Edellisessä Vipusen numerossa oli ohje Outlook-käyttäjille, millä voi suodattaa roskapostia. Roskaposti on myös aika-ajoin herättänyt keskustelua mm. fin-ham sähköpostilistalla. Lienee tarpeen valottaa roskapostin taustoja.
Arvioiden mukaan jo yli puolet Internetissä liikkuvasta sähköpostista on roskaa, joten mistään pienestä ongelmasta ei ole kyse. Euroopan komission arvion mukaan spämmäys maksaa Internetin käyttäjille kymmenen miljardia euroa vuodessa. Roskapostin kuluthan maksaa vastaanottaja yhteysmaksuinaan ja menetettynä aikana. Roskapostin lähettäminen on lähettäjälle käytännössä ilmaista, joten lähettäjien ei tarvitse miettiä lainkaan onko vastaanottaja kohderyhmää vai ei. Roskapostittajalle on aivan sama lähettää mainoksensa vaikka miljoonalle vastaanottajalle, koska se ei ole sen vaivalloisempaa tai kalliimpaa, kuin pienemmällekään joukolle lähettäminen. Jos vaikka sata vastaanottajaa menee halpaan, roskapostitus on ollut rahallisesti kannattavaa.
Spämmäyksen määritelmänä voidaan pitää saman viestin lähettämistä usealle vastaanottajalle tai useaan uutisryhmään ilman vastaanottajien ennakkosuostumusta tai hyväksyntää. Sähköpostimadot ja muut itsestään leviävät otukset, eivät ole spämmiä, vaikka roskaa toki ovatkin. Varsinaisen spämmin takana on yleensä aina ihminen, joka yrittää tehdä rahaa kyseenalaisin keinoin.
Nimitys "spam" sai alkunsa Monty Python tv-sarjan sketsistä, jossa ravintolassa oli kaikki ruoka tehty amerikkalaisesta SPAM-nimisestä sikanautasäilykkeestä, jota tarjoilija tuputti, tuputti ja tuputti. Myöhemmin sana muotoutui tarkoittamaan nimenomaan ei-toivottua massapostittamista sähköpostiosoitteisiin tai uutisryhmiin.
Ensimmäinen spämmi on tiettävästi lähetetty jo vuonna 1978, ennen nykymuotoisen Internet-sähköpostin aikaa. Varsinainen räjähdys roskapostittamisessa kuitenkin tapahtui vasta Internetin kaupallistumisen kanssa samaan aikaan 1990-luvulla. Postien sisältö on seurannut paljolti ajan muotia. Takavuosina merkittävä osa roskasta oli mainoksia, joissa myytiin CD-ROM-levyjä täynnä sähköpostiosoitteita spämmäämistä varten. Nyttemmin muodissa ovat olleet mm. Viagra, erinäiset "kauneusleikkaukset" sekä internetin verkkotunnukset. Myös ikivanha jo ammoin fakseina ja paperikirjeinä esiintynyt nigerialaishuijaus on löytänyt tiensä internetiin monina variaatioina. Kaikki kuviteltavissa olevat pyramidihuijaukset ovat myös roskapostina kiertäneet.
Suomessa laki yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta (565/1999) kieltää luonnollisille henkilöille lähetetyt ei-toivotut sähköposti- ja tekstiviestimainokset. Suurin osa spämmistä on lähtöisin Yhdysvalloista, vaikka esimerkiksi Kalifornian osavaltion laki kieltää sen.
Sähköpostia välitetään SMTP-nimisellä protokollalla (Simple Mail Transfer Protocol). Protokolla on kehitetty kauan sitten, aikana kun Internetissä oli lähinnä vain yliopistojen tutkijoita ja professoreita, eikä pahoista ihmisistä ollut vielä harmia. Siksi sähköpostissa ei ole minkäänlaista varmennetta mistään. Lähettäjän osoitteeksi voi laittaa ihan mitä huvittaa, eikä protokolla sitä mitenkään estä. Myös vastaanottajan osoite sanotaan jo protokollatasolla, joten myös To:-kenttä on postipalvelimen näkökulmasta viestin sisältöä, eikä sillä ole oikeasti mitään tekemistä sen kanssa, minne posti on oikeasti menossa. Toisin sanoen ainoa tieto, jonka on oltava oikein postin perillesaamiseksi, on SMTP-istunnossa protokollatasolla annettava vastaanottajan osoite. Tavallisella sähköpostiohjelmalla postia lähettäessä ohjelma osaa poimia To:-kentästä vastaanottajan osoitteen ja kertoa sen postipalvelimelle oikein. Ei siis kannata hämmästyä, jos spämmin To:-kentässä ei omaa osoitetta olekaan ja silti posti on tullut perille. Spämmääminen tehdään aina siihen tehdyillä erikoisohjelmilla, joissa kaiken väärentäminen on helppoa.
