Spam-Postalara Karşı Savaş

ArticleCategory:

System Administration

AuthorImage:

TranslationInfo:

AboutTheAuthor:

Katja LinuxFocus'un Almanca kısmının editörüdür. Tux'dan, film ve fotoğraflardan ve denizden hoşlanır. Katya'nın kişisel sayfasına buradan ulaşabilirsiniz.

Guido uzun zamandır bir Linux hayranıdır çünkü dürüst insanlar tarafından tasarlandı ve herkese açık. Bu, açık kaynak dememizin nedenlerinden birisidir. Guido'nun görselyöre sayfasına linuxfocus.org/~guido.

Abstract:

Spam e-postalar, ciddi boyutlara ulaşıyor ve herkes için büyük bir problem olmaya başlıyor.
Bu makalede bu can sıkıcı konuda neler yapabilceğimizi açıklayacağız.

ArticleIllustration:

ArticleBody:

Spam-posta Nedir?

Spam-postaların farklı isimleri de vardır.Bazıları "İzinsiz ticari e-posta", bazıları sadece "istenmeyen e-posta" olarak adlandırır ama gerçekte bunlar spam-postanın ne olduğunu açıklamaz.Eğer henüz bu tür e-posta almadıysanız şu spam-posta koleksiyonuna (spam_samples.html) bakın.Bu sadece birkaç gün içinde rastgele toplanmış spam-postalardır.Postaların sonuna kadar okuyun .Hiçbirinin ticaretle ya da reklamla alakalı olmadığını göreceksiniz. Bu spam-postacılar suçlulardır.Dünyada hiçbir işadamı kendi numaralarını alacak "salak"lar bulmak için milyonlaca insanı rahatsız etmez.
Bu, zaman zaman süpermarketlerin yaptığı reklam ile karşılaştılabilir ve internet dünyasına yeni olanlar için genel bir yanılgıdır.Spam-posta araçılığı ile tanıtılan ürün ya gerçek değildir ya da kanuna aykırıdır.Bu sadece sizin paranızı almak için yapılmış bir numaradır.

Ne Kadar?

Spam-postacılar sizin e-posta adreslerinizi sanal yörelerden, haber gruplarından ya da alan adı kayıtlarından ( alan adınız varsa) alırlar.E-posta adreslerini çözen, bunları CD'lere yazıp diğer spam-postacılara çok ucuza satan kişiler vardır. Eğer kendi e-posta adresinizi açıkça sanal yörenize yazdıysanız birkaç ay içinde başınız ağrıya bilir ve bunu duramazsınız.
1998'de , LinuxFocus'a gönderilen spam-posta oranı %10'dan azdı.Kasım,2002'de istatistikler şöyleydi:
Sunucumuz haftada 4075 e-posta alıyordu ve 3273'ü spam-postaydı.
=>Tüm e-postaların %80'i spam idi.
Bu e-posta sunucusunun kapasitesinin %80'i ve ağ bandgenişliğinin %80'i kimsenin istemediği birşey için harcandı.
Bu 3273 spam-postanın %40'i Amerika (çoğunlukla Kanada, ABD ve Meksika) ve %30'u Asya( çoğunlukla Kore, Çin, Tayvan) kaynaklıydı.

Spam Konusunda Ne Yapabilir?

Eğer spam-postalara bakarsanız, hemen hemen hepsi kendiniz listeden nasıl sileceğiniz konusunda bilgi içerir.Bunu yapmayın.Bir suçlu ile uğraşıyorsunuz.Eğer bir spam-postacı liste silmeyle uğraşırşa hiçbirşey elde edemez.Peki bunu neden yapıyorlar?Yanıt basit.Bu okuyucu için güzel bir izlenimdir ve güzel bir istatistik aracıdır.Spam-postacı gönderdiği e-postanın ulaşıp ulamadığını böylece kontrol etmiş olacaktır.Yani e-postanın ulaştığını onaylayacaksınız.
Silme listesi ile ilgil bir de teknik bir sorun var.LinuxFocus büyük bir yöre değil ama gelen spam -postalardan kenidisizi silmek için bir(1) kişiye ihtiyaç duyacaktır .Her spam-postacı farklı bir yöntem izler.Silme işlemi için birini tutmak salakça olacaktı ve işe yaramayacaktır.Silme listeleri anlamsızdır ve sadece spam-postacıya yardım eder.
Yapılacak tek doğru şey : Sil.

