هرزنامه (E-mail spam) چیست و چگونه با آن مقابله کنیم؟
هرزنامه یا اسپم (E-mail spam) به معنای سو استفاده از سرویسهای انتقال پیام است و ارسال گروهی پیامهای ناخواسته و بیمورد برای کاربران است…
هرزنامه (E-mail spam) چیست و چگونه با آن مقابله کنیم؟
هرزنامه یا اسپم (E-mail spam) به معنای سو استفاده از سرویسهای انتقال پیام است و ارسال گروهی پیامهای ناخواسته و بیمورد برای کاربران است. اصلیترین شکل شناخته شده هرزنامه، پست الکترونیک است، حال آنکه هرزنامه میتواند از طریق پیامهای کوتاه موبایل یا حتی بهصورت درونشبکهای در سازمانهای بزرگ نیز ارسال شود. بهطورکلی هرزنامه در ارتباط با هرزنامه گروههای خبری، هرزنامه موتورهای جستجو وب، هرزنامه در بلاگها، هرزنامه در ویکی، هرزنامه در تبلیغات طبقهبندی شده آنلاین، هرزنامه در پیامهای گوشیهای همراه، هرزنامه در انجمنهای اینترنتی، فکسهای ناخواسته، هرزنامه در شبکههای اجتماعی و هرزنامه در شبکههای اشتراک فایل هم دیده میشود. فرستادن هرزنامه هنوز هم به دلیل صرفه اقتصادی انجام میشود، زیرا تبلیغکنندگان هیچ هزینهای صرف مدیریت فهرست ایمیلهایشان نمیکنند و این، کار را برای مسئول دانستن فرستندگان ایمیل سخت میکند. آمارها نشان میدهند 80 درصد ایمیلهای ارسالی در جهان هرزنامه هستند.
روشهای مختلفی برای این منظور وجود دارد که از مهمترین آنها به موارد زیر باید اشاره کرد:
یادگیری ماشین مبتنی بر بیز ساده (Naïve Bayes)
الگوریتمهای یادگیری ماشین از مدلهای آماری برای طبقهبندی دادهها استفاده میکنند. در صورت شناسایی هرزنامه، یک مدل یادگیری ماشین باید تشخیص دهد که آیا ترتیب کلمات موجود در ایمیل با کلمات موجود در نمونه ایمیلهای هرزنامه شباهت دارد یا هیچگونه ارتباطی در میان نیست. امروزه الگوریتمهای مختلف یادگیری ماشین میتوانند هرزنامه نامهها را تشخیص دهند، اما الگوریتم بیز ساده یکی از قدرتمندترین گزینهها در این زمینه است. همانگونه که از نام این الگوریتم مشخص است، بیز ساده مبتنی بر قضیه بیز (Bayes’ theorem) است که احتمال وقوع یک رویداد را بر اساس دانش قبلی توصیف میکند.
بررسی واژهها: مثبت کاذب (False Positives)
همه دوست داریم که سیستم تشخیص هرزنامه بهدرستی کار کند و به همین دلیل توازن میان ایمیلهایی که بهدرستی بهعنوان هرزنامه شناخته میشوند، در مقایسه با ایمیلهایی که بهاشتباه بهعنوان هرزنامه انتخاب میشوند، بسیار حیاتی و مهم است. برخی از سیستمها به کاربران این اجازه را میدهند که در ساختار سیستم تشخیص هرزنامه دست ببرند و تنظیمات آن را تغییر بدهند. اما آنچه که مهم است آن است که در هر حالتی، این روشها دارای خطاها و مشکلات خاص خود هستند. بهعنوانمثال، یک سیستم تشخیص هرزنامه ممکن است که در تشخیص تعداد زیادی از ایمیلهای هرزنامه دچار مشکل شود و درعینحال بسیاری از ایمیلهای مهم کاربر را بهصورت اشتباه بهعنوان هرزنامه تشخیص دهد. تشخیص هرزنامه بر اساس واژه کلیدی و بررسی آماری رایانامه دو روش محبوباند؛ هر چند که دارای مشکلات خودش است. در روش اول واژه کلیدی، سیستم بر اساس کلمات خاصی مانند خبر جعلی یک ایمیل را بهعنوان هرزنامه تشخیص میدهد. بهعنوانمثال اگر زمانی در داخل متن رایانامه، واژه خبر جعلی وجود داشته باشد، این سیستم بهصورت خودکار آن ایمیل را بهعنوان هرزنامه اعلام میکند. مشکل این سیستم آن است که اگر زمانی دوست شما ایمیلی برای شما ارسال کند، آن ایمیل بدون آن که متوجه آن شوید، بهعنوان هرزنامه برچسب میخورد.
