Escolar Documentos
Profissional Documentos
Cultura Documentos
Análise de Ferramentas para o Controle de Spam
Análise de Ferramentas para o Controle de Spam
CONTROLE DE SPAM
Paulo Manoel Mafra
e Sistemas
Departamento de Automacao
Universidade Federal de Santa Catarina
88040-900 Florianopolis
- SC
mafra@das.ufsc.br
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.1/36
Tpicos
Algumas Consideraes sobre SPAM
Abordagens Possveis para Combater SPAM
Algumas Tcnicas Utilizadas
Tipos de Bloqueio
Experincias e Testes
Problemas Enfrentados e Solues Adotadas
Concluses
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.2/36
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.3/36
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.4/36
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.5/36
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.6/36
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.7/36
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.8/36
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.9/36
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.10/36
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.11/36
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.12/36
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.13/36
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.14/36
Greylisting
Uso de whitelist e blacklist com manuteno
automtica
Nem o administrador da rede nem os usurios
precisam inserir os endereos IPs nas listas
Reduz a carga no MTA
Ajuda na filtragem de vrus
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.15/36
Greylisting
O filtro baseia-se no comportamento diferente dos
servidores emissores de SPAM e servidores de
e-mails tradicionais
Servidores de SPAM enviam somente uma vez a
mensagem, se ocorreu um erro descartam. Se no
descartassem, formariam filas gigantescas nesses
servidores
Servidores tradicionais seguem a RFC 821 e
reenviam a mensagem em caso de falha transiente
(cdigo de resposta 45x)
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.16/36
Greylisting - Spamd
Sistema simples, baseado em triplas contendo:
Endereo IP do servidor de e-mail que est
enviando a mensagem
Endereo do emissor do e-mail (from)
Endereo do receptor do e-mail (to)
Tempo tc de criao do registro
Tempo tr para comear a receber o e-mail (30 min
aps o tempo de criao do registro)
Tempo te de expirao da tripla (4 horas aps o
tempo de criao do registro)
GREY:10.0.0.1:<spam@spam.com>:<usuario@dominio>:tc:tr:te
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.17/36
Greylisting - Spamd
Faz-se necessrio o uso do filtro de pacotes (Packet
Filter) para redirecionar os pacotes enviados porta 25
para uma outra porta (8025) onde roda o filtro
Ao receber o e-mail o filtro verifica se o endereo IP do
servidor emissor est na whitelist, se est, o e-mail
repassado para o MTA que est rodando na porta 25
Verifica se o endereo IP do servidor emissor est em
uma blacklist, se est, rejeita o e-mail
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.18/36
Greylisting - Spamd
Verifica se a tripla existe
1. Se a tripla no existe, cria um novo registro e
retorna uma falha temporria ao servidor emissor
2. Se a tripla existe e o seu tempo tr para comear a
receber no expirou, retorna uma falha temporria
ao servidor emissor
3. Se a tripla existe e o tempo tr expirou, ento
adiciona o endereo IP do servidor na whitelist e
atribui um tempo de 36 dias para expirao. A tripla
fica assim: WHITE:10.0.0.1:::tc:tr:te
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.19/36
Greylisting - Spamd
Porta 8025
Servidor
de Emails
Internet
Falha
Temporria
Envio de
Mensagens
Packet Filter
Mensagem
SPAMD
Ok
Porta 25
MTA
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.20/36
Greylisting - Problemas
Usurios impacientes podem ficar insatisfeitos
As mensagens enviadas por servidores que no esto
na whitelist levam algum tempo para chegar
Alguns portais tipo hotmail por exemplo nem sempre
reenviam a mensagem pelo mesmo servidor, fazendo
com que a mensagem demore muito para chegar
O uso de mltiplos MXs pode causar problema se
cada servidor tiver as suas prprias listas. Corre-se o
risco do mail ser barrado temporariamente mltiplas
vezes, uma para cada MX
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.21/36
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.22/36
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.23/36
Exemplo de Implementao
MTA
Mensagem
PROCMAIL
Filtro
Spamlist Spam
Goodlist
PASTASPAM
Ok
CTA. USURIO
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.24/36
http://sourceforge.net/projects/bmf
Bogofilter
http://bogofilter.sourceforge.net/
Quick Spam Filter
http://www.ivarch.com/programs/qsf.shtml
SpamAssassin
http://www.spamassassin.org/
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.25/36
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.26/36
Experincias e Testes
Foi utilizado o sistema operacional OpenBSD verso 3.5
Como MTA foi utilizado o Postfix verso 2.0.19
Para o filtro Greylisting utilizou-se o Spamd, este faz
parte do sistema OpenBSD
Esses filtros podem ser implementados em qualquer
sistema UNIX
Cada tipo de filtro foi testado individualmente
Criou-se uma configurao para utilizar os filtros em
conjunto
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.27/36
falso
positivo
2
1
21
2
falso
negativo
35
89
102
110
acertos
663
610
577
588
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.28/36
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.29/36
Testes Individuais
Com o objetivo de verificar a eficincia dos filtros
selecionados, efetuaram-se testes com cada um dos
filtros individualmente. A tabela abaixo apresenta os
resultados obtidos:
filtro
Spamd
Regras MTA
BMF
Mensagens
filtradas
258531
31316
700
Falso
pos.
0
8
2
Falso
neg.
90763
2893
35
ndice
acerto
64.89%
90.73%
94.71%
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.30/36
Testes em Conjunto
Para os testes em conjunto, alm dos filtros anti-spam,
utilizou-se o filtro anti-vrus Clamav. A tabela abaixo
apresenta os resultados obtidos da anlise dos logs
gerados durante oito dias consecutivos:
filtro
Spamd
Regras MTA
Clamav
BMF
Mensagens Mensagens
recebidas
entregues
258531
136580
136580
46428
46428
45803
45803
44802
Mensagens
bloqueadas
121951
90152
625
1001
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.31/36
Testes em Conjunto
O ndice de acerto dos filtros em conjunto foi de
99.61%
Optou-se por uma configurao padro que visa no
perder mensagens autnticas (greylisting + regras de
filtragem bsicas no MTA + anti-vrus)
Para usurios que desejam uma filtragem maior,
pode-se instalar o BMF e aumentar o nvel de filtragem
para as regras no MTA
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.32/36
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.33/36
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.34/36
Concluses
impossvel bloquear 100% dos SPAMs
O uso dos filtros em conjunto melhora bastante o
ndice de acerto do sistema
Podemos dividir os usurios em trs grupos: os que
no se importam com SPAM, os que odeiam SPAM e
os que no gostam mas no se importam em receber
alguns SPAMs
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.35/36
Dvidas?
Obrigado!
ANALISE
DE FERRAMENTAS PARA O CONTROLE DE SPAM p.36/36