Spämmiltä suojautuminen
=======================
Sisällys
--------
- `Hyvän spämmisuodattimen ominaisuudet`_
- `Nyyssispämmin suodatus`_
- `Sähköpostispämmin suodatus`_
- `Suodatuspalvelut`_
- `Estolistat`_
- `Suodatinohjelmat`_
- `Osoitteen jakaminen ja sotkeminen`_
Perinteiseltä ei-sähköiseltä puhelin- ja postisuoramarkkinoinnilta
suojautumisesta kerrotaan dokumentissa EiMainoksiaKiitos_.
Hyvän spämmisuodattimen ominaisuudet
------------------------------------
Erilaiset spämmisuodattimet ovat yksi keino helpottaa spämmiongelmaa.
**Hyvän spämmisuodattimen ainoa suunnittelukriteeri ei voi olla
mahdollisimman vähäinen läpi päässeen spämmin määrä.** Mitä
ominaisuuksia hyvältä spämmisuodattimelta voi vaatia:
- Suodatin ei estä muiden kuin spämmiviestien vastaanottamista (ei
"vääriä positiivisia", ilman tätä ominaisuutta verkkojohdon
irrottaminen olisi helpoin ratkaisu)
- Suodatin estää spämmiviestien vastaanottamisen (ei "vääriä
negatiivisia")
- Suodatin vaikeuttaa mahdollisimman vähän tavallista viestintää
(viestintä voi esimerkiksi vaikeutua kohtuuttoman paljon, jos
vastaanottajalla käytössä on vahvistuspyyntöviestejä lähettävä
suodatin)
- Suodatin ei aiheuta haittaa kolmansille osapuolille (Esimerkiksi
monet sähköpostivirusten suodatusohjelmat lähettävät
virusvaroituksen viestin lähettäjälle, vaikka suodatusohjelman
tekijät tietävät, että kyseinen haittaohjelma väärentää lähettäjän
sähköpostiosoitteen. Parempi vaihtoehto olisi esimerkiksi tallettaa
viesti (haittaohjelma poistettuna) viestin vastaanottajan
spämmikansioon.)
- Suodatin toimii luotettavasti (tästä syystä ostettu suodatuspalvelu
voi olla parempi kuin itse rakennettu, jos ei halua käyttää aikaa
spämmisuodattimen ylläpitoon)
- Suodatin ei vaaranna sähköpostiviestinnän luotettavuutta
(luotettavuus tarkoittaa sitä, että sähköpostin lähettäjä voi olla
varma siitä, että vastaanottaja *joko* saa viestin *tai*
lähettäjä saa virheilmoituksen, jossa kerrotaan, että viestiä ei
voitu toimittaa perille)
- Suodatin ei vaaranna viestinnän luottamuksellisuutta (suodatin ei
saa esimerkiksi lähettää suodattimen ylläpitäjälle kopiota
jokaisesta sähköpostiviestistä suodatussääntöjen kehittämistä
varten)
- Suodattimen käyttö ei kasvata viestinnän kustannuksia (muuten
kannattaisi palkata sihteeri käymään sähköpostiviestit läpi)
Täydellistä suodatinta, joka toteuttaisi kaikki edellä luetellut
ehdot, ei ole olemassa. Vaikka täydellistä ratkaisua spämmin
suodattamiseen ei olekaan olemassa, on spämmin suodattamiseen
kuitenkin saatavana tehokkaita ja varsin hyviä vaihtoehtoja, jotka
suurimmaksi osaksi täyttävät edellä luetellut ehdot.
Nyyssispämmin suodatus
----------------------
Spämmiksi luokiteltuja nyyssiartikkeleja cancelloidaan
automaattisesti. Jos omalla nyyssipalvelimella näkyy paljon
spämmiviestejä johtuu tämä yleensä siitä, että palvelimen ylläpitäjä
ei kunnioita cancel-viestejä. Tällöin helpoin ratkaisu voi olla
vaihtaa palveluntarjoajaa tai ottaa käyttöön toinen nyyssipalvelin
(esimerkiksi `News.Individual.NET`_).
