Yliopiston etusivulle Suomeksi På svenska In English
Helsingin yliopisto Tietojenkäsittelytieteen laitos
 

Tietojenkäsittelytieteen laitos

Ei-toivotun postin torjunta tietojenkäsittelytieteen laitoksella

Ei-toivotusta viestinnästä Internetissä kertoo yleisesti Kai Puolamäen sivusto. Siellä käsitellään monia sekä käsitteellisiä että käytännöllisiä asioita.

Torjuntamenetelmät

Ei-toivotun postin torjunnassa on samanaikaisesti käytössä useita menetelmiä:

1. Estetään laitoksen koneiden käytön releointihyökkäyksiin

Releointi- (relay-) hyökkäyksessä roskapostittaja etsii verkosta suojaamattoman postiportin, kaappaa sen omaan käyttöönsä ja lähettää roskansa koneen läpi. Tällöin vastareaktiot kohdistuvat uhriksi joutuneeseen koneeseen ja syyllinen saa peitettyä jälkensä.

Tämä on estetty kahdella tavalla:

  • Laitoksen palomuuri estää yhteydet muiden koneiden kuin kahden postipalvelimen postiportteihin.
  • Postikoneet tarkistavat erittäin tarkasti, että posti on joko lähtöisin paikallisesta koneesta (tällä hetkellä IP-osoitteen perusteella) tai että posti on todella matkalla paikalliseen osoitteeseen. Tämä tehdään niin huolellisesti, etteivät mitkään tyyppiä spammayksen%kohde.net@cs.helsinki.fi olevat yritykset onnistu.

Näihin yrityksiin vastataan ilmoituksella "550 Relaying denied" .

2. Ei keskustella tuntemattomien kanssa

Eräänä yleisenä järkevyystarkistuksena varmistetaan, että nimipalvelu tuntee lähettävän koneen. Jos näin ei ole, lähettäjälle annetaan ilmoitus tilapäisestä viasta (nimenomaan tilapäisestä, koska nimipalvelussa voi olla ohimeneviä häiriöitä) "451 Domain of sender address lähettäjä does not resolve" .

Myöskään paikallisia nimettömiä kirjeitä ei välitetä eteenpäin vaan annetaan ilmoitus "550 Access denied" .

2. Ei oteta vastaan postia releointihyökkäyksiin sopivista koneista

Postia ei oteta vastaan sellaisista koneista, joita voitaisiin käyttää releointihyökkäyksiin. Koneiden kokoonpanon vaarallisuus on erikseen varmistettu. Avointen postireleiden luettelo saadaan ORDB -tietokannasta ja avointen proxien luettelo DSBL-tietokannasta (Distributed Server Boycott List).

Yrittäjille vastataan
"550 Mail from lähettäjä blocked by DNS blacklist ordb.org, see http://cs.helsinki.fi/block.html " tai
"550 Mail from lähettäjä blocked by DNS blacklist dsbl.org, see http://cs.helsinki.fi/block.html " .

4. Ei oteta vastaan postia koneista, joiden kautta tunnetusti lähetetään roskapostia

Postia ei oteta vastaan sellaisista koneista, joiden kautta on äskettäin lähetetty roskapostia tai jotka ovat tunnettuja roskapostin lähettäjien tukijoita. Näiden koneiden luettelo saadaan NJABL-tietokannasta (Not Just Another Bogus List).

Yrittäjille vastataan
"550 Mail from lähettäjä blocked by DNS blacklist njabl.org, see http://cs.helsinki.fi/block.html " .

5. Ei oteta vastaan postia dynaamisesti varatuista verkko-osoitteista

Postia ei oteta vastaan, jos lähettävän postikoneen verkko-osoite kuuluu tunnetusti dynaamisesti varattaviin osoitteisiin. Nämä verkko-osoiteavaruudet koostuvat tyypillisesti DSL- ja modeemilinjoilla verkkoon kytketyistä asemista, eikä niissä tavallisesti ole postipalvelimia - mutta roskapostittajia ja murrettuja kotitietokoneita kyllä. Todellinen posti tulee palveluntarjoajien postipalvelinten kautta. Dynaamisesti varattavien verkko-osoitteiden luettelo saadaan NJABL-tietokannasta (Not Just Another Bogus List).

Yrittäjille vastataan
"550 Mail from lähettäjä blocked by DNS blacklist njabl.org, see http://cs.helsinki.fi/block.html " .

6. Tilastollinen tekstianalyysi (Bogofilter)

Jokaisen viestin sisältö analysoidaan tilastollisesti ja viestille lasketaan indeksi, joka kuvaa sen todennäköisyyttä olla roskapostiviesti. Tätä indeksiä käytetään viestien automaattisessa seulonnassa.

