 |  |
|
ברכת השנה הטובה במייל לא הגיעה ליעדה? אולי זוהיתם בטעות כספאמרים
חדל תופעת דואר הזבל - מסננים רק את הספאם האמיתי | צלם: Flickr
זיהוי מוטעה של הודעות דואר אלקטרוני אמיתיות כספאם הוא הסיוט הגדול של כל מערכת סינון. לא משנה אם אתם בצד השולח או המקבל. להלן 8 שיטות כיצד להימנע מסינון מוטעה ולוודא שההודעות הלגיטימיות תגענה ליעדן
20.10.08 | 20:32Software | Security
ספאם. הוא ממלא את תיבות הדואר שלנו, מבזבז לנו את הזמן, ונושא וירוסים - והמצב רק הולך ומחמיר. לפי נתונים של חברת Ferris Research, כ-40 טריליון הודעות ספאם צפויות להישלח במהלך 2008, תוך גרימת נזק של 140 מיליארד דולר לארגונים וחברות ברחבי העולם - עליה משמעותית בהשוואה ל-18 טריליון הודעות שנשלחו ב-2006 ו-30 טריליון ב-2007.
באופן תיאורטי, תוכנות לסינון דואר זבל מאפשרות להודעות דוא"ל אמיתיות לעבור ליעדן, תוך בלימת הודעות ספאם. אולם תוכנות אלה עלולות לטעות באחד משני אופנים: הן עלולות לאפשר להודעות ספאם להמשיך לייעדן מתוך מחשבה כי הן הודעות לגיטימיות (מצב המוכר בשם שלילה מוטעית - false negative), או שהן עלולות לחסום הודעות אמיתיות מתוך אמונה מוטעית כי מדובר על ספאם (חיוב מוטעה או false positive).
בדרך כלל, לאחר זיהוי הודעה כספאם, תוכנת הסינון חוסמת אותה לחלוטין או מעבירה אותה לתיקיית הסגר ייעודית אותה יכול הנמען לבחון מאוחר יותר. למרות שהשיטה השנייה מאפשרת לאחזר הודעות שזוהו בטעות כספאם, היא דורשת זמן ומאמץ מצד המשתמש - ולא מעט משתמשים כלל לא טורחים לבדוק את תיקיית ההסגר שלהם.
על פי נתוניה של Ferris Research, משתמשים פרטיים וארגונים שמקבלים הודעות ספאם סובלים מנזק כלכלי הכרוך במחיקה שלהן - כ-4 סנט לכל הודעה. אולם האנליסט ריצ'י ג'נינגס מ-Ferris מציין שהעלות הכרוכה באיתור הודעת דוא"ל אמיתית שזוהתה בטעות כספאם גבוהה הרבה יותר, ומסתכמת בכ-3.5 דולר לכל הודעה. וגרועים מכך הם ההפסדים הפוטנציאליים הנגרמים לארגונים כתוצאה מהזדמנויות שהוחמצו בגלל הודעות שזוהו בטעות כספאם, ומעולם לא הגיעו ליעדן.
טכניקות סינון
בכדי להוריד למינימום את מספר הזיהויים השגויים, כדאי לדעת קצת על האופן בו פועלים מסנני ספאם. על מנת להתמודד עם הודעות ספאם ההולכות ונעשות מתוחכמות, תוכנות הסינון יישמו במהלך השנים מגוון רחב של טכניקות. להלן סקירה כללית ומהירה של כמה טכניקות פופולריות, פחות או יותר בסדר כרונולוגי.
מסננים המבוססים על מילות מפתח ונתונים סטטיסטיים
המסננים המוקדמים ביותר חיפשו בשורת הנושא ובתוכן של ההודעה מילים מסוימות, כגון "Viagra" או "online pharmacy". גרסאות מתקדמות יותר עשו שימוש באנליזה בייסיאנית (Bayesian analyses), המשלבת חיפוש של מילות מפתח עם חישוב היחס בין מילים "טובות" למילים "רעות", יחס שעל בסיסו ניתן היה לקבוע מהי ההסתברות שמדובר בהודעת ספאם.
אתגר התגובה
במסגרת שיטה זו, שולחים לא מוכרים מקבלים הודעת תגובה המבקשת מהם לאמת את זהותם באמצעות סדרה של תווים מעוותים, טכניקה המוכרת בשם CAPTCHA (קיצור של completely automated public Turing test to tell computers and humans apart). מבחן זה מבוסס על ההנחה שבני אדם יכולים לזהות דפוסים מסוימים בעוד מחשבים אינם מסוגלים לעשות זאת. ברגע שהשולח אומת בהצלחה, הודעות הדוא"ל שלו מועברות ללא עיכובים.
