Mista spammerit keraavat osoitteet?
Kai Puolamaki
S.v.nyysseissä oli tällä viikolla keskustelua sotketun osoitteen
kirjoittamisesta sotkemattomana nyyssiartikkelin runkoon ja siitä,
päätyykö osoite näin spämmereille.
NANAEssa oli viite kahteen mielenkiintoiseen selvitykseen asiasta.
Selvitysten mukaan nyyssiartikkelin rungossa tai Reply-To-kentässä
oleva sähköpostiosoite ei todennäköisesti päädy spämmerien käyttöön.
Ensimmäisessä selvityksessä¹ tutkittiin miten osoitteita kerätään
nyyssipostoaksista. Selvityksen tekijä käytti nyyssipostauksessaan
"tägättyjä" osoitteita. Jokaisessa nyyssipostauksessa oli erilainen
sähköpostiosoite signaturessa ja eri otsakekentissä (From, Reply-To,
Message-Id, Approved). Jokaisessa nyyssiviestissä oli siis yhteensä
viisi erilaista toimivaa osoitetta. Hän sai näihin osoitteisiin vuoden
2001 aikana noin 10,000 spämmiviestiä. (Tästä ei voi suoraan laskea
nyyssipostauksista aiheutuvaa spämmiä, koska kyseisessä tapauksessa
jokaisessa viestissä oli viisi eri osoitetta ja ne olivat erilaisia
joka viestissä.) Spämmiviestit jakautuivat seuraavasti:
Osoite From-kentästä: 9878
Osoite Message-Id-kentästä: 32
Osoite Reply-To-kentästä: 6
Osoite signaturesta: 5
Toisin sanoen, vain noin 0,05 % spämmistä osoite oli saatu viestin
rungosta. Viestin rungosta osoitteita ei siis ilmeisesti juuri kerätä,
kuten ei Reply-To-kentästäkään. Jälkimmäinen johtuu todennäköisesti
siitä, että nyyssipalvelimet antavat mm. From-kentän sisällön
xhdr-komennolla. Sen sijaan Reply-To-kentän tai viestin rungon
selvittämiseksi on ladattava koko viesti. Tämä vie enemmän aikaa,
mistä syystä spämmerit eivät sitä tee.
Toinen selvitys² päätyi samankaltaisiin johtopäätöksiin. Siinä
vertailtiin eri osoitelähteitä (WWW, nyyssit, yritysten postituslistat
jne.). Lopputuloksena 97 % spämmistä tuli osoitteisiin, jotka oli
julkaistu suosituilla webbisivuille. Kun osoitteet otettiin sivuilta
pois, väheni spämmin määrä. Noin 1 % tutkimuksessa saadusta spämmistä
aiheutui nyyssipostauksista ja lähes aina osoitteet kerättiin
nyyssiartikkeleista otsaketiedoista, ei rungosta. Sotkettuihin
osoitteisiin spämmiä ei tullut. Spämmin määrä riippui myös
uutisryhmästä.
Selvityksen mukaan viisi 31 yrityksestä jatkoi mainospostin
lähettämistä sen kieltämisen jälkeen (sitä ennen mainosten
lähettämiseen oli annettu lupa). Webbikeskustelupalstoille
lähetetyistä viesteistä ei spämmiä juuri aiheutunut, kuten ei myöskään
domain-rekisteröinneistä.
¹ http://rejo.zenger.nl/abuse/spamtraps.php
² Center for Democracy & Technology, "Why Am I Getting All This Spam?
Unsolicited Commercial E-mail Research Six Month Report", March 2003,
http://www.cdt.org/speech/spam/030319spamreport.shtml
"First they ignore you, then they laugh at you, then they fight you,
then you win." Mahatma Gandhi
Sampo Smolander
> Ensimmäisessä selvityksessä¹ tutkittiin miten osoitteita kerätään
> nyyssipostoaksista.
> vuoden 2001 aikana
[...]
> Toinen selvitys² päätyi samankaltaisiin johtopäätöksiin.
Osaisiko joku arvella, kuinka paljon noilla pari vuotta vanhoilla kokeilla
on enää relevanssia, kun nuo uudet madot ovat aikalailla muuttaneet
tulevan roskapostin laatua. Tai ainakin minulle tulee nykyään monin
verroin enemmän matoja kuin perinteistä spämmiä. Lukevatko nämä uudet
madot myös nyyssiviestien tekstiosia?
