В последнее время страсти вокруг спама несколько поутихли. По крайней мере, в прессе эта тема поднимается все реже и реже. Однако, это совсем не значит, что проблема спама решена. Просто пресса стала меньше обращать на нее внимания. И в этом нет абсолютно ничего удивительного. Народу уже надоело читать про спам. Все свыклись с ним и привыкли считать его неизбежным злом. Между тем, проблема эта продолжает существовать. Объемы спама постоянно растут. Кроме того, меняется его качественный состав. Так что угроза становится лишь серьезнее.
И это не просто слова. Они подтверждаются исследованиями, правда, не такими уж и многочисленными. Считается, что ежегодные потери мировой экономики от спама исчисляются десятками миллиардов долларов. В России, понятно, это цифра значительно ниже. Так, например, по данным аудиторской и консалтинговой компании "ФБК" в 2009 году российская экономика потеряла из-за незапрошенной рекламной корреспонденции до 2 миллиардов долларов. На первый взгляд, эта цифра относительно мировой кажется не такой уж и великой. Однако это скорее связано с низким уровнем финансового благосостояния экономики. Потому что по объемам генерируемого спама наша страна уверенно держится в первой пятерке.
Но и это еще не все. Исследования показывают, что с каждым годом структура спама изменяется. Безусловным лидером среди российских рассылок является реклама различных товаров и услуг. Это многочисленные курсы английского языка, обучающие диски, товары медицинского назначения, БАДы, реплики элитных часов и сотовых телефонов и многое, многое другое. Причем среди тех, кто прибегает для рекламы своего товара к спаму, велик процент недобросовестных продавцов. Однако постепенно растет доля всевозможных злоумышленников. Спам используется для организации фишинговых атак, рассылки вредоносного программного обеспечения или заманивая пользователей на страницы его распространения, рассылки "нигерийских" писем и прочих мошенничеств.
Все это говорит о том, что проблема спама, несмотря на ослабление внимания к ней со стороны общественности, стоит очень и очень остро. И особенно актуальна она для компаний, поскольку именно их потери от незапрошенной рекламной корреспонденции наиболее велики. Кроме того, в большинстве корпоративных информационных систем спам отфильтровывается на уровне рабочих станций встроенными в почтовые клиенты или антивирусные средства инструментами. Такой подход – серьезная ошибка в организации работы корпоративной почты. Дело в том, что описанные инструменты часто требуют настройки и обучения. Заниматься этим приходится самим сотрудникам, которые не являются экспертами в области информационной безопасности. А поэтому зачастую такая защита от спама оказывается недостаточно эффективной, вследствие чего большая часть ненужных писем все-таки попадает в почтовые ящики. А это приводит к тому, что сотрудники тратят свое рабочее время на разбор незапрошенной рекламы. Кроме того, спам в рабочих почтовых ящиков – это потенциальная угроза корпоративной информационной безопасности.
Оптимальным решением проблемы спама является фильтрация корреспонденции на уровне почтового сервера (конечно, если он есть в корпоративной информационной системе). В этом случае могут использоваться единые настройки, а контроль и мониторинг над эффективностью работы антиспама может осуществлять ответственный сотрудник ИТ-отдела. Кроме того, специализированные решения, использующие многоступенчатую фильтрацию, обычно оказываются более действенными, нежели относительно простые байесовские фильтры, встроенные в почтовые клиенты и антивирусные программы.
Вот только необходимо учитывать, что далеко не во всех корпоративных информационных системах есть почтовые сервера, оборудованные серьезными системами защиты от спама. Более того, многие компании вообще обходится без почтового сервера, пользуясь предоставляемыми хостинг-провайдерами почтовыми ящиками. Что же делать таким фирмам? Ответ на этот вопрос заключается в использовании шлюзового антиспама. По аналогии с антивирусом, работающим на уровне интернет-шлюза, такие системы способны контролировать всю входящую корреспонденцию по всем заданным ящикам, и отсеивать спам, не пропуская его на рабочие станции сотрудников. В качестве примера шлюзового антиспама можно привести продукт GateWall Antispam от компании Entensys Corporation.
Откровенно говоря, называть GateWall Antispam просто антиспамом, пусть даже и шлюзовым, не совсем корректно. Дело в том, что данный продукт, несмотря на свое название – полноценный почтовый шлюз, в который интегрировано все необходимое, включая антивирусные средства проверки электронных писем, систему их обработки с помощью правил, а также инструменты для архивации корреспонденции. Тем не менее, нас в первую очередь интересует именно "антиспамовое" действие GateWall Antispam.
