tá»›i địa chỉ ngÆ°á»i nháºn. Äịa chỉ IP của các SMTP server mà email đó đã chuyển qua được ghi trong phần header của email. Các chÆ°Æ¡ng trình chống spam sẽ kiểm tra tất cả các địa chỉ IP đã được tìm thấy trong phần header của email đó sau đó so sánh vá»›i cÆ¡ sở dữ liệu DNS Blacklist đã biết. Nếu địa chỉ IP tìm thấy trong phần nà y có trong cÆ¡ sở dữ liệu vá» các DNS Blacklist, nó sẽ bị coi là spam, còn nếu không, email đó sẽ được coi là má»™t email hợp lệ. PhÆ°Æ¡ng pháp nà y có Æ°u Ä‘iểm là các email có thể được kiểm tra trÆ°á»›c khi tải xuống, do đó tiết kiệm được băng thông Ä‘Æ°á»ng truyá»n. Nhược Ä‘iểm của phÆ°Æ¡ng pháp nà y là không phát hiện ra được những email giả mạo địa chỉ ngÆ°á»i gá»i. Sá» dụng SURBL list PhÆ°Æ¡ng pháp sá» dụng SURBL phát hiện spam dá»±a và o ná»™i dung của email. ChÆ°Æ¡ng trình chống spam sẽ phân tÃch ná»™i dung của email xem bên trong nó có chứa các liên kết đã được liệt kê trong Spam URI Realtime Blocklists (SURBL) hay không. SURBL chứa danh sách các miá»n và địa chỉ của các spammer đã biết. CÆ¡ sở dữ liệu nà y được cung cấp và cáºp nháºt thÆ°á»ng xuyên tại địa chỉ www.surbl.org . Có nhiá»u danh sách SURBL khác nhau nhÆ° sc.surbl.org, ws.surbl.org, ob.surbl.org, ab.surbl.org..., các danh sách nà y được cáºp nháºt từ nhiá»u nguồn. Thông thÆ°á»ng, ngÆ°á»i quản trị thÆ°á»ng kết hợp các SURBL list bằng cách tham chiếu tá»›i địa chỉ multi.surbl.org. Nếu má»™t email sau khi kiểm tra ná»™i dung có chứa các liên kết được chỉ ra trong SURBL list thì nó sẽ được đánh dấu là spam email, còn không nó sẽ được cho là má»™t email thông thÆ°á»ng. PhÆ°Æ¡ng pháp nà y có Æ°u Ä‘iểm phát hiện được các email giả mạo địa chỉ ngÆ°á»i gá»i để đánh lừa các bá»™ lá»c. Nhược Ä‘iểm của nó là email phải được tải xuống trÆ°á»›c khi tiến hà nh kiểm tra, do đó sẽ chiếm băng thông Ä‘Æ°á»ng truyá»n và tà i nguyên của máy tÃnh để phân tÃch các ná»™i dung email. Kiểm tra ngÆ°á»i nháºn Tấn công spam kiểu “từ Ä‘iển†sá» dụng các địa chỉ email và tên miá»n đã biết để tạo ra các địa chỉ email hợp lệ khác. Bằng kỹ thuáºt nà y spammer có thể gá»i spam tá»›i các địa chỉ email được sinh ra má»™t cách ngẫu nhiên. Má»™t số địa chỉ email trong số đó có thá»±c, tuy nhiên má»™t lượng lá»›n trong đó là địa chỉ không tồn tại và chúng gây ra hiện tượng “lụt†ở các máy chủ mail. PhÆ°Æ¡ng pháp kiểm tra ngÆ°á»i nháºn sẽ ngăn chặn kiểu tấn công nà y bằng cách chặn lại các email gá»i tá»›i các địa chỉ không tồn tại trên Active Directory hoặc trên máy chủ mail server trong công ty. TÃnh năng nà y sẽ sá» dụng Active Directory hoặc LDAP server để xác minh các địa chỉ ngÆ°á»i nháºn có tồn tại hay không. Nếu số địa chỉ ngÆ°á»i nháºn không tồn tại vượt quá má»™t ngưỡng nà o đó (do ngÆ°á»i quản trị thiết láºp) thì email gá»i tá»›i đó sẽ bị coi là spam và chặn lại.Kiểm tra địa chỉ Bằng cách kiểm tra địa chỉ ngÆ°á»i gá»i và ngÆ°á»i nháºn, phần lá»›n spam sẽ được phát hiện và chặn lại. Thá»±c hiện kiểm tra địa chỉ ngÆ°á»i gá»i trÆ°á»›c khi email được tải xuống sẽ tiết kiệm được băng thông Ä‘Æ°á»ng truyá»n cho toà n hệ thống. Kỹ thuáºt Sender Policy Framework (SPF, www.openspf.org) được sá» dụng để kiểm tra địa chỉ ngÆ°á»i gá»i email. Kỹ thuáºt SPF cho phép chủ sở hữu của má»™t tên miá»n Internet sá» dụng các bản ghi DNS đặc biệt (gá»i là bản ghi SPF) chỉ rõ các máy được dùng để gá»i email từ miá»n của há». Khi má»™t email được gá»i tá»›i, bá»™ lá»c SPF sẽ phân tÃch các thông tin trong trÆ°á»ng “From†hoặc “Sender†để kiểm tra địa chỉ ngÆ°á»i gá»i. Sau đó SPF sẽ đối chiếu địa chỉ đó vá»›i các thông tin đã được công bố