רשימות שחורות, רשימות לבנות, ורשימות מוניטין
במסגרת הטכניקות הללו, תוכנות הסינון מנסות להעריך לא את ההודעה עצמה, אלא את המאפיינים של השולח, במיוחד את ההיסטוריה שלו בכל מה שקשור להפצת ספאם.
• רשימות שחורות: בסיסי נתונים בהם אוספים את כתובות ה-IP של שולחי ספאם מוכרים מכל העולם. מסנן הספאם משווה בין הודעת הדוא"ל הנכנסת לבין הרשימה השחורה, ומסרב לקבל הודעות מכתובות מפוקפקות. רשימות שחורות מסוימות הן פומביות לחלוטין, בעוד אחרות ניתנות תמורת תשלום.
• רשימות לבנות: בסיסי נתונים בהם אוספים את כתובות ה-IP של שולחים לגיטימיים, כך שמסנני הספאם יודעים כי הם יכולים להעביר את ההודעות שלהם באופן אוטומטי. מסנני ספאם רבים עושים שימוש גם ברשימות שחורות וגם ברשימות לבנות.
• רשימות מוניטין: המונח רשימת מוניטין (reputation list) מתייחס לטכניקה העושה שימוש ברשימות שחורות ולבנות, אך מרחיבה אותן על ידי התייחסות לא רק לכתובת ה-IP, אלא לשם המתחם כולו.
• במקרים מסוימים, ספקים עושים שימוש במונח רשימת מוניטין על מנת להבדיל את הרשימות שלהם מרשימות שחורות או לבנות המתוחזקות באופן פומבי על ידי קהילייה של משתמשים. ג'נינגס מזהיר לא לקפוץ למסקנה החפוזה שרשימות מוניטין מתוחזקות כולן באופן מקצועי בעוד רשימות שחורות מלאות בטעויות. לדבריו, בפועל אין הבדלים משמעותיים ברמת הניהול והתחזוקה של רשימות מוניטין בהשוואה לרשימות שחורות או לבנות.
רשימות אפורות
במסגרת טכניקה זו, מערכת הדוא"ל של הנמען חוסמת באופן זמני הודעות מכתובות IP לא ידועות (שאינן שייכות לא לרשימה השחורה ולא ללבנה). המערכת מחזירה הודעת תגובה אוטומטית לשולח ומודיעה לו על החסימה הזמנית. ההנחה היא שבאופן תיאורטי, שולח "אמיתי" ינסה לשגר את ההודעה פעם נוספת, בעוד לספאמרים אין את הסבלנות לעשות זאת.
בורות זפת (Tarpits)
מדובר על שירות מיוחד בשרתי דוא"ל שמאט כמה שניתן תקשורת נכנסת, זאת במטרה לרפות את ידיהם של הספאמרים על ידי הכרחתם לבזבז זמן רב יותר במשלוח כמויות גדולות של ספאם. הטכניקה הזו נקראת על שם בורות זפת אמיתיים בהם נלכדים לעיתים בעלי חיים, ובסופו של דבר שוקעים. החיסרון המרכזי של שיטה זו, כמובן, הוא שגם הודעות דוא"ל לגיטימיות זקוקות ליותר זמן על מנת להגיע ליעדן.
זיהוי דפוסים חוזרים
טכניקה קניינית זו מסתמכת על העובדה שהתפרצות של ספאם, מהגדרתה, כרוכה בהפצה של הודעת דוא"ל בקנה מידה רחב. מערכת ה-RPD, שפותחה ומתוחזקת על ידי חברת קומטאץ' הישראלית, מנטרת את האינטרנט בחיפוש אחר התפרצויות מסוג זה, מזהה את הדפוס הנכלל בהודעה, ומעדכנת בסיס נתונים מרכזי. קומטאץ' מוכרת מוצרי אנטי-ספאם משלה, ובמקביל מוכרת רישיונות שימוש בטכנולוגיית ה-RPD לספקיות כלי אנטי-ספאם אחרות.