Yleensä spämmääminen on sivistysmaissa kielletty kaikkien operaattoreiden käyttöehdoissa. Siispä spämmääjät joutuvat keksimään tämän kiertämiseen keinoja. Yleisen tapa on etsiä maailmalta avoin rele, eli postia välittävä palvelin, joka sallii postin välityksen kaikkialta kaikkialle. Oikein säädetty postipalvelinhan ei välitä postia kuin oman organisaation verkosta ulospäin tai ulkoa omassa organisaatiossa oleville vastaanottajille. Avoimia releitä näyttäisi löytyvän vaivattomasti esimerkiksi Etelä-Amerikasta ja Kauko-Idästä. Spämmereillä on käytössään myös avointen releiden etsimiseen tehtyjä skannausohjelmia.
Avoimen releen tapauksessa tietoliikennekustannukset menevät releen omistajan piikkiin, ja haukutkin menevät väärään osoitteeseen, sillä varsinainen lähettäjä voi kätkeä oikean alkuperänsä käyttämällä esimerkiksi jonkin suuren palveluntarjoajan modeemisoittosarjaa. Toisaalta releen avoimeksi jättänyt tahokin kyllä on haukkunsa ansainnut. Myös muita tapoja on, kuten avoimeksi jätetyt muut välityspalvelimet, kuten huonosti säädetty www-proxy, jonka kautta spämmääjä voi päästä käyttämään www-proxyn palveluntarjoajan postipavelinta.
Avointen releiden löytäminen ei nykyään ole vaikeaa, koska jatkuvasti auki olevat laajakaistayhteydet sekä internet-yhteydet vähemmän kehittyneissä maissa ovat yleistyneet, ja useimmat avoimen releen ylläpitäjät, jos heitä yleensä ylläpitäjiksi voi sanoa, ovat autuaan tietämättömiä koko asiasta. Yleisenä ohjeena voitaisiin antaa, että jos et varmasti tiedä miten posti- tai välityspalvelin konfiguroidaan, älä pystytä sellaista!
Spämmereillä on massiivisia listoja sähköpostiosoitteista, joihin he sitten lähettävät roskaansa. Sähköpostiosoitteita kerätään robottiohjelmilla esimerkiksi www-sivuilta ja news-ryhmistä, ja näitä listoja myydään edelleen. Spämmerit tekevät myös hakuammuntaa, eli lähettävät spämmiä sellaisiin osoitteisiin, jotka todennäköisesti löytyvät lähes jokaisen domainin eli verkkotunnuksen takaa. Esimerkkinä voidaan mainita webmaster@, info@, sales@ ym. sekä tavanomaisilla amerikkalaisilla etunimillä alkavat osoitteet.
Ensiksi pitää todeta, että täysin varmaa keinoa suojautumiseen ei ole. Jos henkilökohtaista sähköpostiosoitetta yleensä käyttää, jossain vaiheessa se kuitenkin päätyy spämmerien listoille. Tätä päätymistä voi tosin hidastaa eri keinoin.
Anna henkilökohtainen sähköpostiosoitteesi vain niiden saataville, joilta toivot postia. Vältä osoitteesi laittamista www-sivulle varsinkin mailto:-tagin sisälle. Spämmereiden robottiohjelmat löytävät sen varmasti. Sähköpostiosoitteen voi laittaa kotisivulle esimerkiksi niin, että korvaa @-merkin merkinnällä @ joka näyttää kuitenkin selaimessa @-merkiltä. Osoitteesta voi esimerkiksi myös lihavoittaa pisteen. Ainakaan tyhmemmät robotit eivät ehkä silloin huomaa osoitetta, mutta ihmissilmille se näkyy selvänä. Esimerkiksi netti-OH-luettelossa osoitteet ovat sotkettu juuri näin.