trong bản ghi SPF của miá»n đó xem máy gá»i email có được phép gá»i email hay không. Nếu email đến từ má»™t server không có trong bản ghi SPF mà miá»n đó đã công bố thì email đó bị coi là giả mạo. Chặn IP PhÆ°Æ¡ng pháp nà y sẽ chặn các email được gá»i đến từ các địa chỉ IP biết trÆ°á»›c. Khi má»™t email đến, bá»™ lá»c sẽ phân tÃch địa chỉ máy gá»i và so sánh vá»›i danh sách địa chỉ bị chặn. Nếu email đó đến từ má»™t máy có địa chỉ trong danh sách nà y thì nó sẽ bị coi là spam, ngược lại nó sẽ được coi là email hợp lệ.Sá» dụng bá»™ lá»c Bayesian Bá»™ lá»c Bayesian hoạt Ä‘á»™ng dá»±a trên định lý Bayes để tÃnh toán xác suất xảy ra má»™t sá»± kiện dá»±a và o những sá»± kiện xảy ra trÆ°á»›c đó. Kỹ thuáºt tÆ°Æ¡ng tá»± nhÆ° váºy được sá» dụng để phân loại spam. Nếu má»™t số phần văn bản xuất hiện thÆ°á»ng xuyên trong các spam nhÆ°ng thÆ°á»ng không xuất hiện trong các email thông thÆ°á»ng, thì có thể kết luáºn rằng email đó là spam. TrÆ°á»›c khi có thể lá»c email bằng bá»™ lá»c Bayesian, ngÆ°á»i dùng cần tạo ra cÆ¡ sở dữ liệu từ khóa và dấu hiệu (nhÆ° là ký hiệu $, địa chỉ IP và các miá»n...) sÆ°u tầm từ các spam và các email không hợp lệ khác. Má»—i từ hoặc má»—i dấu hiệu sẽ được cho má»™t giá trị xác suất xuất hiện, giá trị nà y dá»±a trên việc tÃnh toán có bao nhiêu từ thÆ°á»ng hay sá» dụng trong spam, mà trong các email hợp lệ thÆ°á»ng không sá» dụng. Việc tÃnh toán nà y được thá»±c hiện bằng cách phân tÃch những email gá»i Ä‘i của ngÆ°á»i dùng và phân tÃch các kiểu spam đã biết. Äể bá»™ lá»c Bayesian hoạt Ä‘á»™ng chÃnh xác và có hiệu quả cao, cần phải tạo ra cÆ¡ sở dữ liệu vá» các email thông thÆ°á»ng và spam phù hợp vá»›i đặc thù kinh doanh của từng công ty. CÆ¡ sở dữ liệu nà y được hình thà nh khi bá»™ lá»c trải qua giai Ä‘oạn “huấn luyệnâ€. NgÆ°á»i quản trị phải cung cấp khoảng 1000 email thông thÆ°á»ng và 1000 spam để bá»™ lá»c phân tÃch tạo ra cÆ¡ sở dữ liệu cho riêng nó.Sá» dụng danh sách Black/white list Việc sá» dụng các danh sách black list, white list giúp cho việc lá»c spam hiệu quả hÆ¡n. Black list là cÆ¡ sở dữ liệu các địa chỉ email và các miá»n mà bạn không bao giá» muốn nháºn các email từ đó. Các email gá»i tá»›i từ các địa chỉ nà y sẽ bị đánh dấu là spam. White list là cÆ¡ sở dữ liệu các địa chỉ email và các miá»n mà bạn mong muốn nháºn email từ đó. Nếu các email được gá»i đến từ những địa chỉ nằm trong danh sách nà y thì chúng luôn được cho qua. Thông thÆ°á»ng các bá»™ lá»c có tÃnh năng tá»± há»c, khi má»™t email bị đánh dấu là spam thì địa chỉ ngÆ°á»i gá»i sẽ được tá»± Ä‘á»™ng Ä‘Æ°a và o danh sách black list. Ngược lại, khi má»™t email được gá»i Ä‘i từ trong công ty thì địa chỉ ngÆ°á»i nháºn sẽ được tá»± Ä‘á»™ng Ä‘Æ°a và o danh sách white list.Kiểm tra Header PhÆ°Æ¡ng pháp nà y sẽ phân tÃch các trÆ°á»ng trong phần header của email để đánh giá email đó là email thông thÆ°á»ng hay là spam. Spam thÆ°á»ng có má»™t số đặc Ä‘iểm nhÆ°: • Äể trống trÆ°á»ng From: hoặc trÆ°á»ng To: . • TrÆ°á»ng From: chứa địa chỉ email không tuân theo các chuẩn RFC. • Các URL trong phần header và phần thân của message có chứa địa chỉ IP được mã hóa dÆ°á»›i dạng hệ hex/oct hoặc có sá»± kết hợp theo dạng username/password (và dụ các địa chỉ: http://00722353893457472/hello.com,
www.citibank.com@scammer.com
This email address is being protected from spam bots, you need Javascript enabled to view it
) • Phần tiêu Ä‘á» của email có thể chứa địa chỉ email ngÆ°á»i nháºn để cá nhân hóa email đó. LÆ°u ý khi sá» dụng tÃnh năng nà y vá»›i các địa chỉ email dùng chung có dạng nhÆ°
sales@company.com.
