Spam-mail. En undersökning om spam-mailande och vilka motmedel som finns.

Transkript

1 Spam-mail En undersökning om spam-mailande och vilka motmedel som finns. Jon Mårdsjö Filip Holmberg Ulf Wirén-Hallqvist Kurskod: TDTS09 Linköpings universitet Linköping 5 mars

2 2

3 Omslagsbild: Spam Källa: -spam.jpg Förord Detta är en rapport om hur utvecklingen ser ut gällande spam-mejl och vilka metoder det finns för att försöka filtrera ut dessa. Det diskuteras hur vi tror att utvecklingen kommer att se ut inom den närmsta framtiden och hur läget är idag. 3

4 Innehållsförteckning 1. Inledning Bakgrund Problemformulering Motivering och syfte Metod Bakgrund Hur drabbar spam olika delar av samhället Privatpersoner Företag Myndigheter Strukturen på ett mejl Vad är spam-mejl? Samla adresser Hur försöker man hindra spam-mejl? Analys Exempel Viagraspam-scenario Huvudinjektion i mejl-formulär Diskussion och slutsatser...16 Spam-undvikande...16 Referenser

5 1. Inledning 1.1 Bakgrund Definition: Spam är ett begrepp som används främst som ett ord för oombedd e-post av olika form och syften. Ett annat ord för spam är skräppost som kommer från engelskans junk mail. (Internet Advisory Board, 2008) Spam-mejl är den nya tidens reklam-massutskick. Länge har man fått stå ut med stora mängder reklampost i brevinkastet, och det är väl ingen större överraskning att det har följt med till de nya digitala medierna. Företag vill fortfarande ha sina produkter marknadsförada, men en stor skillnad är att kostnaden för att skicka ett reklam-mejl över internet är obetydlig. Företag brukar inte heller behöva stå för att någon annan skickar ut spam-mejl som länkar till deras företag, då de inte alltid kan hållas juridiskt ansvariga för vad andra gör. En person kan ensam skicka ut 5 miljoner spam-mejl om dagen, och då krävs det inte att så hög procent av mottagarna nappar på erbjudandet. (Internet Advisory Board, 2008) Detta har lett till att organisationer och myndigheter har insett att spam är ett stort problem, och man har försökt att komma åt problemet från flera håll, vilket också kommer att undersökas i rapporten. 1.2 Problemformulering Att din inbox på ditt mejlkonto är fullproppad med alla dessa konstiga mejl är nog inget ovanligt. På senare tid har mängden spam över internet vuxit stig enorm. För att användarna ska ha möjlighet att kunna följa sin vardagliga mejl utan att även behöva rensa hundratals spam-mejl så har de flesta e-postleverantörer börjat använda sig av något slags spam-filter. Spamfilter i sig garanterar inte att du slipper se spam men rensar bort såndant som användaren garanterat inte har intresse av. Problemet med spam-mejl har vuxit sig större på internet och växer sig fortfarande större. Man har i ett antal länder försökt sätta upp lagar mot spam och i USA har man lyckats förbjuda utskick av spam och gett möjlighet att minska problemet. Men att sätta upp restriktioner och lagar mot vad som klassas som spam eller inte kan leda till ytterligare problem. Vårt ovanstående syfte har vi har vi samlat i tre huvudfrågor: Vad innebär spam-mejl och hur påverkar det olika delar av samhället? Varför har spam-mejl blivit så stort? Hur försöker man hindra spam-mejl? Dessa frågor har vi tänkt besvara i tur och ordning i rapporten. 1.3 Motivering och syfte 5

