Ettekanne spämmist: Elu haamri ja alasi vahel

Postitus põhineb ettekandel, mille pidasin Riigi Infosüsteemide Ameti turvaintsidentide käsitlemise osakonna teabepäeval.

Täna tõstatan teema ühest Zone jaoks valusast probleemist, mis seostub rämpspostiga.

Olgu algatuseks kohe öeldud, et Zonet ei saa keegi tõsiseltvõetavalt süüdistada spämmerisõbralikkuses. Oleme tõenäoliselt implementeerinud rohkem meetmeid nii siseneva kui ka väljuva rämpspostilaviini tõkestamiseks, kui ükski teine teenusepakkuja Eestis.

Näiteks oleme võimalike Zone taristust lähtuvate rämpsurünnete ennetamiseks ja blokeerimiseks teinud järgmist:

• blokeerinud DataZone tarkvaraplatvormi kasutatavatest serveritest suvalistesse hostidesse porti 25 TCP ühenduste avamise;
• oma tarkvaraplatvormi e-posti saatmise funktsiooni sisse kirjutanud väljuvate rünnete tuvastuse meetodi, mis anomaalse väljuva kirjade voo puhul aeglustab kirjade saatmist, et anda monitooringusüsteemile ja tehnikutele aega reageerida ning ühtlasi vastuvõtvaid servereid mitte üle koormata;
• täiendanud oma platvormi nii, et ka veebiservitest saadetavate kirjade puhul on võimalik tuvastada kirja allikas;
• investeerinud väljuvate kirjade tsentraliseeritud käitlemisse ja monitoorimisse, et hõlpsamini tuvastada anomaaliaid ning ründeid operatiivselt blokeerida, nii tuvastatakse probleeme korraga kõikidest kanalitest (webmail, smtp, veebiserver);
• kehtestanud tehnilised ja majanduslikud meetmed, mis panevad kliente suurele hulgale saajatele kirja saatmist läbi mõtlema, näiteks kehtestanud piiranguid suunatavatele aadressidele, lubanud postiloendite hulgi loomise vaid kallimas paketis jne;
• Zone postiloendite haldusmootorisse oleme kirja saajale loonud võimaluse end ise listist eemaldada sõltumata postiloendi omaniku suvast – iga kirja päises on olemas loendist lahkumise URL;
  meie anomaaliate monitooring toimub sisuliselt reaalajas;
• jne.


Sellegipoolest leiame end pidevalt olukorrast, kus mõni Zone IP aadress, mis seotud e-kirjade välja saatmisega, lisatakse avalikku DNSBL (DNS based blackhole list) nimekirja. Mingiks ajaks saab siis IP reputatsiooni, mille puhul kirjade edastamine maailma on raskendatud.

Miks see nii on?

Peamise põhjusena näen asjaolu, et seadusandluse, tavakodanike ja kirega rämpsposti vastu võitlevate inimeste rämpsposti definitsioon on üksteise suhtes tohutult nihkes.

Mis on siis spämm ehk rämpspost? Tavainimene (ja Wikipedia) defineerib rämpspostina saaja poolt tellimata, valimatult ja hulgi välja saadetud kommertsteated.

Eesti seadusandluse silmis on rämpspost ERAISIKULE saadetud turunduslik sõnum, mis saadetud isiku eelneval nõusolekuta (vt näiteks Võlaõigusseadus § 60, Infoühiskonna teenuse seadus § 5). Olemasolevaid kliendisuhteid puudutavat kirjavahetust või juriidilistele isikutele suunatud kommertsteadaandeid spämmina ei defineerita.

Mis on aga kirega rämpsposti vastu võitleva isiku jaoks spämm? Kõik, mis saabub tema postkasti või tema hallatavasse serverisse/andmesidevõrku ja on tema poolt tellimata.

Millised need viimased kirjad võivad olla? Märkimisväärne osa sellest moodustavad ilmselt needsamad kommertspakkumised, kuid kirgliku rämpspostivihkaja jaoks ei ole vahet, kelle aadressile kiri laekus, tema loeb spämmiks nii eraisiku aadressile kui ka ettevõtte kontaktaadressile saabunud teated. Samuti ei huvita teda tihti, kas kirju saadeti valimatult ja hulgi või “ainueksemplarina”.

Eriti pühendunud võitlejale ei piisa ka sellest, et ta endale saadetud kirju spämmiks märgib, sest volüüm ei ole efekti saavutamiseks piisavalt suur. Nii on osa neist endale registreerinud mõne aegunud domeeninime ja hakanud kunagi eksisteerinud aadressidele laekuvaid kirju spämmiks märkima. Vahest ka selliseid kirju, mis ei ole kommertspakkumised, vaid pärinevad lihtsalt vananenud sisuga postiloenditest (mõnelt parteilt näiteks).

Samuti märgivad nad sageli rämpspostiks kõik kirjad isikult, keda lihtsalt varem on olnud põhjust rämpsposti saatmises või süüdistada, isegi kui konkreetsed kirjad enam ei ole kommertspakkumised.

Nüüd küsib keegi kindlasti, et mis ühel eesrindlikult rämpspostiga võitlevad teenusepakkujal sellest sämmi definitsioonist? Las spämmerid ja maailmaparandajad siis möllavad omavahel.

