Труды КНЦ вып.7 (ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ вып.2 4/2011(7))

На базе этого метода реализованы системы SpamAssassin [2] и DSPAM [3]. Методы на основе формальных правил Для передачи электронной почты в сети Интернет используется так называемый «простой протокол передачи почты» (Simple Mail Transfer Protocol - SMTP), который описан в документе RFC 5321 [4]. Этот протокол описывает процедуру передачи почтовых сообщений от клиента к серверу, формат почтовых сообщений, описывает команды, которыми могут обмениваться клиент и сервер, и определяет синтаксис этих команд. Также в протоколе SMTP определены коды ответов на команды и действий, которые должны быть предприняты при получении этих кодов. Основными командами протокола SMTP являются: - HELO - служит для инициализации диалога между клиентом и сервером; - MAIL - указывает адрес отправителя; - RCPT - указывает адреса получателей; - DATA - указывает на начало передачи данных (тела письма). Коды ответа представляют собой трёхзначные числа, каждому из которых, соответствует определённый статус выполнения команды. Эти числа трактуются следующим образом: - 2хх - команда выполнена успешно; - Зхх - ожидаются дополнительные данные от клиента; - 4хх - временная ошибка, клиент должен произвести повторную доставку позднее; - 5хх - постоянная (неустранимая) ошибка. В основе метода фильтрации спама по формальным правилам лежит предположение, что современные способы рассылки спама не могут гарантировать стопроцентное соблюдение протокола SMTP, и при поступлении письма, содержащего спам, формальные требования этого протокола неизбежно будут нарушены. Следовательно, любого отправителя, нарушающего SMTP- протокол, можно считать спамером и не принимать письма от него. В настоящее время для рассылки спама крайне неэффективно использовать легитимные почтовые сервера, письма с которых будут приниматься любым получателем. Владелец сервера или Интернет-провайдер, обслуживающий этот сервер, быстро заметят аномальный поток исходящего почтового трафика и оперативно заблокируют его. Поэтому для рассылки спама злоумышленники применяют так называемые ботнеты - компьютеры по всему миру, заражённые вирусом, который скрытно объединяет их в одну логическую сеть и даёт возможность управлять этими компьютерами и выполнять на них определённые задачи, в том числе рассылку спама. Но, в отличие от легитимного почтового сервера, эти компьютеры изначально не подготовлены для рассылки электронной почты. Поэтому когда с них начинается рассылка спама, они соблюдают SMTP-протокол лишь частично: нарушают очерёдность и синтаксис команд SMTP, подставляют в качестве их аргументов неверные данные или не выполняют требуемых для отправки письма действий. Например, не посылают команду инициализации сессии HELO и не дожидаются синхронизации с сервером получателя, как того требует протокол SMTP, а сразу 103