Отправляет email-рассылки с помощью сервиса Sendsay

Электронный журнал "Спамтест". Все о борьбе со спамом

Подписаться Бесплатная «Серебряная» новостная рассылка . Подписчиков 5.848 RSS
  Ноябрь 2004  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30


За последние 60 дней ни разу не выходила


Сайт рассылки: http://www.securelist.com
Открыта: 09-06-2003

Автор
Лаборатория Касперского

Статистика

5.848 подписчиков
-1 за неделю
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Информационный Канал Subscribe.Ru

Ашманов и ПартнерыSubscribe.ru
Электронный журнал "Спамтест" No. 76

в этом номере:

Новости

Email Defense Service компании MX Logic начал использовать Brightmail AntiSpam 6.0

17.11.2004

Symantec и MX Logic объединяют усилия для создания улучшенного расширенного сервиса защиты электронной почты: Email Defense Service, разработанный MX Logic, начал использовать антиспамовую технологию Brightmail.

Многоуровневый подход Email Defense Service - в настоящее время Email Defense предлагает более 20 схем фильтрации спама - позволил легко внедрить технологию Brightmail. Теперь Email Defense Service компании MX Logic включает фильтрацию корреспонденции корпоративных клиентов с помощью Brightmail AntiSpam 6.0 компании Symantec (напомним, что Symantec купила компанию Brightmail в июне 2004 года).

Различные фильтры спама, используемые Email Defense (теперь включая и Brightmail), независимо определяют вероятность принадлежности проверяемого письма к спаму. По суммарным итогам проверки подозрительное письмо помещается в карантин.

Brightmail 6.0 использует 17 собственных механизмов фильтрации и обрабатывает в том числе письма, написанные на отличных от английского языках. Последнее, как утверждает Symantec, особенно важно, поскольку от 10 до 20 процентов спамовых писем в мире не англоязычные. Уровень ложных срабатываний Brightmail 6.0 составляет одно письмо на миллион.

Благодаря сотрудничеству с Symantec MX Logic получила доступ к образцам спама, которые Brightmail собирает с помощью более чем двух миллионов "ловушек" в двадцати странах мира.

Масштаб сети, в которую Brightmail ловит спам, старший технолог MX Logic Скотт Чейсин (Scott Chasin) назвал "ошеломляющим". "Глобальная сеть Symantec осуществляет мониторинг спама в течение последних четырех-пяти лет", - сказал он, - "и расширение наших антиспамовых усилий по-настоящему выгодно клиентам MX Logic". Он также добавил, что обе компании объединят усилия в исследовании спама, а результаты круглосуточного мониторинга спама центра MX Logic в Денвере и четырех центров Brightmail компании Symantec (в Сан-Франциско, Дублине, Сиднее и Тайпее) будут использоваться сервисом.

"Этот сервис обеспечивает новейшими данными об угрозах в индустрии", - сказал Мануель Гонзалес (Manuel Gonzalez), старший менеджер Symantec. - "Данные на сервере обновляются каждые десять минут".

Финансовая сторона сделки остается в тени - представители Symantec и MX Logic отказались дать информацию по этому вопросу.

Это не первый случай использования антиспамовой технологии Brightmail: в начале сентября MessageLabs включила ее в свои сервисы безопасности электронной почты.

Источник: TechWeb

Новый межсетевой экран компании Barracuda Networks:
защита от спама для крупных компаний и ISP

17.11.2004

Barracuda Spam Firewall 800 обрабатывает почту с беспрецедентной для почтовых шлюзов скоростью - устройство способно проверять около 1,3 миллиона писем в час. Разрабатывалось решение специально для крупных компаний и интернет-провайдеров.

Дин Драко (Dean Drako), президент и CEO Barracuda Networks, считает, что Barracuda Spam Firewall 800 меняет стандарты защиты электронной почты для провайдеров и больших компаний. По его словам, разработка Barracuda Spam Firewall 800 - это ответ на запрос клиентов этих категорий, которые заинтересованы в быстрой обработке значительных объемов электронной почты. "Barracuda Spam Firewall 800 предоставляет не только технологию защиты от спама и вирусов по конкурентоспособной цене, но и обеспечивает уровень сервиса и поддержки, которому нет равных в индустрии", - заявил Драко.

