Контакты

Обзор системы защиты от спама Kaspersky Anti-Spam. Методы борьбы со спамом Преимущества предлагаемого решения

Это новый продукт "Лаборатории Касперского", предназначенный для комплексной защиты домашнего компьютера. Эта программа обеспечивает одновременную надежную защиту от вирусов, хакеров и спама. Модуль Kaspersky Anti-Spam является одним из элементов этой системы защиты домашнего компьютера. Прежде всего надо отметить, что Kaspersky Anti-Spam не является самостоятельным продуктом и не работает отдельно от Kaspersky Personal Security Suite. В некоторой степени это можно назвать недостатком, так как пользователи не могут использовать Kaspersky Anti-Spam отдельно, но и комплексная защита имеет свои несомненные достоинства.

Антивирусная защита и межсетевой экран от не раз рассматривались на страницах нашего издания. Поэтому в этой статье мы рассмотрим исключительно работу антиспам-модуля.

Основа Kaspersky Anti-Spam - интеллектуальная технология SpamTest, которая обеспечивает: нечеткое (то есть срабатывающее и при неполном совпадении) сравнение проверяемого письма с образцами - письмами, ранее идентифицированными как спам; выявление в тексте письма фраз, характерных для спама; обнаружение картинок, ранее использованных в спамерских письмах. Кроме перечисленных выше критериев для идентификации спама используются и формальные параметры, в числе которых:

  • "черные" и "белые" списки, которые может вести пользователь;
  • различные особенности заголовков почтового сообщения, характерные для спама, - например, признаки фальсификации адреса отправителя;
  • приемы, применяемые спамерами для обмана почтовых фильтров, - случайные последовательности, замена и удвоение букв, текст белым по белому и другие;
  • проверка не только текста самого письма, но и вложенных файлов в форматах plain text, HTML, MS Word, RTF и других.

Инсталляция антиспам-модуля

Модуль устанавливается при инсталляции Kaspersky Personal Security Suite. При выборе параметров инсталляции пользователь, использующий другие, отличные от почтовых программ Microsoft почтовые клиенты, может не устанавливать модуль для Microsoft Outlook.

Надо отметить, что Kaspersky Anti-Spam проверяет любую корреспонденцию, поступающую по почтовому протоколу SMTP. Благодаря этому он может отсеивать спам в любой почтовой программе, но об этом ниже.

Интеграция в Microsoft Outlook Express

Программа не имеет своего интерфейса как такового. В Microsoft Outlook Express модуль Kaspersky Anti-Spam интегрируется в виде меню и в виде дополнительной панели.

Можно отметить некоторое неудобство при использовании этой панели, правда, никак не связанное с самим антиспам-модулем. В силу принципов работы механизма программы Microsoft Outlook Express панель Kaspersky Anti-Spam невозможно закрепить в удобном для пользователя месте. При каждом запуске программы панель будет появляться третьей по счету. Придется постоянно переносить ее в удобное место либо смириться с таким положением вещей.

Работа программы

При приеме почты Kaspersky Anti-Spam производит анализ поступающей корреспонденции. При обнаружении спама письмо помечается специальной меткой [!! SPAM] в поле "Тема" и помещается в папку "Удаленные". Письма, распознанные как не спам, ничем не помечаются и обрабатываются почтовой программой в соответствии с установленными правилами. Если программа не уверена, что письмо спамерское, то ставится метка [?? Probable Spam] и письмо помещается в папку "Входящие" для принятия пользователем окончательного решения. Кроме этого программой используются еще два вида меток: - для писем с непристойным содержанием и - для автоматически генерируемых писем, например писем от почтовых роботов.

Благодаря таким меткам можно организовать работу Kaspersky Anti-Spam с любой другой почтовой программой. Достаточно создать правила в почтовом клиенте для сортировки писем по этим меткам. В самой же Microsoft Outlook такие папки создаются одним нажатием кнопки в окне настроек антиспам-модуля.

Обучение программы

Обучение программы может происходить двумя способами: путем классификации принятых сообщений пользователем как спам - не спам и за счет загрузки обновлений с сервера "Лаборатории". Первый способ позволяет обучать программу под личную почту пользователя, второй - оперативно реагировать на массовые явления спама в Интернете.

При первом запуске Kaspersky Anti-Spam извлечет из адресной книги Microsoft Outlook все адреса для помещения их в "Список друзей". Все письма от этих адресатов будут восприниматься антиспам-модулем как не спам и пропускаться без проверки. Впоследствии пользователь может отредактировать этот список, добавляя или удаляя в него адресатов. Кроме "Списка друзей" есть еще и "Список врагов". Любая корреспонденция, полученная от адресатов из "Списка врагов", будет однозначно оцениваться как спам.