Timo Korvola
> Osoite From-kentästä: 9878
> Osoite Message-Id-kentästä: 32
Eivät ole spammerien systeemit tosiaankaan järin hienostuneita, kun
toisiksi suosituin osoitelähde on Message-Id-kenttä, jonka arvo ei ole
sähköpostiosoite!
--
Timo Korvola <URL:http://www.iki.fi/tkorvola>
Kai Puolamaki
> Lukevatko nämä uudet madot myös nyyssiviestien tekstiosia?
Arvaisin, että jos haittaohjelmat lukevat nyyssiartikkelien
tekstiosia, niin ne lukevat tekstiosia vain sellaisista artikkeleista,
jotka käyttäjä on uutispalvelimelta luettavaksi hakenut.
Haittaohjelmien leviäminen käsittääkseni perustuu nimenomaan siihen,
että viestejä lähetetään käyttäjän kovalevyltä löytyviin osoitteisiin
(osoitekirjat, www-sivucache jne.) eikä niinkään suoraan verkosta
haettuihin osoitteisiin.
Kiisto: Voin olla väärässäkin, koska en noiden haittaohjelmien
toiminnasta juurikaan tiedä.
Kaarlo Vapaaoksa
> Kai Puolamaki <Kai.Pu...@iki.fi> writes:
>> Osoite From-kentästä: 9878
>> Osoite Message-Id-kentästä: 32
> Eivät ole spammerien systeemit tosiaankaan järin hienostuneita, kun
> toisiksi suosituin osoitelähde on Message-Id-kenttä, jonka arvo ei ole
> sähköpostiosoite!
Pelkistä overview-tiedoista saa varmaankin nopeammin kerättyä
mailiosotteita, ja niissä ei ole sähköpostiosotteiden näköistä
sisältäviä kenttiä muuta kuin From, Message-Id ja References (jossa on
samoja kuin edellisessä).
Eli sellainen osotteidenkeräysautomaatti, joka nappaa overview:stä
kaikki @-merkillä varustetut merkkijonot on suositumpi, kuin sellainen
joka oikeasti lataa artikkelit. Aika harvassa tosin sellaisetkin
näyttävän olevan, jotka eivät viitsi jättää Message-Id:tä pois. Kai se
on vain sitä spammayksen ekonomiaa.
carlos
Hannu
Hash: SHA1
Kai Puolamaki wrote:
> Arvaisin, että jos haittaohjelmat lukevat nyyssiartikkelien
> tekstiosia, niin ne lukevat tekstiosia vain sellaisista artikkeleista,
> jotka käyttäjä on uutispalvelimelta luettavaksi hakenut.
> Haittaohjelmien leviäminen käsittääkseni perustuu nimenomaan siihen,
> että viestejä lähetetään käyttäjän kovalevyltä löytyviin osoitteisiin
> (osoitekirjat, www-sivucache jne.) eikä niinkään suoraan verkosta
> haettuihin osoitteisiin.
>
> Kiisto: Voin olla väärässäkin, koska en noiden haittaohjelmien
> toiminnasta juurikaan tiedä.
>
yleensä noin on ollutkin, mutta tämä uusin swen (lue se takaperin) hakee
noiden perinteisten lisäksi osoitteita myös tietyiltä news-palvelimilta.
Sitä en tiedä, hakeeko se koko viestit vai pelkästään tuon from-osoitteen.
Ei minulle ainakaan ole tullut noihin .sigissä oleviin osoitteisiin sweniä
(toisaalta osoite on voimassa vain tietyn ajan, mutta ymmärtääkseni
riittävän pitkään swenille), mistä voisi päätellä, että todennäköisesti se
ei hae koko viestejä :-)
- --
Send replies to:
hannu.kotipalo+date...@iki.fi
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (GNU/Linux)
iD8DBQE/iTUruA3ghgc3fUsRAsdjAKDwkFJQU3khRISbUktQRe0nootmHACdGM56
ZfAvtOPlpZ+NJ/6F/z7OYnA=
=vfJz
-----END PGP SIGNATURE-----