روش دوم که دارای دقت بیشتری نسبت به روش اول است، ایمیلی بهصورت آماری (بر اساس محتوا و غیر از محتوا) مورد بررسی قرار میگیرد بهگونهای که وضعیت آماری نسبت به محتوا و واژه کلیدی مسدود شده مورد سنجش قرار میگیرد. به همین دلیل اگر زمانی دوست شما ایمیلی به شما ارسال کرد که حاوی واژه فوق باشد، آن ایمیلی را بدون مشکل دریافت خواهید کرد.
دادهها
شناسایی هرزنامه یکی از بزرگترین چالشهای پیشروی یادگیری ماشین مبتنی بر نظارت است. به بیان دیگر، شما باید مدل یادگیری ماشین خود را با مجموعهای از نمونه پیامهای هرزنامه و هامها آموزش دهید و به مدل اجازه دهید تا الگوهای مربوطه که این دو گروه مختلف را جدا میکنند، پیدا کند. بیشتر ارائهدهندگان خدمات ایمیلی مجموعهدادههای غنی از ایمیلهای برچسبگذاری شده دارند. به طور مثال، هر بار که ایمیلی را بهعنوان هرزنامه در حساب ایمیلی خود مثل جیمیل نشانهگذاری میکنید، دادههای آموزشی را برای الگوریتمهای یادگیری ماشین گوگل ارسال میکنید. البته توجه داشته باشید که الگوریتم شناسایی هرزنامه گوگل بسیار پیچیدهتر از آن چیزی است که در این مقاله در مورد آن بحث میکنیم. به طور مثال، گوگل مکانیسمهایی برای جلوگیری از سوءاستفاده از ویژگی گزارش هرزنامه (Report Spam) در اختیار دارد. برخی از مجموعههای دادهای منبعباز نظیر مجموعهدادههای spambase متعلق به دانشگاه کالیفرنیا، ایروین و مجموعهدادههای هرزنامهای انرون نیز به شکل عمومی در اختیار شرکتها قرار دارند. بااینحال، مجموعهدادهها برای اهداف آموزشی و آزمایشی ارائه شدهاند و در زمینه ساخت مدلهای یادگیری ماشین در سطح تجاری کاربرد چندانی ندارند. شرکتهایی که سرورهای ایمیل سازمانی را میزبانی میکنند این قابلیت را در اختیار دارند تا مدلهای یادگیری ماشین خود را متناسب با مجموعهدادههای تخصصی که در اختیار دارند آموزش دهند تا بتوانند مانع دریافت هرزنامهها در صندوقهای ایمیل سازمانی شوند. بااینحال، دقت کنید که مجموعهدادههای سازمانی با یکدیگر یکسان نیستند. به طور مثال، مجموعهدادههای موسسهای که خدمات مالی ارائه میدهد با شرکتی فعال در زمینه ساختوساز متفاوت است.
شناسایی از طریق پردازش زبان طبیعی
اگرچه پردازش زبان طبیعی در سالهای اخیر پیشرفتهای هیجانانگیز زیادی داشته، اما الگوریتمهای هوش مصنوعی هنوز زبان انسانها را بهدرستی درک نمیکنند؛ بنابراین، یکی از مراحل کلیدی ساخت مدل یادگیری ماشین ردیاب هرزنامه، آمادهسازی دادهها برای پردازش آماری است. قبل از آموزش طبقهبندی مدل مبتنی بر بیز ساده، مجموعه نامههای هرزنامه و هام باید طی مراحل خاصی در اختیار مدل قرار بگیرد. به طور مثال، یک مجموعهداده که شامل جملات زیر است را در نظر بگیرید.
استیو میخواهد برای مهمانی ساندویچ پنیر کبابی بخرد.