Spam ile İlgili Yazılımlar

Spam-postaları engelleyen pek çok seçenek vardır.Bu çok iyi çünkü bunları aşmak spam-postacılar için zordur.Spam-posta engelleyiciler gelişiyor ama spam-postacılar da kendilerini geliştiriyorlar.

İki çeşit engelleyici vardır:

E-posta sunucuna yerleştirilerek kontrol yapar.Buradan genelde e-postayı reddedersiniz.Spam-postayı kaydetmezsiniz bile.Bu spam-postayı alıp spam olduğunu anlayınca bir hata iletisi gönderirisiniz.Tipik araçlar IP tabanlı engelleyiciler ve e-posta başlık kontorlüdür.Eğer kendi e-posta sunucunuz yoksa kendi ISS'nız bunu yapmalıdır.
E-posta alındıktan sonra engelleme.Bu durumda e-posta başarıyla alınır ve daha sonra engellerir

Burada farklı olasılıkları detaylı inceleyeceğiz.Hepsinin avantajları ve dezavantaları var.En iyi yol bir kaç aracı birlikte kullanmaktır.

E-postayı E-posta Sunucusunda Reddetme

Eğer spam-postayı sunucuya geldiği an reddersek spam-postacı bir hata iletisi alacaktır ve böyle bir adresi olmadığını sanacaktır.Eğer bu kişi "CD yazan"lardan biri ise, bu adresi listesinden silecektir.Bu ağ bandgenişliğini koruyacaktır çünkü iletinin tamamını almayacaktır.
Bunun için iyi ve esnek bir e-posta sunucusuna gereksinimiz var.Maalesef en yaygın e-postasunucuları, Sendmail ve Bill Gates'in sunucusu, bu iş için uygun değildir.En iyi iki seçenek Postfix ve Exim 'dir.Eğer sunucunuzu değiştiremiyorsanız , sunucunuz önüne Messagewall gibi bir SMTP vekil sunucu koyabilirsiniz.
Şimdi genel engelleyicilerden ve nasıl çalıştıklarından bahsedeceğiz.Burada her sunucuyu nasıl ayarlayacağımızı anlatmayacağız.Bunun yerine sunucuyla birlikte gelen belgeleri okumanızı öneririz.Postfix ve Exim iyi belgelere sahiptir.

Gerçekzamanlı Engelleme Listeleri:
Bunlar DNS tabanlı listelerdir.Bildiğiniz spam-postacıların IP adreslerini kontrol eder.Genel liste www.spamhouse.org ve ordb.org'da vardır.blq adı verilen bir araç ile bu kontrolü kendiniz yapabilirsiniz.Burada çok dikkatli olmalısınız.Çünkü eğer spam-postacı çevirmeli ağ kullanıyorsa, o ISS'ya ait bütün IP aralığını engellemiş olursunuz.Yeterli yönetilemeyen sunucular için ordb.org'daki liste yeterli olabilir.Bu liste spam-postaların %1-%3'ünü engellemektedir.
"Subject" satırında 8 bitlik karakter :
Bugünlerde spam-postaların %30'u Çin, Tayvan ve diğer Asya ülkelerinden gelmektedir.Eğer Çince okuyamadığınızdan eminseniz, bu e-postaları reddedin.Bunlar "Subject" satırında birçok 8 bitlik karakter içerir.Bazı sunucular bunun için ayrı bir ayar seçeneğine sahiptir.Ama siz konu başlığında aşağıdaki ifadeyi aratabilirsiniz:

