เทคนิคการส่ง spam เพื่อหลบ MTA (Mail Transfer Agent หรือ Mail server) และ spamassasin น่าจะถูกค้นพบและตรวจสอบกันมาแล้วเมื่อปี 2006 แต่เพิ่งจะมาโดนกับตัวเมื่อตะกี๊นี้ โดยผู้ spam จะใช้วิธีการไม่ระบุ from address มาด้วย ถ้าดู Log ของ MTA (กรณีนี้เป็นของ exim mainlog) จะเจอแบบนี้
2013-05-17 17:24:32 1UdHpv-0007wh-Mh <= <> U=mail P=spam-scanned S=3443 T="*****SPAM***** Do you wish to amaze your lady tonight?" from <> for xxxxxxxxxxxxxx@skinfoodthailand.com
จะเห็นว่าข้อมูลของ from เป็นค่าว่าง แม้ระบบจัดแล้วว่าเป็น spam แต่ระบบจะเลือกส่งเข้า Inbox ขึ้นอยู่กับ Policy ของ MTA
แม้ว่า spamassasin ประมวลผลและให้ score ไว้ก็จริง การส่ง mail นั้นเข้ามาใน inbox เนื่องจากว่า กรณีผู้ส่งเป็นค่าว่าง ในมาตรฐานหลาย MTA จะเข้าใจว่า เป็น Error response messages (เหมือนกับการตอบกลับกรณี e-mail ปลายทางไม่ได้รับหรือ mail เต็มแล้วเด้ง Error มา)
ยิ่งกว่านั้นหากผู้ใช้งานผ่าน Outlook บาง Version ไม่ว่าจะเป็น IMAP หรือ POP3 อาจจะทำให้ fetch mail ไม่ได้ เพราะอาจจะตีความว่าเป็น malform format ต้องพึ่งบารมี webmail หรือ Mail admins เข้ามาลบ e-mail ออกให้ ลำบากเข้าไปอีก
วิธีแก้ไขอยู่ที่วิธี config MTA server ขึ้นอยู่กับยี่ห้อที่เราใช้ หลักการคือ ให้ MTA และ Spamassasin ประมวลผล e-mail ที่มีชื่อผู้ส่งเป็นค่าว่างเหมือนกับ mail ตัวอื่นๆ ก็จะสามารถกรอง spam และไปจัดวางให้ถูกที่ถูกทางได้
Written by Tiwakorn Laophulsuk
No comments:
Post a Comment
Give a comment ...