IT Expert Як це зробити На допомогу керівнику

| 31.01.2011

У статті:

Як спам впливає на продуктивність бізнесу

Які бувають способи фільтрації спаму і чим вони різняться

У чому полягає різниця кошти антиспаму для поштового клієнта

У чому полягає різниця кошти антиспаму для поштового сервера

Як спам впливає на продуктивність бізнесу

За останні кілька років розсилка несанкціонованих листів по електронній пошті прийняла чималі обертів - частка таких повідомлень в загальному поштовому російському трафіку перевищує 85% (дані «Лабораторії Касперського»). Згідно з тією ж статистикою майже 1% відправлень має шкідливе ПО у вкладенні. У подібних умовах організаціям важливо знайти спосіб зменшити потік спаму, який в певній мірі знижує прибутковість бізнесу. Це відбувається тому, що в загальному потоці співробітники втрачають повідомлення від клієнтів, витрачають свій час на сортування листів, їх ПК піддаються ризику вірусного зараження і крадіжки персональної інформації, а компанія змушена оплачувати додатковий обсяг інтернет-трафіку через збільшення електронної кореспонденції.

Не можна сказати, ніби сучасні засоби по боротьбі зі спамом неефективні або, навпаки, ефективні. Вони вирішують вузькоспрямовану завдання фільтрації повідомлень, визначаючи, відноситься даний лист до спаму чи ні, тому очевидно, що в їх роботі є і завжди буде існувати похибка (помилкові спрацьовування, пропуск розсилок і легальних листів і т. Д.). Зауважимо також, що сама індустрія спам-послуг винаходить все нові способи обходу фільтрів. Нарешті, у спамерів завжди залишається можливість розіслати точково рекламні листи, використавши працю реальних людей, а не автоматизовані програми.

Які бувають способи фільтрації спаму і чим вони різняться

Створено кілька технологій фільтрації спаму. Перша з них представляє звичайний спосіб порівняння текстологічних ознак небажаної розсилки з тим, що міститься в словникової бази програми. В даний час вони неефективні при застосуванні «як є», оскільки спамери навчилися обходити фільтр, підміняючи символи схожими цифрами, змішуючи різні алфавіти, графічні зображення, HTML-коди і замусорівая текст. Друга технологія намагається проаналізувати спам на базі властивостей самого повідомлення - структури заголовка, IP-адреси відправника, інформації про DNS-адреси поштового сервера. Якщо вони не збігаються з загальновідомими базами спамерів, ботнетів і шахрайських партнерських мереж, повідомлення доставляється одержувачу. Третя технологія заснована на статистичних даних, одержуваних в ході навчання і самонавчання антиспам-рішення при безпосередній роботі з листами. На ринку відомі кілька комерційно успішних реалізацій такого захисту, в яких в тій чи іншій мірі застосовується Байєсова фільтрація. Вона базується на розрахунку пропорції появи тих чи інших слів у спам по відношенню до всіх появ у всій збірці листів (вона формується в процесі роботи, якщо деякий час співробітник вручну позначає листи зі спамом). Відповідно, фільтр розбиває кожне повідомлення на слова, звіряючи їх з власним списком, виводячи підсумкову ймовірність віднесення поштового відправлення до спаму за формулою. Проте сама ця система недосконала - алгоритм можна обдурити, якщо в листі буде велика кількість «чистих» слів. Крім Байєсова методу в антиспам-продуктах використовується і комбіноване рішення, аналізує кілька чинників - наприклад, список відкритих поштових серверів, з яких може несанкціоновано розсилатися спам.

Зауважимо, що перераховані технології застосовуються не тільки в рамках організації - на робочих станціях співробітників і / або на поштовому сервері, але і, скажімо, на стороні інтернет-провайдера.

У найзагальнішому вигляді продукти для фільтрації рекламних листів на робочих станціях можуть бути декількох видів. По-перше, це додаткові модулі для поштових клієнтів, по-друге, вбудовані модулі в рамках антивірусів і рішень класу Internet / Total Security, по-третє, окремі аналізатори поштового трафіку, що діють як клієнтська програма. Розглянемо особливості кожного з трьох варіантів.

У чому полягає різниця кошти антиспаму для поштового клієнта

Додаткові модулі випускаються для найпопулярніших поштових клієнтів. До них зазвичай відносять продукти Microsoft (MS Outlook, Outlook Express / Пошта Windows), The BAT! і Mozilla Thunderbird. Можливість розробки модуля безпосередньо залежить від того, чи готовий вендор поштового клієнта надати програмний інтерфейс творцям антиспаму - так, тривалий час для The BAT! існувало вкрай небагато «спаморезок». Після установки цих продуктів слід користуватися інструментами на спеціальній панелі або в підміню, куди виводяться всі розширення для поштової програми. Зазвичай всі налаштування вбудованого антиспаму проводяться не через поштовик, а через окремий десктопний клієнт або в момент установки. До таких програм відносяться, наприклад, Agnitum SpamTerrier (Працює в вигляді розширення до поштових клієнтів), Spam Fighter (Панель інструментів для клієнтів), Despamious (Панель для поштових програм Microsoft, антиспам з декількома фільтрами і методиками детектування).