Добавление адресатов в списки друзей или врагов осуществляется простым нажатием специальной кнопки на панели Kaspersky Anti-Spam. Там же производится обучение. При пропуске спам-письма нужно просто нажать кнопку "Это спам". Появится окно, в котором пользователь должен указать программе, что делать с данным сообщением.

Команда "Отослать как пример спама" формирует письмо в "Лабораторию Касперского" с сообщением о спаме для дальнейшего обучения. Этой командой можно пренебречь. Можно пренебречь и добавлением автора к врагам, но обязательно стоит добавить письмо к образцам спама. Так происходит обучение программы под личную корреспонденцию.

Так как Kaspersky Anti-Spam не интегрируется в другие почтовые клиенты, его обучение в этих программах возможно только за счет обновлений, получаемых с сервера "Лаборатории". К сожалению, такой вариант обучения не дает возможности обучить программу под особенности личной почты.

Настройки

В настройках программы можно: указать места размещения баз модуля, если пользователь хочет, чтобы они хранились в нестандартном месте; отключить или включить фильтрацию; задать параметры обновления и просмотреть статистику.

Модуль Kaspersky Anti-Spam обеспечивает достаточно полную защиту почты пользователя от спама. Как и любая другая программа, он требует обучения. И пока это обучение происходит, возможны ошибочные распознавания правильных писем как спам и наоборот. Относительным недостатком можно назвать то, что модуль не позволяет удалять на сервере письма, которые являются явным спамом. Пользователю все равно приходится расходовать свой трафик на эти ненужные ему письма. С другой стороны, при таком подходе к фильтрации спама ни одно ценное сообщение не потеряется. Во всем остальном Kaspersky Anti-Spam заслуживает самого серьезного внимания, особенно если учесть интеграцию модуля с другими программами, обеспечивающими безопасность компьютера пользователя.

Какие существуют методы борьбы со спамом?

Существуют два основных метода защиты почтового сервера от спама: защита от поступления спама на этапе получения почтовым сервером и «отделение спама» от остальной почты уже после получения почтовым сервером.

Среди первого метода наиболее популярны такие способы как использование DNS Black List (DNSBL), Greylisting и различные задержки при отправке почты; использование различных технических средств, таких как проверка существования пользователя на отправляющей стороне (callback), проверка «правильности» отправляющего сервера такими методами как наличие записи в реверсной зоне DNS, легальности имени при установке SMTP-сессии (helo), проверка SPF записи (для работы этого в DNS записи о хосте используется соответствующая запись о легальных серверах отправителей).

Среди методики анализа содержимого письма наиболее популярны такие методы как проверка по различным алгоритмам, таким как поиск особых ключевых слов рекламного характера или на основе теоремы Бейеса. Алгоритм на основе теоремы Бейеса содержит в себе элементы теории вероятности, изначально обучается пользователем на письма которые по его мнению являются спамом и в дальнейшем отделяет по характерным признакам сообщения в которых содержится спам.

Итак, рассмотрим более подробно данные методы фильтрации электронной почты.

Черные списки или DNSBL (DNS Black Lists)

В черные списки заносятся адреса, с которых производится рассылка спама. Широко используются такие списки, как «открытые ретрансляторы» и «открытые прокси», и различные списки динамических адресов, которые выделяются провайдерами для конечных пользователей. Благодаря простоте реализации использование этих черных списков производится через службу DNS.

Серые списки или грейлистинг (Greylisting)

Принцип действия серых списков (Greylisting) основан на тактике рассылки спама. Как правило, спам рассылается в очень короткое время в большом количестве с какого-либо сервера. Работа серого списка заключается в намеренной задержке получения писем на некоторое время. При этом адрес и время пересылки заносится в базу данных серого списка. Если удалённый компьютер является настоящим почтовым сервером, то он должен сохранить письмо в очереди и повторять пересылку в течение пяти дней. Спам-боты, как правило, писем в очереди не сохраняют, поэтому спустя непродолжительное время, прекращают попытки переслать письмо. Экспериментальным путём установлено, что в среднем время рассылки спама составляет чуть больше часа. При повторной пересылке письма с этого же адреса, если с момента первой попытки прошло необходимое количество времени письмо принимается и адрес заносится в локальный белый список на достаточно длительный срок.

Анализ эффективности

Первые два метода позволяют отсеивать около 90% спама еще на этапе доставки в почтовый ящик. Уже доставленную почту можно разметить средствами анализа содержимого письма, например, используя программу SpamAssassin. Данный продукт позволяет на основе особых алгоритмов добавлять в заголовки письма соответствующие строки, а пользователь, на основе почтовых фильтров в почтовом клиенте, может отфильтровать почту в нужные папки почтовой программы.