6 Syftet med rapporten är att få en bra och tydlig definition på vad spam mejl är och hur det används och fungerar. För att uppnå detta tänker vi börja med att ta reda på vad som anses vara spam, och därefter gå vidare till att undersöka varför detta fenomen blivit så stort. Nu när ungefär 80 % av all mejl som skickas utgörs av spam (Rydberg, 2003) kan man inte låta bli att höja ett ögonbryn och fundera över vad som har gjort spam blivit en så stor och naturlig del av mejl. Till sist vill vi ta reda på vad det finns för olika sätt att bekämpa problemet spam, och hur spam-communitiet har reagerat på dessa. Spam har på senare tid flyttat ut från e-post och usenets värld och finns nu på flertalet medium både på internet och i dess närhet, i form av t.ex. bloggkommentarer, bloggar, spamdexing, videokommentarer, foruminlägg och spam-sms. Vi har dock tänkt att fokusera på just spam-mejl, då vi ser dessa som det största problemet, och det område det finns flest påhittiga spammare och spamfilter-konstruktörer att skriva om. 1.4 Metod Rapporten är i stort en litterautrstudie, och metoden består således främst av en undersökning av det som finns skrivet av olika medier i ämnet. Vi tar upp information från såväl offentliga organ såsom svenska regeringen, från standardiseringsorganisationer och från privata anti-spam-aktörer såsom spamhaus. Vi börjar med att ta reda på vad som anses vara spam, och sedan går vi vidare för att ta reda på vilka olika sätt det finns för att bekämpa spam. 2. Bakgrund 2.1 Hur drabbar spam olika delar av samhället Privatpersoner Spam är någonting många kan anse som väldigt störande och irriterande när det kommer mejl om t.ex. viagra. Spam är någonting som de flesta människor kanske kan acceptera inom rimliga gränser. Visst är det irriterande att få ett mejl som man inte har tackat ja till, men som sagt, ett enda mejl kan man acceptera men inte när det blir så stora mängder så att våra relevanta mejl försvinner bland all spam och man måste sitta och leta efter mejl som inte är spam. Då är det både tidskrävande och irriterande. Mycket utan den spam som skickas är även till för att enbart lura mottagaren på pengar och kredituppgifter då det troligen inte är säkert att man får varorna man har beställt i ett mejl. Spam-mejl kan även vara infekterade av virus som bifogade filer etc Företag För företag är det svårare med spam. Har man en supportmejl som blir drabbad av tusentals spam-mejl om dagen så kan det vara på tidskrävande och kostnadsineffektivt att sitta och sortera ut de mejl som verkligen är till företaget. Martin Nelson (Wallström 2003) som jobbar som analytiker påstår att 6

7 problemen för företagen kan delas in i tre olika kategorier, 1. Minskad produktivitet 2. Kostnader för helpdesk och andra tjänster 3. Infrastruktur för servrar, mer bandbredd och administration Myndigheter I Sverige har vi något som kallas för offentlighetsprincipen vilket innebär att all vanlig post och mejl måste nå fram och därefter kunna göras offentlig. Detta gör att man inte kan använda sig av filter på samma sätt som på företag eller för privatpersoner eftersom det finns risk att ett relevant mejl ska försvinna. Dessutom måste all post arkiveras så att allmänheten ska kunna ta del av denna. Myndigheterna får naturligtvis ta bort spam men måste först avgöra varifrån och från vem mejlet kommer. (Lotsson, 2004) EU-kommisionen beräknade att de förluster företag gör på spam inom EU:s gränser uppgick till ungefär 44 miljarder kronor år Då ingår den totala förlorade arbetstiden och sidokostnader som belastning på IT-system. (Mc- Guire, 2004) 2.2 Strukturen på ett mejl Ett mejl kan delas in i två delar, en huvud där det står information om vem som har skickat mejlet, vem det är till, när det skickades osv. och en body, där innehållet i mejlet står, som kan vara en text eller en bild. Huvudena är det som är mest intressant för oss, för ju mer spam vi har börjat få desto viktigare känns det att ta reda på vem mejlet verkligen är från. Fälten i huvudet kan skilja sig mellan olika epostklienter och mejlservrar, så yahoo och gmail är alltså inte uppbyggda på samma sätt. I de exempel vi använder oss av i vår rapport kommer från yahoo. Mycket av den information som står skriven i huvudet är dold för oss vanliga användare. Oftast brukar vi bara få se vem meddelandet är till, när det är skickat och vem som har skickat det. Följande förklaringar av huvdet bygger på artikeln Reading Headers - All about Headers (Sachs, J, 2000). X-Apparently-To: tandersten@yahoo.com via ; Mon, 16 Aug :59: X-YahooFilteredBulk: X-Originating-IP: [ ] Return-Path: b.elighting.0-3dabf70-40df.yahoo.com.- tandersten@mx2072.dd02.com Received: from (EHLO mx2072.dd02.com) ( ) by mta168.mail.scd.yahoo.com with SMTP; Mon, 16 Aug :59: Received: (from daemon@localhost) by mx2072.dd02.com (8.8.8/8.8.8) id KAA76927; Mon, 16 Aug :56: (EDT) Datum: Mon, 16 Aug :53: (EDT) Message -Id: KAA76927@mx2072.dd02.com Från: "PC Repair" elighting@mx2072.dd02.com 7

