Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 61 в этом номере: Новости Технология SPF - за и против. Анализ предлагаемых решений и опыт практического использования метода SPF А. Тутубалин Часть 2 Новости Антиспамовая индустрия консолидируется 26.07.2004 В настоящее время услуги и средства для борьбы со спамом предлагают 100-150 компаний. По оценкам специалистов, в этом секторе ожидается консолидация рынка. Эксперты утверждают, что на антиспамовом рынке слишком много вендоров, и многие из них будут либо поглощены конкурентами, либо покинут этот бизнес. Уже к концу 2005 года ожидается более дюжины слияний. В конечном итоге на поле останутся несколько крупных игроков, предлагающих потребителям полнофункциональные антиспамовые решения. При этом, по мнению экспертов, цена на антиспамовые продукты не сильно изменится, поскольку уровень конкуренции останется достаточно высоким. Уже сейчас крупные разработчики средств компьютерной безопасности стремятся приобретать небольшие многообещающие компании-конкуренты, пополняя линейку собственных продуктов. Недавно Symantec приобрела Brightmail и TurnTide, а Tumbleweed Communications - Corvigo. Крупнейшие игроки ИТ-рынка заключают партнерские соглашения с антиспамовыми компаниями, результатом которых может стать приобретение контрольных пакетов акций этих компаний. IBM объявила о заключении договора о сотрудничестве с компанией MessageLabs и выходе, таким образом, на рынок антиспамовых фильтров, а Trend Micro совместно с Postini разрабатывает собственные антиспамовые инструменты. Еще один фактор, который может вынудить ряд разработчиков антиспамовых решений покинуть рынок - уменьшение в этом году объема венчурных инвестиций, которое отмечают эксперты. Источник: USA TODAY "Лаборатория Касперского" представляет новое поколение продуктов для защиты от спама 27.07.2004 "Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, представляет новое поколение семейства продуктов, разработанных специально для фильтрации нежелательной корреспонденции в корпоративных сетях и на уровне интернет-провайдеров - Kaspersky® Anti-Spam Enterprise Edition 2.0 и Kaspersky® Anti-Spam ISP Edition 2.0. Kaspersky Anti-Spam - это мощное средство противодействия спаму на основе многоуровневой системы фильтрации электронной почты. Не имеющая аналогов технология лингвистического анализа электронных писем позволяет системе самостоятельно анализировать текст письма и отсеивать нежелательную корреспонденцию. Помимо этого, Kaspersky Anti-Spam является единственной системой полномасштабной защиты от русскоязычного спама, что делает продукт уникальным для Рунета. Пользователи Kaspersky Anti-Spam обеспечиваются обновлениями базы лингвистических сигнатур каждые 2 часа, что позволяет эффективно противостоять самым новым спам-эпидемиям. Интегрированный модуль управления, представленный web-интерфейсом, дает системному администратору возможность оперативного изменения параметров работы программы из любой точки сети. Новое поколение семейства продуктов Kaspersky Anti-Spam включает в себя широкий ряд технологических изменений и доработок, значительно повысивших эффективность работы комплекса. Помимо улучшенной интеграции с различными почтовыми системами, продукт включает в себя инновационные технологии, позволяющие успешно распознавать новые уловки спамеров: внедрение в письмо сложных графических элементов, многоступенчатую маршрутизацию сообщений для дезориентации анализа по "черным спискам", так называемые HTML-трюки (использование "невидимого" текста, удвоение букв и т.п.). Функциональные особенности новой разработки "Лаборатории Касперского" в области фильтрации спама обеспечивают защиту клиентов от самых последних технологических приемов спамеров. С внедрением новой уникальной технологии GSG2 программный комплекс Kaspersky Anti-Spam вышел на новый качественный уровень распознавания спама, содержащего сложные графические элементы. Это делается организаторами массовых рассылок для обхода спам-фильтров. При помощи технологии GSG2 система защиты от спама способна распознавать и отсеивать даже незначительно различающиеся по графическому исполнению нежелательные сообщения, отличающиеся цветом, добавлением точек, тоном бордюра и  т.