This email address is being protected from spam bots, you need Javascript enabled to view it
Và dụ khi má»™t khách hà ng phản hồi bằng cách sá» dụng tÃnh năng auto-reply vá»›i tiêu đỠ“your email to sales†có thể bị đánh dấu là spam • Gá»i tá»›i má»™t số lượng rất lá»›n ngÆ°á»i nháºn khác nhau. • Chỉ chứa những file ảnh mà không chứa các từ để đánh lừa các bá»™ lá»c. • Sá» dụng ngôn ngữ khác vá»›i ngôn ngữ mà ngÆ°á»i nháºn Ä‘ang sá» dụng. Dá»±a và o những đặc Ä‘iểm nà y của spam, các bá»™ lá»c có thể lá»c chặn. Sá» dụng tÃnh năng Challenge/Response TÃnh năng nà y sẽ yêu cầu ngÆ°á»i lần đầu gá»i email xác nháºn lại email đầu tiên mà hỠđã gá»i, sau khi xác nháºn, địa chỉ email của ngÆ°á»i gá»i được bổ sung và o danh sách White list và từ đó trở vá» sau các email được gá»i từ địa chỉ đó được tá»± Ä‘á»™ng cho qua các bá»™ lá»c. Do spammer sá» dụng các chÆ°Æ¡ng trình gá»i email tá»± Ä‘á»™ng và há» không thể xác nháºn lại tất cả các email đã gá»i Ä‘i, vì thế những email không được xác nháºn sẽ bị coi là spam. PhÆ°Æ¡ng pháp nà y có hạn chế là nó yêu cầu những ngÆ°á»i gá»i má»›i phải xác nháºn lại email đầu tiên mà há» gá»i. Äể khắc phục nhược Ä‘iểm nà y, ngÆ°á»i quản trị chỉ nên sá» dụng phÆ°Æ¡ng pháp nà y đối vá»›i những email mà há» nghi ngá» là spam.ÄỂ PHÃ’NG TRÃNH THƯ RÃC Ngoà i việc sá» dụng các bá»™ lá»c chống spam, ngÆ°á»i sá» dụng cÅ©ng đóng vai trò quan trá»ng trong việc chống lại “đại dịch†thÆ° rác. Bởi váºy ngÆ°á»i dùng cần tuân theo má»™t số nguyên tắc sau: • Luôn cáºp nháºt các bản vá má»›i nhất của các phần má»m Ä‘ang cà i đặt trên máy. • Äảm bảo tất cả các máy luôn được cáºp nháºt các phần má»m chống virus và chống spam. • Sá» dụng các firewall để bảo vệ hệ thống. • Không trả lá»i các email lạ không rõ nguồn gốc. Äối vá»›i các spammer, khi nháºn được má»™t trả lá»i từ hà ng ngà n email há» gá»i Ä‘i thì cÅ©ng chứng minh là phÆ°Æ¡ng pháp đó có hiệu quả. Ngoà i ra, việc trả lá»i lại còn xác nháºn là địa chỉ email của bạn là có thá»±c và hiện Ä‘ang được sá» dụng. Do váºy địa chỉ email của bạn sẽ “đáng giá†hÆ¡n, và các spammer sẽ gá»i nhiá»u thÆ° rác hÆ¡n. • Không gá»i các thông tin cá nhân của bạn (số thẻ tÃn dụng, máºt khẩu, tà i khoản ngân hà ng, v.v... ) trong thÆ° Ä‘iện tá». Các spammer và những kẻ lừa đảo qua mạng có thể tạo ra những trang web giả mạo các tổ chức, ngân hà ng... Ä‘á» nghị bạn gá»i máºt khẩu và má»™t số thông tin vá» thẻ tÃn dụng của bạn qua email. • Không hồi đáp email bằng cách nhấn lên từ nhÆ° “loại bá»â€ (remove) hoặc “ngừng đăng ký†(unsubscribe) trong dòng tiêu Ä‘á» hoặc trong ná»™i dung của thÆ° trừ khi đây là nguồn đáng tin cáºy (các email