Roskaposti

Wikipedia
Loikkaa: valikkoon, hakuun

Roskaposti (engl. spam) on sähköpostitse tapahtuvaa massapostitusta, johon ei ole etukäteen saatu vastaanottajan lupaa.

Joidenkin arvioiden mukaan vuonna 2006 kaikesta sähköpostista oli roskapostia noin 75–80 %, toisten mukaan yli 90 %.[1]

Joulukuussa 2007 julkaistun Sophosin tutkimuksen mukaan 11 % roskapostin vastaanottajista on ostanut joitain roskapostilla mainostettuja tuotteita.[2] Koska postin lähetys on lähettäjälle lähes ilmaista, roskaposti on usein tuottoisaa toimintaa.

Roskaposti ja laki[muokkaa | muokkaa wikitekstiä]

Suomessa roskapostiksi ymmärrettävään viestintään liittyviä asioita käsitellään sähköisen viestinnän tietosuojalaissa[3], henkilötietolaissa[4] sekä kuluttajansuojalaissa.

  • Luonnollisille henkilöille ei saa lähettää sähköistä suoramarkkinointia ilman vastaanottajan ennakkosuostumusta (SVTsL 26 §)
  • Yhteisöille saa lähettää sähköistä suoramarkkinointia. Yhteisöillä on kielto-oikeus (SVTsL 27 §)
  • Luonnollisten henkilöiden osoitteita yrityksissä tulkitaan periaatteessa koskevan ennakkosuostumuksen vaatimus. Kuitenkin hallituksen esityksessä sähköisen viestinnän tietosuojalaiksi[5] esitetään, että asemavaltuutuksen nojalla tästä vaatimuksesta voi tinkiä.

Sähköisen viestinnän tietosuojalain 26-27 § koskee ainoastaan sähköistä suoramarkkinointia. Sähköinen joukkosuoraviestintä, jolla ei ole kaupallista tarkoitusta, kuten uskonnollinen, poliittinen, tai mielipidekysely, eivät vaikuttaisi olevan tämän sääntelyn piirissä.

Henkilötietolain 25 § edellyttää, että tämänkaltaisessa osoitteellisessa lähetyksessä, jota varten henkilön nimi- ja yhteystiedot on hankittu henkilörekisteristä, on ilmoitettava tiedonhankinnassa käytetyn henkilörekisterin nimi, rekisterinpitäjä ja tämän yhteystiedot. Lain 19 § ja 25 § mainitsevat ko. lainkohtien pätevän suoramarkkinoinnin ohella mielipide- tai markkinatutkimukseen taikka muihin näihin rinnastettaviin osoitteellisiin lähetyksiin.

Roskapostin lähettäminen[muokkaa | muokkaa wikitekstiä]

Internet-palveluntarjoajat ja yksityiset käyttäjät ovat kehittäneet useita erilaisia keinoja roskapostilta suojautumiseen. Lähes kaikki Internet-operaattorit kieltävät roskapostin lähettämisen ja sulkevat käyttäjän tunnuksen, jos tunnusta käytetään roskapostin lähettämiseen. Tämä ei kuitenkaan ole osoittautunut riittävän roskapostin ehkäisyyn.

Muun kuin oman tietokoneen käyttö[muokkaa | muokkaa wikitekstiä]

Alun perin roskaposti lähetettiin omalla tunnuksella suoraan vastaanottajille. Vastaanottajat valittivat operaattorille, ja pian lähettäjän tunnus suljettiin. Tämän vuoksi roskapostittajien peruskeinoksi tuli pian lähettää viestit jonkun muun tietokonetta ja verkkoyhteyttä käyttäen. Tällä tavoin todelliset lähettäjät suojaavat itseään monin eri tavoin: he piilottavat jälkensä, saavat muiden tietokoneiden resurssit käyttöönsä sekä ohjaavat vastatoimet aivan muualle kuin varsinaista roskapostittajaa vastaan.

1990-luvulla suosituin keino oli käyttää avoimia sähköpostipalvelimia (MTA). Muutamassa vuodessa avoimista sähköpostipalvelimista siirryttiin avoimiin välityspalvelimiin.