д. Ответом на оперативность действий спамеров стало усовершенствование механизма взаимодействия со службами "черных списков" адресов (RBL), с которых производятся незапрошенные рассылки. Теперь скорость выполнения запросов к RBL существенно превосходит показатели предшествующих версий. Более того, благодаря улучшению процесса работы с RBL в новой версии Kaspersky Anti-Spam реализована возможность анализа цепочки IP-адресов, что позволяет проследить маршрут рекламного сообщения и установить источник отправки. Свойственные Kaspersky Anti-Spam 2.0 изменения также значительно повысили удобство внедрения системы фильтрации спама в IT-инфраструктуру заказчика благодаря улучшенной интеграции продукта с наиболее распространенными почтовыми системами, такими как sendmail, qmail и CommuniGate Pro, Exim, Postfix. Это избавляет клиентов от необходимости обязательной установки почтовой системы Postfix и позволяет инсталлировать Kaspersky Anti-Spam в уже существующую у заказчика почтовую систему. Источник: "Лаборатория Касперского" Новый Mydoom на несколько часов затруднил доступ к крупнейшим поисковикам Интернета 27.07.2004 26 июля в течение нескольких часов доступ к поисковым системам Google, Lycos, Yahoo и принадлежащей ей AltaVista был сильно затруднен из-за огромного количества автоматических запросов, обрушившихся на них с зараженных вирусами компьютеров. Причиной сбоев стала новая версия вируса Mydoom. По мнению экспертов, создатели червя использовали поисковые системы в целях сбора адресов электронной почты - вероятно, для создания баз по рассылке спама. Новая версия Mydoom, как и все предыдущие, распространяется посредством электронной почты в виде вложений в зараженные электронные письма, которые, как правило, рассылаются от имени провайдера. Текст писем, содержащих этот вирус, примерно следующий: "Уважаемый пользователь! Мы обнаружили, что Ваш компьютер используется для рассылки спама. Скорее всего это происходит потому, что Ваш компьютер заражен вирусом. Пожалуйста, следуйте инструкциям, которые содержатся в прикрепленном файле". Вирус активизируется при запуске приложения к зараженному электронному письму. Он инсталлирует себя в систему и начинает процедуру саморазмножения. Для этого он сканирует файловую систему компьютера в поисках электронных адресов, по которым впоследствии рассылает свои копии. Cоздатели новой версии Mydoom внедрили в него уникальную технологию: теперь Mydoom ищет адреса и с помощью четырех поисковых систем, посылая им для этого специальные запросы. Полученный от сервера ответ анализируется в поиске содержащихся в нем электронных адресов, по которым и производится рассылка. "Предыдущие версии вируса сканировали только адресные книги конкретных пользователей. Mydoom использует абсолютно новую технику. Не думаю, что мы ранее встречались с чем-то подобным", - говорит Грэм Клули, представитель компании Sophos, специализирующейся на компьютерной безопасности. По сообщению издания New Scientist, новый Mydoom обучен еще одной уникальной технологии распознавания адресов электронной почты. Поскольку самый распространенный способ составления базы данных адресов для дальнейшей рассылки по ним спама - сканирование веб-страниц, многие предпочитают публиковать в Интернете свои адреса в искаженном виде - например, вместо user@mail.ru указывать user[at]mail.ru. Новый Mydoom способен извлекать и такие зашифрованные адреса. Основным деструктивным эффектом Mydoom является функция установки так называемой backdoor-программы. Внедряясь на компьютер, червь с помощью этой программы открывает на зараженном компьютере порт для приема удаленных команд. Это позволяет вирусописателям полностью контролировать зараженную машину. Анна Артамонова, директор по маркетингу и связям с общественностью Mail.ru, полагает, что основной целью авторов новой модификации вируса Mydoom был сбор базы адресов электронной почты, а поисковики пострадали опосредованно, т.