Chương 2. Các kỹ thuật lọc thư rác thư rác
2.1. Các kỹ thuật giảm thiểu thư rác
2.1.1. Lọc IP
Khi máy khách khởi tạo kết nối SMTP để gửi thư, một kết nối TCP/IP với máy chủ gửi thư được thiết lập trên mạng. Địa chỉ IP của người gửi có thể dễ dàng xác định và là thông tin đầu tiên máy chủ có thể nhận diện được. Trên cơ sở địa chỉ IP, máy chủ có thể quyết định chấp nhận hoặc từ chối kết nối.
Nếu địa chỉ IP được liên kết với một khách hàng đã gửi thư rác trong quá khứ, kết nối có thể bị từ chối. Quy trình này được biểu thị là "danh sách đen" (blacklisting). Những địa chỉ IP đáng ngờ được lưu trữ trên danh sách đen. Đôi khi, thậm chí toàn bộ dải mạng là các phần tử của danh sách đen, ví dụ: dải IP được chỉ định cho các miền cụ thể.
Tương tự, địa chỉ IP có thể thuộc về một ứng dụng gửi thư đáng tin cậy, máy chủ sẽ chấp nhận kết nối, phương pháp này được gọi là “danh sách trắng”
(white-listing). Giống như danh sách đen, danh sách trắng có thể được duy trì cục bộ hoặc được cung cấp công khai. Khi chúng được cung cấp qua máy chủ tên miền được gọi là DNSWL - danh sách trắng của hệ thống tên miền [2].
Không giống như danh sách đen, tính cập nhật của họ ít quan trọng hơn. Sử dụng duy nhất phương thức danh sách trắng không thể đạt hiệu quả trong việc đối phó với thư rác vì tỷ lệ dương tính giả quá cao (e-mail từ những người gửi không xác định sẽ bị chặn); âm tính giả thì rất hiếm gặp vì người gửi có thể dễ dàng xác định được [2]. Do đó, phương pháp này nên được sử dụng như là biện pháp bổ sung và các e-mail từ các máy chủ được đưa vào danh sách trắng không nhất thiết phải kiểm tra.
Lọc IP rất dễ thực hiện và không tiêu tốn nhiều tài nguyên, vì quyết định chấp nhận/từ chối kết nối được thực hiện ở giai đoạn đầu khởi tạo kết nối. Điều này có nghĩa là ứng dụng chuyển thư không tiêu tốn nhiều thời gian và CPU không phải lưu trữ thư mà sau này được xác định là thư rác.
Hạn chế của việc lọc IP bao gồm các vấn đề sau:
Phương pháp sẽ không thành công nếu địa chỉ IP của khách hàng bị giả mạo. Giả mạo IP là một vấn đề tồn đọng của bộ giao thức TCP/IP. Tuy nhiên, vì những lý do sau, giả mạo IP dường như không là một vấn đề thực sự: (1)
Vì kết nối gửi thư dựa trên kết nối TCP với quá trình bắt tay 3 bước, việc giả mạo IP không dễ dàng và đòi hỏi người có kiến thức và kỹ thuật cao, (2) một mạng có thể được bảo vệ khỏi giả mạo IP với một số kỹ thuật phòng chống đơn giản, (3) chặn IP thường không phải là chính sách chống thư rác duy nhất được triển khai ngày nay [2].
Tính năng chặn IP hoạt động theo nguyên tắc và thường gặp lỗi khi phân loại: dương tính giả (nếu kết nối của thư hợp lệ bị từ chối) và âm tính giả (nếu kết nối của thư rác được chấp nhận).
2.1.2. Danh sách xám và phản hồi - thách thức
Phương pháp danh sách xám (greylisting) thì những thư điện tử không nằm trong danh sách máy chủ sẽ được phản hồi là tạm thời không gửi được [12]. Đối với những người thư điện tử bình thường, MTA sẽ gửi lại thư điện tử sau khi nhận được phản hồi, tức là máy chủ sẽ gửi lại khi nhận được thư điện tử thành công. Nhưng đối với thư rác, thư điện tử có xu hướng được gửi thông qua server trung gian mở, không thể gửi lại phản hồi, do đó không thể liên lạc được với thư điện tử người nhận. Nhược điểm của phương pháp này là sẽ có một số độ trễ trong việc gửi thư điện tử thông thường. Phương pháp này đã thêm chiến lược phản ứng-thách thức trên cơ sở của danh sách trắng. Địa chỉ thư điện tử từ danh sách trắng sẽ được nhận thành công. Nhưng khi địa chỉ ngoài danh sách, máy chủ sẽ gửi một thách thức cho người gửi để "kiểm tra".
Thư điện tử sẽ đến hòm thư người nhận với điều kiện người gửi phải đã vượt qua bài kiểm tra và địa chỉ thư điện tử của người gửi tương ứng sẽ được thêm vào vào danh sách trắng ban đầu. Người gửi thư rác thường sẽ sử dụng 'địa chỉ người gửi giả mạo' để tránh các dấu vết ngược lại và dự kiến sẽ không nhận được bất kỳ các kết quả kiểm tra nào. Hai phương pháp này lợi dụng thực tế là thư rác không thể đưa ra phản hồi tương ứng để đánh giá các loại thư điện tử.
Tuy nhiên, quá trình đưa ra phản hồi có nghĩa là thời gian gửi nhận thư điện tử bị trì hoãn và chiếm băng thông của internet [12].