Ole aina varuillasi, jos www:tä käyttäessäsi joudut antamaan sähköpostiosoitteesi jollain sivulla. Mieti kaksi kertaa, ennenkuin annat sen tuntemattomalle ulkomaiselle taholle, sillä koskaan et voi varmaksi tietää minne osoitteesi päätyy. Älä käytä ulkomaisia sähköpostikorttipalveluita, niistä ei koskaan tiedä mille roskapostilistalle kaverisi ja oma osoitteesi päätyvät. Älä myöskään käytä "kerro kaverille" -toimintoja ulkomaisilla www-sivuilla, sillä voithan lähettää sivun osoitteen muutenkin itse suoraan sähköpostilla, jos haluat mielenkiintoisesta sivusta kertoa.
Jos rekisteröidyt johonkin ulkomaiseen palveluun, lue tarkkaan rekisteröitymislomake. Niissä on hyvin usein valmiiksi valittuna jokin postituslistalle liittyminen. Kannattaa pitää huoli, että tulee ottaneeksi rastit pois niistä valinnoista, koska mikään ei takaa sitä, ettei silloin osoitetta myytäisi myös eteenpäin.
Usein sellaiset henkilöt, jotka eivät paljoa spämmiä saa, tarjoavat ratkaisuksi delete-näppäintä. Se saattaa johonkin pisteeseen saakka toimiakin, mutta viimeistään siinä vaiheessa kun spämmin määrä ylittää asiapostin määrän, menetelmä ei enää toimi, eivätkä kenenkään hermot pidä. Testin vuoksi en poistanut Vapun jälkeen lainkaan roskaposteja eräästä vanhasta sähköpostilaatikostani, jota en ole enää vuosiin käyttänyt, vaikka se olemassa onkin. Heinäkuun loppuun mennessä sinne oli tullut n. 4500 roskapostia postilaatikon koon ollessa silloin jo yli 20 megatavua. Tämä tekee viitisenkymmentä spämmiä per vuorokausi. Tämän 20 megatavun postilaatikon sisällön hakeminen modeemiyhteydellä veisi jotakuinkin kaksi tuntia yhteysaikaa.
Jos vahinko on jo tapahtunut, eli olet saanut spämmiä, on peli yleensä jo menetetty. Osoite on päätynyt spämmääjien listoille, eikä se sieltä hevillä lähde. Spämmerit myyvät osoitelistoja toisilleen, joten vaikka sen yhdeltä listalta saisikin pois, todennäköisesti se on jo jollain toisellakin.
Pitää muistaa, että spämmääjä valehtelee aina, eikä spämmiin pidä koskaan vastata. Yleensä niissä on väärennetty lähettäjän osoite, joten posti ei päädy yhtään minnekään, tai vaihtoehtoisesti vastaus ohjautuu jollekin osoitteenkeruuohjelmalle, ja vastaamalla tulee vain todentaaneeksi osoitteensa toimivaksi. Jos spämmissä on kerrottu esimerkiksi jokin www-osoite, jolla listalta pääsee pois, se toimii todennäköisesti juuri päinvastoin kuin sanotaan, eli tuloksena on entistä suurempi roskapostitulva. Mikäli käyttää HTML:ää osaavaa postiohjelmaa, kuten esimerkiksi Outlookia, on ehdottomasti viisainta olla avaamatta selvää spämmiä sillä lainkaan. Ei ole temppu eikä mikään piilottaa HTML-muotoiseen viestiin sellaista koodia, joka kertoo spämmääjälle viestin avaamisesta ja todentaa postin luetuksi ja samalla osoitteen toimivaksi. Missään tapauksessa älä koskaan klikkaa spämmissä olevia linkkejä! Nykyään ne ovat lähes aina sellaisia, joilla todennat vain osoitteesi toimivaksi.