е. никто специально на них атаку не организовывал. "Если бы была задача сделать атаку на поисковики, то она решалась бы несколько по-другому", - считает Анна Артамонова. Источник: BBC www.vremya.ru "Лаборатория Касперского" Руководитель рекламного интернет-агентства обвинен в компьютерных преступлениях по 144 пунктам 28.07.2004 Власти США обвинили 45-летнего жителя города Бока Ратон в похищении 8,2 ГБ персональной информации об американских гражданах с сервера компании Acxiom, сообщает сайт News.com. Украденные адреса и данные Левин и его партнеры продавали третьим лицам и организациям. Решение о предъявлении обвинений Скотту Левину (Scott Levine) было принято большим жюри штата Арканзас. В Министерстве юстиции США действия Левина охарактеризовали как "случай крупнейшего вторжения в базу персональных данных на сегодняшний день". В опубликованном 31-страничном обвинительном заключении написано, что Левин руководил рекламным интернет-агентством Snipermail.com. В его базе данных содержалось свыше 10 млн. реальных адресов электронной почты. Значительную часть этих адресов, а также других персональных данных пользователей Левин с помощью хакерской программы украл с сервера компании Acxiom. Украденные данные Левин и его партнеры продавали третьим лицам и организациям. При этом обвиняемый утверждал, что все включенные в базу данных лица дали согласие на получение рекламных почтовых рассылок. Ранее Snipermail.com уже становилась объектом критики со стороны адвокатов, борющихся со спамом. В Acxiom не сообщили точное количество граждан США, чьи адреса оказались в руках нечистоплотных рекламных агентов. Компания лишь ответила, что с 2003 года "улучшила защиту от внешних вторжений и готова дальше совершенствовать безопасность баз данных". Левину предъявлены обвинения по 144 пунктам, связанным с компьютерными преступлениями. При этом каждый отдельный скачанный файл включен в отдельный пункт обвинения. Бывшему руководителю интернет-агентства вменяются незаконный доступ к защищенным данным, отмывание денег и уничтожение содержимого жестких дисков. Дело Левина стало не первым свидетельством плохой защиты FTP-сервера компании Acxiom. В прошлом году житель штата Огайо Даниэль Баас признал себя виновным в незаконном доступе к FTP-серверу этой компании. Расследование дела Бааса и вывело следователей ФБР и Секретной службы на след Левина. Текст: www.viruslist.com Источник: News.com SpamGuru - новая разработка IBM 29.07.2004 IBM объявила о разработке нового антиспамового решения SpamGuru. SpamGuru объединяет ряд антиспамовых технологий, которые анализируют как источник, так и содержание письма. Представители IBM полагают, что, объединив разные технологии, SpamGuru сможет если и не элиминировать практически весь спам, то, как минимум, значительно уменьшить проблему. К широко используемым антиспамовым технологиям, таким как идентификация отправителя, анализ DNS, использование белых и черных списков, байесовская фильтрация, SpamGuru добавляет новую технологию Chung-Kwei - алгоритм, который ранее использовался в биотехнологии для исследования генов и белков. Алгоритм Chung-Kwei, используя базу данных спамерских писем, может детектировать характерные для спамерских посланий структуры в новых письмах и выявлять письма, которые выглядят как спам. При тестировании Chung-Kwei выявил 96,56% спама при уровне ложных срабатываний 0,066%. Кроме комбинации различных технологий SpamGuru автоматически поддерживает белые и черные списки, которые пользователи смогут легко конфигурировать в зависимости от своих потребностей и спамерских технологий, а также предоставляет пользователям возможность определять уровень фильтрации для контроля ложных срабатываний. IBM планирует сделать доступной технологию SpamGuru в решении Lotus Workplace Messaging 2.0 уже в этом квартале. Официальное решение о включении SpamGuru в Lotus Domino пока не принято. Источник: Yahoo! News В 2004-2008 гг. объем спама в Европе ежегодно будет