Заключение

Разумеется, существуют и другие способы защиты от спама, наиболее действенными, к сожалению, на данный момент являются превентивные меры, такие как не оставлять свой реальный электронный почтовый ящик на сайтах, форумах и досках объявлений, используя для подобных нужд временные адреса, которые в последствии можно удалить, в случае необходимости публикации почтового ящика на сайте вместо текста использовать графическое изображение и тому подобные меры.

Подключить и настроить GreyListing вы можете через панель ISPmanager в разделе "Возможности"

Более подробно о настройке методов борьбы со спамом через панель управления Вы можете узнать здесь DNSBL и здесь Greylisting.

- €55-250 млн. ежегодно. 60% мирового почтового трафика.
50-75% от всего российского почтового трафика. Современные антиспамовые средства фильтруют 85-98% спама. Объем мирового рынка продаж антиспам-фильтров и сервисов в 2004 году составил примерно $500 миллионов (по оценке IDC).
Большинство поставщиков антивирусов включили антиспам-компоненты в свои продукты. В течение года было совершено несколько покупок производителей антиспамерского ПО антивирусными компаниями (в частности, покупка компании BrightMail компанией Symantec за $340 миллионов). В России антиспам-фильтры установили большинство держателей публичных почтовых сервисов и большинство провайдеров, что позволило снять остроту проблемы спама для их клиентов. Несомненным лидером в России по объему продаж и количеству защищаемых почтовых ящиков является технология Спамтест.
1. ПРОФИЛАКТИКА №1 средство борьбы против спама - защитить свой адрес. Не будут спаммеры знать ваш адрес - не будет спама. Засветите свой адрес в сети, придется его выбрасывать и заводить новый, это будет лишь делом времени. И, как результат, сообщать снова всем вашим друзьям и партнерам новый адрес, при этом возможна потеря ряда контактов. Чтобы этого не произошло Заведите два email адреса. Один адрес для долговременных контактов (его не светите в сети).
Другой адрес для завязывания контактов, использования в сети (чаты, доски объявлений и т.д.).
Тогда на первом адресе никакого спама быть не должно, ведь он не известен в сети.
Когда же пойдет спам на второй адрес, просто выбросьте его и заведите новый.
2. ВЫБОР ИМЕНИ Люди стремятся получить наиболее лаконичный адрес. Скажем, sergey @mail.ru - это круто и как жаль, что все простые адреса уже заняты. Будьте уверенны, что на [email protected] спам сыпется без остановки. Это круто иметь лаконичное имя сайта, а адрес почты всё равно придется сообщать каждому лично, пусть он будет из цифр или оригинальным, не избитое слово. Кстати, для этой цели ведущая почта gmail.com регистрирует имена не короче 6 символов. Все короткие имена давно уже занесены в спам списки.
3. СПЕЦСИМВОЛЫ HTML Самый простой и наиболее часто использующийся способ защиты от "пауков" - кодирование адреса электронной почты с помощью спецсимволов HTML. Вместо собачки - @ . Но сегодня этот способ безнадежно устарел.
Роботы без труда находят такие адреса.
4. JAVASCRIPT На страничке генератор кода против спама вы сможете сгенерировать свой скрипт. Так, как эти скрипты для скрытия адреса создаются кустарно, то они очень разношерстные и нет программ, которые бы умели выуживать email из JavaScript. Сегодня это самая надежная защита адреса в сети.
5. АНТИСПАММЕРЫ Но, что если вы засветились, или вы настолько известны, что вам невозможно не засветиться, тут без антиспаммера не обойтись. Есть много программ антиспаммеров, вы можете их скачать в сети.
Чего делать не советую.
Я пришел к выводу, что все эти антиспамы - маленькие и слабенькие, а толковый антиспам человеку не потянуть, это по силам только солидной компании, скажем такой, как Gmail.com . У них спам остается на сервере, всегда можно зайти и подкорректировать. Так что мой настоятельный совет: заведите себе почту на Гуглях.
Лучшего спамфильтра я не встречал, весь спам остается на сервере, который при желании всегда можно посмотреть и подкорректировать. Антиспаммеры не решают полностью проблему, а облегчают жизнь в проблеме.
6. КАРМАННЫЕ PC И WAP Спам достиг и этого уровня, но сегодня есть достаточно надежные средства защиты. Потому развитие этого вопроса не актуально.

Современная спам-рассылка распространяется в сотнях тысяч экземпляров всего за несколько десятков минут. Чаще всего спам идет через зараженные вредоносными программами пользовательские компьютеры - зомби-сети. Что можно противопоставить этому натиску? Современная индустрия IT-безопасности предлагает множество решений, и в арсенале антиспамеров есть различные технологии. Однако ни одна из существующих технологий не является магической «серебряной пулей» против спама. Универсального решения просто не существует. Большинство современных продуктов используют несколько технологий, иначе эффективность продукта будет не высока.