/^Subject:.*[^ -~][^ -~][^ -~][^ -~]/

Bu ifade konu başlığında ardarda dört, ASCII aralığında olmayan (boşluktan tilde'ye kadar) karakter içeren e-postaları reddeder.Bu tür ifadelere alışık değilseniz öğrenmelisiniz.Çünkü gereksinim duyacaksınız(bkz LinuxFocus makale 53 ).Exim ve Postfix, Perl desteği ile derlenebilir(bkz www.pcre.org).Perl, çok güçlü ifadelere sahiptir.Bu yöntem spam-postaların %20-30'unu engeller.
"From" kısımını bilinen spam-postacıların adresleriyel kontrol edin.Ama bu yöntem 1997'den önceleri işe yarardı.Bugün spam-postacılar, gerçek olmayan ya da masum kişilerin e-posta adreslerini kullanmaktadır.
Tam tanımlanmamış alan adlarından gelen e-postaların reddedilmesi:Bazı spam-postacılar, var olmayan adreslerle e-posta gönderirler.Adresi kontrol etmek mümkün değildir ancak makina ismini veya alan adını DNS'ten sorgulatabilirsiniz.Bu yöntem spam-postaların %10-15'ini engeller.Bu tür e-postaları -spam olmasa bile- zaten istemezsiniz çünkü yanıtlamanız imkansızdır.
IP adresinin DNS'te PTR kaydı yok: Bu yöntem, e-postanın gönderildiği IP adresini ters çözümleme ile alan adına dönüştürür.Bu yöntem çok güçlüdür ve çoğu e-postayı eler.Bunu tavsiye etmeyiz!Bu e-posta sunucusu yöneticisin iyi olup olmadığını değil, onun iyi bir omurga sağlayıcısına sahip olup olmadığını gösterir. ISS'ler IP adreslerini kendi omurga sağlayıcılarından alırlar ve onlar da daha büyük omurga sağlayıcılarından alırlar.Bütün omurga sağlayıcılar ve ISS'ler DNS kayıtlarını doğru ayarlamalıdırlar ki zincir düzgün çalışsın.Eğer aralarından biri yanlışlık yaparsa ya da ayalamaları yapmazsa, bu yöntem çalışmayacaktır.
HELO komutunu isteme.İki e-posta sunucusu birbirleriyle konuşacakları zaman (SMTP aracılığıyla) önce birbirlerine kim olduklarını söyler (örneğin mail.linuxfocus.org).Bazı spam yazılımları bunu yapmaz.Bu spam-postaların %1-5'ini engeller.
HELO komutunu iste ve bilinmeyen sunucuları reddet: HELO komutuyla gelen ismi alırsınız ve bu işmin DNS'te doğru şekilde işlenip işlenmediğini kontrol edersiniz.Bu iyi bir yöntemdir çünkü sadece çevirmeli ağ ile bağlanmış bir spam-postacı DNS kayıtlarını doğru işlmemiştir.Bu spam-postaların %70-80'ini engeller ancak birden fazla e-posta sunucusu olan yerler DNS kayıtlarını doğru şekilde ayarlamazlarsa ,bu yerlerden gelen e-postalar da reddedilir.

Bazı e-posta sunucuları daha fazla özelliğe sahip olabilirler.Yukarıdakiler sadece iyi bir e-posta sunucusunun sahip olabileceği ortak özelliklerdir.Bu yöntemlerin avantajı CPU'yu yormamaları ve e-posta sunucusunun donanım güncellemesini yapmak zorunda bırakmamasıdır.

Alınmış E-postanın Engellenmesi

Bu yöntem genelde e-postanın tamamına uygulanır ve gönderen e-posta sunucusu e-postanın gönderilip gönderilemediğini algılayamaz.Bu doğru e-posta sunucusunun hata iletisi almayacağı anlamına da gelir.İleti sadece yok olur.Bunun tamamen doğru bir yol olduğunu söyleyemeyiz çünkü bu yöntem, e-posta sunucusunun engelleme yeteneğine bağlıdır.Exim, çok esnektir ve kulanıcının kendi engelleme ifadelerini yazmasına izin verir.