увеличиваться на 54% 02.08.2004 Согласно результатам исследований компании The Radicati Group, Inc в ближайшие четыре года объем спама в Европе ежегодно будет увеличиваться на 54%. По прогнозам аналитиков компании, к 2008 году, несмотря на действующие антиспамовые законы, доля спама достигнет 71% европейской электронной почты. Специалисты The Radicati Group подсчитали, что объем европейского рынка антиспамовых решений к концу 2004 г. составит 207 миллионов евро, а к 2008 г. возрастет до 447 миллионов - более чем в два раза. Источник: MARKET WIRE Технология SPF - за и против. Анализ предлагаемых решений и опыт практического использования метода SPF А. Тутубалин Ашманов и Партнеры Содержание: Часть 1 1. Верификация отправителя и проблема спама 2. Описание технологии SPF     2.1 Общие принципы     2.2 Публикация SPF-политики     2.3 Использование данных SPF при приеме почты     2.4 Проблемы технологии SPF         2.4.1 Верификация отправителя и пересылка почты         2.4.2 Механизм exists         2.4.3 Проблемы SPF - краткое резюме Часть 2     2.5 Использование SPF для фильтрации спама         2.5.1 Использование SPF как "белого списка"         2.5.2 Использование SPF как "черного списка"         2.5.3 Проблемы производительности     2.6 Выводы и рекомендации         2.6.1 Публикация SPF-записей         2.6.2 Использование SPF при приеме почты 3. Опыт практической эксплуатации SPF     3.1 Описание эксперимента     3.2 SPF как фильтр спама     3.3 SPF и проблема пересылок     3.4 Выводы из экспериментов 4. Заключение Часть 1 - в предыдущем номере и на сайте Спамтест Часть 2 2. Описание технологии SPF 2.5. Использование SPF для фильтрации спама Механизм SPF разрабатывался, в первую очередь, как средство борьбы со спамом. Предполагается, что прямое следование объявленной SPF-политике домена поможет, по меньшей мере, не принимать письма с подделанным адресом доменов, поддержавших SPF, как почтовых служб, так и других организаций. Рассмотрим подробнее, так ли это. 2.5.1. Использование SPF как "белого списка" Как следует из схемы работы SPF, E-mail сообщение рекомендовано принимать, если в SPF-политике указано, что с данного IP возможна посылка сообщения с данным адресом отправителя. По всей видимости, для таких сообщений должны быть ослаблены или выключены антиспам-фильтры (а в чем иначе может заключаться использование разрешительных SPF-политик?). Если же такая схема будет кем-либо реализована, то возможны следующие приемы ее недобросовестного использования: Регистрация большого числа доменов с корректными SPF-записями вида +all или +ip:большой-диапазон-адресов и рассылка спама с From: из этих доменов. При текущих расценках на спам-рассылки, данная схема экономически оправдана даже при относительно небольших объемах рассылки - несколько миллионов сообщений на новый домен (домен стоит $10-15, рассылка - порядка $100 за миллион сообщений). Кроме платных доменов 2-го уровня могут быть также использованы бесплатные (3-го и более уровней). Использование спамерами для фальсификации адреса отправителя существующих чужих доменов с либеральной SPF-политикой, в которой указано +all. Таким образом, принимать на веру чужую разрешительную SPF-политику никак нельзя (особенно, если в ней записано +all, +ptr или указан широкий диапазон адресов). С другой стороны, наличие объявленной SPF-политики у крупных игроков рынка (таких как AOL и Hotmail) может сильно помочь отличить "настоящую" почту этих систем от "поддельной". Следовательно, чужие SPF-политики придется использовать выборочно (AOL используем, а super-puper-spamer.da.ru - не используем). Итак, возникает задача отбора "хороших" SPF-политик, ведения списка "хороших доменов" (вручную или через репутационные сервисы) и построения прочей необходимой инфраструктуры работы с SPF. 2.5.2. Использование SPF как "черного списка" Использование запрещающих SPF-политик (использование модификатора "-") ведет к уменьшению количества принимаемой почты (иначе, в чем тогда состоит запрещение?). Среди непринятой почты обязательно