Борьба со спамом теперь в "облаке"Автор: Михаил Брод
Опубликовано: 11.10.2010
Источник: SoftKey.info  Электронная почта - очень удобное средство общения. Нескольких минут достаточно для того, чтобы ваше сообщение дошло до адресата. Быстро, выгодно, удобно. Но у этого удобства есть и обратная сторона - на ваш электронный адрес (а узнать его или просто подставить наобум очень несложно) могут приходить сообщения, совершенно вам не нужные. Это - спам. И существовать он будет столько, сколько будет существовать электронная почта. Если со спамом не бороться, то он заполонит ваш почтовый ящик и выделить из всех пришедших сообщений нужные будет затруднительно. Единственный выход - не допускать нежелательные рассылки до вашего почтового ящика.
Средств борьбы со спамом немало, их разрабатывают различные компании. Часто в рамках одной программы применяется несколько различных методов, что позволяет более тщательно проанализировать входящие сообщения и выделить среди них нежелательные. Таким образом действует и программа GateWall Antispam, разработка компании Entensys.
GateWall Antispam - это полнофункциональный почтовый шлюз с интегрированными средствами фильтрации спама и антивирусной проверки. Кроме фильтрации, программа поддерживает архивацию сообщений, обработку сообщений с помощью правил, а также функцию "автоответ". GateWall Antispam поддерживает несколько методов фильтрации спама: фильтрация на основе DNS, фильтрация на основе онлайн-сервиса ("облачный антиспам"), фильтрация на основе статистики (собственная реализация фильтрации Байеса). Кроме этого, GateWall Antispam поддерживает контроль SMTP-протокола (контроль правильности команд в соответствии с RFC), ограничивает максимальный размер письма, максимальное количество получателей и так далее.
Рассматриваемая программа - это серверное решение, разработанное по модульному принципу. Взаимодействие между модулями, выполняющими каждый свою конкретную задачу, обеспечивает специальный модуль-координатор. В состав программы включены модули SMTP- и IMAP-клиентов, планировщик, модуль обработки сообщений, модуль статистики и некоторые другие. В зависимости от потребностей отдельные модули могут быть в настройках программы отключены (например, модуль IMAP-клиента, если он не требуется для подключения к почтовому серверу).
В программе реализована определенная последовательность выполнения проверок, включающая все поддержанные методики. Но часть из них (например, "облачный фильтр") можно отключить. Настройка видов проверки выполняется через панель управления.
На первом этапе выполняется проверка входящих на 25 порт соединений. Проверка выполняется на основе сформированного администратором "белого" списка. "Белые" и "черные" списки формируются на закладке "Антиспам - черные и белые списки". Допускается указывать адреса серверов в различных вариантах - как IP-адрес или диапазон адресов, название домена или название почтового обменника домена (запись MX). На основе этих данных сервер формирует глобальные списки разрешенных и запрещенных адресов. Соединения с адресов, включенных в "белый" список, пропускаются без дальнейших проверок, для "черного" списка сервер соединение закрывает. На этой же закладке можно сформировать аналогичные списки адресов получателей и отправителей, по которым будет проводиться проверка на следующих этапах.
Соединения с адресов, не включенных ни в один из этих списков, проходят все последующие проверки, первой из которых является проверка на "черные" списки DNSBL, если эта проверка включена. В настройках DNSBL указываются адреса DNSBL-серверов, которые используются для проверки, а также список исключений.
Но вообще-то "черные" и "белые" списки, особенно при использовании проверки DNSBL, чреваты отрицательными последствиями, поскольку любой "добропорядочный" почтовый домен может оказаться включенным в один из используемых списков и все письма, приходящие с него, будут автоматически попадать в спам. Сегодня значительно более качественным вариантом фильтрации спама является использование "облачной" технологии, о которой речь пойдет далее.
Сообщения, прошедшие этот этап проверки, проверяются по адресу источника. Если адрес пустой, то сообщение проверяется на BackScatter. Эта проверка предназначена для блокировки служебных сообщений, например сообщений о невозможности доставки, когда спам-рассылка производится с подстановкой вашего домена и серверы-получатели высылают сообщения о невозможности доставки рассылки адресатам.
Следующий этап проверки - на наличие MX-записи у домена, с которого пришло сообщение, и наличие у домена записи SPF (Sender Policy Framework). Какие действия должен предпринимать GateWall Antispam по результатам таких проверок, задается в соответствующих настройках.