Spam Assassin ( http://sapmassassin.org ):
Bu spam engelleyici, Perl ile yazılmıştır.Elle dikkatlice yazılmış kuralları kullanır ve "strong buy", "you received this mail because", "viagra", "limited time offer" gibi tipik spam ifadelerini inceler.Eğer bu tip ifadeler belirli bir seviyenin üstündeyse, e-postayı spam olarak algılar.Bu yöntemin dezavantajı çok fazla CPU gücüne ve belleğe gereksinim duyar.Eğer e-posta sunucunuz 2-3 yıldan eskiyse bir güncellemeye ihtiyaç duyacaksınız.Bu yöntemi doğrudan e-posta sunucusunda kullanmanızı tavsiye etmeyiz.Spamassassin, bir spamd programıyla birlikte gelir ve çalıştırma zamanını ve CPU tüketimini azaltır ancak yine fazla kaynak tüketir.
Bir e-postayı engellemek için .procmail (ve .forward) dosyasına gereksinim vardır.İçeriği şuna benzer:

#Bu şart, boyutu 50 Kb'tan küçük maillerin kontrolü içindir.Çoğu spam-postalar sadece birkaç kilobytedır
#ve daha büyük e-postalaın kontrolleri Spamassassin'i süründürebilir.

:0fW:

*<56000

¦ /usr/bin/spamc

#Spam olarak algılanan e-postalar (örneğin belirli seviyeden fazla ifade içieren e-posta)"spam-mail"
#adlı dosyaya kopyalanır(boşlatmak için /dev/null'u kopyalayın).

:0:

* ^X-Spam-Status: Yes

spam-mail

Bu işlem basittir ve Spamassassin spam-postaların %90'ını engeller.
Procmail ( http://www.procmail.org )
Procmail, bir spam engelleyici değildir ama kendiniz kuralla yazarak bunu yaptırabilirsiniz.Procmail, kuralları belli bi sayının altında (örneğin 10) tuttuğunuz sürece fazla kaynak harcamaz.Kullanmak için aşağıdaki satırı .forward dosyasına yazın:

"| exec /usr/bin/procmail"

Bazılaır aşağıdaki halini tavsiye eder:

"| IFS= '' && exec /usr/bin/procmail"

Fakat bu, e-posta sunucusunun kontrol edemediği bazı işlemler yaparak sorun çıkarabilir.Postfix ve Exim gibi güvenilir sunucularda .forward dosyası yukarıdaki şekilde kullanılabilir.
Procmail, grup içi e-posta göndermede yaralıdır.Örneğin bir şirkette sadece iş arkadaşlarınız ve bildiğiniz bazı arkadaşlarınızdan e-posta alırsınız ve onlara gönderirisiniz."sirketim.com" için aşağıda bi örnek verilmiştir:

# .procmailrc dosyası

# Başlıkta arkadaş adreslerini arama

:0 H:

*^From.*(joe|paul|dina)

/var/spool/mail/guido

# Başlıkta sirketim.com'dan gelmeyen postalarıarama.Bunları kaydet.Spam olabilirler.

:0 H:

* ! ^From.(@[^\@] *sirketim\.com)

/home/guido/spamolabilir

# varsayılan kural

:0 :

/var/spool/mail/guido

Bu yöntem spam-postalarısilmek için iyi bir yoldur ve spam-postalar normal postalar arasına karışmaz.

Procmail çok esnektir ve başka işler için de kullanılabilir.Şimdi tamamen farklı bir örnek verelim:Procmail formail adlı bir "gönderene cevap gönder" programına sahiptir.Örneğin bu e-posta gönderen kişilere geri cevap vermek için kullanılabilir.İçinde Word dosyası bulunan e-postalar can sıkıcı bir sorundur.Bir Linux geliştircisi iseniz ve bilgilerinizi e-posta yoluyla paylaşıyorsanız, e-postasında Word dosyası içiren e-postalarla ilgilenmezsiniz.Virüsler bu şekilde dağılabilir.Virüler genelede Linux'u etkilemezler ama bunu başka kişilere göndererek yayılmasına yardımcı olabiliriz.RTF ya da HTML gibi virüs içeremeyen ve her ortamda rahatça açılabilen dosya biçimleri daha iyidir.