8 Till: Ämne: Do you need to fix your computer? MIME-Version: 1.0 Content-Type: text/html; charset="iso " Content-Length: 1177 Förklaring av fält: X-Apperently-To: Finns i meddelanden som är avsedda att skickas till flera personer X-YahooFilteredBulk: är ett eget filter som Yahoo använder sig av för att identifiera att mejlet har skickats till mer än en användare. Return-Path: Används om man vill avsluta sin prenumeration, men man bör vara aktsam att svara på dessa mejl, då de ofta samlar in din e-postadress då och vet att den är aktiv och används. Alltså kan det här innebära att de visar för spamavsändaren att din mejl är vid liv och de skickar ut mer mejl. (Spamhaus, 2007) Received: Vi har två received i exemplet. Detta beror på att olika mejlservrar skickar ut mejl i flera led. När jag skickar ett mejl så går den först via yahoos server och lagras på den för att sedan lagras på t.ex. gmails server hos mottagaren av mejlet. Detta mejl avlämnades från server med adress , vilket motsvarar EHLO mx2072.dd02.com, och vidarebefordrades sedan som slutled via ta434.mail.yahoo.com med hjälp av SMTP. Received: Det andra recived motsvarar steget innan man skickar vidare mejlet. Man kan se att det är en anonym avsändare, deamon@localhost och att mejlet egentligen kommer från mx2072.dd02.com. KAA76927 är endast till för administratören av servern då detta är namnet på servern som mejlet sparades på. (Sendmail, 2008) Datum: Tiden då mejlet bytte ägare mellan servrarna. Message-Id: är till för att mejlet ska kunna identifiera sig självt. Från: Meddelandet är skickat från en användare som kallar sig för PC Repair och har mejlen elighting@mx2072.dd02.com Till: Det är mejladressen vilket det är skickat till. Ämne: Rubriken på mejlet. Mime: MIME (Multipurpose Internet Mail Extensions) version 1.0 (Freed, N, 1996) Content-Type: Mejlet innehåller text som formaterats med html-kod. Teckenuppsättningsstandard iso används. Används i främst norra och västra Europa samt USA (ISO, 1998) Content-Length: Antalet tecken som hela mejlet bestod av. 8