7. Sähköpostimatojen suodatus

Postista suodatetaan pois kaikki tunnetut virukset ja sähköpostimadot. Periaatteessa paikalliset virustorjuntaohjelmat tunnistavat nämä myös ja tekevät ne vaarattomiksi, mutta varminta on puuttua niihin mahdollisimman aikaisessa vaiheessa.

Virusten ja matojen tunnistus tapahtuu Clam AntiVirus -ohjelmistolla. Kaikista saapuvista sähköpostiviesteistä tarkistetaan sekä mime-koodauksen mukaiset liitteet että viestien rungot. Viruksen sisältävä viesti pysäytetään, ja vastaanottaja saa asiasta ilmoituksen. Ilmoitusviesti kertoo muun muassa löytyneen viruksen tyypin sekä alkuperäisen viestin otsaketiedot.

8. Ei-toivotuiksi tiedettyjen viestien automaattinen seulonta (Junk_E-mail)

Ei-toivotuiksi tiedetyt viestit toimitetaan suoraan Junk_E-mail-kansioon INBOXin sijasta. Kaikki saavat Junk_E-mail-kansion automaattisesti INBOXin alikansioksi. Seuraavat viestit tiedetään ei-toivotuiksi:

  • Kaikki Bogofilterin varmoiksi roskaposteiksi luokittelemat viestit. Näissä viesteissä on otsake, joka alkaa X-Bogosity: yes.

  • Kaikki mail.cs.helsinki.fi-palvelimen tuottamat virusvaroitukset (katso otsikko "Sähköpostimatojen suodatus"). Virusvaroitukset ovat nykyisten massapostitusmatojen aikana lähes aina tarpeettomia. (Tarpeellinen virusvaroitus voisi tulla esimerkiksi makroviruksen sisältävästä office-dokumentista.)

  • Jälkisuodatuksessa kiinni jäävät viestit. Kaikkien muiden suodatusten jälkeen tarkistetaan kaikki viestien välitysotsikoissa esiintyvät IP-osoitteet Spamhaus organisaation ylläpitämää monipuolista yhdistettyä SBL-XBL listaa vasten. Tässä jää kiiinni osoitten perusteella myös sellainen roskaposti, joka on lähetetty edelleen tietojenkäsittelytieteen laitoksen järjestelmään jostain muualta (esim. helsinki.fi-osoitteen tai iki.fi:n kautta). Näissä viesteissä on otsake: X-Classification: junk - x.x.x.x listed by sbl-xbl.spamhaus.org

  • Sellaiset virheilmoitukset, joihin liittyvä alkuperäinen viesti ei ole koskaan kulkenut TKTL:n postipalvelinten kautta . Väärennettyihin lähettäjäosoitteisiin suunnatut jakeluvirheilmoitukset kuuluvat tähän joukkoon. Monet ovat saaneet päivässä satoja tai jopa tuhansia tällaisia viestejä roskapostittajien käyttäessä väärin heidän s-postiosoitteitaan. TKTL:n postipalvelinten kautta välitettyihin viesteihin liittyvät virheilmoitukset tulevat normaalisti INBOXiin.

    Tarpeellisia virheilmoituksia saattaa joutua Junk_E-mailiin seuraavassa tilanteessa: Käyttäjän posti on ohjattu paikasta X TKTL:lle. Käyttäjä lähettää paikasta X viestin, joka ei mene perille. Tästä tulee virheilmoitus, joka välitetään (postinohjauksen kautta) TKTL:lle. Virheilmoitus joutuu Junk_E-mailiin, koska se liittyy viestiin, joka ei ollut kulkenut TKTL:n kautta. Tämän tilanteen voi kiertää muun muassa lähettämällä paikassa X viestit TKTL:n postipalvelimen kautta s-postin etäkäytön ohjeiden mukaan .

Junk_E-mail-kansiosta poistetaan automaattisesti 30 päivää vanhemmat viestit.

9. Tyhmyydestä sakotetaan

Yksityishenkilöt voivat tehdä tietosuojavaltuutetulle toimenpidepyynnön epäilystään, että roskapostin lähettäjä on rikkonut henkilötietolakia tai lakia yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta. Käytännössä tähän kannattanee turvautua lähinnä silloin, kun roskapostin lähettäjä on kotimainen. Henkilötietolain rikkomisesta voidaan tuomita jopa vuosi vankeutta (tuskin kuitenkaan tämän tyyppisissä tapauksissa), toisen mainitun lain rikkomisesta voi saada sakkoja.