2.1.3. Cải thiện xác thực thư để phòng chống thư rác 2.1.3.1. Xác thực thư điện tử
Xác thực thư điện tử là một kỹ thuật được sử dụng để cải thiện khả năng gửi thư điện tử (giảm nguy cơ thư điện tử nằm trong thư mục spam của người nhận). Nó cho phép các bộ lọc chống thư rác xác minh tốt hơn danh tính của người gửi và ngăn chặn các hành vi giả mạo và lừa đảo.
Mail From: Là địa chỉ thư điện tử của người gửi. Địa chỉ này được đính kèm phong bì thư SMTP.
Display from: Đây là địa chỉ thư điện tử được hiển thị cho người dùng cuối trong ứng dụng thư điện tử của họ. Địa chỉ này được chứa trong tiêu đề của thư điện tử. Ứng dụng thư điện tử khách không có quyền truy cập vào phong bì SMTP (và do đó không thể thấy địa chỉ MAIL FROM nói trên). Địa chỉ của Display from hiển thị có thể khác với địa chỉ Mail from.
Có 3 giao thức chính cho phép xác thực thư điện tử:
2.1.3.2. Chữ ký DKIM
Người gửi tạo giá trị băm MD5 của một số phần tử của thư điện tử (ví dụ: tiêu đề thư điện tử). Sau đó, người gửi sử dụng khóa riêng tư để mã hóa băm MD5. Chuỗi mã hóa được chèn vào thư, được gọi là chữ ký DKIM. Người gửi lưu trữ khóa công khai trong bản ghi DNS.
Người nhận tìm thấy khóa công khai từ máy chủ tên miền của mình. Sau đó, người nhận sử dụng khóa công khai này để giải mã chữ ký DKIM từ thư điện tử được nhận. Người nhận tạo một hàm băm MD5 mới từ các phần tử của thư điện tử được DKIM ký và so sánh nó với hàm băm MD5 ban đầu. Nếu khớp, người nhận biết rằng:
- Chủ sở hữu của tên miền đó là người gửi thư điện tử (về mặt toán học hầu như không thể giả mạo chữ ký DKIM để giải mã thành hàm băm MD5 ban đầu bằng khóa công khai).
- Nội dung thư điện tử được DKIM ký không bị thay đổi trong quá trình chuyển tiếp (nếu không thì giá trị băm MD5 ban đầu và giá trị băm MD5 do người nhận tạo sẽ không khớp).
Điểm thiếu sót của DKIM là nó chỉ có thể bảo vệ thư đã được ký.
2.1.3.3. Khung chính sách người gửi
Khung chính sách người gửi (viết tắt là SPF)- cho phép công khai địa chỉ máy chủ chuyển thư nào có thể gửi thư điện tử cho tên miền đó.
Máy chủ nhận kiểm tra xem SPF có tồn tại tên miền đó ở trong mục MAIL FROM hay không. Nếu SPF tồn tại, người nhận sẽ kiểm tra xem địa chỉ IP của máy chủ gửi có khớp trong danh sách IP trong SPF hay không. Nếu khớp nghĩa là địa chỉ máy chủ là đúng, hợp lệ, nếu không nghĩa là thư được gửi từ máy chủ giả mạo.
2.1.3.4. Xác thực thư theo tên miền, báo cáo và tuân thủ DMARC DMARC được xây dựng dựa trên SPF và DKIM để giải quyết những thiếu sót của hai tiêu chuẩn xác thực này. DMARC cho phép xác thực DKIM hoặc SPF và xác nhận rằng địa chỉ trong trường Display From là xác thực.
Người gửi có thể chọn thêm chính sách DMARC trong tên miền.
Người nhận tra cứu chính sách DMARC trong tên miền; thực hiện xác thực chữ ký DKIM và / hoặc xác thực SPF; thực hiện kiểm tra liên kết miền;
áp dụng chính sách DMARC.
Việc liên kết miền bao gồm việc xác minh rằng địa chỉ được hiển thị cho người nhận cuối cùng trùng khớp với
- Đối với SPF, trùng với miền người gửi (mail from).
- Đối với DKIM, giá trị d phải trùng với tên miền được ký trong tiêu đề cùng với giá trị băm được mã hóa.
2.1.4. Bảo vệ địa chỉ
Tài liệu tham khảo [12] đã đề cập đến một phương thức tương đối đơn giản để đối phó với thư rác, đó là thay đổi các địa chỉ thư điện tử, ví dụ: chuyển đổi địa chỉ thư điện tử “tennguoidung.com” thành “tennguoidung # domain.com” hoặc “tennguoidung AT domain.com”, và có thể thay đổi dấu “.”
thành “DOT” cũng khá hiệu quả. Bằng cách đó, chúng ta có thể ngăn chặn thư rác thu thập thư điện tử qua các trang web thông qua kỹ năng dò tìm thư. Tuy nhiên, khả năng bảo vệ của công nghệ này khá yếu. Thư rác người gửi vẫn có thể trích xuất địa chỉ thư điện tử thực bằng cách thêm một số mã nhận dạng đơn giản khi thu thập địa chỉ thư điện tử. Hiện tại, thông qua tấn công từ điển, phần mềm thu thập thư điện tử có thể kiểm tra số ID của máy chủ thư, cũng như trích xuất địa chỉ thư điện tử của trang không phải tài liệu (như DOCJPEGPDFXLSRTFPPT) trên internet.