TechnoGuideКак это сделатьВ помощь руководителю

Защита от спама

| 31.01.2011

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Защита от спама

В статье:

Как спам влияет на продуктивность бизнеса

Какие бывают способы фильтрации спама и чем они различаются

Чем различаются средства антиспама для почтового клиента

Чем различаются средства антиспама для почтового сервера

 

Как спам влияет на продуктивность бизнеса

За последние несколько лет рассылка несанкционированных писем по электронной почте приняла немалые обороты – доля таких сообщений в общем почтовом российском трафике превышает 85% (данные «Лаборатории Касперского»). Согласно той же статистике почти 1% отправлений имеет вредоносное ПО во вложении. В подобных условиях организациям важно найти способ уменьшить поток спама, который в определенной мере снижает доходность бизнеса. Это происходит потому, что в общем потоке сотрудники теряют сообщения от клиентов, тратят свое время на сортировку писем, их ПК подвергаются риску вирусного заражения и кражи персональной информации, а компания вынуждена оплачивать дополнительный объем интернет-трафика из-за увеличения электронной корреспонденции.

Нельзя сказать, будто современные средства по борьбе со спамом неэффективны или, наоборот, эффективны. Они решают узконаправленную задачу фильтрации сообщений, определяя, относится данное письмо к спаму или нет, поэтому очевидно, что в их работе есть и всегда будет существовать погрешность (ложные срабатывания, пропуск рассылок и легальных писем и т. д.). Заметим также, что сама индустрия спам-услуг изобретает все новые способы обхода фильтров. Наконец, у спамеров всегда остается возможность разослать точечно рекламные письма, использовав труд реальных людей, а не автоматизированные программы.

 

Какие бывают способы фильтрации спама и чем они различаются

Создано несколько технологий фильтрации спама. Первая из них представляет обычный способ сравнения текстологических признаков нежелательной рассылки с тем, что содержится в словарной базе программы. В настоящее время они неэффективны при применении «как есть», поскольку спамеры научились обходить фильтр, подменяя символы схожими цифрами, смешивая разные алфавиты, графические изображения, HTML-коды и замусоривая текст. Вторая технология пытается проанализировать спам на базе свойств самого сообщения – структуры заголовка, IP-адреса отправителя, информации о DNS-адресах почтового сервера. Если они не совпадают с общеизвестными базами спамеров, ботнетов и мошеннических партнерских сетей, сообщение доставляется получателю. Третья технология основана на статистических данных, получаемых в ходе обучения и самообучения антиспам-решения при непосредственной работе с письмами. На рынке известны несколько коммерчески успешных реализаций подобной защиты, в которых в той или иной степени применяется Байесовская фильтрация. Она базируется на расчете пропорции появления тех или иных слов в спаме по отношению ко всем появлениям во всей подборке писем (она формируется в процессе работы, если некоторое время сотрудник вручную помечает письма со спамом). Соответственно, фильтр разбивает каждое сообщение на слова, сличая их с собственным списком, выводя итоговую вероятность отнесения почтового отправления к спаму по формуле. Тем не менее сама эта система несовершенна – алгоритм можно обмануть, если в письме будет большое количество «чистых» слов. Помимо Байесовского метода в антиспам-продуктах используется и комбинированное решение, анализирующее несколько факторов – например, список открытых почтовых серверов, с которых может несанкционированно рассылаться спам.

Заметим, что перечисленные технологии применяются не только в рамках организации – на рабочих станциях сотрудников и/или на почтовом сервере, но и, скажем, на стороне интернет-провайдера.

В самом общем виде продукты для фильтрации рекламных писем на рабочих станциях могут быть нескольких видов. Во-первых, это дополнительные модули для почтовых клиентов, во-вторых, встроенные модули в рамках антивирусов и решений класса Internet/Total Security, в-третьих, отдельные анализаторы почтового трафика, действующие как клиентская программа. Рассмотрим особенности каждого из трех вариантов.

 

Чем различаются средства антиспама для почтового клиента

Дополнительные модули выпускаются для самых популярных почтовых клиентов. К ним обычно относят продукты Microsoft (MS Outlook, Outlook Express/Почта Windows), The BAT! и Mozilla Thunderbird. Возможность разработки модуля напрямую зависит от того, готов ли вендор почтового клиента предоставить программный интерфейс создателям антиспама – так, длительное время для The BAT! существовало крайне немного «спаморезок». После установки этих продуктов следует пользоваться инструментами на специальной панели или в подменю, куда выводятся все расширения для почтовой программы. Обычно все настройки встраиваемого антиспама производятся не через почтовик, а через отдельный десктопный клиент или в момент установки. К таким программам относятся, например, Agnitum SpamTerrier (работает в виде расширения к почтовым клиентам), Spam Fighter (панель инструментов для клиентов), Despamious (панель для почтовых программ Microsoft, антиспам с несколькими фильтрами и методиками детектирования). 

