Jak se bránit proti SPAMu?
Protože se poslední dobou neustále množí útoky na servery, prolamují se hesla do pošty nebo se spamují formuláře na webech, je nezbytné, abychom si stručně řekli jak na to.
Co je to SPAM?
Spam je nevyžádané reklamní sdělení masově šířené internetem. E-mailové adresy do spamových databází jsou získávány mj. pomocí robotů, kteří procházejí webové stránky a sbírají e-mailové adresy na nich uvedené. Na adresy, z nichž je spam poslán, by se nemělo žádným způsobem reagovat a neklikat na žádný z odkazů v e-mailu obsažených, neboť tím je pouze potvrzeno, že elektronická adresa je funkční a schránku někdo vybírá. Adresa, z níž je spam poslán, není pravá a často se mění; může jít i o zfalšovanou adresu jiného člověka, jenž s rozesláním e-mailu nemá nic společného. Spamovací robot však mailové adresy může získat rovněž sledováním odpovědí vzdálených SMTP serverů. Provádějí na vzdálený poštovní server „slovníkový útok“, kdy se pokouší doručit e-mail na adresy složené z obvyklých jmen a příjmení, oblíbených názvů a přezdívek. Jako protiopatření se doporučuje např. rozšíření emailové adresy o další znaky nebo pravidelná změna hesla na velmi silné.
Co na to zákon?
Od 7. září 2004 začal platit nový Zákon o službách informační společnosti (č. 480/2004 Sb.), který problematiku spamu upravuje a vyžaduje prokazatelný souhlas příjemce zprávy. Dohledem nad dodržováním zákona byl pověřen Úřad pro ochranu osobních údajů. Tento zákon byl postupně novelizován, a to v letech 2005, 2006, 2007 a naposledy v roce 2011.
Zákon byl vytvořen podle směrnice Evropského společenství č. 2000/31/ES. Spam definuje jako obchodní sdělení, což jsou všechny formy sdělení určeného k přímé či nepřímé podpoře zboží či služeb nebo image podniku fyzické či právnické osoby. Zákon řeší nejen internetový spam, ale také jiné formy elektronické komunikace (SMS, telemarketing).
Podle zákona se za obchodní sdělení nepovažují údaje umožňující přímý přístup k informacím o činnosti fyzické či právnické osoby nebo podniku, zejména doménové jméno nebo adresa elektronické pošty; za obchodní sdělení se dále nepovažují údaje týkající se zboží, služeb nebo image fyzické či právnické osoby nebo podniku, získané uživatelem nezávisle.
Kdy tedy můžete poslat své obchodní sdělení?
- adresátem je váš zákazník, který zasílání podobných sdělení v minulosti neodmítl
- sdělení se týká zboží či služeb, které nejsou v rozporu se zákonem o mravní výchově
- nový adresát vám poskytl informovaný souhlas se zasíláním
- adresát musí mít možnost se ze služby odhlásit
- obchodní sdělení musí dodržovat platné zákony, nesmí jít o klamavou či zavádějící reklamu
Informovaný souhlas k zasílání obchodního sdělení lze legálně získat pomocí formuláře na webových stránkách prodejce.
Co je to blacklist?
Blacklist je seznam spamerů (konkrétních serverů), který ostatní servery používají k jejich blokaci.
To znamená jediné, když se objevíte na blacklistu = nemůžete posílat emaily, lidé vám nemohou napsat na email. Blacklist rozhoduje, zda dopis je nebo není spam, podle adresy odesílatele, která ovšem může být zfalšována, nebo lépe podle IP adresy, ze které dopis přišel na cílový SMTP server. Blacklisty obsahující IP adresy, ze kterých bylo zaznamenáno rozesílání spamu.
Z blacklistu je možné být vyřazen samovolně nejméně po týdnu, kdy není činnost opakována nebo po zaplacení tučné pokuty (od 100 Euro výše). Pokud tedy svou činností způsobíte umístění poštovního serveru na blacklist, poškozujete nejen sebe, ale i všechny ostatní, kteří daný poštovní server používají.
Jak rozesílat Newsletter?
