Löncshúsvagy sonka?

Vádat emeltek a múlt héten Massachusetts államban egy bűnszövetkezet ellen, amely az ügyészség szerint több száz millió törvényellenes reklámlevelet küldött szét az interneten. A csoportot Boston környékéről, valamint Oroszországból irányították, de működtettek szervereket Kínában, Dél-Koreában és Brazíliában is. A löncshúst jelentő spam szó a Monthy Python sorozatból híresült el, s ma már világszerte a tolakodó elektronikus reklámokat jelenti. Komoly fejtörést okoz ezek kiszűrése a „normális” levelek közül, amelyeket „ham”, azaz sonka néven emlegetnek. A legtöbb országban megjelenő spam-ellenes törvények dacára a hatóságok meglehetősen tehetetlenek a jelenséggel szemben: a MessageLabs tavaly októberi statisztikái szerint Észak-Amerikában és Európában az összes levél 76 százaléka volt spam. A spamküldők hihetetlen gyorsasággal csapnak le az újonnan keletkezett elektronikus levélcímekre: a Center for Democracy and Technology 2003-as kísérlete alapján volt olyan e-mailcím, ahol a létrehozás és az első reklámlevél megérkezése között mindössze 9 perc (!) telt el.
A felhasználók így kénytelenek szoftveres védelmet alkalmazni, ha nem akarják idejük nagy részét a felesleges levelek „kigyomlálásával” tölteni. A szoftverfejlesztők számos módszert találtak ki, amelyek együttes alkalmazása segíthet a spam elfogásában. Talán a legelső eljárás az úgynevezett fekete- vagy fehérlisták készítése volt. A feketelista a „letiltott” e-mailcímeket, míg a fehérlista a megbízhatónak számító levélküldőket tartalmazza. „A feketelistának számos hátránya van: a hamisított, mindig változó e-mailcímről küldött spamek ellen nem igazán hatásos, az adatbázis pedig nagyon gyorsan nő, ami jócskán megemeli a szükséges tárhelyet, valamint az ellenőrzés időtartamát is” – mondta el lapunknak Gombás László, a Symantec magyarországi képviseletének vezető rendszermérnöke. A spamküldők ráadásul olykor feltört gépekről küldik el leveleiket: így gyanútlan felhasználók is rákerülhetnek a listára. Május közepén a Telewest nevű amerikai kábelszolgáltató csaknem egymillió internet-előfizetőjét „feketítette be” egy spam-ellenes szervezet. A fehérlista pedig nem működik például egy hírlevél esetén, hiszen itt a levélolvasó azt sem tudja, hogy milyen címről várja az üzenetet.

A levelek tartalmának elemzése is segíthet, példának okáért a Viagra szó sokkal többször szerepel reklámlevelekben, mint „hétköznapi” levelezésben. „Teljesen azonban erre sem hagyatkozhatunk, ugyanis lehet, hogy csupán ez alapján egy orvosi konferencia hírlevelét is kiszűrné a rendszer” – mutat rá Gombás. Ráadásul a spamküldők is próbálják kijátszani az ilyen ellenőrzést. Egyik trükkjük erre, hogy az „o” betűt nullával helyettesítik. A legtöbb tartalomelemző rendszert statisztikai alapon tanuló rendszerrel is ellátják és más hasznos ötletek is segítik működésüket. Ilyenek például a szöveg kis változásait figyelő nyelvi heurisztikák, vagy az a phishing-leveleket (lásd Figyelő, 2004/39. szám) kihalászó eljárás, amely a levélben elhelyezett internetes linkek valódiságát vizsgálja.
A hamisított e-mailcímek kiszűrését biztosítja az úgynevezett sender policy framework protokoll. Ennek keretében megadható, hogy melyek az egy adott tartományból kimenő „hiteles” címek, s így lebukik az, aki nem létező címről érkezőnek próbálja feltüntetni küldeményét.
Akárcsak a vírusvédelemben, vagy a digitális aláírás során, a spamek beazonosíthatók szignatúrájuk alapján. A levél útvonala, tárgysora, a levéltörzsből és a mellékletekből képzett ellenőrző számok egyedileg azonosíthatják az e-mailt. A Symantec 2 millió „csapda-postafiókot” üzemeltet, az ebbe befutó spamek alapján pedig egy 5 percenként frissített adatbázist tart fenn a megismert reklámlevelekből. „Ez jóval hasznosabb, mint egy feketelista” – érvel a rendszermérnök -, ugyanis míg a e-mailcímeket akár folyamatosan változtatják a küldők, a levelek jellemzői hasonlóak.” Szerverhálózatok is jöttek már létre a spam-szignatúrák tárolására: itt a bejelentések alapján a későbbi „áldozatok” már felkészülten várhatják a levéltömeget.