9 Body eller innehållet i ett mejl kan vara svårt för en dator att kontrollera medan en van datoranvändare snabbt ser om det är ett spam mejl eller inte på innehållet. Strukturen på innehållet i ett spammejl ser oftast ut som ett vanligt mejl så det man får gå på om man vill avgöra om det är ett spammejl eller inte är innehållet. 2.3 Vad är spam-mejl? UBE, Unsolicited Bulk , är den ursprungliga definitionen av en stor mängd obestälda mejl. Dessa mejl skickas ut i stora massutskick som dimper ner hos olika personer runt om i världen. En person som registrerat sig på en nyhetsbrevlista, får sedan välja att avbeställa utskicket. Om han trots avregistreringen får mejl från samma adress räknas detta också som ett UBE. (Hoffman P, 1997) Även UCE, Unsolicited Commercial klassas som ett slags spam. UCE var tänkt att fungera på samma sätt fast man ville räkna in antal massutskick med innehåll som handlade om religion eller politik. Problemet uppstod när man började hitta kryphål via UCE på de platser där UBE förbjöds. 2.4 Samla adresser För att kunna skicka spam behöver sändarna samla ihop mängder med mejladresser som dem både samlar på egen hand och av s.k. list merchants. Alla mejladresser som hittas sållas ur och potentiella adresser stoppas in i listor. Men större delen av de adresser som hittas sparas och eftersom man inte bryr sig speciellt mycket om vem ägaren är så hamnar nästan alla i listorna. Eftersom man plockar in så många adresser så är listorna inte så noggranna. En stor del av spam mejlen når inte fram pga att mejladresserna är felaktiga eller inte går att skicka till. Den största anledningen till att spam blivit så pass stort är att det inte skiljer sig så mycket i kostnad från att skicka till en mindre mängd mottagare än att skicka till miljontals. Därför är det också lätt för sändarna att skicka eftersom de inte behöver tänka på målgrupp eller vilka som skulle tänkas vara intresserade av innehållet. Problemet för många är att spam ofta är skrivna på språk som är oförståeliga för många därför skrivs de nästan alltid på engelska för att nå ut till så många som möjligt. (Zenger R, 2005) Det finns ett flertal metoder som används för att hitta mejladresser. Det vanligaste sättet är att plocka de adresser som ägaren använt i andra syften. Spambots är mycket effektivt, då man låter dem söka igenom en mängd hemsidor och kan hitta tusentals adresser som även är aktiva och fungerar. Harvester är ett annat namn på en sådan bot. 2.5 Hur försöker man hindra spam-mejl? Avsändarbaserad filtrering Det tidigare och mest uppenbara sättet att stoppa spam är så kallade white- 9

10 eller black-lists. (McMillan, R, 1997) Det innebär att man känner av vilka som skickar mycket spam och sätter upp dem på en black-list, vilket innebär att man automatiskt blockerar allt som kommer från den adressen. Detta går dock att komma runt genom att byta från-adress på mejlen (vilket en hel del SMTPservrar aldrig kontrollerar). Man insåg också att man måste samla ihop IPadresser istället. SMTP-protokollet håller nämligen reda på vilken IP-adress som skickar mejlet, och denna information skickas vidare i form av Recievedhuvuden, så då kan medelandet blacklistas bättre. Men internet är fullt av SMTP-servrar med gamla standardarder, och dessa kan man använda för att vidarebefordra sina mejl genom (man låtsas vara en SMTP-server som har ett mejl, och ber en annan SMTP-server att skicka vidare sitt mejl). Detta kallas open relays, och förr i tiden lät detta som en vettig standard. (Kahin, B, 1990) Nu för tiden anses open relays ligga för mycket i fatet på spammare, och förutom att uppmana dessa servrars administratorer att uppgradera, riskerar de att hamna på svartlista om de upptäcks och utnyttjas av spammare. Öppna proxies är en företeelse som fortfarande är mycket vanlig på internet. Det är helt enkelt en server som vem som helst får använda för att skicka data genom till någon annan, och för måldatorn ser informationen ut att komma från proxyn och inte från den som sitter bakom proxyn. IP:n för kända öppna proxies läggs också till svartlistorna. Öppna proxier är fortfarande ett bra sätt att dölja sin IP-adress på internet, och det finns enkla tjänster för den som vill kunna surfa anonymt och t.ex. komma genom regeringars censurbrandväggar. Ett populärt och enkelt exempel är I takt med att öppna relays och proxies har blivit svartlistade har spammare gått över till en annan populär trend i internets undre värld: botnets. Botnets går ut på att infektera ovetande människors datorer med virus, som istället för att förstöra information på datorn gör att datorn blir en zombie och lyder alla order som botnätets ägare ger dem. Det kan till exempel handla om att sätta upp nya öppna proxier eller en SMTP-server som står på hela tiden och skickar mejl utan att deras ägare vet något om det, och det kan leda till att folk ovetande om varför kan bli listade som spam-skickare och avstängda från sin ISP. Ett annat vanligt sätt att skicka mejl är genom sårbara mejlformulär på internet. En hel del mejlformulär, t.ex. skicka feedback -formulär, har inget skydd mot spam. Enligt SMTP-huvudena skickas information om Bcc och Cc i DATA-huvudena av meddelandet och inte i SMTP-huvudena, och låter man någon ange en från -adress, så ger du någon tillgång till DATA-huvudena. Om du skapar din From-adress med t.ex. (i PHP): $from = "From: ". $_POST['from']; och sedan infogar det i dina huvud utan någon kontroll, så kan någon skriva in t.ex. noone@noone.com\r\nbcc: spam@target.1, spam@target.2, så kommer mejlet se ut att komma från samma IP som webbsidan. Ett exempel på detta tar vi i exempel-delen Innehållsbaserad filtrering 10