.. _`News.Individual.NET`: http://news.individual.net/
Jotkut uutistenlukuohjelmat tukevat myös NoCeM-viestejä. Useimmissa
uutistenlukuohjelmissa on mahdollista käyttää niin sanottuja `kill-
tai score-tiedostoja`_, joiden avulla voi suodattaa esimerkiksi tietyn
kirjoittajan artikkeleja.
.. _`kill- tai score-tiedostoja`: http://www.iki.fi/kaip/plonk.html
Sähköpostispämmin suodatus
--------------------------
Suodatuspalvelut
++++++++++++++++
Nykyään useimmat Internet-palveluntarjoajat tarjoavat erilaisia
spämmisuodatuspalveluja joko lisäpalveluna tai liittymän
ominaisuutena, mikä on usein helppo tapa ottaa spämmisuodatus
käyttöön.
`Sähköisen viestinnän tietosuojalain`_ 29 § mukaan
Internet-palveluntarjoaja voi sähköpostin vastaanottajan luvalla estää
ei-toivottujen sähköpostimainosten vastaanottamisen. Viestin
vastaanottaja voi antaa tämän luvan esimerkiksi hyväksymällä palvelun
käyttöehdot, joissa kerrotaan spämmisuodatuksesta. Palveluntarjoajan
tulee kertoa asiakkailleen luvan hankkimisen yhteydessä (esim.
palvelun käyttöehdoissa) miten suodatus toimii. Käyttöehtojenkin
hyväksymisen jälkeenkin palveluntarjoajan tulee pitää asiakkaansa ajan
tasalla niistä periaatteista, joilla roskapostia suodatetaan.
.. _`Sähköisen viestinnän tietosuojalain`: SahkoisenViestinnanTietosuojalaki_
Spämmisuodatuspalvelun voi ostaa myös kolmannelta osapuolelta. Yhtenä
esimerkkinä spämminsuodatuspalvelusta SpamCop_ tarjoaa estolistoja__,
`spämmisuodatettuja sähköpostisoitteita ja forwardointipalvelua`__.
SpamCopin suodatuspalvelut maksavat yhtä käyttäjää kohden 30 dollaria
(noin 30 euroa) vuodessa, mikä antaa jonkinlaista kuvaa
spämmisuodatuksen kustannuksista.
.. _SpamCop: http://spamcop.net/
__ http://www.spamcop.net/bl.shtml
__ http://www.spamcop.net/accountadd.shtml
Estolistat
++++++++++
Kustannustehokas tapa meilispämmin suodattamiseen on pyytää omaa
Internet-palveluntarjoajaa ottamaan käyttöön jokin RBL-tyyppinen
(DNSBL) estolista. Estolistaa voi käyttää sisältöpohjaisen suodatuksen
apuna, tai sitten palveluntarjoajan postipalvelin voi kieltäytyä
vastaanottamaan mitään postia estolistalla olevilta postipalvelimilta.
Jälkimmäisen kaltainen suodatus on yleensä halvinta toteuttaa, koska
spämmiksi luokiteltuja viestejä ei tarvitse lainkaan ottaa vastaan tai
tallettaa järjestelmään (esimerkiksi käyttäjien spämmikansioihin).
Resursseja ei myöskään kulu viestien sisältöanalyysiin - viestien
sisältöjä ei edes voisi analysoida, koska viestejä ei oteta vastaan.
`Spamhausin sivuilla`__ kuvataan tyypillinen estolistoja käyttävä
monitasoinen spämmisuodatusjärjestelmä.
__ http://www.spamhaus.org/effective_filtering.html
Estolistoja on monia ja erilaisia. Estolistoilla listataan erilaisia
asioita, joillakin listoilla on esimerkiksi avoimia releitä, toisilla
spämmimyönteisiä Internet-palveluntarjoajia. Estolistojan
suodatusperiaatteet kerrotaan yleensä listan kotisivulla. Estolistoja
löytyy kootusti `Google Directorystä`__. Jeff Makey on vertaillut__
eri estolistoja.