Tõesti, ka seesama Infoühiskonna teenuse seadus, mida varem tsiteerisin, piirab selgelt teenusepakkuja vastutust:

“§ 8. Vastutuse piirang üksnes teabe edastamise ja üldkasutatavale andmesidevõrgule juurdepääsu pakkumise korral
(1) Kui osutatakse teenust, mis seisneb üksnes teenuse kasutaja pakutava teabe edastamises üldkasutatava andmesidevõrgu kaudu või üldkasutatavale andmesidevõrgule juurdepääsu pakkumises, ei vastuta teenuse osutaja edastatava teabe sisu eest tingimusel, et ta:

1) ei algata edastust;

2) ei vali edastuse vastuvõtjat;

3) ei vali ega muuda edastuses sisalduvat teavet.”

Seaduse silmis teenusepakkuja ei vastuta tema ressursse kasutavate isikute tegevuse eest.

Mis te arvate, kas see püha viha täis spämmi vastu võitlejat huvitab? Mitte karvavõrdki.

Kui kiri vastab tema definitsioonile rämpspostist, siis raporteerib ta suure tõesnäosusega selle mõnele DNSBL nimekirja pidajale. Kui selliseid kirju koguneb piisavalt palju kannab DNSBL IP millelt spämm lähtus oma andmebaasi. See IP on aga tihti just teenuspakkuja serveri oma.

DNSBL-id üldiselt ja konkreetselt SCBL (SpamCop Black List) ning teised IP reputatsiooni kujundavad andmebaasid on aga ISP-de ja IPP-de suhtes märkimisväärse “purustusjõuga” teenusetõkestuse (DoS) vahendid. Seejuures DNSBL-e Eesti seadus absoluutselt ei huvita.

Tulemuseks on see, et teenusepakkuja tehnikud avastavad ühel ilusal hommikul, et paljud nende võrgust lähtuvad kirjad enam serverist väljuda ei taha. Teised serverid, kes kasutavad eelnevalt nimetatud DNSBL andmebaasi, et sisenevate kirjade voos tuvastada saasta, ei võta enam “kurjade hulka” arvatud IP-lt kirju vastu.

See mure on kõikidel Eesti suurimatel ISP-del, kellega vestelnud olen.

Mis siis teenusepakkujal üle jääb? Ta üritab tuvastada olukorra üksikasjad ning lahendada akuutsed probleemid. Enamasti tähendab see järgmist:

• (võimaliku) spämmisaatja tuvastamine;
• kurja kirja saatmine või telefonikõne kliendile (raske lepingu rikkumise korral selle ülesütlemine);
• IP aadressi delistimise avalduse sisseadmine DNSBL-i;
• e-posti liikluse ümber suunamine parema reputatsiooniga IP-le või alamvõrgule.

Edasi on teenusepakkuja aga tihti haamri ja alasi vahel.

Ühelt poolt on tal klient, kes väidab õigustatult, et ei tee midagi seadusevastast (enamasti on see mõni naiivsevõitu kaupmees, kes marketingimehe lõksu läks, vahest siiski küüniline marketingimees ise).

Teiselt poolt on ta silmitsi kirgliku spämmi vastu võitlejaga, kelle arvates hambutu seadus ei loe suurt midagi, sest tema tegutseb tuginedes kõrgematele moraalsetele ja eetilistele väärtustele.

Halvimal juhul saame me selgelt aru, et DNSBL-i kaudu meie teenuse tõkestamine on spämmi vastu võitlejal taotluslik ja osa algritmist, mille oodatud tulem on tema pahameele ära teeninu (kirja saatja) karistamine. Tehtud on küüniline kalkulatsioon – teenusepakkujal on lihtsam see üks “rämsposti saatja” pikalt saata, kui riskida pidevate katkestustega ülejäänud klientidele.

Ja viiaksegi ellu perfektne “kuritegu”, DoS rünnak võimaliku rämpspostisaatja vastu, kasutades teenusepakkujat vahemehena.

Kui sellised juhtumid hakkasid sagenema, lõime äärmusliku meetmena vastuseks oma musta nimekirja. Kui valeraporteid tuleb kuskilt konkreetsest kohast liiga palju või meid selgelt üritatakse abjuusida oma agenda elluviimiseks, siis me blokeerime lisaks spämmeritele ka sellise raporteerija oma serveritest ära.

Kuidas edasi?

Esiteks, seadus tõesti on hambutu. Selle muutmisega hetkel keegi tegeleda ka ei taha. Aga algatame mingi muu sotsiaalse kokkuleppe loomise – lepime internetikogukonnas kokku, mis on rämpspost ja mis ei ole. Jagame seda võimalikult paljude osapooltega ning kujundame sellest käitumiskoodeksi nii saatjatale, teenusepakkujatele kui ka rämpsposti vastu võitlejatele.

Teiseks, lepime kokku, et IP põhine reputatsioon ei ole Eesti oludes rakendatav ja IPv6 valguses pole see seda niikuinii peagi kogu maailmas. Tõenäoliselt on Eestis umbes paarkümmend IP aadressi või võrku, millest lähtub 90% kogu riigi e-postist. See, et need figureerivad ükshaaval pidevalt DNSBL-ides ei ole normaalne, kuna “päriselt paha” ei ole neist ükski. IP reputatsioonilt peab üle minema saatja ja sisu reputatsiooni jälgimisele.

Kolmandaks, palume riigil lõpetada rämpsposti saatmise soodustamine. Täna tundub peamiseks rämpsposti adressaatide allikaks olevat Äriregistri müüdav ettevõtete kontaktandmete andmebaas. Miks peab riik parseldama ettevõtjate kontaktandmetega?