Vuoden 2003 aikana roskapostitus sai uuden käänteen. Sen sijaan että Internetistä etsittäisiin avoimia palveluja, "palveluita" ryhdyttiin luomaan itse. Roskapostittajat ottivat tietokonevirukset apuun. Monet vuoden 2003 pahimmista viruksista (mm. Sobig ja Mimail) olivat roskapostiviruksia. Varsinkin Windows-käyttöjärjestelmän tietoturva-aukot mahdollistivat virusten asentumisen loppukäyttäjän tietokoneeseen ja muuttamaan koneen avoimeksi palvelimeksi.

Roskapostin lähettämisen lisäksi viruksia ryhdyttiin käyttämään myös muihin tarkoituksiin. Heinäkuusta alkaen virusten saastuttamat tietokoneet valjastettiin hajautettujen palvelunestohyökkäysten (DDos, Distributed Denial of Service) työvälineiksi. Hyökkäykset kohdistettiin roskapostia vastustaviin tahoihin. Hyökkäykset eivät olleet ensimmäisiä, mutta tiettävästi kuitenkin ensimmäisiä tehokkaita hyökkäyksiä. Elokuussa ja syyskuussa kaksi tahoa (Osirusoft ja Monkeys.com) lopettivat DNSBL-listojen ylläpidon hyökkäysten jälkeen. Muut DNSBL-operaattorit, kuten Spamhaus ovat muun muassa hajauttaneet ja peilanneet järjestelmiään maailmanlaajuisesti kestääkseen hyökkäykset paremmin.

Roskapostilta suojautuminen[muokkaa | muokkaa wikitekstiä]

Roskapostin torjumiseksi on olemassa monenlaisia menetelmiä. On ratkaisuja, joita yritykset tai Internet-operaattorit voivat hyödyntää sähköpostipalvelimillaan, jolloin kaikkia käyttäjiä suojataan roskapostilta. Toisaalta on myös ratkaisuja, joilla yksittäinen käyttäjä voi suodattaa postia koneeltaan.

Internet-operaattorien roskapostisuodatusta on vaadittu jo jonkin aikaa. Ongelmaksi tässä on muodostunut tietosuojalaki, joka estää kajoamasta viesteihin ilman käyttäjän lupaa. Uusi tietosuojalaki on kuitenkin valmistunut, ja se antaa Internet-operaattoreille ja muille palveluoperaattoreille mahdollisuuden joko poistaa tai merkitä roskapostiksi luokittelemansa liikenteen. Asiaa käsittelevät mm. Viestintäviraston määräys 11 A/2008 M sähköpostipalveluiden tietoturvasta ja toimivuudesta sekä dokumentti MPS 11, määräyksen perustelut ja soveltaminen[6]

Yksittäisen käyttäjän ratkaisut ovat olleet erilaisiin suodattimiin perustuvia erillisiä ohjelmia. Jos Internet-operaattori merkitsee roskapostiksi tulkitut viestit, ohjelmalle voidaan antaa käsky siirtää kyseiset viestit suoraan roskapostikansioon tai hävittää lopullisesti. Erilaisia tehokkaita suodatusmenetelmiä on paljon. Niissä on kuitenkin aina riski, että ei-roskapostiksi tarkoitetut viestit joutuvat roskapostien joukkoon tai hävitetään kokonaan. Siksi roskapostitkin kannattaa joskus tarkistaa, joskaan niitä ei tulisi koskaan avata. Roskaposteihin ei myöskään tule vastata. Vastaamalla viestiin osoitetaan, että vastaanottajan osoite on käytössä ja sinne voidaan lähettää lisää roskapostia. Nykyään lähettäjän osoite on kuitenkin yleensä väärennetty, eikä vastaus päädy mihinkään.

Ennaltaehkäisy[muokkaa | muokkaa wikitekstiä]

Roskapostittajat keräävät sähköpostiosoitteita useimmiten WWW-sivuilta ja uutisryhmistä. Myös keskustelupalstat, IRC, kotisivut ja erilaiset uutiskirjeet ovat roskapostittajien suosituimpia lähteitä osoitteiden keräämiseksi. Rekisteröitymiset erilaisilla peli- ja viihdesivuilla saattavat välittää osoitteita roskapostittajille. Sähköpostiosoitteita saattaa joutua roskapostittajien käsiin myös tietomurtojen seurauksena.