سالی مقداری مرغ را برای شام کباب میکند
مقداری پنیر خامهای برای کیک خریدم
دادههای متنی باید قبل از اینکه در اختیار الگوریتمهای یادگیری ماشین قرار بگیرند نشانهگذاری (برچسبگذاری) شوند. این کار باید در زمان آموزش مدل و زمانی که قرار است دادههای جدیدی را برای ارائه پیشبینیها دریافت کند انجام شود. در حقیقت، نشانهگذاری به معنای تقسیم دادههای متنی به بخشهای کوچکتر است. اگر مجموعهدادههای فوق را به کلمات منفرد تقسیم کنید که در اصطلاح تخصصی به آن یونیگرام (unigram) میگویند، واژگان زیر را خواهید داشت. توجه داشته باشید که من هر کلمه را فقط یکبار وارد کردهام.
استیو، میخواهد، بخرد، پنیر، ساندویچ، کبابی، برای، مهمانی، سالی، کباب میکند، برخی، مرغ، شام، من، خامه، کیک خریداری کردم.
ما میتوانیم کلماتی را که در نامههای اسپم و در ایمیل وجود دارند، حذف کنیم تا روند تشخیص سادهتر شود. بااینحال، این تکنیک بهتنهایی راهگشا نیست. این واژگان، کلمات متوقفکننده (stop words) نامیده میشوند. علاوه بر این واژگان عمومی دیگری نظیر for، is، to، and و موارد اینچنینی نیز وجود دارند. در مجموعهدادههای بالا، حذف کلمات توقف باعث کاهش دایره واژگانی میشود که باید روی آنها متمرکز شویم.
علاوه بر این، میتوانیم از تکنیکهای دیگری مانند بنواژهسازی (lemmatization) و ریشهیابی (stemming) استفاده کنیم تا کلمات به شکل پایه تبدیل شوند. به طور مثال، در مجموعهدادههای نمونه ما، خرید (buy) و خریداری (bought) دارای ریشهای مشترک هستند، به همین شکل کباب و کبابکردن نیز چنین هستند. واژهسازی و ریشهیابی میتوانند به سادهسازی بیشتر مدلهای یادگیری ماشین کمک کنند.
در برخی موارد، از دوکلمه قبلی (bigrams) که نشانههای دو – کلمهای هستند، سه کلمه قبلی (trigrams) که نشانههای سه کلمهای هستند یا ان – گرامهای بزرگ استفاده میشود. به طور مثال، علامتگذاری مجموعهدادههای فوق بهصورت دو کلمهای اصطلاحاتی مانند “کیک پنیری” تولید میکند و با استفاده از تکنیک سه کلمهای “ساندویچ پنیر کبابی” را تولید میکند.
کمکردن هرزنامهها
پخش ایمیل خود تنها در بین گروههای محدودی که میشناسید یکی از راههای محدودکردن اسپمها است. این روال بر اساس صلاح دید تمام اعضای گروه است. چرا که آشکارکردن آدرس ایمیل در خارج از گروه، اعتماد داخل گروه را از بین میبرد؛ بنابراین باید ارسالکردن دوباره ایمیلهای دریافتی به کسانی که نمیشناسید نباید حتیالامکان صورت گیرد. اگر گاهی اوقات هم ضروری باشد به کسی که نمیشناسید ایمیل ارسال کنید، یک کار خوب این است که لیست تمامی این آدرسها را بهجای to بعد از bcc بیاورید.
پیشگیری از پاسخ به اسپمها
کسانی که اسپم میفرستند غالباً به پاسخهایی که برایشان ارسال میشود توجه میکنند. حتی اگر آن پیامی باشد که در آن گفته شود لطفاً برای من ایمیل ارسال نکنید. بهعلاوه بسیاری از پیامهای اسپم حاوی لینکها و آدرسهایی است که کاربر خودش تصمیم میگیرد آن آدرس را از لیست اسپمها خارج کند. در برخی از موارد حملهکنندههای اسپم این لینکها را امتحان میکنند که حاوی اطلاعاتی باشند که امکان حذف آن توسط کاربر کم شود. درخواست شکایت ممکن است باعث اصلاح لیست آدرسها شود. کاهش شکایتها منجر به این میشود که ارسالکننده اسپم بتواند قبل از نیاز به بهدستآوردن حسابهای کاربری جدید و فراهمکنندگان خدمات اینترنت، فعال باقی بماند. آدرسهای ارسالکننده در پیامهای اسپم اغلب جعل میشوند. بهعنوانمثال از آدرس دریافتکننده بهعنوان آدرس جعلی ارسالکننده استفاده میشود؛ بنابراین پاسخ به اسپم ممکن است منجر به عدم دریافت شود یا به کاربرانی بیگناه که آدرسهای آنها مورد سوءاستفاده قرار گرفته، برسد.