כך תלחמו בתופעת הזיהוי המוטעה
הן בצד השולח והן בצד המקבל, צמצום למינימום של מקרים בהם הודעות לגיטימיות מזוהות כספאם הוא קריטי. האתגר האמיתי נובע מהעובדה שכל אחת מטכניקות הסינון שצוינו לעיל (או אפילו כולן), עשויות להיות מיושמות הן במסגרת מערכת הדוא"ל שלכם והן במסגרת אלה של הנמענים. הנה כמה צעדי מנע בהם מומלץ לנקוט.
1. אל תוותרו על השימוש במסנן ספאם
מקרים של זיהוי הודעות אמיתיות כספאם יכולים להעלות אצלכם את האפשרות לוותר כליל על מסנן ספאם - אל תעשו את זה.
סינון שגוי של הודעות לגיטימיות יכול לקרות גם בלי מסנן ספאם. למשל, כאשר משתמש רואה כמה הודעות ספאם בזו אחר זו בתיבת הדואר הנכנס ולוחץ על כפתור ה"מחק" כמה פעמים תוך שהוא מפספס הודעה אמיתית שקבורה בתוך שורה ארוכה של הודעות ספאם. מאידך, מסנן ספאם ברמה טובה יתפוס 97 עד 99 אחוזים מהודעות הספאם, ובכך ימנע תרחיש כמו זה שתואר לעיל. ולמרות שמסנני ספאם עלולים לזהות הודעה אמיתית כספאם, השיעור בפועל של מקרים אלה נמוך הרבה יותר (עד כדי 0.01 אחוז) מאחוז השגיאות שנגרמות כתוצאה מטעות אנוש.
2. מקמו את המסנן שלכם באזור הניטראלי של הרשת
איזור ניטראלי (demilitarized zone או בקיצור DMZ) מתייחס לחלק ברשת התקשורת שחוצץ בין הרשת הפנימית לרשת האינטרנט הפומבית. המערכות הממוקמות ב-DMZ חשופות למתקפות חיצוניות, אולם נוכחותן מגינה על הרשת הפנימית.
לטענת ג'נינגס, על ידי מיקום מסנן הספאם ב-DMZ, אתם מאפשרים לו לפקח גם על מאפייני החיבור ולהשיג יתר מידע על הודעות דוא"ל נכנסות, מידע שעשוי להיות קריטי בהחלטה האם הודעה מסוימת היא אמיתית או לא. "אם למשל השולח הוא מחשב Windows ME", אומר ג'נינגס, "למה הוא שולח לי הודעה באופן ישיר ולא עובד דרך שרת דוא"ל לגיטימי? במקרה כזה כמעט אין ספק שמדובר על מחשב זדוני ושההודעה תהייה הודעת ספאם".
3. התנתקו מטכנולוגיות סינון ישנות
מייקל בריגס, מנהל טכנולוגיות מידע בבית הספר למשפטים של אוניברסיטת ג'ורג' וושינגטון, ממליץ להתרחק מטכנולוגיות מיושנות המבוססות על מילות מפתח, ולעבור לטכניקות חדשניות יותר כגון רשימות אפורות (ראו לעיל).
ג'נינגס מצידו דווקא חושש ממערכות המבוססות על שיגור תגובה לשולח, וטוען שמדובר על "רעיון פשוט איום ונורא". הוא מציין את העובדה ששולח לגיטימי יכול שלא לראות בכלל את הודעת התגובה כיוון שהיא עצמה עלולה להיות מזוהה כספאם, וכיוון שספאמרים מסווים לעיתים קרובות ספאם כהודעות מסוג זה.
4. גייסו את המשתמשים שלכם על מנת לסייע בתחזוקת הרשימה הלבנה
המשתמשים שלכם מפתחים באופן קבוע יחסי עבודה עם לקוחות חדשים, ספקים ושאר אנשי קשר, מה שאומר שאם אתם עושים שימוש ברשימה לבנה של שולחים לגיטימיים, יש צורך לעדכן אותה באופן רציף. לוציו גונזלס, מנהל מערכות ב-South Texas College, שמח כאשר עובדים בקולג' מודיעים לו על אנשי קשר חדשים.
הוא מוסיף אותם לרשימה הלבנה, והודעות מאותם אנשים עוברות מהר יותר את מנגנוני הסינון, בלי חשש שיזוהו בטעות כספאם. משלוח של תזכורות תקופתיות למשתמשים על מנת שיידעו את מחלקת ה-IT בדבר אנשי קשר חדשים עשוי לחסוך לכולם הרבה זמן וכאב ראש.