11 Ett annat sätt att bekämpa spam är att filtrera på innehållet i mejlet, snarare än källan. Man börjar med att stycka upp allt i mejlet i så kallade tokens, vilket innebär att man delar upp mejlet ord för ord. Till exempel skulle From: Jon Mårdsjö <jonma752@student.liu.se> bli mängden {jon, mårdsjö, jonma752, student, liu, se}. Man har upptäckt att man kan beräkna sannolikheten för att ett mejl är spam med Bayes teorem för sannolikheten av två händelser, och få ganska precisa resultat. (Provost, J, 2000) I det här fallet får man att ett mejl är spam lika med (P(spam) P(ord i spam)) / P(ord). Alltså att sannolikheten att ett mejl är ett spam-mejl är lika med sannolikheten att ett mejl är ett spam gånger sannolikheten för att orden som ingår i mejlet är typiska spam-ord delat på sannolikheten att de orden dyker upp i ett mejl över huvud taget. Kort sagt känner algoritmen av om det är många typiska spam-ord med i ett mejl, och markerar det i så fall som spam. Den här lösningen bygger på att programmet som undersöker mejl har en god känedom om vilka ord som brukar finnas med i spam-mejl och vilka som brukar finnas med i legitima mejl. För det bombarderar man programmet med mejl som man redan innan vet om de är spam eller inte och på så sätt träna upp det. Med en bra ordlista att jämföra med kan den här tekniken filtrera ut väldigt många mejl, upp till en 97 % (Provost, J, 2000). Det finns dock ett par problem med metoden. För det första kan man förändra resultatet med vad som kallas bayesian poisoning, vilket innebär att man lägger in flera ord som inte brukar associeras med spam och som egentligen inte har något med produkten eller tjänsten man försöker sälja att göra. T.ex. att klippa in en passage ur bibeln längst ner på sidan kan vara ett effektivt sätt att inte betraktas som spam. Dessutom kan man med flit stava fel på ord för att inte upptäckas av antispam-motorn. T.ex. att byta ut en bokstav från Viagra till V1agra eller att lägga till ett extra a på slutet innebär inte att man inte som människa kan läsa vad det står, men det bayesiska filtret känner inte igen det till en början. Om man fortsätter mata in nya exempel och lära systemet bättre kommer det dock kunna anpassa sig vartefter. Dessutom borde man bygga in en mekanik som normaliserar 1:or i ord till i eller \/ till v. Ska man ta alla möjliga variationer av ordet viagra i beaktelse kan man komma upp i så mycket som 1,3 * olika. (Cockerham, R, 2004) Juridiska medel I och med att spammandet har blivit så stort som det är, och då det kostar mycket pengar och tid för privatpersoner, företag och myndigheter, att hantera det, har man insett att det också måste finnas lagliga medel att bekämpa spammandet. En av de första lagarna som stiftades mot spam gjordes i delstaten Virginia i USA, och innebar att man inte får dölja sin identitiet som avsändare (Weiss, 2003). Efter det kom CAN SPAM Act som innebar att alla mejl måste innehålla information om hur användaren kan bli borttagen från mailinglistan, och att mejl måste innehålla rätt avsändaradress. Dessutom fick inte 11