будет спам, а значит - количество дошедшего до получателей спама уменьшится. В то же время, потери пересылаемой почты в данной схеме - возможны и обязательно будут (как показывают эксперименты, см. ниже). Другими словами, жесткие SPF-политики ("-all") можно использовать, только если есть абсолютная уверенность в отсутствии пересылок почты или в том, что все транзитные системы поддерживают SPF в том или ином виде (подмена отправителя, расширения SMTP-протокола). Подробнее об этом сказано выше. 2.5.3. Проблемы производительности Каждая проверка SPF-записи - это как минимум одно обращение к системе DNS, а при использовании механизмов "a", "ptr", "include", "exists" возникают дополнительные обращения. Спецификация SPF явно указывает, что предельное количество обращений при проверке одного сообщения не должно превышать 20. Как известно по опыту эксплуатации RBL (которые тоже реализованы поверх механизма DNS), в условиях высокой загрузки почтовой системы добавление каждого нового RBL-сервиса (т.е. дополнительного DNS-запроса на каждое сообщение) заметно ухудшает ситуацию. Крупные почтовые системы вынуждены эксплуатировать локальные копии баз данных RBL, ибо дополнительные DNS-обращения становятся неприемлемыми с точки зрения нагрузки. А если какой-то DNS-сервер не отвечает, то это может означать остановку прохождения почты (DNS-таймаут может составлять 75-90 секунд, такое ожидание при потоке почты в сотни сообщений в секунду абсолютно неприемлемо). Заметим, что самостоятельное создание системными администраторами всего мира локальных копий SPF-записей для всех имеющихся доменов представляется абсолютно нереальным. Конечно, очень большая доля почты приходит с крупных почтовых сервисов и из крупных компаний, поэтому DNS-запросы к SPF будут повторяться, а значит, ситуация несколько облегчится за счет кэширования ответов DNS. В то же время, при использовании механизма exists, каждое новое письмо может порождать уникальное имя домена и соответственно - запрос, который не был сохранен в DNS-cache ранее. По мере распространения SPF в мире проблема количества DNS-запросов будет усугубляться, в пределе - каждое принимаемое и отправляемое сообщение будет вызывать DNS-запросы к SPF-политике, что потребует дополнительного оборудования на крупных почтовых системах и в больших корпорациях. 2.6. Выводы и рекомендации 2.6.1. Публикация SPF-записей Очевидно, что публикация SPF-записей не может ухудшить ситуацию со спамом. В то же время, слишком жесткая политика может приводить к потерям исходящей из вашей системы почты в процессе транзитной пересылки. Таким образом, можно рекомендовать публикацию SPF-политики с учетом следующих соображений: Политика должна завершаться на "?all", таким образом для пересылаемых писем ситуация не ухудшается, ибо "?all" отвечает положению дел "без SPF"; Политика должна описывать все используемые исходящие адреса, если забыть какой-то исходящий сервер, то почта с него может необоснованно посчитаться спамом; Механизм exists должен использоваться только при крайней необходимости, так как он порождает массу дополнительных проблем. 2.6.2. Использование SPF при приеме почты Буквальное следование чужим SPF-политикам может привести как к потерям почты, так и к пропускам спама. Таким образом, может быть рекомендовано использование SPF-данных как дополнительной информации для антиспам-фильтров, но окончательное решение о пропуске или отвержении сообщения только на основании SPF принимать не следует. 