tiếp thị trá»±c tiếp). Äây là tiểu xảo của các spammer để ngÆ°á»i sá» dụng hồi đáp lại các spam của há». Khi nháºn được hồi đáp, các spammer không những không loại bỠđịa chỉ email của bạn ra khá»i danh sách mà còn gá»i tá»›i nhiá»u spam hÆ¡n bởi vì há» biết rằng địa chỉ email của bạn hiện Ä‘ang hoạt Ä‘á»™ng. • Không bao giá» bấm và o các liên kết URL hoặc địa chỉ trang web được ghi trong spam ngay cả khi nó hÆ°á»›ng dẫn ngÆ°á»i nháºn ngừng đăng ký. Äiá»u nà y cÅ©ng cho ngÆ°á»i gá»i biết rằng địa chỉ email của bạn Ä‘ang được sá» dụng và bạn có thể sẽ nháºn được nhiá»u spam hÆ¡n. • Hãy sá» dụng hai địa chỉ email khác nhau, má»™t địa chỉ sá» dụng cho các việc riêng nhÆ° bạn bè, công việc. Má»™t địa chỉ sá» dụng để đăng ký trở thà nh thà nh viên của các diá»…n Ä‘Ã n, các tổ chức... những nÆ¡i mà địa chỉ email của bạn có thể bị lạm dụng hoặc bán. • Không nên đăng địa chỉ email của bạn ở những nÆ¡i công cá»™ng (và dụ nhÆ° các diá»…n Ä‘Ã n, bảng tin, chat room...) nÆ¡i các spammer thÆ°á»ng sá» dụng các tiện Ãch để thu tháºp và tìm kiếm địa chỉ email. • Sá» dụng các dịch vụ email cung cấp công cụ chống spam, và dụ nhÆ° Yahoo! Mail, Gmail. • Không bao giỠđược chuyển tiếp spam cho ngÆ°á»i khác. • Chuyển spam nháºn được đến ngÆ°á»i quản trị hệ thống email. Quản trị viên sẽ thay đổi chÆ°Æ¡ng trình lá»c để lần sau hệ thống sẽ chặn lại những email tÆ°Æ¡ng tá»± nhÆ° thế.
Số liệu thống kê vá» spam Theo thống kê của hãng bảo máºt Sophos (www.sophos.com), tÃnh theo khu vá»±c trong quý ba năm 2006, châu à đứng đầu bảng vá» gá»i spam, tiếp sau đó là châu Âu và xếp thứ 3 là khu vá»±c Bắc Mỹ. Tá»· lệ spam gá»i từ châu à và Bắc Mỹ Ä‘á»u giảm so vá»›i trÆ°á»›c đó, ngược lại, tá»· lệ spam phát tán từ châu Âu và Nam Mỹ Ä‘á»u tăng. Tuy nhiên, trong số những nÆ°á»›c phát tán nhiá»u spam nhất thế giá»›i thì Mỹ vẫn là nÆ°á»›c đứng đầu vá»›i 21,6 %, và Trung Quốc đứng thứ hai vá»›i 13,4% lượng spam gá»i Ä‘i trên toà n thế giá»›i (trong quý 3 năm 2006). Tá»· lệ spam gá»i Ä‘i từ Trung Quốc trong quý ba năm 2006 giảm mạnh so vá»›i các quý trÆ°á»›c đó vì Trung Quốc Ä‘ang ná»— lá»±c giảm lÆ°u lượng thÆ° rác được gá»i Ä‘i.
Tà i liệu tham khảo: http://www.aarp.org/learntech/computers/howto/a2004-06-02-howto-spamfilters.html http://www.uwo.ca/its/network/stopspam/aboutspam.html http://en.wikipedia.org/wiki/E-mail_spam http://www.michael-amorose.com/history_of_anti_spam/ http://www.spamhaus.org/faq/answers.lasso?section=ISP%20Spam%20Issues
Trần Äình Thi Phòng R&D - EVNIT Email:
trandinh_thi@yahoo.com
This email address is being protected from spam bots, you need Javascript enabled to view it
(Theo PC world)