Jos spämmistä haluaa valittaa, siitä pitää valittaa spämmääjän palveluntarjoajalle, ei itse spämmääjälle tai omalle palveluntarjoajalle. Valittamista ei pidä tehdä suin päin, vaan ensin on otettava oikeasti selvää spämmin alkuperästä, ettei tule haukkuneeksi väärää puuta. Selvittäminen vaatii viestin headereiden ja varsinkin Received:-kenttien ja niistä saatavien tietojen tutkimista. Tähän on olemassa ohjeita osoitteessa http://www.iki.fi/kaip/spam/headerit.html
Älä koskaan osta spämmääjältä mitään. Niin kauan kuin toiminta on rahallisesti kannattavaa, se jatkuu senkin uhalla, että se tultaisiin asettamaan kaikkialla laittomaksi.
Internetistä on saatavissa monenlaisia ohjelmia spämmin suodattamiseen, niitä kannattaa kokeilla. Mielessä on kuitenkin pidettävä se, että täysin varmaa suodatinta ei ole mahdollista tehdä, joten aina on vaara, että asiallistakin postia menee mukana. Voidaan sanoa, että jo 95% suodatus ilman, että yhtään hyödyllistä postia tulee vahingossa suodatetuksi, on hyvä tulos.
Yksittäisten sanojen perusteella ei kannata suodattaa, koska tällaisen keinon osumatarkkuus on varsin kehno. Spämmääjät ovat näitä jo ruvenneet kiertämään, ja korvaavat avainsanoista O-kirjaimia nollalla, I-kirjaimia ykkösillä jne. Yksittäisten sanojen perusteella toimivan suodatuksen mukana myös menee hyvin suurella todennäköisyydellä hyötypostia.
Yksi parhaimpia tapoja spämmin koneelliseen tunnistukseen on oppiva Bayes-filtteri, jollainen löytyy esimerkiksi Mozilla-selaimen mukana olevasta sähköpostiohjelmasta. Suodattimelle kerrotaan alkuvaiheessa kaikista tulevista sähköposteista onko kyseessä spämmi vai ei. Suodatus analysoi viestien otsikkotietoja ja sisältöjä, ja vähitellen oppii erottamaan jyvät akanoista. Kun muutama sata kumpaakin postilaatua on opetettu, alkaa suodatus toimia kunnolla.
Koska ongelma on jo niin suuri, että merkittävä osa tietoliikenne- sekä palvelinkapasiteetista kuluu roskapostiin, puhumattakaan meidän työksemme sähköpostijärjestelmiä ylläpitävien työtunneista, on operaattoreiden lähitulevaisuudessa lisättävä aggressiivisesti spämminvastaista taistelua. Toki jo tällä hetkellä jonkinasteista suodatusta tehdään, mutta kovin karkealla kädellä sitä ei voi tehdä siksi, koska asiakkaiden hyötyposteja ei saa mennä vahingossakaan hukkaan. Kaikkien operaattoreiden on ennen pitkää pakko ruveta tarjoamaan roskaposti- ja virussuodatusta asiakkailleen joko normaalin palvelun mukana tai sitten lisämaksusta. Joillakin operaattoreillahan tätä on jo tarjolla, ja epäilemättä ratkaisuja ollaan luomassa kaikkialla.
Lainsäädäntö tulee usein niin jälkijunassa, ettei siitä tule olemaan apua vielä aivan lähiaikoina. Toisaalta vaikka kaikissa teollistuneissa maissa spämmäys kiellettäisiinkin, on edelleen jäljellä vähemmän kehittyneitä maita, joista spämmerit sen jälkeen pyörittävät toimintaansa. Johan roskapostin releointi nyt tapahtuu suurelta osin esimerkiksi Kiinasta.
Myös fin-ham sähköpostilistan sekä omakutsupalvelun edessä on toki suodatusta jo nyt, mutta edellä mainituista syistä kovin jyrkkää suodatusta ei voi tehdä. Kuten todettu, ei ole olemassa varmaa keinoa kaiken roskan poistamiseksi ilman, että jotain hyödyllistä menee mukana. Silti nykyään sral.fi:n tulevasta postiliikenteestä suodatetaan n. 14000 roskapostia viikossa. Tässä luvussa ovat mukana kaikki omakutsuosoitteet sekä postituslistat, kuten fin-ham.