مقابله با هرزنامهها
برای جلوگیری از هرزنامه (به انگلیسی: Spam)، هم کاربران و هم مدیر سیستمهای ایمیل از روشهای ضد هرزنامه (به انگلیسی: Anti-spam techniques) متفاوتی استفاده میکنند که بعضی از این تکنیکها در محصولات، سرویسها و نرمافزارها برای کم کردن مسئولیت کاربران و مدیر مورد استفاده قرار میگیرند. هیچ تکنیکی راه حل کاملی برای مقابله با هرزنامهها محسوب نمیشود. در واقع یک توازن بین رد کردنهای غیرضروری با محسوب نکردن هیچکدام از نامهها به عنوان هرزنامه وجود دارد که بسته به میزان زمان و هزینهای است که صرف میشود.
روشهای ضد هرزنامه را میتوان به چهار دستهٔ کلی تقسیم کرد: آنهایی که نیاز به اقداماتی از طرف اشخاص دارند، آنهایی که میتوان به وسیله مدیران سرویسهای ایمیلها به صورت خودکار مدیریت کرد، آنهایی که میتوان به وسیلهٔ ارسالکنندگان ایمیل به صورت خودکار مدیریت کرد و آنهایی که به وسیله محققان و اعمالکنندگان قانون قابل مدیریت شدن هستند.
شناسایی هرزنامه
بررسی واژهها: مثبت کاذب (False Positives)
بهطور کلی، افراد علاقه دارند که سیستم تشخیص هرزنامه به درستی کار کند و به همین دلیل توازن میان رایانامههایی که به درستی به عنوان هرزنامه شناخته میشوند، در مقایسه با رایانامههایی که به اشتباه به عنوان هرزنامه انتخاب میشوند، بسیار حیاتی و مهم است. برخی از سیستمها به کاربران این اجازه را میدهند که در ساختار سیستم تشخیص هرزنامه دست ببرند و تنظیمات آن را تغییر بدهند. اما آنچه که مهم است آن است که در هر حالتی، این روشها دارای خطاها و مشکلات خاص خود هستند. به عنوان مثال، یک سیستم تشخیص هرزنامه ممکن است که در تشخیص تعداد زیادی از ایمیلهای هرزنامه دچار مشکل شود و در عین حال بسیاری از ایمیلهای مهم کاربر را به صورت اشتباه به عنوان هرزنامه تشخیص دهد.
تشخیص هرزنامه براساس واژه کلیدی و بررسی آماری رایانامه دو روش محبوباند؛ هر چند که دارای مشکلات خودش است. در روش اول (واژه کلیدی)، سیستم براساس کلمات خاصی مانند «ویاگرا (به انگلیسی: Viagra)» یک رایانامه را به عنوان هرزنامه تشخیص میدهد. به عنوان مثال اگر زمانی در داخل متن رایانامه، واژهٔ ویاگرا وجود داشته باشد، این سیستم به صورت خودکار آن رایانامه را به عنوان هرزنامه اعلام میکند. مشکل این سیستم آن است که اگر زمانی دوست شما رایانامهای برای شما ارسال کند، آن ایمیل بدون آن که متوجه آن شوید، به عنوان هرزنامه برچسب میخورد.
روش دوم که دارای دقت بیشتری نسبت به روش اول است، رایانامه به صورت آماری (بر اساس محتوا و غیر از محتوا) مورد بررسی قرار میگیرد به گونهای که وضعیت آماری نسبت به محتوا و واژه کلیدی مسدود شده (مانند ویاگرا) مورد سنجش قرار میگیرد. به همین دلیل اگر زمانی دوست شما رایانامهای به شما ارسال کرد که حاوی واژه ویاگرا باشد، آن رایانامه را بدون مشکل دریافت خواهید کرد.
کم کردن اسپمها
پخش کردن ایمیل خود فقط در بین گروههای محدودی که میشناسید یکی از راههای محدود کردن اسپمها است. این روال بر اساس صلاح دید تمام اعضای گروه است. چرا که آشکار کردن آدرس ایمیل در خارج از گروه، اعتماد داخل گروه را از بین میبرد.
