[GTER] SPAM: resumo.

Danton Nunes danton at inexo.com.br
Wed Apr 3 09:58:01 -03 2002


Considerações sobre o ciclo de vida do SPAM

O processo começa com a coleta de endereços eletrônicos, especialmente de
duas fontes: listas/usenet e Web. Qualquer um que poste uma mensagem numa
lista notória ou cujo endereço apareça em um localizador tipo 'mailto:...'
é sério candidato a ser incluido nas listas.

Uma vez compiladas as listas elas são vendidas, geralmente junto com algum
programa de envio massivo, que faz conexão direta aos servidores das
vítimas. Essas listas são anunciadas normalmente por SPAM! Nesse caso, o
ferreiro usa espetos de ferro mesmo.

Finalmenete vem a fase de envio das mensagens. Ambientes que estão ligados
permanentemente à Internet são os ideais, pois o programa enviador pode
ficar rodando em background usando toda a banda upstream o tempo todo.

Relays abertos são usados como um fator multiplicador da eficácia do spam,
pois basta enviar uma única cópia da mensagem para o relay que ele se
encarrega de 'mimeografá-la' e espalhar os clones por aí.

Tecnicamente podemos atacar o SPAM em vários pontos do ciclo de vida. Na
fase de coleta uma técnica é a de poluir as listas com enorme quantidade
de endereços falsos. Isso é possível criando 'trap pages' produzidas por
programas que geram toneladas de '<a href="mailto:bobagem at outra.bobagem">
para que o robot de coleta de endereços se empapuce. Evidentemente este
ataque só funciona para os endereços coletados da Web. Endereços coletados
de listas são muito mais confiáveis para o coletor. Resta aos
administradores das listas configurá-las de modo a sumir com o endereço do
remetente da mensagem, o que prejudica a possibilidade de respostas
privativas.

É muito difícil coibir o comércio das listas e os métodos de defesa nessa
fase do ciclo de vida estão mais no plano legal/policial do que da
engenharia.

A transmissão a partir de relays abertos é combatida pela manutenção das
listas de relays. Isso tem tido lá suas dificuldades, especialmente no
plano legal, mas bancos de dados como o do mail-abuse.org tem sobrevivido.

Se defender de mensagens vindas de dial-up/adsl pode ter duas estratégias,
uma implementada por quem recebe as mensagens outra pelo provedor de
acesso. O destinatário pode bloquear conexões com base em listagens de
endereços IP sabidamente pertencentes a linhas discadas ou de adsl. A
outra estratégia consiste em o provedor de acesso de linha discada/adsl
forçar a passagem do tráfego sainte de e-mail por pontos de controle, onde
de alguma forma o joio possa ser separado do trigo. Listas de controle de
acesso nos roteadores e/ou 'policy routing' empurrando as conexões para
portas smtp externas para o ponto de controle fazem a mágica. Controles
quantitativos (número de RCPT's, banda, etc.) a completam.

Além de rejeitar e-mail com base no fato de o endereço IP do último relay
estar em uma lista (porque é um dial-up/adsl ou relay aberto, etc.) há
pouco o que fazer. É difícil distinguir uma mensagem de erro,
caracterizada pelo remetente vazio no envelope, de SPAM. Embora haja gente
trabalhando nisso ainda não existe procedimento que faça distinção
automática e com margem de erro desprezível entre SPAM e mensagens
válidas.

Por fim, vem a fase repressiva. Uma vez bombardeado com lixo o usuário tem
que reclamar para alguém, mas com uma mensagem com cabeçalhos adulterados,
o único dado confiável é o 'Received:' gerado no servidor do destinatário.
O processo para identificar responsáveis não é para principiantes ou para
quem não tem muito tempo ocioso. Porjetos como o SpamCop ajudam muito.

É possível que no futuro as listas sejam usadas ao contrário, isto é, em
vez de termos listas bloqueando IPs de rementenes venhamos a ter listas
com IPs de 'bons remetentes', cujos administradores pratiquem políticas de
prevenção, controle e repressão ao SPAM e uso correto de e-mail. Uma
espécie de ISO-9000 do e-mail.

Mais alguma observação?

Danton.




More information about the gter mailing list