3. Опыт практической эксплуатации SPF 3.1. Описание эксперимента Прежде чем написать данную статью, автор провел практические исследования применимости SPF на практике в настоящее время. Для этого поддержка SPF была включена на личном почтовом сервере автора (домен lexa.ru) и на сервисе Спамтест. Условия проведенного эксперимента необходимо описать более подробно: lexa.ru - личный домен автора, зарегистрированный в 1996 году. С тех пор E-mail адрес автора не менялся и использовался практически повсеместно - в конференциях Usenet, при регистрациях на части сайтов, в форумах, публиковался на WWW-сайтах. В результате автор сейчас получает 600-1000 спам-сообщений в сутки. В эксперименте использовалась подборка спама за неделю (~3800 сообщений). Спам-сообщения в режиме реального времени отбирались антиспам-фильтром и были впоследствии специально просмотрены на предмет ложных срабатываний (которых не оказалось). Сервис Спамтест - это бесплатный сервис разметки спама, пересылающий почту пользователям. Из опыта известно, что пользователи тоже, как правило, ставят пересылку на Спамтест. Таким образом, проблемы с пересылкой должны были проявиться максимально широко. Анализировались приблизительно 165 тысяч писем, прошедших через Спамтест в реальном времени. В обоих случаях поток почты анализировался в реальном времени, то есть состояние DNS было актуальным. Никаких решений на основе SPF-данных не принималось, SPF-статус сообщения просто записывался в лог-файл и заголовок сообщения. 3.2. SPF как фильтр спама Результаты потенциального использования SPF как спам-фильтра (для домена lexa.ru) приведены в таблице: Доля писем Расшифровка статуса none 91.5% Домен отправителя не имеет SPF-записей softfail 7.02% Домен указал "точно не знаю, но скорее нет" (префикс ~) - т.е. письмо должно быть принято обычным образом. fail 1.69% Была нарушена SPF-политика - т.е., письмо рекомендовано отвергнуть. Это и есть обнаруженный SPF спам. unknown 1.30% Ошибка при работе с DNS (таймаут и т.п.). neutral  0.94% Домен не может даже приблизительно указать свои исходящие адреса (?all). pass 0.18% Согласно SPF-политике, сообщение должно быть принято. Однако анализировался поток "чистого" спама, т.е. это - пропуск спама. error 0.05% Ошибка при работе с DNS (нет домена и т.п.). Таким образом, на сегодняшний момент SPF способно обнаружить 1.7% спама при 0.18% явных пропусков и 7% сообщений, для которых указана нейтральная политика. При этом не поддерживают SPF домены, трафик от которых составляет 91.5%. Если при увеличении популярности SPF эти соотношения сохранятся, то во всем спам-трафике будет ~80% "нейтральных" статусов, 18% обнаруженного спама и 2% явных пропусков. Естественно, с ростом популярности SPF общая картина должна измениться, но маловероятно, что средняя SPF-политика будет ужесточаться - в настоящее время SPF внедряют технологические пионеры ('early adopters'), которые, во-первых, все делают более аккуратно, а во-вторых, более озабочены проблемой детектирования спама, чем возможными потерями нормальной почты. При массовом внедрении приоритеты будут другие, и мы увидим гораздо меньшую долю '-all', чем сейчас. Отдельно хочется сказать о пропусках. Все зафиксированные нами пропуски использовали исходящий адрес в доменах с политикой '+all'. 3.3. SPF и проблема пересылок Чтобы не загромождать текст техническими деталями, результаты тестирования SPF на сервисе Спамтест суммированы в 4 группы: pass (SPF рекомендует принять письмо), fail (рекомендация "отвергнуть письмо"), not supported (SPF-статуса нет или ошибка DNS) и neutral (суммированы neutral и softfail). Статусы Spamtest - SPAM, Probable Spam, Not Detected - отвечают результатам классификации сообщений по содержанию и заголовкам (RBL при классификации не использовались). Результаты приведены в таблице: Статус по SPF Статус Spamtest pass fail not supported neutral SPAM 3.4% 1.5% 85% 10% Probable SPAM 0.9% 1.0% 88.5% 9.6% Not detected 1.5% 0.3% 95.2% 3% Как видно из таблицы, при использовании пересылок (а на сервис Спамтест в основном пересылают почту) качество детектирования спама по SPF-данным не растет и составляет 1-1.5%. Если SPF поддержат все (а не 5-15% отправителей), то доля детектированных сообщений вырастет в 6-20 раз, т.е. до 6-30%. При этом рекомендация "пропустить спам" встречается вдвое чаще, чем "отвергнуть спам" - что происходит из-за того, что часть крупных почтовых сервисов (gmx.de, mail.ru) при пересылке подменяют адрес отправителя на свой (таким образом, упомянутые почтовые сервисы являются SPF-совместимыми). С точки зрения пропусков нормальной почты (статус Spamtest Not Detected), SPF ведет себя довольно плохо, отношение pass/fail 5:1 означает примерно 16% ложных срабатываний при гипотетическом условии, что SPF поддерживают все отправители. 