بنابراین باید ارسال کردن دوباره ایمیلهای دریافتی به کسانی که نمیشناسید نباید حتی الامکان صورت گیرد. اگر گاهی اوقات هم ضروری باشد به کسی که نمیشناسید ایمیل ارسال کنید، یک کار خوب این است که لیست تمامی این آدرسها را به جای to بعد از bcc بیاورید.
این کار از برداشتن آدرس ایمیلها توسط کسانی که آنها را به اهداف فرستادن اسپم برمیدارند، جلوگیری میکند.
جلوگیری از پاسخ دادن به اسپمها
کسانی که اسپم میفرستند غالباً به پاسخهایی که برایشان ارسال میشود توجه میکنند. حتی اگر آن پیامی باشد که در آن گفته شود لطفاً برای من ایمیل ارسال نکنید. به علاوه بسیاری از پیامهای اسپم حاوی لینکها و آدرسهایی است که کاربر خودش تصمیم میگیرد آن آدرس را از لیست اسپمها خارج کند. در برخی از موارد حملهکنندههای اسپم این لینکها را امتحان میکنند که حاوی اطلاعاتی باشند که امکان حذف آن توسط کاربر کم شود. درخواست شکایت ممکن است باعث اصلاح لیست آدرسها شود. کاهش شکایتها منجر به این میشود که ارسالکننده اسپم بتواند قبل از نیاز به به دست آوردن حسابهای کاربری جدید و فراهم کنندگان خدمات اینترنت، فعال باقی بماند.
آدرسهای ارسالکننده در پیامهای اسپم اغلب جعل میشوند. به عنوان مثال از آدرس دریافتکننده به عنوان آدرس جعلی ارسالکننده استفاده میشود؛ بنابراین پاسخ به اسپم ممکن است منجر به عدم دریافت شود یا به کاربرانی بیگناه که آدرسهای آنها مورد سوءاستفاده قرار گرفته، برسد.
در یوزنتها اجتناب از پاسخ به اسپم مهمتر تلقی میشود. بسیاری از آی اس پیها دارای نرمافزارهایی هستند که پیامهای تکراری را تشخیص داده و نابود میکنند. ممکن است فردی یک اسپم را مشاهده کند و قبل از کنسل شدن آن توسط سرورهای آنها، به آن پاسخ دهد که میتواند باعث ارسال دوباره اسپم شود. از آنجایی که این پیام کپی محسوب نمیشود، کپی مجدداً ارسال شده، زمان بیشتری میبرد. ارسال مجدد ممکن است باعث شود تا ارسالکننده به غلط به عنوان بخشی از پیام اسپم تلقی شود.
تکنیکهای کاربر نهایی
شماری از تکنیکها هستند که افراد برای دسترسی محدود به آدرس ایمیل استفاده میکنند با این هدف که شانس خود را برای دریافت اسپم کاهش دهند.
احتیاط
اشتراکگذاری یک آدرس ایمیل تنها در میان یک گروه محدود از مکاتبهکنندگان یک راه برای محدود کردن شانس این خواهد بود که آدرس به صورت هدفمند توسط هرزنامه برداشته شود. بهطور مشابه، هنگام ارسال پیام به تعدادی از دریافت کنندگان که یکدیگر را نمیشناسند، آدرس گیرنده را میتوان در "bcc: field" قرار داد بهطوریکه هر دریافتکننده یک لیست از آدرسهای ایمیل دریافت کنندگان دیگر را دریافت نکند.
Address munging
آدرس ایمیل ارسال شده در صفحههای وب، دانلود مستقیم اتاقهای گفتگو در برابر برداشت آدرس ایمیل آسیبپذیرند. آدرس munging عمل پنهان است که یک آدرس ایمیل برای جلوگیری از جمعآوری خودکار در این راه انجام دادهاست. اما هنوز هم به خواننده اجازه میدهد آن را بخواند و منبع آن را بداند. یک آدرس ایمیل مثل "no-one at example.com" ممکن است به صورت "no-one at example dot com" نوشته شده باشد. به عنوان مثال یکی از تکنیکهای مرتبط برای نمایش تمام یا بخشی از آدرس ایمیل به عنوان یک تصویر، یا به صورت متن مخلوط با کاراکترهای سفارشی ذخیره گردد.