Obecně se ve statistikách uvádí, že úspěšnost vyžádaných emailů je kolem 0,5 – 1%, což v praxi znamená, že z 10000ks emailů bude 50 – 100 objednávek. Obrázkové emaily, které jsou vytvořeny přímo v těle emailu, mají 3x vyšší úspěšnost, než zaslaná sdělení textová nebo formou přílohy emailu. Sdělení musí být krátké a výstižné, musí upoutat pozornost a neunavit. Stačí 2 věty a obrázek, který zákazníka namotivuje k akci. Fungují slevy, akce, 1+1 zdarma apod. Nemá cenu vyrábět dlouhý seznam všech produktů v akci na tento týden. Newsletter se většinou vyrábí proklikový, takže se zákazník pohodlně dostane na eshop, kde si zbytek produktů prohlédne sám. Frekvenci posílání sdělení doporučujeme max. 1x týdně a min. 1x měsíčně.
Neofema s.r.o. nabízí rozesílání svým klientům pomocí rozesílače, který zaručí posílání emailů v dávkách cca 200 emailů/hodinu, aby nedocházelo k umístění serveru na blacklist. Další důležitou kontrolou, kterou musíte dělat, jsou adresáře, kde máte uloženy všechny emaily pro rozesílání. Je v poslední době nutností, abyste si hlídali tuto databázi alespoň 1x měsíčně a všechny „podezřelé“ adresy ihned mazali, protože i posílání emailů na tyto adresy může celý poštovní server umístit do izolace blacklistu.
Všechny webové formuláře (registrační, objednávkový, poptávkový apod.) by měly mít ochranu proti spamu roboty. Níže je uveden přehled, jak lze formulář ochránit.
1/ přidání obrázkové kontroly
- zde se ochrana nazývá CAPTCHA neboli Turingův test a používá se na webu tam, kde je potřeba rozlišit lidi od robotů
- test spočívá v zobrazení obrázku s deformovaným textem a úkolem uživatele je tento text opsat do políčka
- vychází se z toho, že lidský mozek dokáže správně identifikovat i deformované znaky na rozdíl od SPAM robota
- nevýhodou této ochrany je, že není přístupná pro zrakově postižené občany
- je to silná ochrana před SPAM, ale velice obtěžuje uživatele, kteří si musí lámat hlavu, co je tam napsáno
2/ přidání logické otázky
- do formuláře se přidá pole s logickou otázkou, kterou si můžete sami určit, úkolem uživatele je odpovědět správně
- např. početní příklad, dotaz na počet nohou u stolu, počet barev v logu firmy atd.
- bezpečnost této ochrany je skoro stejná jako 1/
3/ možná kombinace bodů 1/ a 2/
- kombinace obou možností, tj. vygenerování početního příkladu by bylo nejvyšší možnou ochranou
4/ časová kontrola
- uživatel nic nevidí, ochrana je skrytá
- vychází se z pravděpodobnosti, že vyplnění formuláře trvá určitý čas, který je měřitelný
- SPAM robot je velice rychlý proti běžnému uživateli
- tato ochrana poskytuje nižší bezpečnost, protože roboti se přizpůsobují
5/ validace vyplněných dat uživatelem
- je to běžná ochrana přes javascript, vše co je označené se musí vyplnit, jinak nelze odeslat
- ochrana je nižší, protože nefunguje při vypnutém javascriptu uživatele
6/ kontrola přímo na serveru (z jaké IP je formulář odeslán)
- rychlé na implementaci, ale úspěšnost odchytu SPAM není vysoká
- výhodou je, že se neobtěžuje uživatel
7/ kontrola vyplněných dat přímo na serveru
- těsně před odesláním formuláře by se na serveru provedla kontrola, zda jde o reálné údaje
- pokud by šlo o SPAM, formulář by se neodeslal
- všechna pole mají specifická plnění např. IČ, DIČ, které nelze zaměnit
- bezpečnost je v tomto případě při dobře nastavené kontrole jako bod 1/ = vysoká
- výhodou je, že se neobtěžuje uživatel
8/ vytvoření mezi kroku pro odeslání formuláře
- nedochází k okamžitému odeslání formuláře, ale zobrazí se ještě jedna stránka pro potvrzení všech údajů
- např. objednání lístků do kina přes počítač – otevře se 2x okno k potvrzení
- uživatel musí ještě jednou kliknout po kontrole všech údajů, aby se formulář odeslal
- výhoda je, že funguje vždy i při vypnutém javascriptu
Všechny uvedené způsoby lze vzájemně kombinovat, ovšem nic není 100%, protože SPAM roboti se "učí rychle". Já osobně navrhuji ochranu dle bodu 7/ nebo 8/.
Zdroj http://cs.wikipedia.org/