عدم اشتراکگذاری سراسری
اشتراکگذاری یک آدرس ایمیل تنها در میان یک گروه محدود از مکاتبهکنندگان یک راه برای محدودکردن شانس این خواهد بود که آدرس بهصورت هدفمند توسط هرزنامه برداشته شود. به طور مشابه، هنگام ارسال پیام به تعدادی از دریافتکنندگان که یکدیگر را نمیشناسند، آدرس گیرنده را میتوان در “bcc: field” قرارداد بهطوریکه هر دریافتکننده یک لیست از آدرسهای ایمیل دریافتکنندگان دیگر را دریافت نکند.
Address munging
آدرس ایمیل ارسال شده در صفحههای وب، دانلود مستقیم اتاقهای گفتگو در برابر برداشت آدرس ایمیل آسیبپذیرند. آدرس munging عمل پنهان است که یک آدرس ایمیل برای جلوگیری از جمعآوری خودکار در این راه انجام داده است. اما هنوز هم به خواننده اجازه میدهد آن را بخواند و منبع آن را بداند. یک آدرس ایمیل مثل “no-one at example.com” ممکن است بهصورت “no-one at example dot com” نوشته شده باشد. بهعنوانمثال یکی از تکنیکهای مرتبط برای نمایش تمام یا بخشی از آدرس ایمیل بهعنوان یک تصویر، یا بهصورت متن مخلوط با کاراکترهای سفارشی ذخیره گردد.
عدم پاسخگویی به اسپم
رعایت این نکته که به اسپمها پاسخ داده نشود، بسیار حائز اهمیت است. زیرا بهعنوان یک نمونه رایج، اسپمها میتوانند بهسادگی باتوجهبه پاسخ بفهمند که آدرس ایمیل معتبر است. به طور مشابه، بسیاری از پیامهای اسپم حاوی لینکهای وب یا آدرسهایی است که کاربر دستور به حذف آن از فهرست اسپمها داده است و این کار میتواند خطرناک باشد. درهرصورت، آدرسهای فرستنده اغلب در پیامهای اسپم جعلی هستند؛ بنابراین در پاسخ به اسپم ممکن است تحویل ناموفق باشد یا ممکن است به شخص ثالث کاملاً بیگناهی برسد.
غیرفعالکردن html در ایمیل
بسیاری از برنامههای پست الکترونیکی مدرن دارای قابلیتهای مرورگر وب، مانند نمایش HTML، آدرسها و تصاویر هستند. جلوگیری یا غیرفعالکردن این ویژگی به جلوگیری از اسپمها کمکی نمیکند. بااینحال ممکن است برای جلوگیری از برخی از مشکلها استفاده شود. اگر یک کاربر یک پیام هرزنامه را باز کند، تصاویر مهاجم که توسط جاوا اسکریپت یا حملههای آسیبپذیریهای امنیتی در اجرای html، باگهای وب را ردیابی میکند.
آدرسهای ایمیل یکبارمصرف
یک کاربر ایمیل ممکن است گاهی اوقات نیاز به دادن آدرس به یک سایت بدون اطمینان کامل به این که صاحب سایت برای کاربر هرزنامه ارسال نمیکند، داشته باشد. یکی از راههای کاهش خطر ارائه یک آدرس ایمیل یکبار مصرف است. (آدرسی که کاربر میتواند پس از فرستادن ایمیل با اکانت واقعی آن را غیرفعال یا رها کند.) شماری از سرویسها ایمیلهای یکبار مصرف عرضه میکنند. آدرسهایی که میتوان آن را بهصورت دستی غیرفعال کرد، میتوانند پس از یک فاصله زمانی معین منقضی شوند یا پس از فرستادن تعداد معینی پیام منقضی شوند.