Но даже если сообщение успешно прошло все эти проверки, фильтрация на этом не заканчивается, хотя и вступает в новую стадию. Теперь выполняется проверка по адресу назначения. И снова полученный адрес проверяется на вхождение уже в свои "черные" и "белые" списки. А отсутствующие в списках адреса проверяются на их наличие на почтовом сервере назначения.
На основе проверенных сообщений программа формирует так называемый "триплет", в который включаются IP-адрес источника, адрес отправителя и получателя. Настройки программы устанавливают срок хранения этих записей. Если для нового сообщения сформированный триплет отсутствует в таком списке, то он помещается в "серый" список и серверу-отправителю направляется письмо о временной ошибке. Если в ответ выполняется повторная отправка письма, то сведения о триплете добавляются в список проверенных и письмо благополучно проходит на следующий этап проверки. Проблема лишь в том, что не все почтовые серверы настроены правильно и корректно реагируют на полученные уведомления. В результате повторная отправка важного письма может и не состояться.
И последний этап проверки, когда проверяется на наличие спама тело письма. На первом шаге проверяется заголовок MIME (в частности - путь доставки). На следующем шаге - проверка всего сообщения с использованием технологии "облачный антиспам" (на этой технологии остановимся далее более подробно). И, наконец, проверка, основанная на использовании методики фильтрации Байеса. Реализация последнего выполнена силами разработчиков программы и при использовании для проверки технологии "облачного антиспама" обеспечивает автоматическое обучение на сообщениях, распознанных как корректные.
После всех проверок входящих писем на наличие в них спама выполняется антивирусная проверка (программа поддерживает антивирусные модули Касперского и Panda). И если все в порядке - выполняется обработка сообщений в соответствии с настроенными правилами.
Все, как и в других аналогичных программах. Если бы не одно нововведение. В программе GateWall Antispam используется совершенно новый для российских продуктов метод обнаружения спама, основанный на использовании сервиса CommTouch. Этот метод называют также "облачным антиспамом" (фактически - это SaaS-сервис для борьбы со спамом). Он отфильтровывает письма, основываясь на анализе их содержания и эвристике. Технология Commtouch позволяет анализировать спам-сообщения на любых языках, а также графические сообщения.
Для реализации задачи качественного определения спама для CommTouch развернуты по всему миру сотни серверов, которые собирают и анализируют информацию. Для предупреждения и раннего выявления различного рода атак Commtouch постоянно мониторит Интернет и выявляет массовые вспышки эпидемий, как только они появляются. Статистика использования этого метода говорит о том, что уровень распознавания спама составляет более 97%. Это очень хороший показатель. А уровень ложного срабатывания, когда обычное письмо принимается за спам, дает совершенно ничтожную цифру - одно срабатывание на почти полтора миллиона сообщений.
Разработчики этой методики обнаружения спама и иных нежелательных писем взяли за основу то, что любые атаки - спамерские, вирусные или иные - характеризуются массовостью их возникновения и длятся, как правило, непродолжительное время. При этом рассылаемые сообщения постоянно видоизменяются, что затрудняет использовать обычные фильтры. Но тем не менее все сообщения в рамках каждой отдельной атаки несут в себе одно или несколько уникальных значений, которые могут быть идентифицированы. Эта уникальность в совокупности с массовостью их появлений и дает возможность уже в самом начале атаки распознать ее и поставить заслон новой угрозе.
Еще одно отличие этого способа определения спама или вирусов заключается в том, что на сервис направляется не само письмо (следовательно, достоверные письма никто не прочитает), а только его хеш. (Кроме всего прочего, такой вариант проверки не ведет к резкому увеличению сетевого трафика.) Для сообщения, распознанного как спам или содержащего вирус, будет направлено уведомление, на основании которого GateWall Antispam переместит исходное сообщение в карантин. Что делать с ним дальше - будет решать уже администратор.
"Облачное" решение предоставляет пользователям рассматриваемой программы дополнительную качественную защиту, снижает число нежелательных сообщений, резко уменьшает угрозу вирусных атак. В результате использования этого метода защиты от спама и иных нежелательных вложений программа GateWall Antispam становится более привлекательной для пользователей и повышает уровень защиты локальных сетей и отдельных компьютеров.
|