Как мы уже говорили, главное его преимущество – возможность централизованной защиты всех корпоративных почтовых ящиков, выполняемое без каких-либо вмешательств со стороны сотрудников компании. Для этого в продукте реализован целый ряд модулей, которые позволяют загружать письма с указанных аккаунтов, отфильтровывать их и отправлять на введенные в настройках сервера, а также выполнять другие операции. Еще одним важным плюсом GateWall Antispam является высокая степень эффективности определения спама. Для этого в нем есть широкий спектр инструментов для защиты от незапрошенной корреспонденции. Программа осуществляет поэтапную фильтрацию, на каждом из шагов которой письмо может быть признано спамом.
Первый этап – фильтрация входящих TCP-соединений. Ее выполнение начинается с проверки на вхождение соединений в "белого" или "черного" списка, заданные администратором системы. В эти перечни включаться отдельные IP-адреса и целые их диапазоны, домены, а также почтовые обменники доменов. Соответственно, если входящее соединение попадает в "белый" список, то оно уже не проходит дальнейшую проверку, а если в "черный", то тут же закрывается. Те соединения, которые не попадают ни в один из перечней, проверяются с помощью технологии DNSBL. Речь идет об использовании общедоступных баз данных IP-адресов, принадлежащих серверам, которые были "уличены" в рассылке спама.
Второй этап – фильтрация по адресу отправителя письма. Причем в первую очередь проверяется наличие этого адреса. Дело в том, что в некоторых видах спама поле MAIL FROM остается пустым (так же, как и во многих служебных сообщениях). После этого адреса отправителя проверяется на нахождение в "белом" и "черном" списках, а его домен – на наличие MX-записи и SPF. В заключение GateWall Antispam осуществляет фильтрацию по технологии RHSBL. В процессе нее отсеиваются адреса из доменов, попавших в общедоступные спам-листы.
Следующий шаг – фильтрация по адресу получателя. Здесь дело также не ограничивается простыми "черным" и "белым" списками. На данном этапе проверяется наличие указанного адреса на обслуживаемом почтовом сервере. Также в GateWall Antispam реализована технология Greylisting. Суть ее заключается в том, что при получении письма система не пропускает его, а высылает отправителю уведомление с просьбой повторить сообщение. Если она будет выполнена, письмо попадет адресату. В противном случае оно может быть признано спамом (обычно спамеры не повторяют своих писем и никак не реагируют на ответы). Еще одним инструментом защиты является технология Trapping. Она заключается в создании искусственной задержки в ответах сервера при получении многочисленных новых адресов назначения. С ее помощью можно защититься от приема подбора адресатов, иногда используемого спамерами.
Заключительный этап проверки писем – фильтрация по содержимому. Для этого используется так называемый "облачный" антиспам. Это специальный распределенный онлайн-сервис, который эффективно выявляет незапрошенную рекламную корреспонденцию. В его качестве используется разработка компании Commtouch – одного из мировых лидеров в области борьбы с почтовым мусором. По заявлениям разработчиков, уровень детекции спама в нем достигает 97%, а вероятность ложного срабатывания не превышает 1 случая на 1,5 миллиона писем. Стоит отметить, что в состав "облачного" антиспама входит антивирус Commtouch Zero-Hour.
Письма, прошедшие "облачный" антиспам, проверяются собственным статистическим фильтром на основе алгоритма Байеса, встроенными антивирусными модулями от "Лаборатории Касперского" и Panda Software (естественно, если компания приобрела соответствующие лицензии), а также проверяются на наличие в теле спам-ссылок. Но и это еще не конец. В заключение корреспонденция обрабатывается с помощью правил, заданных администратором. Они представляют собой ряд условий, объединенных логическими операциями "И" и "ИЛИ", при выполнении которых программа выполняет заданные администратором действия. Их наличие позволяет настроить очень гибкую реакцию система на те или иные потенциальные угрозы.
Естественно, совсем не обязательно использовать все реализованные в GateWall Antispam инструменты защиты. Зачастую применение некоторых систем фильтрации, например, технологии Greylisting, просто-напросто неприемлемо. Кроме того, при небольшом потоке спама можно обойтись лишь несколькими базовыми системами фильтрации. Однако нельзя не признать, что собрание такого большого числа инструментов в единой системе фильтрации встречается нечасто.
(Пока оценок нет)
Загрузка...