12 meddelandefält vara vilseledande och e-posthuvuden inte vara förfalskade. Många anser att CAN SPAM Act var en svag lag som inte kommer göra någon skillnad, då användarna själva måste välja att tacka nej efter att ha fått och läst genom mejlet, och då är skadan redan skedd. (Linford, S, 2003) Den svenska lagstiftningen ser lite annorlunda ut. får skickas till juridiska personer om det går att avregistrera sig från mailing-listan. För privatpersoner gäller att utskick bara får göras till någon som varit kund eller har varit kund, och bara sådant som gäller erbjudanden som liknar det som kunden redan köpt. Vidare måste man ha bett om att få den sortens information utskickad. Inom EU finns det också lagstiftning om spam (vilket bör anses vara en bra sak då nationell lagstiftning kan vara tandlös på internationella brott). I EUdirektiv nr 2002/58/EG Artikel 13, förbjuds utskick av och sms såvida inte användaren själv har bett om att få den informationen. (Europaparlamentet, 2002) 4 Analys Vi anser att spam-mejl är väldigt irriterande att få men vi är glada att det finns filter som automatiskt sorterar bort mycket spam. Vi förstår att spam är något som kostar mycket pengar för företagen och har märkt att det kostar mycket mer pengar för dem än vad man först trodde. Myndigheterna i Sverige borde försöka ändra lagarna på något sätt så att man på ett bättre sätt kan utnyttja filter även om man måste försöka garantera att 100 % av mejlen kommer fram. Vi hoppas att det kommer att komma mer effektiva spamskydd som även blir mer säkra så att inga mejl försvinner. Från strukturen på mejl: Vi har lagt märke till att det går att fuska rätt lätt med just huvudet i mejl; man kan sända från falska epostadresser via smtp t.ex. Man kan lura filtren att tro att det är ett äkta mejl. Vi tror även på att de som har mejltjänsterna borde ge ut mer information i huvudet så att man själv ska få en möjlighet att skapa egna filter som filtrerar bort vissa IP:n och mejladresser. Vi tror att det kommer att användas mer centraliserade register på IP-adresser som brukar skicka spam. Antalet öppna relayer kommer nog att minska, men inte försvinna helt, mest för att administratörer inte är medvetna om att deras gamla SMTP-servrar behöver uppdateras för internets bästa. Öppna proxier kommer nog inte att minska betydligt heller, mest för att folk har sett vilken positiv effekt dessa har på yttrandefrihet, jämlikhet och anonymitet på internet. Vi tror därför att avsändarbaserad filtrering kommer att fortsätta vara en viktig del av spam-filtering. Det kommer att försvåras i framtiden av den stora utvecklingen av botnets, som kan få vanliga hem-pc:ar att bli slavar åt spammarna. Antalet avsändar-ip-adresser kommer att öka dramatiskt och det kommer att skickas mer spam från folk som själva varken vet om det eller vill göra det. 12

13 Innehållsbaserad filtrering kommer (delvis på grund av botnets) fortsättningsvis vara viktig för spam-filtreringstekniken också. Det kan ibland vara helt omöjligt att avgöra på en avsändare och säga att det är en spammer (t.ex. om det är många zombier inblandade i utskicket), medan det kan vara helt uppenbart på annat sätt att det är spam (t.ex. förekomsten av orden viagra eller mortgage). Även om spammare försöker komma runt bayesianska filter med hjälp av bayesiansk poisioning, kan tekniken ännu snabbare lära sig och anpassa sig, tack vare självlärande och uppträningsbara spamfilter. Saker som att kopiera in bibeltexter kommer snabbt att upptäckas genom att administratörer undersöker spammet som kommer genom filtret och tränar upp filtret på dessa ord. De juridiska medlen behöver förbättras för att effektivt bekämpa spam. Nästan alla lagar som finns är bara nationella, och spamskickandet sker nästan alltid internationellt. Blir det olagligt i ett land kan spammaren alltid flytta och fly undan lagens långa arm. Lagar måste också inrikta sig på att stödja opt-inlösningar, vilket innebär att användaren själv måste be om att få informationen, istället för att behöva be om att tas bort från mejlinglistan. Det är dock viktigt att det finns lagliga metoder att angripa spammarna också. Det innebär att det går att dra spammarna inför domstol om man får tag på dem, så att man inte alltid jagar efter symptomen utan även kan gå på källan. 5 Exempel 5.1 Viagraspam-scenario Det skickas som sagt enorma mängder spam runt om på internet varje dag. Det är inte heller helt lätt att undkomma dem. För även med de mest avancerade filter så lyckas sändarna ändå få igenom ett och annat. De vanligaste spam mejlen är oftast reklam av någon produkt som man vill sälja och där är garanterat marknadsföringen av Viagra störst. (Evett D, 2007) Hur kan internetbaserade apotek skicka reklam via spam och hur tjänar spammare på det? Apoteken är inte på något sätt delaktiga i den kriminella delen av marknadsförningen. Diverse anslutna program till apoteken jobbar som en mellanhand mellan spammare och de s.k. apoteken. I denna kedja faller ansvaret på spammaren som gömmer sig någonstans på internet. På detta sätt ser apoteken en chans att tjäna pengar och göra massiv marknadsföring av sina produkter. Där efter får personen som spammat ut allt ta en viss procent av vinsten som man gör. Chansen att någon klickar sig in på spam mejlet är ytterst liten men det krävs inte mycket för att gå med väldig vinst. I genomsnitt är det ungefär 0,02 % av mejlen som får en intresserad användare. Skicka man då 1 miljon mejl under en dag så kan man vänta sig ungefär 200 besökare varav man räknar till att ungefär 1 % av dessa gör en beställning. Säljer man då för ungefär $100 per kund så blir det med en provision på 40 % hela $80 dollar per 1 miljon mejl som skickats. (Brown S, 2006) 13