יתרה מכך, אנדרו לוקהארט, סגן נשיא לענייני שיווק בחברת האבטחה Proofpoint, מציע לתת למשתמשים לקבוע לעצמם את הפרמטרים של הסינון. או כפי שהוא מנסח את זה: ספאם, כמו יופי, הוא בעיני המתבונן. למרות שמעט מאוד אנשים ירצו לקבל מודעות על גלולות ויאגרה או בתי מרקחת מקוונים, ישנם אנשי עסקים הנמצאים הרבה בדרכים ויירצו, למשל, לקבל הודעות שבועיות מחברות תעופה או חברות להשכרת רכב. גמישות מסוג זה מועילה בסופו של דבר הן למשתמשי הקצה והן למנהלי המערכות.
5. בחרו את הרשימות השחורות ואת רשימות המוניטין בחוכמה
אם החברה שלכם מסתמכת על רשימות שחורות או רשימות מוניטין על מנת לבלום ספאם, ג'נינגס מפציר בכם לבחור בזהירות באילו רשימות לבחור. כאשר בוחרים רשימה שחורה, ג'נינגס ממליץ לבדוק את מדיניות הניהול של הרשימה. לדוגמא, ישנן רשימות שחורות ורשימות מוניטין שמתוחזקות אך ורק על בסיס תלונות של משתמשים, והסתמכות עליהן תוביל בסופו של דבר לזיהויים שגויים. לא יודעים באילו רשימות לבחור? בקשו מהספק שמכר לכם את כלי סינון הספאם להמליץ על משהו.
חשוב גם לעקוב באופן רציף אחרי הסטטוס של הרשימות בהן בחרתם. ג'נינגס נותן כדוגמא את ORDB, רשימה שחורה שנסגרה עוד ב-2006, אולם המשיכה לקבל שאילתות ממערכות רבות גם לאחר מכן. השאילתות הרבות גרמו לקריסת השרתים שאירחו בעבר את ORDB, ומנעו מהם לבצע משימות אחרות. בתחילת 2008, על מנת לבלום את השאילתות הרבות, החזירו המפעילים של ORDB את המערכת לפעילות, אך הפעם כך שתסמן כל IP ככזה השולח ספאם - בצורה זו הם קיוו לזכות בתשומת הלב של מנהלי המערכות הרבים כך שיפסיקו לשלוח אליהם שאילתות. יתר ערנות מצידם של מנהלי מערכות הדוא"ל השונות הייתה חוסכת את כל התהליך.
6. וודאו שאינכם שולחים ספאם
אם הודעות ספאם יוצאות מהמערכות שלכם, אפילו שלא במתכוון, זה פוגע לכם במוניטין ומגדיל את הסיכוי שתמצאו את עצמכם ברשימות שחורות. ואם תשלחו מספיק ספאם, מסביר ג'נינגס, המוניטין שלכם עלול להיפגע ברמה כזו שלא תצליחו אפילו לשלוח הודעות לגיטימיות.
גישת שלושת השלבים הבאה תסייע לכם להימנע ממצב זה:
תחילה, מציע סטפן פאו, סגן נשיא לענייני ניהול מוצר בחברת האבטחה Barracuda Networks, רסנו את הרגלי הגלישה המפוקפקים של המשתמשים שלכם. אם הם נוהגים לגלוש לאתרים מסוכנים או מפוקפקים, אלו עלולים לנסות לעשות שימוש במערכת שלכם על מנת לשלוח ספאם. על מנת להימנע מכך, הגדירו מדיניות שימוש ברורה והתקינו כלי בקרה וסינון מבית היוצר של חברות אבטחה רציניות כגון Websense או Sophos. שימו לב שפיקוח על הרגלי הגלישה של עובדים עלול להיות כרוך בסוגיות חוקיות - הקפידו לפעול לפי החוק ולתת למשתמשים התראות מספיקות במקרה הצורך.
בנוסף, פאו ממליץ להישאר עם היד על הדופק בכל מה שקשור לעדכוני אבטחה והגדרות של וירוסים ותוכנות זדוניות, זאת על מנת לוודא שספאמרים לא ישתלטו לכם על המערכות וישלחו מהן ספאם.
ולבסוף, ג'נינגס ממליץ על שימוש גם בסינון של תוכן יוצא על מנת לוודא מעל לכל ספק ששום הודעות ספאם לא יוצאות ממערכות הדוא"ל שלכם.