اجتناب از پاسخ به اسپم
رعایت این نکته که به اسپمها پاسخ داده نشود، بسیار حائز اهمیت است؛ زیرا به عنوان یک نمونه رایج، اسپمها میتوانند به سادگی با توجه به پاسخ بفهمند که آدرس ایمیل معتبر است. بهطور مشابه، بسیاری از پیامهای اسپم حاوی لینکهای وب یا آدرسهایی است که کاربر دستور به حذف آن از فهرست اسپمها دادهاست و این کار میتواند خطرناک باشد.
در هر صورت، آدرسهای فرستنده اغلب در پیامهای اسپم جعلی هستند؛ بنابراین در پاسخ به اسپم ممکن است تحویل ناموفق باشد یا ممکن است به شخص ثالث کاملاً بیگناهی برسد.
فرمهای تماس
گاهی اوقات شرکتها و افراد از انتشار یک آدرس ایمیل برای کسانی که خواهان تماس از طریق فرم تماس در صفحه وب هستند اجتناب میکنند؛ زیرا معمولاً اطلاعات از طریق ایمیل فرستاده میشود.
غیرفعال کردن html در ایمیل
بسیاری از برنامههای پست الکترونیکی مدرن دارای قابلیتهای مرورگر وب، مانند نمایش HTML، آدرسها و تصاویر هستند. جلوگیری یا غیرفعال کردن این ویژگی به جلوگیری از اسپمها کمکی نمیکند. با این حال ممکن است برای جلوگیری از برخی از مشکلها استفاده شود. اگر یک کاربر یک پیام هرزنامه را باز کند، تصاویر مهاجم که توسط جاوا اسکریپت یا حملههای آسیبپذیریهای امنیتی در اجرای html، باگهای وب را ردیابی میکند.
سرویس گیرندههای ایمیل که به صورت غیر اتوماتیک دانلود و نمایش.html تصاویر و فایلهای ضمیمه، خطرهای کمتری دارند و همچنین استفادهکنندگان سرویس گیرندههای ایمیل را طوری تنظیم میکنند که این موارد را به صورت پیشفرض نمایش ندهند.
آدرسهای ایمیل یک بار مصرف
یک کاربر ایمیل ممکن است گاهی اوقات نیاز به دادن آدرس به یک سایت بدون اطمینان کامل به این که صاحب سایت برای کاربر هرزنامه ارسال نمیکند، داشته باشد. یکی از راههای کاهش خطر ارائه یک آدرس ایمیل یکبار مصرف است. (آدرسی که کاربر میتواند پس از فرستادن ایمیل با اکانت واقعی آن را غیرفعال یا رها کند) شماری از سرویسها ایمیلهای یکبار مصرف عرضه میکنند. آدرسهایی که میتوان آن را به صورت دستی غیرفعال کرد، میتوانند پس از یک فاصله زمانی معین منقضی شوند یا پس از فرستادن تعداد معینی پیام منقضی شوند.
آدرس ایمیل یکبار مصرف میتواند توسط کاربران برای ردیابی این که آیا صاحب سایت آدرس افشا کردهاست یا دارای یک نقض امنیتی است، مورد استفاده قرار گیرد.
رمزهای Ham
سیستمهایی که از پسورد Ham استفاده میکنند، میخواهند فرستنده ناشناس باشند و ایمیل دارای یک رمز است که نشان دهد که یک پیام Ham است و هرزنامه نیست. بهطور معمول آدرس ایمیل و رمز عبور ژامبون در یک صفحه وب شرح داده شده و رمز عبور Ham در خط موضوع پیام ایمیل یا اضافه کردن به «نام کاربری» بخشی از آدرس ایمیل با استفاده از روش اضافه کردن آدرس استفاده میشود.
کلمه عبور Ham اغلب با سیستم تصفیه که از طریق آن فقط دستهای از پیامهایی که خود را به عنوان " Ham " را شناسایی کردهاند اجازه ترکیب دادهاست.
گزارش هرزنامه
با ردیاب ای اس پی، فرستنده هرزنامه و گزارش جرم میتواند سرویس فرستنده هرزنامه بسته شود و تحت تعقیب قرار گیرد. متأسفانه، پیگیری کردن فرستنده هرزنامه میتواند مشکل باشد، در حالی که برخی از ابزار آنلاین مانند SpamCop و شبکه امن تخلف برای کمک وجود دارد. اما آنها همیشه دقیق نیستند.
