Ochrona antyspamowa

W sieci poja­wia się coraz wię­cej dzia­łań nie­cał­kiem miłych i sym­pa­tycz­nych. Spam rośnie jak na droż­dżach, próby wła­mań są coraz częst­sze. W związku z tym, w sieci poja­wiło się nieco puła­pek, w języku infor­ma­ty­ków zwie się to honey­pot, czyli garn­ców miodu. Ten ser­wis, jak wiele innych, jest rów­nież pod­łą­czony do jed­nej z baz publi­ku­ją­cych czarne listy.

Tych puła­pek jest kilka typów. Na przy­kład:
XBL
Są to pozor­nie źle zabez­pie­czone ser­wisy, które jed­nak są pil­nie obser­wo­wane. Jeżeli nastę­puje próba wła­ma­nia na ten ser­wis, adres IP wła­my­wa­cza natych­miast wpada na czarną listę.

SBL
Naj­pierw poja­wia się strona, tyle że jej treść jest zupeł­nie idio­tyczna a wśród tre­ści są adresy ema­ilowe. Widać gołym okiem, że czło­wiek tą stroną się nie zain­te­re­suje. Po sieci buszują tak zwane harve­stery, któ­rych zada­niem jest zbie­ra­nie adre­sów, Auto­mat nie rozu­mie­nie tre­ści, więc dla niego takie strony są łako­mym kąskiem.
Za chwilę owe spre­pa­ro­wane adresy wpa­dają do baz danych spa­me­rów i na te adresy rusza spam. Każdy mail ode­brany ze „skrzy­nek puła­pek” jest reje­stro­wany, ana­li­zo­wany i oczy­wi­ście IP nadawcy wpada na czarną listę.
Uwaga! Więk­szość ser­we­rów pocz­to­wych rów­nież ma dostęp do tych list, więc każdy mail z zaka­żo­nego IP jest auto­ma­tycz­nie może być trak­to­wany jak spam.

Przy pró­bie wej­ścia na jakąś stronę może poja­wić się ostrze­że­nie (oby nie), że Wasz adres IP jest na czar­nej liście. Jak można się dostać na taką czarną listę?

1. Jeżeli macie dyna­miczny adres IP — może­cie odzie­dzi­czyć „zaka­żony” adres po kimś. Naj­czę­ściej wystar­czy wtedy zre­se­to­wać router lub, jeżeli go nie macie, to zre­se­to­wać kom­pu­ter i dosta­nie­cie nowy, czy­sty (być może) numer IP. Dla bar­dziej zaawan­so­wa­nych, pole­cam zre­se­to­wa­nie war­stwy sie­cio­wej. Sku­tek jest identyczny.
2. Zaka­że­nie wiru­sami lub tro­ja­nami. Te wredne pro­gramy z zara­żo­nych kom­pu­te­rów pro­wa­dzą ataki i roz­sy­łają spam. Sku­tek jest oczy­wi­sty, wpa­damy na czarną listę. Trzeba odwi­ru­so­wać komputer.
3. Nad­mier­nie pomy­słowy nasto­la­tek w domu. Cie­ka­wość świata nie­któ­rych dzie­cia­ków obja­wia się cza­sem róż­nymi eks­pe­ry­men­tami, pró­bami wła­mań do ser­wi­sów, co nie zawsze koń­czy się sym­pa­tycz­nie. W takich przy­pad­kach zale­cam co naj­mniej mie­sięczną kwa­ran­tannę. To zna­czy trzy­mać dziecko i kom­pu­ter w róż­nych, ale dobrze odizo­lo­wa­nych pomieszczeniach.
4. Nad­mier­nie pewny sie­bie użyt­kow­nik. Wła­śnie mam przy­pa­dek na jed­nym z moich ser­wi­sów, że młody czło­wiek był tak pewny sie­bie i swo­ich umie­jęt­no­ści, że wyłą­czył anty­wi­rusa w Win. Miał zain­sta­lo­wa­nego, ale mu prze­szka­dzał — no to wyłą­czył. Na efekt długo nie trzeba było czekać.

Więc co zro­bić, jak już wpa­dli­śmy w takie pro­blemy? Ano trzeba odwie­dzić odpo­wied­nią stronę, na przy­kład
http://www.spamhaus.org/lookup.lasso
wpi­sać swój numer IP i grzecz­nie podą­żyć za wska­za­niami (strona jest tylko po angiel­sku). Jest szansa, że odblo­kują IP.

Cza­sem zaglą­dam do logów. Ten ser­wer, jak zapewne każdy inny, jest ata­ko­wany kilka do kil­ku­na­stu razy na dobę A incy­den­tów pole­ga­ją­cych na „obma­cy­wa­niu”, czyli ska­no­wa­niu por­tów już nawet nie reje­struję, bo tego jest za dużo. Jeden z moich ser­we­rów osło­ni­łem przez fail2ban, co opi­sa­łem nie­gdyś w notce Obrona przed namięt­nymi nie­let­nimi. Czyli jak nie wpu­ścić spa­mera. Osłona działa, mam codzien­nie co naj­mniej kilka interwencji.

Dodat­kowo ten ser­wis jest zabez­pie­czony przez Aki­smet, dzien­nie mam wycię­tych co naj­mniej kil­ka­na­ście wpi­sów rekla­mu­ją­cych naj­róż­niej­sze via­gry, strony porno, leki z podej­rza­nych aptek.