Межсетевой экран Barracuda Spam Firewall 800 рассчитан на обслуживание 30000 активных пользователей. Barracuda Spam Firewall может быть легко установлен перед почтовым сервером. Использованы антиспамовые и антивирусные open-source решения, организованные в 10 уровней защиты. Автоматические обновления раз в час обеспечивают эффективную защиту от новых видов спама и вирусов.

Стоимость Barracuda Spam Firewall 800 составляет $17,999. Еще $3,999 будет стоить годовая подписка, дающая возможность регулярных обновлений антиспамовой и антивирусной базы данных.

Источник: BUSINESS WIRE

Каких "подарков" ждать от спамеров на Рождество?

18.11.2004

Рождественские праздники - традиционное время покупок и повышенной активности спамеров. Компании, занимающиеся интернет-безопасностью, предупреждают пользователей и системных администраторов, что на Рождество от спамеров можно получить очень неприятные "подарки".

Результаты последних исследований Symantec, казалось бы, дали надежду на стабилизацию уровня спама: по данным компании, с августа по октябрь уровень спама оставался постоянным и составлял 65-66 процентов.

Однако в последние, праздничные, месяцы 2004 года Symantec прогнозирует увеличение объема спама на 2-4 процента. По наблюдениям специалистов компании, в праздничный период, как правило, активность спамеров возрастает. В прошлом году наблюдалась аналогичная картина: с июля по октябрь уровень спама составлял от 50 до 52 процентов, а в ноябре подскочил до 56%.

Symantec не единственная компания, отмечающая эту тенденцию. По данным MessageLabs уровень спама в настоящее время достиг 82%. Специалисты компании ожидают, что в течение праздничного периода он возрастет до 90%, причем значительной его составляющей будут фишинг-письма, поскольку в это время люди более восприимчивы, чем обычно.

По прогнозам компании FrontBridge, уровень спама в декабре может превысить 90%, причем значительную часть спама составят мошеннические письма. По словам представителя компании, в праздничные дни многие используют Интернет и электронную почту для покупок и пересылки поздравлений и подарков, а этим непременно воспользуются спамеры и скамеры.

По результатам исследования Clearswift, четверть американцев планируют покупать рождественские подарки в Интернете. Столько же намерены использовать электронную почту для пересылки поздравительных открыток, причем 13% из 2000 опрошенных откроют письмо с открыткой от неизвестного отправителя.

Результаты исследования показывают, что в праздничный период угроза заражения вирусами и попадания на удочку мошенников резко возрастает. Люди, настроенные на покупки, скорее откликнутся на спамерское предложение и кликнут на предложенную ссылку. Специалисты Clearswift призывают пользователей и системных администраторов быть особенно бдительными в праздничные дни.

Источник: Internetnews.com
Источник: iTNews
Источник: The Register

Получи письмо - и "просто верь"

19.11.2004

По данным компании MessageLabs, в добавок к традиционным предложениям Виагры, часов Ролекс и увеличения органов, английские пользователи стали получать письма религиозного содержания.

Аналитики компании обнаружили несколько вариантов подобных писем. Не всегда в них предлагаются какие-либо товары или услуги. Одно из писем с темой "Просто верь" содержит текст молитвы, "которая может спасти тебя или тех, кого ты любишь". Другое письмо, возможно, представляет собой разновидность "нигерийских писем" - в нем отправитель ищет "хорошего христианина", которому желает переслать 18,6 миллионов долларов на религиозные цели.

Специалисты MessageLabs считают, что письма исключительно религиозного содержания, не содержащие рекламы товаров и услуг, не относятся к спаму, и полагают, что в праздничные дни их число возрастет. Такие письма всегда существовали, но их количество было незначительным, и они не попадали в поле зрения исследователей.

Источник: ZDNet UK

AOL обновляет систему безопасности для платных пользователей

19.11.2004

America Online предлагает своим клиентам новые возможности для защиты от вирусов, спама и шпионских программ. Подписчикам доступен новый инструмент - AOL 9.0 Security Edition.