عموماً، گزارش هرزنامه در این شیوه بخش بزرگی از رفع کردن اسپم نیست. زمانی که فرستنده اسپم به سادگی عملیات خود را به یک isp یا آدرس ای پی یا url جدید منتقل میکند.
در بسیاری از کشورها مصرفکنندگان ممکن است ناخواسته ایمیلهای تجاری فریبنده را به مقامهای آنها ارسال کنند: به عنوان مثال در ایالات متحده به آدرس ایمیل (spam at uce.gov)
(توسط کمیسیون تجارت فدرال آمریکا FTC یا سازمانهای مشابه در کشورهای دیگر انجام میشود)
تکنیکهای خودکار برای ادمینهای ایمیل
اکنون تعداد زیادی از برنامههای کاربردی، لوازم، خدمتها و سیستمهای نرمافزاری وجود دارد که ایمیلها را مدیریت میکنند. میتوانید به منظور کاهش هرزنامهها در سیستم و صندوق پستی خود از آنها استفاده کنید.
بهطور کلی این تلاش برای نپذیرفتن (و یا "بلاک") اکثر ایمیلهای اسپم در مرحله اتصال smtp است. اگر یک پیام را قبول کنند، محتوای آن را بهطور معمول تجزیه و تحلیل میکنند و ممکن است تصمیم به "قرنطینه" پیام به عنوان اسپم بگیرند.
احراز هویت
برای شناسایی تعدادی از سیستمهایی که توسعه یافتهاند، میتوانید به صاحبان دامنه آن ایمیل ارسال کنید. بسیاری از این سیستمهایی که از دی ان اس استفاده میکنند، فهرستی از سایتهای احراز شده برای فرستادن ایمیل از جهت هرزنامه هستند.
وقتی که هرزنامهها بهطور مستقیم حمله نمیکنند، این سیستمها برای فرستنده هرزنامه از بابت جعل آدرس مشکل بیشتری پیدا میکنند.
سیستمهای پرسش / پاسخ
یکی دیگر از روشهایی که ممکن است توسط ارائه دهندگان خدمتهای اینترنت استفاده شود، توسط شرکت خدمتهای تخصصی برای حذف هرزنامه است که درخواستها با فرستندگان ناشناس باید به تصویب آزمونهای مختلف قبل از ارسال پیامهای برسند.
این استراتژیها به اصطلاح سیستمهای پرسش و پاسخ یا C/R نامیده میشوند. این یک کانال ایمیل است که اجرا میشود.
فیلتر بر اساس بررسی
فیلتر بر اساس بررسی، سوء استفاده از این واقعیت است که پیامها به صورت تودهای ارسال میشوند و آنها یکسان و با تغییرهای کوچک خواهند بود. فیلتر بر اساس بررسی کامل از هر چیزی که ممکن است بین پیام متفاوت باشد صورت میگیرد. کاهش مواردی که برای بررسی پایگاه دادهای که پیامها با ایمیل دریافت کنندگان جمعآوری شده و در نظر گرفتن آنها به عنوان هرزنامه. برخی افراد یک دکمه در ایمیل دریافتکننده قرار میدهند تا بتواند با کلیک بر روی آن، پیام را به عنوان هرزنامه معرفی کند. اگر بررسی در پایگاه داده انجام شود پیام به احتمال زیاد هرزنامه است.
مزیت استفاده از این نوع فیلتر این است که اجازه میدهد تا کاربران عادی در شناسایی هرزنامهها کمک کنند و تنها برای ادمینها نیست. در نتیجه جلوگیری از هرزنامهها بسیار افزایش یافت. اشکال این روش این است که فرستنده هرزنامه میتواند هرزنامه به صورت نامرئی و عجیب در بین هر یک از پیامها درج کند. (که به آن هش باستر میگویند) در نتیجه هر پیام باید به صورت منحصر به فرد بررسی شود.
این امر منجر به یک مسابقه تسلیحاتی بین توسعه دهندگان نرمافزارهای کنترلی و توسعه دهندگان نرمافزارهای تولید هرزنامه میشود.