14 Siffrorna i det tidigare exemplet är mycket osäkra och det kan skifta mellan olika tillfällen. Nedan följer en bild som beskriver hur viagra-spam fungerar i detalj. (Brown S, 2006) 5.2 Huvudinjektion i mejl-formulär Vi tog och undersökte hur man kan utnyttja ett typiskt mejl-formulär för att skicka sitt eget spam-meddelande. Vi gjorde ett avskalat exempel på hur ett mejl-formulär kan se ut, i det här fallet i PHP. Sedan tog vi reda på hur man kan utnyttja det för att skicka spam, och varför det funkar. Vårt mejl formulär såg ut såhär: <?php if (isset($_post['from'])) { // har det submittats? mail("feedback@min_sida.se", substr($_post['text'], 0, 10), $_POST['text'], "From: $_POST['from']"); echo "Vi har fått din feedback, och du får snart svar på adressen ". $_POST['from']; } else {?> <form action="feedback.php" method="post"> Din adress? <input type="text" name="from"><br> <textarea name="text">ditt meddelande?</textarea><br> <input type="submit"> </form> 14

15 <?php }?> Exemplet tar de första 10 bokstäverna i texten och sätter som titel. Sedan skickar den mejlet till feedback@min_sida.se med det som användaren har angivit som från-adress som From-huvud och med texten som text. Anta att vi anger variablerna $_POST['from'] = "från@exempel.com", $_POST['text'] = "tja, läget? \r\nbitarna faller på plats". Då kommer Data-delen av SMTP-konversationen se ut såhär (notera att \r\n är tecknet för ny rad, och skrivs ut för tydlighets skull): Date: Fri, 22 Feb :17:00 CET\r\n From: från@exempel.com\r\n To: feedback@min_sida.se\r\n Subject: tja, läget? bitar\r\n \r\n tja, läget? \r\nbitarna faller på plats\r\n \r\n. Om man istället anger som från-variabel $_POST['from'] = "från@exempel.com\r\ncc: spam@target.com, spam@target2.com" och $_POST['text'] = "Cheap viagra! buy now!" så blir resultatet Date: Fri, 22 Feb :17:00 CET\r\n From: från@exempel.com\r\n To: feedback@min_sida.se\r\n CC: spam@target.com, spam@target2.com\r\n Subject: Cheap viagra! buyr\r\n \r\n Cheap viagra! buy now!r\n \r\n. Alltså skapas en CC-rad som gör att det skickas en kopia av meddelandet till spam-målen spam@target.com och spam@target2.com från från@exempel.com och det ser ut att komma från servern som mejl-formuläret finns på. Spammaren behöver alltså själv inte visa sitt IP om det inte är inbyggt i formuläret. Om man har har hittat flera sådana formulär och har flera datorer som utnyttjar hålet kan man få ut många mejl på kort tid med fejkad avsändare. Man kan råda bot på bristen genom att kolla efter i From-fältet om det finns några \r\n och i så fall blockera mejlet (och helst svartlista IPt som försökte utnyttja hålet). Då säkerhetshålet uppkommer från hur SMTP fungerar och inte från buggar i individuella programmeringsspråk, är det troligt att injektionshålet kommer leva kvar länge på internet. 15