__ http://directory.google.com/Top/Computers/Internet/Abuse/Spam/Blacklists/
__ http://www.sdsc.edu/~jeff/spam/Blacklists_Compared.html
Edustava kokoelma käyttökelpoisia estolistoja aakkosjärjestyksessä:
- `Distributed Server Boycott List (DSBL)`_
- `Open Relay Database (ORDB)`_
- `RFC-Ignorant`_
- `Spam and Open-Relay Blocking System (SORBS)`_
- `SpamCop Blocking List (SCBL)`_
- `The Spamhaus Block List (SBL)`_
- `The Spamhaus Exploits Block List (XBL)`_
- `Spam Prevention Early Warning System (SPEWS)`_
.. _`Distributed Server Boycott List (DSBL)`: http://dsbl.org/
.. _`Open Relay Database (ORDB)`: http://www.ordb.org/
.. _`RFC-Ignorant`: http://www.rfc-ignorant.org/
.. _`Spam and Open-Relay Blocking System (SORBS)`: http://www.dnsbl.nl.sorbs.net/
.. _`SpamCop Blocking List (SCBL)`: http://www.spamcop.net/bl.html
.. _`The Spamhaus Block List (SBL)`: http://www.spamhaus.org/sbl/
.. _`The Spamhaus Exploits Block List (XBL)`: http://www.spamhaus.org/xbl/
.. _`Spam Prevention Early Warning System (SPEWS)`: http://spews.org/
Näiden estolistojen käyttöönoton pitäisi olla teknisesti varsin
yksinkertainen ja kivuton toimitus. Moderneissa
postinvälitysohjelmistoissa estolistojen käyttöönotto vaatii vain pari
riviä konfiguraatiotiedostoon. Myös esimerkiksi SpamAssassin voi
käyttää muun muassa edellä lueteltuja estolistoja.
Ennen estolistan käyttöönottoa on hyvä miettiä seuraavia asioita:
- Millä perusteilla ja kuinka agressiivisesti haluat suodattaa
spämmiä? (Kannattaa aina tutustua periaatteisiin, joiden mukaan
estolista toimii ennen kyseisen listan käyttöönottoa - nämä
periaatteet vaihtelevat listoittain.)
- Luotatko estolistan ylläpitäjiin?
- Haluatko suodattaa vain omaa postiasi vai ylläpidätkö
muidenkin käyttämää palvelinta?
- Haluatko estää spämmiksi luokitellun postin vastaanottamisen
kokonaan vai vain merkitä sen spämmiksi ja ehkä tallettaa spämmiksi
luokitellut viestit erilliseen spämmikansioon?
Suodatinohjelmat
++++++++++++++++
Yksi mielenkiintoinen luokka spämmisuodattimia ovat `Bayesilaiset
suodattimet`_. Nämä suodattimet toimivat siten, että aluksi käyttäjä
kertoo, mitkä sähköpostiviesteistä ovat spämmiä. Suodatin oppii pian
tekemään tämän erottelun itse hyvin tehokkaasti. SpamAssassin
sisältää tällaisen oppivan suodattimen. Myös esimerkiksi avoimeen
lähdekoodiin perustuvan Mozilla_\ n sähköpostiohjelma sisältää
tehokkaan Bayesilaisen spämmisuodattimen. Mozillan sähköpostiohjelma,
Thunderbird_, on myös saatavana erillisenä ohjelmana. Ehkä helpoin
tapa ottaa Bayesilainen spämmisuodatus käyttöön on ladata Thunderbird.
.. _`Bayesilaiset suodattimet`: http://email.about.com/cs/bayesianfilters/a/bayesian_filter.htm
.. _Mozilla: http://www.mozilla.org/
.. _Thunderbird: http://www.mozilla.org/products/thunderbird/
Spämmiä voi myös suodattaa itse asennettavan suodatinohjelman avulla.