Ensin mainituilta keräystavoilta voi suojautua käyttämällä julkisissa yhteyksissä toista, rankemmin suodatettua osoitetta. Jotkut käyttävät rekisteröityessään eri palveluihin palvelukohtaisia sähköpostiosoitteita, esimerkiksi joillakin sähköpostipalvelimilla mina-xyz@example.org ohjautuu postilaatikkoon mina@example.org, kuitenkin tiedolla siitä mihin osoitteeseen se oli osoitettu. Näin näkee mistä roskaposti on peräisin.

Yritykset ovat laajasti ottaneet käyttöön periaatteen, jossa ilmoitetaan esimerkiksi että "Yrityksemme sähköpostiosoitteet ovat muotoa etunimi.sukunimi@yritys.example.com". Tämä on varsin tehokas keino estää osoitteiden automatisoitua keräämistä, mutta hyvin ongelmallinen joissakin tapauksissa. Jos yrityksessä on useampi Matti Meikäläinen tämä yleinen ohje ei kerro minkä heistä tavoittaa ohjeen mukaisella osoitteella ja miten ne muut tavoittaa. Ohje ei myöskään kerro, että ä piti muuttaa a:ksi. Yhdysnimien tai eksoottisia merkkejä sisältävien nimien muunto sähköpostiosoitteiksi ei välttämättä ole yksiselitteistä.

Roskapostittajat myös arpovat sähköpostiosoitteita, erityisesti lyhyitä sellaisia. Esimerkiksi osoitteeseen dab@example.com tulee helposti roskapostia, vaikka osoitetta ei olisikaan missään esillä. Myös sanakirjoja ja nimihakemistoja käytetään uusien osoitteiden arvaamisessa.

Yhdysvalloissa on käynnistetty Project Honey Pot -niminen hanke, jonka avulla pyritään saamaan roskapostittajat vastuuseen. Projektiin osallistuvat vapaaehtoiset asentavat kotisivuilleen ohjelman, joka luo aina keksityn sähköpostiosoitteen, kun ohjelma ladataan. Samalla ohjelman ladanneen sähköpostiosoitteita keräävän harvester botin IP-osoite tallentuu muistiin. Jos keksittyyn sähköpostiosoitteeseen tulee roskapostia, tiedetään kuka on sen lähettänyt.

Sähköpostiin saapunutta roskapostia.

Roskapostien käsittely[muokkaa | muokkaa wikitekstiä]

Roskapostiin vastaaminen on yleensä hyödytöntä, sillä lähettäjän osoite on hyvin todennäköisesti väärennetty. Usein HTML-muotoiset roskapostit yrittävät myös avata tiedostoja (yleensä kuvia) roskapostittajan palvelimelta, jolloin saadaan varmistus siitä, että posti on luettu. Monet sähköpostiohjelmat osaavat olla avaamatta tällaisia tiedostoja.

Roskapostien tunnistusmenetelmät[muokkaa | muokkaa wikitekstiä]

Sisällönsuodatus[muokkaa | muokkaa wikitekstiä]

Avainsanoihin perustuva tunnistamismenetelmä tutkii koko viestin ja etsii tiettyjä avainsanoja, kuten "viagra", "university degree" tai "loan". Jos viestissä on näitä avainsanoja, viesti saatetaan tunnistaa roskapostiksi.

Avainsanatunnistuksen ongelma on, että sanojen kirjoitusasua voidaan muuttaa. Tietokone ei esimerkiksi tunnista sanoja "viagra" ja "v14gra" samoiksi sanoiksi, vaikka ihminen niitä lukiessaan eron ymmärtääkin. Avainsanatunnistusta on siis helppo huijata. Vielä vakavampi ongelma on se, että asialliset viestit luokitellaan helposti roskapostiksi, jos niissä käsitellään asioita ja sanoja, jotka ovat roskapostiavainsanalistalla.

