DCC Honeypot — ловушка для спамеров

idea-honeypot

Honeypot (от англ. — «горшочек с медом»), в компьютерной терминологии — это приманка для злоумышленника. Задача Honeypot — подвергнуться атаке или несанкционированному исследованию, что позволит изучить стратегию злоумышленника и определить круг средств, с помощью которых могут быть нанесены удары по реальным объектам безопасности. Реализация Honeypot не принципиальна, это может быть как специальный выделенный сервер, так и один сетевой сервис, задача которого — привлечь внимание хакеров.

В применении к почте такие ловушки называют «email trap» или «spam trap». Задача таких ловушек — привлечь к себе спамера и начать получать спамерские рассылки в большом количестве. Анализируя приходящие в эти ловушки сообщения и их источники, можно адаптироваться к поведению спамеров и эффективно защищать реальные почтовые системы.

Давайте рассмотрим реальный пример построение honeypot (spamtrap) с использованием DCC (Distributed Checksum Clearinghouse).

Если у вас есть почтовая система с работающим фильтром DCC, то создание такой ловушки достаточно простая задача.

Принцип DCC построен на подсчёте одинаковых сообщений, проходящих через почтовые сервера. На стороне почтового сервера администратор может принимать решение, что какое-то количество уже прошедших одинаковых сообщений считается массовой рассылкой. При превышении критического порога(threshold) почтовый сервер может отвергать остальные такие же сообщения или помечать их как подозрительные. Чем больше почтовых серверов, которые собирают данные о сообщениях, тем быстрее растёт счётчик у массовых рассылок и тем быстрее остальной поток этих рассылок начинает блокироваться.

Неприятность заключается в том, что до тех пор пока счётчик не достиг критического(threshold) значения, спам будет к нам проходить. Установка маленьких значений(<30) этого порога чреваты ложными блокировками валидных писем (если кто-то рассылает приглашение на день рождения 30-и своим друзьям). Если установить большой порог (>5'000), то только после прохождения 5'000 таких сообщений, мы начнём блокировать рассылку. Это не очень эффективно.

Для быстрой «накрутки» спам-рейтинга нежелательным рассылкам можно использовать honeypot (spamtrap). Для этого нам нужны email адреса, которые не используются живыми людьми и куда не могут приходить валидные сообщения. Чем больше таких адресов, тем эффективнее обнаружение и блокировка спам-рассылок. В качестве honeypot (spamtrap) можно использовать и целые фиктивные почтовые сервера(open relay honeypots). Вся почта, прошедшая через эти сервера-ловушки, будет помечаться как спам, и поможет вам блокировать такие же сообщения, приходящие на рабочие сервера.

С DCC такую ловушку можно сделать двумя способами.

1. С использованием утилит dccproc или dccif-test. Эти утилиты принимаю сообщение на STDIN, анализируют и передают на DCC сервер данные о сообщении и признак спама (MANY). Теперь достаточно создать ящик spamtrap@testdomain.com и установить у него переадресацию (или алиас) вида:

spamtrap@testdomain.com: "|exec dccproc -R -tMANY -cCMN,MANY -o/dev/null"

и все сообщения, приходящие на этот адрес будут переданы в DCC с признаком спама. Остальные адреса ваших ловушек можно переадресовать на этот ящик, тем самым вы повысите эффективность вашего honeypot.

2. Более правильный способ для создания spamtrap — это настройки в whiteclnt file. Вам нужно настроить параметры: option spam-trap-accept или option spam-trap-reject. Подробнее это описано на сайте DCC.

Замечание: может так случиться, что на адрес вашей ловушки придёт валидное письмо. Например, кто-то случайно, ошибся в написании email адреса. Это приведёт к тому, что вы полностью заблокируете приём этого сообщения на ваших серверах. Что бы избежать такой ситуации, ловушка может сообщать не однозначный признак спама (MANY), а достаточно большое значение, близкое к вашему критическому порогу. Например, если ваш критический порог(threshold) = 500, то ваша ловушка может сообщать значение = 450 (dccproc -t450). Одно сообщение в ловушку поднимет его спам-рейтинг на +450, но не заблокирует его. Если же это массовая рассылка, то уже через 50 сообщений рейтинг этого письма достигнет threshold значения >500 и остальные такие же сообщения начнут блокироваться. Второе такое же письмо в ловушку заблокирует рассылку сразу.