# Word dosyalarını reddeden procmail programcığı

# E-postayı reddet ama hata iletisi önderme.

# Eğer ":0 Bc" yerine ":0 B" kullanırsanız, hala e-postaları alıyor olacaksınız.

:0 H

* ! ^From.*DAEMON

{

# Word dosyası içeren e-postaların MIME iletileri şuna benzer:

#

#------=_NextPart_000_000C_01C291BE.83569AE0 #Content-Type: application/msword;
# name="some file.doc"
#Content-Transfer-Encoding: base64
#Content-Disposition: attachment;
# filename="real file.doc"
:0 B
* ^Content-Type:.*msword
| (formail -r ; cat /home/guido/reject-text-msword ) | $SENDMAIL -t
}
# varsayılan kural
:0:
/var/spool/mail/guido

/home/guido/reject-text-msword dosyası, Word dosyalarının virüs yayabileceğini söyleyeck ve dosyanın RTF formatında gönderilmesini isteyecektir.
Procmail'in nasıl kullanılacığı ve bu garip ayar dosyalarının ne anlama geldiği procmailrc kullanma klavuzunda yazmaktadır.
bogofilter ( http://www.tuxedo.org/~esr/bogofilter/ )
Bogofilter, bir Bayessel spam engelleyicidir.Tamamen Cand'da yazılmıştır ve çok hızlıdır ( Spamassasin'e göre).Bayessel engelleyici, bir istatistiksel engelleyicidir ve önce neyin spam olduğunu neyin spam olmadığını öğretmeniz gerekir.Hemen hemen 100 eğitim iletisine gereksiminiz vadır.Böylece Bogofilter etkili bir şekilde çalışır.
Bogofilter, Spamassasin gibi ilk günden işe yaramaz.Ama bir süre sonra Spamassasin gibi spamların %90'ını engeller.
Razor ( http://razor.sf.net )
Bilinen spam-postaların istatistikleri veritabanında tutulur.Yeni bir e-posta geldiğinde, bu e-postanın istatistikleri veritabanındakilerle karşılaştırılır.Eğer istatistikler tuttarsa, bu e-posta spam olarak nitelendirilir.Bazı özel e-posta adresleri sadece spam-postacıların listesine girebilmek için yaratılmışlardır.Bu e-postalar sadece spam-postalar alırlar ve veritabanına işlenir..Bu yöntemle spam-postaların %80'i engellenebilir.Razor yanılmaz ve spam olarak nitelendirilen e-postaların çok az kısmı spam değildir.

Spam-postalara karşı çeşitli çözünler vardır.Yukarıda anlatılanların en önemlileri olduğuna inanıyoruz.
En iyi çözüm kontrolleri sunucuda yapıp daha sonra spam-postaları yok etmektir.

HTML E-postalar

Spam-postaların tehlikeli biçimlerinden biri HTML'dir.
Çoğu spam-postacılar , kaç e-postanın ulaştığını öğrenebilmek için "listeden çıkma olasılığı" sunmaktadır. HTML biçimindekiler daha etkili bir geri besleme kullanmaktadırlar: Resimler. Bunu bazı sanal yörelerdeki sayaçlarala kıyaslayabilirsiniz.Spam-postacı, ne zaman kaç adet e-postanın okunduğunu öğrenebillirler.Eğer spam-postaları dikkatlice incelerseniz, bazı e-postalardaki resim URL'si dizi numarasına sahiptir: Spam-postacı kimin ne zaman hangi postayı okuduğunu öğrebilir.İnanılmaz bir güvenlik açığı.
Günümüz e-posta istemcileri bir URL'den indirilecek resimleri göstermez.Ama bu tür sunucular azdır.Kmail veya Mozilla'nın son versiyonları dışarıdan resim indirmeme seçeneğine sahiptir.Diğerleri, spam-postacılar için güzel bi istatistik aracıdır.
Çözüm?HTML e-postaları okuyabilen bir yazılım kullanmayın veya e-postayı indirip ağ bağlantısını kestikten sonra e-postayı okuyun.