فیلتر بر اساس بررسی شامل موارد زیر میشود:
Distributed Checksum Clearinghouse
Vipul's Razor
=== فیلتر مبتنی بر کشور ===
از سرویس دهنده ایمیل انتظار میرود که هرگز با کشورهای خاصی که از آنها مقدار زیادی از هرزنامه دریافت میکنیم ارتباط برقرار نکند؛ بنابراین، آنها از فیلتر بر اساس کشورهای مختلف استفاده میکنند. (که یک تکنیک است که بلوکهای ایمیل از کدام کشورها هستند)
این تکنیک بر این اساس است که کشور مبدأ خود را توسط آدرس آی پی فرستندهها به جای ویژگی فرستنده تعیین میکند.
فهرست غیرمجاز بر اساس DNS
از فهرست غیرمجاز بر اساس DNS یا DNSBLs برای اکتشاف یا مسدود کردن استفاده میشدهاست. یک سایت فهرستی (عموما آدرس آی پی) را از طریق دی ان اس منتشر میکند. سرویس دهندههای ایمیل میتوانند در زمان این منابع را قبول یا رد کنند. امتیاز DNSBLs این است که میتواند سیاستهای مختلفی را اتخاذ کند. برخی از سایتهای شناخته شده هم هرزنامه نیز منتشر میکنند. همچنین لیستی از پروکسیها و لیستی از آی اس پیهای شناختهای که هرزنامه منتشر میکنند.
سیستمهای تولید فهرست غیرمجاز بر اساس DNS دامنه یا آدرسهای سایت را به دو دسته خوب (سفید) وبد (سیاه) تقسیم میکنند از جمله: RHSBLs و URIBLs
فیلترینگ URL
بیشتر پیامهای اسپم یا فیشینگ حاوی یک یو ار ال اند که با کلیک کردن بر روی آنها قربانیان را به خود جلب میکنند؛ بنابراین یک روش محبوب از اوایل سال ۲۰۰۰ شامل استخراج یو ار الها از پیامها و نگاه به آنها را در پایگاه داده مانند لیست دامنههای بلوک هرزنامهها SURBL, URIBL,(DBL)است.
اجرای دقیق استانداردهای RFC
تجزیه و تحلیل ایمیلهای سازمان با استاندارد آر اف سی برای پروتکل ساده انتقال ایمیل (SMTP) را میتوان برای قضاوت دربارهٔ احتمال هرزنامه بودن آن مورد استفاده قرار داد. بسیاری از هرزنامه نویسان از ضعفهای نرمافزاری و عدم تطابق با استانداردها استفاده میکنند. چرا که آنها به صورت قانونی کنترل نمیشوند و از آن کامپیوترها برای ارسال هرزنامه استفاده میکنند(کامپیوتر زامبی).
با تنظیم محدودیتهای بیشتری برای انحراف از استانداردهای انر اف سی که توسط ام تی سی پذیرفته شده، یک ادمین ایمیلی میتواند بهطور قابل توجهی هرزنامهها را کاهش دهد. اما همه این روشها نیز خطر نپذیرفتن ایمیل از سرورهای قدیمیتر یا دارای نرمافزار ضعیف و پیکربندی شده را دارند.
بنر خوشامد
سرور ارسالکننده لازم است صبر کند تا SMTP بنر خوشامد را دریافت کند. بنر قبل از هرگونه اطلاعاتی فرستاده میشود. یک تأخیر عمدی میتوان به سرورهای دریافتکننده معرفی کرد تا به سرویس دهنده اجازه دهیم هرزنامهها را شناسایی و از هر گونه برنامههای فرستنده اسپم ممانعت کنند و برای دریافت بنر منتظر نشویم.
نپذیرفتن به صورت موقت
این روش لیستی خاکستری است که در واقعیت یک پروتکل SMTP که اجازه میدهد تا به صورت موقت پیامهای ورودی پذیرفته نشوند. لیست خاکستری با استفاده از استاندارد کد خطای ۴۴۴ بهطور موقت، تمام پیامهایی که از فرستندههای ناشناخته یا از سرویس دهنده پست الکترونیکی ناشناس فرستاده میشوند را رد میکند.