Google Web Directoryssä on lueteltu `suodatuspalveluja ja
-ohjelmistoja`__.
__ http://directory.google.com/Top/Computers/Internet/Abuse/Spam/Filtering/
Joitakin poimintoja:
- Procmail_ on tehokas apuväline sähköpostin lajitteluun
(`suomenkielistä Procmail-materiaalia Googlesta`_). Esimerkiksi
SpamAssassinia voi käyttää Procmailin avulla.
- SpamAssassin_ on kehuja kerännyt Perl-pohjainen spämmifiltteri
- `Mail::Audit`_ on Perlille kirjoitettu paketti postisuodattimien
tekoon
- CRM114_ - tekijänsä mukaan ihmistäkin tarkempi Bayesilainen suodatin
- Suodattimia Windowsille:
- SAproxy_ - SpamAssassiniin pohjautuva spämmisuodatin Windowsille
- POPFile_ - perustuu avoimeen lähdekoodiin
- Spamihilator_
- MailWasher_
- K9_
.. _Procmail: http://www.procmail.org/
.. _`suomenkielistä Procmail-materiaalia Googlesta`: http://www.google.com/search?q=procmail&meta=hl%3Dfi%26lr%3Dlang_fi
.. _SpamAssassin: http://spamassassin.apache.org/
.. _`Mail::Audit`: http://search.cpan.org/~simon/Mail-Audit-2.1/Audit.pm
.. _CRM114: http://crm114.sourceforge.net/
.. _SAproxy: http://www.statalabs.com/products/saproxy/
.. _POPFile: http://popfile.sourceforge.net/
.. _Spamihilator: http://www.spamihilator.com/
.. _MailWasher: http://www.mailwasher.net/
.. _K9: http://www.keir.net/k9.html
Edellä mainittujen lisäksi netistä on saatavan myös niin sanottuja
haaste-vastaus-suodattimia ("challenge-response", C/R), jotka
siirtävät spämmin suodattamisesta aiheutuvan vaivan viestin lähettäjän
- tai sen jonka spämmeri on väärentänyt lähettäjäksi - harteille. Nämä
suodattimet toimivat sillä periaatteella, että tuntemattomalta
lähettäjältä tulevaa sähköpostiviestiä ei päästetä suodattimen läpi,
ennen kuin viestin lähettäjä on vastannut suodattimen lähettämään
vahvistuspyyntöviestiin. Tällaisten suodattimien ajatuksena on, että
spämmerit eivät tällaisiin vahvistuspyyntöviesteihin viitsisi vastata,
toisin kuin viestien oikeat lähettäjät. Haaste-vastaus-suodattimista
voi kuitenkin olla `enemmän haittaa kuin hyötyä`__, eikä niiden
käyttöä voi suositella.
__ http://kmself.home.netcom.com/Rants/challenge-response.html
Ennen oman meilifiltterin käyttöönottoa kannattaa muistaa, että
ongelmaan ei ole olemassa helppoa ja takuuvarmaa ratkaisua. Suodatin
tekee aina joskus virheitä ja vaatii ylläpitoa. Myöskään pyörää ei
kannata keksiä uudestaan: omakin spämmifiltteri kannattaa melkein aina
rakentaa jonkun toimivan ratkaisun, kuten SpamAssassin_\ in pohjalle.
Hyviä yhteenvetoja spämmisuodatuksesta:
- `Jyväskylän yliopiston roskapostisivut`_
- `Ei-toivotun postin torjunta Tietojenkäsittelytieteen laitoksella`_
- `Spam-torjunta HY:ssä`_
.. _`Jyväskylän yliopiston roskapostisivut`: http://www.cc.jyu.fi/atk/email/spam.html
.. _`Ei-toivotun postin torjunta Tietojenkäsittelytieteen laitoksella`: http://www.cs.helsinki.fi/compfac/ohjeet/Posti/abuse.fi.html
.. _`Spam-torjunta HY:ssä`: http://www.helsinki.fi/atk/viestin/spam.html
Osoitteen jakaminen ja sotkeminen
---------------------------------
Luovuta sähköpostiosoitettasi harkiten, äläkä anna sitä turhaan
esimerkiksi erilaisiin webbilomakkeisiin.