Spam-postalar Nereden Gelirler?

Spam-postaların "From" kısmında yazan adreslere inanmayın! Bunlar ya var olmayan adreslerdir ya da masum insanların adresleridir.Çok nadiren bunlar gerçek spam-postacıların adresleridir.Eğer e-postanın tam olarak nereden geldiğini öğrenmek istiyorsanız, e-postanın tüm başlığına bakmalısınız:

...
Received: from msn.com (dsl-200-67-219-28.prodigy.net.mx [200.67.219.28])
by mailserver.of.your.isp (8.12.1) with SMTP id gB2BYuYs006793;
Mon, 2 Dec 2002 12:35:06 +0100 (MET)
Received: from unknown (HELO rly-xl05.dohuya.com) (120.210.149.87)
by symail.kustanai.co.kr with QMQP; Mon, 02 Dec 2002 04:34:43

Burada, adı belli olmayan, IPsi 120.210.149.87 olan rly-xl05.dohuya.com olduğunu iddia eden bir makina, sysmail.kustanai.co.kr'ye e-posta gönermiş.Spam-postacı 120.210.149.87'nin arkasına saklanmış ve bu IP adresi büyük ihtimalle çevirmeli bir ağa ait değişken bir adrestir.
Polis,bu kişiyi kustanai.co.kr'nin sahibinden sunucu log dosyalarını ve ISS'den bağlananların listesini aldıktan sonra bulabilir.Çok küçük bir şans.
İlk bölüm bir aldatmaca da olabilir ve spam-postacı dsl-200-67-219-28.prodigy.net.mx arkasında da olabilir.kustanai.co.ky'nin msn.com'a bir dsl hattından e-posta göndermesi için mantıklı bir sebep yoktur.mailserver.of.your.isp ( sembolik isim ) sizin ISS'inizin sunucusudur ve sadece "Received:" satırına güvenilebilir.
Spam-postacı bulunabilir ama bunun için uluslararası bir güce ve polis gücüne ihtiyacınız vardır.

Sonuç

Eğer spam-postalar artmaya devam ederse, Internet gerçek e-postalardan çok spam-postalar gönderecerektir.Spam-postalar alıcının zararınadır.Daha çok bangenişliği ve daha güçlü e-posta sistemlerine gereksinim duyulacaktır.
Bazı ülkelerdeki yasalar , insanları korumak için spam-postacılara karşıdır.Aslında bazı ülkelerin yasaları sadece dürüst insanları kısıtlar ve suçlulara yardım eder.

Spam-postalara karşı birliğe katılın !

http://www.euro.cauce.org/en/
http://www.cauce.org/

ISS'ler kendi e-posta sistemlerini kontrol etmelidirler.Yetkisiz girişlere izin verilimemelidir ve bir kullanıcının dakikada gönderdiği e-posta sayısının sınırlandırılması gerekir.

References

http://spamassassin.org/: spamassassin homepage
http://www.procmail.org/: procmail homepage
http://www.spambouncer.org/: spambouncer: a procmail based spam filter
http://www.postfix.org/: homepage of the postfix MTA
http://www.exim.org/: homepage of the exim MTA
http://messagewall.org/: homepage of the messagewall smtp proxy
http://www.unicom.com/sw/blq/: the blq perl script to query DNS based block lists
http://www.ordb.org/: DNS based open relay block list
http://www.spamhaus.org: DNS based block list
http://www.samspade.org/: Where does the spam come from?
http://www.dnsstuff.com/: various blocklists and DNS based tools
http://www.geektools.com/cgi-bin/proxy.cgi: geektools Whois proxy
http://www.tuxedo.org/~esr/bogofilter/: bogofilter mail filter
http://razor.sf.net/: razor
http://pyzor.sourceforge.net: razor implemented in python
http://lwn.net/Articles/9460/: Linux weekly news article comparing bogofilter and spamassassin.