7. בדקו את מוניטין הספאם שלכם
אם הארגון שלכם נמצא ברשימה שחורה, ייתכן שהנמענים אליהם אתם שולחים הודעות כלל לא יקבלו אותן. מסיבה זו ממליץ לוקהארט לכל חברה לבדוק באופן קבוע את המוניטין שלה. הוא ממליץ, למשל, לבקר באתר habeas, אתר שמספק בדיקת מוניטין חינם ואף מסייע בניהול נכון יותר של מוניטין מקוון.
אם אתם מוצאים באופן לא מוצדק את החברה שלכם ברשימה שכזו, לוקהארט ממליץ ליצור קשר עם מנהל הרשימה ולהביע את מחאתכם. יש לקחת בחשבון שבמקרים רבים יש סיכוי גבוה יותר ששופט כדורגל יבטל שריקה לפנדל מאשר שמנהל רשימה שחורה יסכים להוציא אתכם ממנה. חוסר הגמישות של חלק מהרשימות השחורות מגדיל אמנם את הסיכוי לשגיאות בזיהוי, אבל זו רק סיבה נוספת להיות מאוד זהירים כאשר אתם בוחרים רשימות כאלה לשימוש.
8. הזהירו את המשתמשים מפני מילים "בעייתיות"
אם אתם עומדים בתור לבידוק הביטחוני בנתב"ג, אין זה מומלץ לדבר על פצצות, כלי נשק או חטיפה. באופן דומה, גונזלס ממליץ בשליחה של דוא"ל להימנע ממילים בעייתיות שאופייניות להודעות ספאם.
למרות שסינון ספאם על בסיס מילות מפתח פחות נפוץ כיום, בהחלט ייתכן שהמערכת של הנמען שלכם עושה שימוש במנגנון שכזה. לכן, אם ניתן, הימנעו מאותן מילים שעלולות להדליק נורה אדומה אצל המסנן. אגב, לא כל המילים הללו ברורות מאליהן - לצד החשודים הברורים (כגון "free", "enlarge", "pharmacy", "alert" או "diploma") גונזלס מזהיר ממילים פחות צפויות כגון "hey" או "hello".
הצבה של המילים הללו בגוף ההודעה או בכותרת אולי לא יגרמו לסימון ההודעה שלכם באופן מיידי כספאם, אולם ככל שתוכלו להימנע מהם, כך ייטב. בנוסף, נסו לכלול בהודעה שלכם מידע שהוא ספציפי לנמען, כגון שמות פרויקטים. פעולה שכזו עשויה להוריד את הסיכוי שניתוח בייסיאני יזהה את ההודעה שלכם כספאם.
על ידי הפחתה למינימום של מקרי זיהוי מוטעה, אתם יכולים לוודא שההודעות האמיתיות הממוענות אליכם אכן תגענה ליעדן, והודעות אמיתיות שאתם שולחים לאחרים תגענה גם הן לכל הנמענים.
עוד בנושא - ביהמ"ש בארה"ב הפסיק פעולתה של מפיצת מיליארדי הודעות ספאם באינטרנט | פיצוי לישראלי שקיבל דואר ספאם - הפלגת כיף לו ול-13 מחבריו | החידושים האחרונים בספאם: הודעות להורים כי ילדם נחטף | בראד פיט הכי מסוכן באינטרנט |
פורמט להדפסה
שלח באימייל
חזרה למעלה
עשרת הגדולים
- 1. חקירה רחבה במכס על הברחת סמארטפונים לישראל
- 2. וול-סטריט ג'ורנל: גוגל קרובה להשקת שירות אחסון בענן
- 3. הגאדג'ט הישראלי שיהפוך את הסמארטפון שלכם לרובה לייזר
- 4. הין של אפל, היאנג של גוגל
- 5. שיעורים למתקדמים: רשתות חברתיות - הדור הבא
- 6. מטריקס מנהלת מו"מ לרכישת Netwise – היקף הרכישה עשוי להגיע לכ-40 מיליון שקל
- 7. חברות הכבלים בארה"ב מכריזות מלחמה על בוקסי הישראלית
- 8. בצלאל ויתרה על דרישתה מהתלמידים לרכוש מק
- 9. פיטורים בדאבל וריפיי: 15 עובדים זומנו לשימוע
- 10. כמה שווה הפרטיות שלכם לגוגל? 25 דולר לשנה