Agnitum SpamTerrier

Spam Fighter

Антиспам-модулі, вбудовані в антивіруси або Internet / Total Security-рішення, надають більше налаштувань (на відміну від доповнень до поштовикам) і, по суті, взаємодіють з будь-якою програмою для перевірки пошти, оскільки перевіряють будь POP3 / SMTP-трафік. Користувач може прямо з їх інтерфейсу створювати правила фільтрації, вказувати мітки, за якими будуть сортуватися входять послання, і т. Д. Подібні рішення є у всіх сучасних продуктах, тому ми не будемо спеціально на них зупинятися.

У технологічному відношенні окремі аналізатори поштового трафіку мало чим відрізняються від вбудованого в антивіруси антиспаму, крім того, що це окремий програмний продукт. Принцип їх роботи простий - програма підключається до сервера і завантажує заголовки знаходяться там листів, а потім запускає аналізатор спаму. Дані рішення зручні для обробки великої кількості кореспонденції, коли не потрібно чекати повного завантаження всіх вхідних повідомлень, а потрібно тільки видалити в напівавтоматичному режимі (оскільки програма деякий час буде навчатися) сміттєві розсилки. З рішень подібного роду можна відзначити MailWasherPro , Яка дозволяє детектувати не тільки несанкціоновану розсилку, а й спам.

MailWasher

У чому полягає різниця кошти антиспаму для поштового сервера

Продукти для боротьби зі спамом можуть встановлюватися додатково і на поштовий сервер, навіть якщо в ньому вже використовується будь-яке вбудоване засіб фільтрації. У цьому випадку вони будуть працювати послідовно, що в кінцевому підсумку теоретично повинно поліпшити якість детектування рекламних листів. Однак при некоректній настройці подібна практика іноді призводить до помилкових спрацьовувань і блокування легальних повідомлень. Ми вважаємо, що в цьому відношенні логічніше застосовувати не два паралельно діючих продукту, а додаткові розширення для поштового сервера. У СМБ-секторі в ролі такого рішення може бути встановлений MS Exchange Server, Kerio Connect, CommuniGate Pro, Postfix, MDaemon або Sendmail. Для кожного з них існує кілька антиспам-рішень, чия функціональність, в принципі, схожа.

Класичний модуль по боротьбі зі спамом, який встановлюється на поштовий сервер, являє собою систему, що працює на основі вбудованих і призначених для користувача правил, заданих системним адміністратором і об'єднаних в централізоване рішення, - наприклад, заборона прийому всіх листів, що містять ієрогліфи. Тут вже можуть використовуватися відразу декілька технологій і на підставі аналізу проміжних результатів по кожній з перевірок виноситься оцінка для даного повідомлення. Примітно, що саме на серверних антиспам-клієнтів передбачена функція настройки реакції на вхідну небажану кореспонденцію, наприклад, повернення листа з помилкою про неіснуючу акаунті пошти. Крім цього, тільки на серверних продуктах є можливість управляти групами користувачів, призначаючи кожної з них індивідуальні правила сортування повідомлень - зокрема, залишати низький рівень перевірки на спам для відділу продажів і піднімати на максимальний рівень детектування для топ-менеджменту.

Відмінності між серверними антиспам-продуктами складаються, по-перше, в підтримці тих чи інших платформ і працюють на них поштових серверів (це відбивається в тому числі в зручній налаштуванні правил - не на всіх Unix-системах має сенс використовувати графічний інтерфейс, тому у антиспаму повинна бути підтримка консольного режиму роботи), по-друге, в кількості і якості реалізованих методик детектування і відсіювання (можуть застосовуватися як широко відомі відкриті розробки та поповнюються спільнотою користувачів бази даних, так і зак итое ноу-хау розробника рішення), по-третє, в продуктивності (оскільки далеко не всі антиспам-фільтри діють непомітно для користувача, затримуючи почту не на секунди, але на хвилини).

GFI MailEssentials

Подібні серверні антиспам-рішення є у більшості антивірусних вендорів, і дуже часто вони є комплексними (тобто додатково включають поштову антивірус). До числа найпопулярніших одиночних продуктів відносяться GFI MailEssentials , «Спамоборона» від «Яндекс» і SpamAssasin . Перший підтримує роботу з серверами MS Exchange, надаючи комплексний детектор на базі трьох технологій (інтелектуальний аналіз заголовків, база правил і перевірка IP-адрес і DNS). Продукт від «Яндекс» відрізняється легковажністю (на середньому серверному комп'ютері він перевіряє близько 15 листів в секунду) і простотою в налаштуванні. SpamAssasin примітний своєю відкритістю (це відгалуження від відомого веб-сервера Apache) і можливістю розгортання та доопрацювання в рамках практично будь-який ІТ-інфраструктури, оскільки написаний на Perl.