Muista kuitenkin, että sähköpostiosoite on olemassa yhteydenpitoa
varten. Käytä oikeaa sähköpostiosoitettasi, kun siihen on aihetta. Jos
sähköpostiosoitetta käyttää, niin joutuu se valitettavasti ennen
pitkää spämmereiden listoille. Osoitteen piilottelu tai sotkeminen voi
toki hidastaa sen leviämistä spämmilistoille, vaikka se ei sitä
estäkään; ks. "Miten voin estää sähköpostiosoitteeni joutumisen
spämmerien listoille? Miten spämmerit keräävät sähköpostiosoitteita?"
ryhmän `sfnet.viestinta.roskapostit VUKKista`__.
__ SvrVukk_
Pitkällä tähtäimellä osoitteen piilottamisesta tai sotkemisesta voi siis olla
enemmän haittaa viestinnän vaikeutumisen muodossa:
- Yksi tapa yrittää piilottaa osoite on ilmoittaa se webbisivulla
kuvatiedostona, jota automaattiset lukijat eivät osaa helposti
lukea. Tästä kuitenkin seuraa vaikeuksia heikkonäköisille ihmisille.
Useimmat selaimet osaavat esittää tekstimuotoisen, mutta ei kuvana
esitetyn, sähköpostiosoitteen suurennettuna.
Kuvana ilmoitettua osoitetta ei myöskään voi klikata tai maalata,
leikata ja liimata suoraan sähköpostiohjelman osoitekenttään.
- Useiden yritysten ja yhteisöjen sivuilla sanotaan, että
sähköpostiosoitteet ovat muotoa ``etunimi.sukunimi@yritys.example``.
Tämäkin voi vaikeuttaa viestintää, jos yrityksessä on töissä
useampia saman nimisiä henkilöitä (mahdollista vähänkin isommassa
yrityksessä). Ongelmia tulee myös, jos ihmisten nimissä on
skandinaavisia merkkejä (åäö): Kai.Puolam\ **a**\ ki\ @iki.fi on
toimiva osoite, Kai.Puolam\ **ä**\ ki\ @iki.fi ei ole. Entä onko
Maija-Liisa Meikäläisen osoite Maija.Meikalainen\ @yritys.example
vai Maija-Liisa.Meikalainen\ @yritys.example?
- Ongelmatonta ei ole myöskään osoitteen sotkeminen `erilaisilla
nospam-lisäyksillä`_.
- Ongelmattomin ja standardien mukainen tapasotkea osoite
webbisivuilla on käyttää `HTML-entiteettejä`_. Toisin sanoen, sen
sijaan että, osoite kirjoitettaisiin WWW-sivulle muotoon ::
Kai.Puolamaki@iki.fi
korvataan ainakin ``@``-merkki entiteetillä ``@``: ::
Kai.Puolamaki@iki.fi
Tämä ilmeisesti hämää nykyään useita osoitteenkerääjiä, vaikka
tietenkään ei ole mitään takuuta siitä, että tämä tai mikään muukaan
osoitteiden sotkemistapa olisi tulevaisuudessakin tehokas. Tällä
tavalla "sotkettujen" mailto-linkkien pitäisi kuitenkin toimia
normaalisti standardeja noudattavissa selaimissa, eikä sivujen
käyttäjän pitäisi huomata mitään erikoista.
.. _`erilaisilla nospam-lisäyksillä`: OikeaoppinenOsoitteenSotkeminen_
.. _`HTML-entiteettejä`: http://www.cs.tut.fi/~jkorpela/merkit/entiteetit.html
Lisätietoja
-----------
- OikeaoppinenOsoitteenSotkeminen_
- SpammereilleEiKannataVastata_