Agnitum SpamTerrier

img

Spam Fighter

img

Антиспам-модули, встроенные в антивирусы или Internet/Total Security-решения, предоставляют больше настроек (в отличие от дополнений к почтовикам) и, по сути, взаимодействуют с любой программой для проверки почты, поскольку проверяют любой POP3/SMTP-трафик. Пользователь может прямо из их интерфейса создавать правила фильтрации, указывать метки, по которым будут сортироваться входящие послания, и т. д. Подобные решения имеются во всех современных продуктах, поэтому мы не будем специально на них останавливаться.

В технологическом отношении отдельные анализаторы почтового трафика мало чем отличаются от встроенного в антивирусы антиспама, кроме того, что это отдельный программный продукт. Принцип их работы прост – программа подключается к серверу и загружает заголовки находящихся там писем, а потом запускает анализатор спама. Данные решения удобны для обработки большого количества корреспонденции, когда не нужно дожидаться полной загрузки всех входящих сообщений, а требуется только удалить в полуавтоматическом режиме (поскольку программа некоторое время будет обучаться) мусорные рассылки. Из решений подобного рода можно отметить MailWasherPro, которая позволяет детектировать не только несанкционированную рассылку, но и спам.

MailWasher

img

 

Чем различаются средства антиспама для почтового сервера

Продукты для борьбы со спамом могут устанавливаться дополнительно и на почтовый сервер, даже если в нем уже используется какое-либо встроенное средство фильтрации. В этом случае они будут работать последовательно, что в конечном итоге теоретически должно улучшить качество детектирования рекламных писем. Однако при некорректной настройке подобная практика иногда приводит к ложным срабатываниям и блокировке легальных сообщений. Мы полагаем, что в этом отношении логичнее применять не два параллельно действующих продукта, а дополнительные расширения для почтового сервера. В СМБ-секторе в роли такого решения может быть установлен MS Exchange Server, Kerio Connect, CommuniGate Pro, Postfix, MDaemon или Sendmail. Для каждого из них существует несколько антиспам-решений, чья функциональность, в принципе, схожа.

Классический модуль по борьбе со спамом, устанавливаемый на почтовый сервер, представляет собой систему, работающую на основе встроенных и пользовательских правил, заданных системным администратором и объединенных в централизованное решение, – например, запрет приема всех писем, содержащих иероглифы. Здесь уже могут использоваться сразу несколько технологий и на основании анализа промежуточных результатов по каждой из проверок выносится оценка для данного сообщения. Примечательно, что именно на серверных антиспам-клиентах предусмотрена функция настройки реакции на входящую нежелательную корреспонденцию, к примеру, возврат письма с ошибкой о несуществующем аккаунте почты. Помимо этого, только на серверных продуктах есть возможность управлять группами пользователей, назначая каждой из них индивидуальные правила сортировки сообщений – в частности, оставлять низкий уровень проверки на спам для отдела продаж и поднимать на максимальный уровень детектирование для топ-менеджмента.

Различия между серверными антиспам-продуктами состоят, во-первых, в поддержке тех или иных платформ и работающих на них почтовых серверов (это отражается в том числе в удобной настройке правил – не на всех Unix-системах имеет смысл использовать графический интерфейс, поэтому у антиспама должна быть поддержка консольного режима работы), во-вторых, в количестве и качестве реализуемых методик детектирования и отсеивания (могут применяться как широко известные открытые разработки и пополняемые сообществом пользователей базы данных, так и закрытое ноу-хау разработчика решения), в-третьих, в производительности (поскольку далеко не все антиспам-фильтры действуют незаметно для пользователя, задерживая почту не на секунды, но на минуты).

GFI MailEssentials

img

Подобные серверные антиспам-решения есть у большинства антивирусных вендоров, и очень часто они являются комплексными (то есть дополнительно включают почтовый антивирус). К числу самых популярных одиночных продуктов относятся GFI MailEssentials, «Спамоборона» от «Яндекс» и SpamAssasin. Первый поддерживает работу с серверами MS Exchange, предоставляя комплексный детектор на базе трех технологий (интеллектуальный анализ заголовков, база правил и проверка IP-адресов и DNS). Продукт от «Яндекс» отличается легковесностью (на среднем серверном компьютере он проверяет порядка 15 писем в секунду) и простотой в настройке. SpamAssasin примечателен своей открытостью (это ответвление от известного веб-сервера Apache) и возможностью развертывания и доработки в рамках практически любой ИТ-инфраструктуры, поскольку написан на Perl.

Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Другие материалы рубрики

Компании сообщают

Мероприятия