Eräs sisällönsuodatuksen tehokas osajoukko on heuristinen skannaus, jossa tutkitaan viestin otsikkotietoja ja viestiosaa. Viesti pisteytetään erilaisin algoritmein ja tekniikoin. Viestistä voidaan tutkia esimerkiksi lähettäjän osoite ja domain, "kohde" ja "kopio" -kenttiä, viestin kirjoitusasua, avainsanoja, HTML-koodia ja -linkkejä ynnä muuta. Vasta kun viesti saa tarpeeksi pisteitä, se luokitellaan roskapostiksi.

Heuristiikan ongelma on, että tunnistamista tekevä ohjelma tulee ensin opettaa. Ohjelmalle pitää kertoa, mitkä viestit ovat roskapostia ja mitkä eivät. Näin ohjelma vähitellen oppii luotettavammaksi ja paremmaksi.

Mustat listat[muokkaa | muokkaa wikitekstiä]

Suosituin ja yleisesti ottaen helpoin tapa suodattaa roskapostia palvelintasolla ovat mustat listat. Jokin järjestö tai henkilö ylläpitää DNS-palvelinta, joka sisältää tietoa eri perustein: osa sisältää tunnettuja roskapostin lähettäjiä, osa taas avoimia välityspalvelimia. Sähköpostipalvelin tekee kyselyn DNS-palvelimelle jokaisen sisään tulevan postin kohdalla ja hylkää ne, jotka mustalta listalta löytyvät.

Bayesilainen suodatus[muokkaa | muokkaa wikitekstiä]

Parina viime vuotena on useisiin sähköpostiohjelmiin toteutettu ns. bayesilaiseen suodatukseen perustuva oppiva roskapostisuodatin. Idea pohjautuu Paul Grahamin artikkeliin A Plan for Spam vuodelta 2002, jonka taustalla ovat matemaatikko Thomas Bayesin 1700-luvulla kehittämät todennäköisyyslaskennan teoreemat. Kyseessä on avainsanatunnistusta astetta hienostuneempi menetelmä, joka yksinkertaistetusti sanottuna perustuu sanojen esiintymien tilastolliseen analyysiin.

Kun Bayes-suodatin on kunnolla "koulutettu", voi se parhaimmillaan tunnistaa varsin suuren osan (esim. 80–90 %) roskapostista. Bayes-menetelmään perustuva suodatin on vakiona mukana mm. Mozilla Thunderbirdissä (ja Mozilla Mailissa) sekä Apple Mailissa. Bayes-suodatus voidaan myös yhdistää perinteisiin heuristisiin menetelmiin, kuten on tehty esimerkiksi SpamAssassin-ohjelman uudemmissa versioissa.

Yhteenveto[muokkaa | muokkaa wikitekstiä]

Yksikään keino ei ole toistaiseksi osoittautunut täysin varmaksi roskapostien torjunnassa ja tunnistamisessa. Yhtä ainoaa keinoa ei varmasti olekaan. Roskapostien vähentämiseen tarvitaan lainsäädäntöä, yhteisiä kansainvälisiä pelisääntöjä, ohjelmistoja ja laitteita. Kokonaan roskapostista ei varmasti päästä ainakaan lyhyellä tähtäimellä eroon.

Viitteet[muokkaa | muokkaa wikitekstiä]

  1. Over 90% of email is spam, says Spamhaus founder 21. syyskuuta 2006. Pinsent Masons. Viitattu 15. kesäkuuta 2007. (englanniksi)
  2. 11% of people admit to having bought goods sold via spam Sophos. (englanniksi)
  3. Sähköisen viestinnän tietosuojalaki (516/2004), ajantasainen lakiteksti. Haettu 13.2.2013
  4. Henkilötietolaki (523/1999), ajantasainen lakiteksti. Haettu 13.2.2013
  5. Hallituksen esitys HE 125/2003. Haettu 13.2.2013
  6. Sähköisen viestinnän tietoturva ja suoja. Viestintävirasto. Haettu 13.2.2013

Aiheesta muualla[muokkaa | muokkaa wikitekstiä]

Katso myös[muokkaa | muokkaa wikitekstiä]