16 3. Diskussion och slutsatser Spam-undvikande Alla kan vi väl vara överens om att spam är något dåligt, något vi vill undvika att få. Men ändå verkar det inte som att folk vet hur man ska skydda sig från att komma med på spammarnas mejlinglistor. Det första, bästa och mest uppenbara skyddet är att inte skriva ut sin mejladdress på internet, då det förmodligen kommer upptäckas av mejl harvesters och läggas till i något spam-register. Ibland måste man dock lämna ut sin mejl för att bli medlem på webbplatser och man kan inte vara helt säker på att de inte kommer att lägga ut ens mejladress offentligt eller sälja vidare mejlen. I så fall kan det vara bra att ange någon tillfällig adress som det inte gör mycket om den kommer på villovägar. Till exempel om du vill registrera dig på en gratis site som kräver registrering kan du kolla efter om någon redan lagt in inloggningsuppgifter på eller använda en tillfällig mejladress på eller Det kan ibland vara svårt se till att ens mejl-adress inte sprids. Att bara gå på Linköpings Universitet, till exempel, innebär att din mailadress finns med på många ställen på universitetssidan, vilket säkert upptäcks av harvesters. Om du skulle få något spam, tryck aldrig på jag vill inte vara med på mailinglistan-knappen som många skickar med! Även om de måste ha den för att lagen säger så, innebär det ofta bara att spammarna blir säkra på att mejlet faktiskt har kommit fram och lästs. Som ägare av webbplats eller server finns det några saker att tänka på. För det första, använd inte gamla SMTP-servrar som tillåter öppen relaying. Se också till att dina mejlformulär är säkrade, så det inte går att injicera mejl-huvuden. Dessutom ska du aldrig publicera folks mejladresser, något som är vanligt i t.ex. kommentar-rutor till bloggar. Om du verkligen måste, se till att du skriver om mejladresserna till något som harvesters inte hittar, t.ex. namn [at] domän [dot] com eller någon sorts javascriptbaserad förvräningning, eller att det visas som bilder. Dessutom är CAPTCHA-filter bra för att undvika spammning. CAPTCHA-filter är när man har en bild som det för en människa går att läsa av en kod på, men det är desto svårare (helst omöjligt) för en maskin att läsa av det. Referenser Ryberg, J (2003) Skräpmail för miljarder, Ny teknik Mediearkivet Wallström, M (2003) Skräpposten kostar över 120 miljarder. Computer Sweden 5 maj 2003 Lotsson, A (2004). Spam ett nödvändigt ont för offentliganställda. Computer Sweden 20 augusti 2004 Lucke, K (2003). Reading Headers All About Headers Internet Advisory Board (hämtad ) 16

17 McGuire, D (2004) Spam Costs Are Rising at Work Technology to Filter Junk Can't Keep Volume Down, According to Report (hämtad ) Provost, J (2000) Na ıve-bayes vs. Rule-Learning in Classification of (hämtad ) Cockerham, R (2004) Many ways to spell viagra (hämtad ) ISO (1998) ISO/IEC :1998 Linford, S (2003) Spamhaus position on CAN-SPAM Act of (hämtad ) Spamhaus (2007) Spam Unsubscribe Services (hämtad ) Sachs, J (2000) Reading Headers (hämtad ) Brown, S (2006) Modern Life: How Viagra spam works (hämtad ) Zenger, R (2005) What you get when you buy a spam cd (hämtad ) Hoffman, R (1997) (hämtad ) Evett D (2006) Spam statistics (hämtad ) Europaparlamentet (2002) uments/l_ sv pdf (hämtad ) Sendmail (2008) (hämtad ) Freed, N (1996) RFC 2045 McMillan, R (1997) What will stop spam? (hämtad ) Kahin, B (1990) RFC