3.4. Выводы из экспериментов По результатам экспериментального использования SPF можно сделать такие выводы: Общее количество доменов с поддержкой SPF невелико: всего не более 10% (взвешенное на объем почтового трафика), это при том, что многие крупные игроки (AOL, Gmx.de, Yandex.ru, Mail.ru, Rambler.ru данное нововведение поддержали). "Средняя" SPF-политика на сегодня является достаточно либеральной и включает или "?all", или "~all" - достаточно либеральные политики, что не позволяет на сегодня говорить об уверенной детекции спама. Доля обнаруженного спама не превышает 1-2%, что крайне мало. SPF уже обходится спамерами. Пусть недобросовестное использование SPF сейчас обнаруживается в небольшом количестве, но и распространенность технологии на сегодня невелика. Доля потенциальных ложных срабатываний на пересылках будет достаточно заметной. При повсеместном введении SPF - до единиц процентов. 4. Заключение В начале данной статьи были сформулированы вопросы, возникающие при внедрении дополнительных технологий электронной почты. В конце статьи сформулируем ответы на них: Эффективность SPF как механизма фильтрации спама на сегодня крайне невелика. В настоящий момент доля распознаваемого спама составляет 1-2%; в случае повсеместного внедрения SPF качество распознавания может повыситься до 10-30%. При этом в механизме SPF имеются потенциальные проблемы, которые могут быть использованы спамерами для обхода SPF-фильтрации. Трудоемкость внедрения: Публикация SPF-политики домена (для исходящей почты) в простом случае не является трудоемкой, не требует дополнительного программного обеспечения, не требует большой последующей поддержки. В сложных случаях (крупные корпорации, провайдеры интернет-доступа, крупные почтовые сервисы с высокой нагрузкой) может потребоваться дополнительное программное обеспечение и работы по его внедрению. Внедрение поддержки SPF при приеме почты требует модификации программного обеспечения почтовых серверов. Для большинства распространенных серверов такая поддержка уже существует. Риски от внедрения SPF: Публикация SPF-политики для домена не несет дополнительных рисков, если эта политика только "разрешающая". SPF-политика, запрещающая прием почты с каких-либо адресов, может приводить к потерям исходящей почты при ее пересылке. Учет рекомендаций SPF-политики отправителя при приеме почты в настоящее время чреват потерями почты, либо пропусками спама. Прочие проблемы: Технология SPF несовместима c пересылкой (forward) почты в ее сегодняшнем виде. На всех серверах, пересылающих почту, необходима замена программного обеспечения, что представляется малореальным в ближайшей перспективе. Технология SPF содержит проблемный механизм exists, его использование может создать проблемы безопасности как для отправителей почты, публикующих политику с exists, так и для получателей, анализирующих 'exists' отправителя, а также рост нагрузки на почтовые системы. Кроме ответов на поставленные вопросы, можно сформулировать еще два дополнительных вывода: Доверять SPF-политике произвольного домена не следует. Она может быть слишком мягкой - и тогда появится много спама с отправителем из этого домена. Она может быть излишне жесткой - и тогда будет теряться много почты при пересылках. Ясно, что над SPF должна появиться дополнительная инфраструктура в виде списков "доменов с правильной политикой", или репутационных сервисов, или чего-то в этом духе. SPF не может использоваться изолированно. Использование SPF-данных как указание "принимать" или "не принимать" данное сообщение без дополнительного анализа приведет к пропускам спама или потере почты. Следовательно, данные SPF должны использоваться как дополнительная информация для спам-фильтров, дополняя другие технологии фильтрации спама.   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) ЗАО "Ашманов и Партнеры", 2003-2004