همه MTAهای موافق اقدام برای تحویل دوباره هستند اما بسیاری از هرزنامهها دوباره فرستاده نمیشوند، اما بر روی آدرسهای جدید در لیست نقل مکان میکنند و این را به اتلاف وقت برای دوباره فرستادن به یک آدرسی که قبلاً به عنوان یک مشکل ارائه شده ترجیح میدهند.
تمام پیامهایی که به صورت قانونی از فرستندگان برای اولین بار فرستاده میشوند آزمایش شده و با تأخیر ارسال میشوند که به آن حرکت نزولی لیست خاکستری میگویند.
همچنین این احتمال وجود دارد که برخی از پیامهایی قانونی تحویل داده نشوند. اگر یک پیکربندی یا طراحی ضعیف (اما قانونی) داشته باشند سرور پست الکترونیکی رد موقت به عنوان رد دائمی تعبیر کرده و به جای آن که به صورت صحیح اقدام به ارسال دوباره کند، یک پیام بیرون انداختن برای فرستنده اصلی میفرستد.
بررسی HELO/EHLO – RFC 5321میگوید سرور SMTP ممکن است آرگومان نام دامنه را از ارتباط دستور EHLO با IP آدرس مشتری شناسایی کند.
با این حال، اگر شناسایی شکست بخورد، سرور نباید بر این اساس پذیرش یک پیام را لغو کند.
اغلب سیستمها میتوانند پیکربندی شوند برای:
- نپذیرفتن اتصال از میزبانی که HELO نامعتبر میدهد. برای مثال یک HELO که FQDN ندارد یا آدرسهای آی پی بدون این که داخل پرانتز محصور شوند.
- نپذیرفتن اتصال از میزبانی که HELO جعلی میدهد.
- امتناع از قبول ایمیلی که آرگومان HELO / EHLO در DNS حل نشدهاست.
خط لوله نامعتبر
چند تا از دستورهای SMTP مجاز به قرار دادن یک بسته در خط لوله هستند.
برای مثال، اگر یک ایمیل فرستاده شود با CC: سرآغاز، چند SMTP "RCPT TO". دستورها ممکن است به جای این که یک بسته در هر دستور "RCPT TO" قرار گیرند، در یک بسته قرار میگیرند.
پروتکل SMTP، اغلب مستلزم آن است که خطاها بررسی شوند و همه چیز را در نقاط خاصی هماهنگ شوند. بسیاری از هرزنامهها، همه چیز را در یک بسته واحد ارسال میکنند. از آنجایی که آنها به اشتباهها اهمیتی نمیدهند کارآمدتر هستتد. برخی MTAها این خط لوله نامعتبر تشخیص و ایمیلهای فرستاده شده از این طریق را نمیپذیرند.
بدون لیست
سرورهای ایمیل که برای هر دامنه داده شده در یک لیست اولویت بندی از طریق رکوردهای MX مشخص شدهاست.
این روش بدون لیست است که به سادگی با اضافه کردن یک رکورد MX به یک سرور غیر موجود به عنوان سرور «اصلی» اشاره میشود. (به عنوان مثال که با کمترین مقدار اولویت) به این معنی که ایمیل اولیه مخاطب همیشه شکست خواهد خورد.
بسیاری از منابع هرزنامه در صورت شکست، دوباره سعی در باز فرستادن پیام نمیکنند. به طوری که تولیدکننده هرزنامه به سمت قربانی بعدی حرکت میکند. زمانی که سرورهای ایمیل قانونی باید برای شماره بالاتر در MX باز ارسال کنند، ایمیل طبیعی با تنها یک تأخیر کوچک تحویل داده خواهد شد.
رهاسازی تشخیص
در اتصالات SMTP همیشه باید با دستور QUIT تمام شود. بسیاری از تولیدکنندگان اسپم از این مرحله به دلیل این که اسپم خود را قبلاً ارسال شدهاست صرف نظر میکنند و زمان صحیح بستن اتصال پهنای باند را در نظر میگیرند. برخی از انواع MTAها قادر به تشخیص اینکه آیا اتصال صحیح بسته شدهاست یا نه و استفاده از این به عنوان یک مقدار قابل اعتماد برای سیستمهای دیگر هستند.