Ниже перечислены наиболее известные и распространенные технологии.

Черные списки

Они же DNSBL (DNS-based Blackhole Lists). Это одна из наиболее старых антиспам-технологий. Блокируют почту, идущую с IP-серверов, перечисленных в списке.

  • Плюсы: Черный список на 100% отсекает почту из подозрительного источника.
  • Минусы: Дают высокий уровень ложных срабатываний, поэтому применять следует с осторожностью.

Контроль массовости (DCC, Razor, Pyzor)

Технология предполагает выявление в потоке почты массовых сообщений, которые абсолютно идентичны или различаются незначительно. Для построения работоспособного «массового» анализатора требуются огромные потоки почты, поэтому эту технологию предлагают крупные производители, обладающие значительными объемами почты, которую они могут подвергнуть анализу.

  • Плюсы: Если технология сработала, то она гарантировано определила массовую рассылку.
  • Минусы: Во-первых, «большая» рассылка может оказаться не спамом, а вполне легитимной почтой (например, Ozon.ru, Subscribe.ru тысячами расылают практически одинаковые сообщения, но это не спам). Во-вторых, спамеры умеют «пробивать» такую защиту с помощью интеллектуальных технологий. Они используют ПО, генерирующее разный контент - текст, графику и т.п. - в каждом спамерском письме. В итоге контроль массовости не срабатывает.

Проверка интернет-заголовков сообщения

Спамеры пишут специальные программы для генерации спамерских сообщений и их мгновенного распространения. При этом они допускают ошибки в оформлении заголовков, в результате спам далеко не всегда соответствуют требованиям почтового стандарта RFC, описывающего формат заголовков. По этим ошибкам можно вычислить спамерское сообщение.

  • Плюсы: Процесс распознавания и фильтрации спама прозрачный, регламентированный стандартами и достаточно надежный.
  • Минусы: Спамеры быстро учатся, и ошибок в заголовках спама становится все меньше. Использование только этой технологии позволит задержать не более трети всего спама.

Контентная фильтрация

Также одна из старых, проверенных технологий. Спамерское сообщение проверяется на наличие специфических для спама слов, фрагментов текста, картинок и других характерных спамерских черт. Контентная фильтрация начиналась с анализа темы сообщения и тех его частей, которые содержали текст (plain text, HTML), но сейчас спам-фильтры проверяют все части, включая графические вложения.

В результате анализа может быть построена текстовая сигнатура или произведен подсчет «спамерского веса» сообщения.

  • Плюсы: Гибкость, возможность быстрой «тонкой» настройки. Системы, работающие на такой технологии, легко подстраиваются под новые виды спама и редко ошибаются с разграничением спама и нормальной почты.
  • Минусы: Обычно требуются обновления. Настройкой фильтра занимаются специально обученные люди, иногда - целые антиспам-лаборатории. Такая поддержка дорого стоит, что сказывается на стоимости спам-фильтра. Спамеры изобретают специальные трюки для обхода этой технологии: вносят в спам случайный «шум», затрудняющий поиск спамерских характеристик сообщения и их оценку. Например, используют в словах небуквенные символы (вот так, например, может выглядеть при использования этого приема слово viagra: vi_a_gra или [email protected]@), генерируют вариативный цветной фон в изображениях и т.п.

Контентная фильтрация: байес

Статистическией байесовские алгоритмы также предназначены для анализа контента. Байесовские фильтры не нуждаются в постоянной настройке. Все, что им нужно - это предварительное обучение. После этого фильтр подстраивается под тематики писем, типичные для данного конкретного пользователя. Тем самым, если пользователь работает в системе образования и проводит тренинги, то лично у него сообщения данной тематики не будут распознаваться как спам. У тех, кому предложения посетить тренинг не нужны, статистический фильтр отнесет такие сообщения к спаму.

  • Плюсы: Индивидуальная настройка.
  • Минусы: Лучше всего работает на индивидуальном потоке почты. Настроить «байес» на корпоративном сервере с разнородной почтой - сложная и неблагодарная задача. Главное, что конечный результат будет намного хуже, чем для индивидуальных ящиков. Если пользователь ленится и не обучает фильтр, то технология не будет эффективной. Спамеры специально работают над обходом байесовских фильтров, и это у них получается.

Грейлистинг

Временный отказ в приеме сообщения. Отказ идет с кодом ошибки, который понимают все почтовые системы. Спустя некоторое время они повторно присылают сообщение. А программы, рассылающие спам, в таком случае повторно письмо не отправляют.

  • Плюсы: Да, это тоже решение.
  • Минусы: Задержка в доставке почты. Для многих пользователей такое решение неприемлемо.
Понравилась статья? Поделитесь ей