رمزهای Ham
سیستمهایی که از پسورد Ham استفاده میکنند، میخواهند فرستنده ناشناس باشند و ایمیل دارای یک رمز است که نشان دهد که یک پیام Ham است و هرزنامه نیست. به طور معمول آدرس ایمیل و رمز عبور ژامبون در یک صفحه وب شرح داده شده و رمز عبور Ham در خط موضوع پیام ایمیل یا اضافهکردن به «نام کاربری» بخشی از آدرس ایمیل با استفاده از روش اضافهکردن آدرس استفاده میشود.
فیلتر بر اساس بررسی
فیلتر بر اساس بررسی، سوءاستفاده از این واقعیت است که پیامها بهصورت تودهای ارسال میشوند و آنها یکسان و با تغییرهای کوچک خواهند بود. فیلتر بر اساس بررسی کامل از هر چیزی که ممکن است بین پیام متفاوت باشد صورت میگیرد. کاهش مواردی که برای بررسی پایگاه دادهای که پیامها با ایمیل دریافتکنندگان جمعآوری شده و درنظرگرفتن آنها بهعنوان هرزنامه. برخی افراد یک دکمه در ایمیل دریافتکننده قرار میدهند تا بتواند با کلیک بر روی آن، پیام را بهعنوان هرزنامه معرفی کند. اگر بررسی در پایگاهداده انجام شود پیام بهاحتمال زیاد هرزنامه است. مزیت استفاده از این نوع فیلتر این است که اجازه میدهد تا کاربران عادی در شناسایی هرزنامهها کمک کنند و تنها برای ادمینها نیست. در نتیجه جلوگیری از هرزنامهها بسیار افزایش یافت. اشکال این روش این است که فرستنده هرزنامه میتواند هرزنامه بهصورت نامرئی و عجیب در بین هر یک از پیامها درج کند. (که به آن هش باستر میگویند.) در نتیجه هر پیام باید بهصورت منحصربهفرد بررسی شود.
فهرست غیرمجاز بر اساس DNS
از فهرست غیرمجاز بر اساس DNS یا DNSBLs برای اکتشاف یا مسدودکردن استفاده میشده است. یک سایت فهرستی (عموماً آدرس آی پی) را از طریق دیاناس منتشر میکند. سرویسدهندههای ایمیل میتوانند در زمان این منابع را قبول یا رد کنند. امتیاز DNSBLs این است که میتواند سیاستهای مختلفی را اتخاذ کند. برخی از سایتهای شناخته شده هم هرزنامه نیز منتشر میکنند. همچنین لیستی از پروکسیها و لیستی از آی اس پیهای شناختهای که هرزنامه منتشر میکنند. سیستمهای تولید فهرست غیرمجاز بر اساس DNS دامنه یا آدرسهای سایت را به دودسته خوب (سفید) و بد (سیاه) تقسیم میکنند از جمله: RHSBLs و URIBLs
بیشتر پیامهای اسپم یا فیشینگ حاوی یک یو ار ال اند که با کلیککردن بر روی آنها قربانیان را به خود جلب میکنند؛ بنابراین یک روش محبوب از اوایل سال ۲۰۰۰ شامل استخراج یو ار الها از پیامها و نگاه به آنها را در پایگاهداده مانند لیست دامنههای بلوک هرزنامهها SURBL, URIBL, (DBL)است.
اجرای دقیق استانداردهای RFC
تجزیهوتحلیل ایمیلهای سازمان با استاندارد آر اف سی برای پروتکل ساده انتقال ایمیل (SMTP) را میتوان برای قضاوت درباره احتمال هرزنامه بودن آن مورداستفاده قرارداد. بسیاری از هرزنامه نویسان از ضعفهای نرمافزاری و عدم تطابق با استانداردها استفاده میکنند. چرا که آنها بهصورت قانونی کنترل نمیشوند و از آن کامپیوترها برای ارسال هرزنامه استفاده میکنند (کامپیوتر زامبی). با تنظیم محدودیتهای بیشتری برای انحراف از استانداردهای انر اف سی که توسط ام تی سی پذیرفته شده، یک ادمین ایمیلی میتواند بهطور قابل توجهی هرزنامهها را کاهش دهد. اما همه این روشها نیز خطر نپذیرفتن ایمیل از سرورهای قدیمیتر یا دارای نرمافزار ضعیف و پیکربندی شده را دارند.