هانیپاتها
روش دیگری که به سادگی از تقلید MTAها که ایمیلها باز ارسال میشوند ظاهر شده یا به تقلید سرور پروکسی TCP/IP که زمانی که پروکسی باز میشود ظاهر خواهند شد.
فرستندگان اسپم کسانی هستند که سیستمها را برای بازپخش یا پروکسی بررسی کرده تا یک میزبان برای فرستادن ایمیل از میان آنها پیدا کنند که این کار نیازمند زمان، منابع و افشای اطلاعات بهطور بالقوه در مورد خود و منشأ هرزنامههایی به عنوان هانیپات عمل میکنند. ممکن است چنین سیستمهایی به سادگی با تلاشهای هرزنامه کشف شوند تا ارسال آنها به DNSBLها یا ذخیرهسازی آنها آنالیز شود.
یکی از معروفترین موارد استفاده از این روش، سرویس هانیپات BotOrNot بود که از هانیپاتها برای شناسایی رباتهای شبکهُ اجتماعی و جلوگیری از فعالیت اسپمینگ آنها فعالیت میکرد.
فیلتر ترکیبی
فیلتر ترکیبی از قبیل این که که در برنامههای منبع باز هرزنامه قاتل با استفاده از همه یا برخی از هرزنامهها را تست کرده و به هر تست یک نمره عددی اختصاص میدهد. هر پیام بر اساس الگوها و نمرههای مناسب اسکن میشود. اگر مجموع نمرههای کمتر از یک مقدار ثابت بود، پیام را میتوان نپذیرفت یا به عنوان یک هرزنامه علامتگذاری کرد. اعتماد به این که هیچیک از آزمون هرزنامه به خودی خود میتواند یک پیام به عنوان هرزنامه علامتگذاری کند، نرخ رشد کاذبی است که میتواند تا حد زیادی کاهش یابد.
چند ابزار از قبیل شبکه فایروال هرزنامه Barracuda و خدمتهایی مانند Postini و اجرای هرزنامههای Cudamail و فیلتر bayesian برای فیلتر کردن در آستانه اقدام است.
به عنوان مثال به صورت پیشفرض ممکن است:
-برچسب زدن ایمیل یا اضافه کردن یک «برچسب» یا «هرزنامه مشکوک» که هشداری در خط عنوان ایمیل برای کمک به کاربران نهایی در چک کردن صندوق پستی کاربر است.
-قرنطینه ایمیل (ایمیل را نگه داشته و به کاربر نهایی اطلاع میدهم که ایمیل را به احتمال زیادی هرزنامه است و این نتایج به او نشان داده میشود) بهطور معمول این نوع عمل به دلیل ویژگیهای بیشتر «اسپم» در ایمیل مانند لینکها، محتوای تصویر بیش از متن، یا کلمههای خاص گرفته شدهاست.
-بلاک کردن ایمیل (به آن اجازه ورود نمیدهیم) بهطور معمول این عمل به علت حضور کلمههایی مانند viagra، یا لینک به سایتهای مخرب در ایمیل صورت گرفتهاست. یا از آدرسهایی است که توسط اسپمها استفاده شود، یا به توسط انواع لیست سیاه آنلاین مانند Barracuda مرکزی یا SpamHaus شناخته شدهاست.
محافظت هرزنامههای خارج از محدوده
حفاظت از هرزنامههای خارج از محدوده شامل اسکن ترافیک ایمیل به عنوان خروجی یک شبکه، شناسایی پیامهای اسپم و پس از آن مسدود کردن پیام یا خاموش کردن منبع ترافیک صورت میگیرد.
حفاظت از هرزنامههای خارج از محدوده را میتوان در سطح یک شبکه گسترده انجام داد (با استفاده از سیاست مبتنی بر مسیریابی یا تکنیکهای مشابه برای مسیریابی پیامهای SMTP که به سرویسهای فیلتر دار وارد میشوند).
یا میتوان آن را بدون یک درگاه استاندارد SMTP اجرا کرد.
در حالی که تأثیر اقتصادی هرزنامهها از دریافت کنندگان هرزنامه است، شبکه ارسال نیز هزینههای مالی، از قبیل پهنای باند هدر رفته و خطر مسدود شدن آدرس آی پی را در شبکههای دریافت تجربه میکنند.