Новый пакет содержит, в частности, антиспамовую защиту, уровень которой теперь определяется пользователем (низкий, средний или высокий). Для защиты от вирусов в AOL 9.0 Security Edition включен софт McAfee, при этом предусмотрено автоматическое бесплатное обновление. Кроме того, пакет содержит новую защиту от шпионских программ - SpyZapper, которая регулярно сканирует компьютер пользователя, а также блокировку всплывающих окон, персональный брандмауэр, систему оповещения пользователя о подозрительных действиях с кредитной картой или банковским счетом. За состоянием системы безопасности клиенты смогут следить с помощью консольного интерфейса.

AOL - крупнейший провайдер США (в конце сентября число подписчиков America online составляло 22,7 миллиона) - теряет своих клиентов. По информации компании, только в последнем квартале 646000 пользователей отказались от услуг компании, а за последний год их число уменьшилось на 2 миллиона. AOL надеется, что новая система безопасности AOL 9.0 Security Edition привлечет новых клиентов, предложив им автоматическую защиту от широкого спектра онлайн-угроз.

Источник: ComputerWeekly.com

Билл Гейтс надеется "взять под контроль" проблему спама в течение двух лет

19.11.2004

На прошедшем в Мадриде форуме, посвященном проблемам Интернета, основатель и глава Microsoft заявил, что спам станет атрибутом прошлого в течение ближайших двух лет.

Судя по выступлению в Сингапуре исполнительного директора Microsoft Стива Баллмера (Steve Ballmer), Билл Гейтс - самый любимый адресат спамеров. На его адрес ежедневно приходит около 4 миллионов писем, большинство из которых - спам. При этом корреспонденцию главы корпорации разбирает специальный отдел. Баллмер отметил также, что антиспамовые фильтры Microsoft позволяют блокировать подавляющее большинство спамовых писем, и, хотя его собственный адрес входит в число самых "спамимых" в мире, сквозь фильтры проскальзывает около десятка спам-писем в день.

Гейтс отметил, что спам является серьезной проблемой безопасности, но в борьбе с незапрошенной корреспонденцией достигнуты определенные успехи. Согласно Гейтсу, объемы спама снижаются по мере развития новых антиспамовых технологий. Кроме того, ужесточаются приговоры, которые государство выносит пойманным спамерам.

"Мы надеемся", - сказал Гейтс, - "что проблема спама будет взята под контроль в течение ближайших двух лет". Главу Microsoft трудно обвинить в непостоянстве: в январе 2004 года Билл Гейтс тоже обещал победить спам - и тоже за два года.

Форум в Мадриде был организован испанской газетой El Mundo.

Источник: AFP

Очередной виток "гонки вооружений": новое в защите от спама и вирусов

19.11.2004

На прошедшей неделе несколько компаний предложили новые инструменты и сервисы для борьбы с растущими объемами спама и вирусов в электронной почте.

Компания MailFrontier представила новую версию почтового шлюза - Version 3.5 MailFrontier Gateway. MailFrontier Gateway противостоит спаму и фишингу и вирусным атакам.

Отличительной особенностью новой версии продукта является использование новой технологии Time Zero, нацеленной на блокирование вирусов на стадии их первичного попадания в сеть. Чтобы разобраться с новым вирусом и добавить от него защиту, антивирусным компаниям, как правило, требуется от 4 до 24 часов. Этот временной промежуток, получивший название "time zero", представляет большую опасность, поскольку компьютеры в это время практически не защищены от новой напасти.

Технология Time Zero использует комбинацию предиктивных, статистических и эвристических методов, чтобы идентифицировать и блокировать подозрительные вложения. Кроме того, используются вирусные сигнатуры от партнеров MailFrontier - McAfee и "Лаборатории Касперского". Другой партнер - компания Avinti - предложила дополнительную антивирусную защиту с помощью виртуальной машинной технологии.

Защита от спама усилена в версии 3.5 поддержкой Sender ID и MailFrontier Reputation (дает оценку "спамовости" содержания писем). Для борьбы с фишингом используется MailFrontier Bayesian Fraud Filter.

Между тем IronPort Systems обновила свою антиспамовую технологию Reputation Filters, которая позволяет интернет-провайдерам блокировать спам, исходящий из их сетей. Второе поколение Reputation Filters позволяет провайдерам идентифицировать "зомби"-компьютеры в сетях и блокировать машины, рассылающие спам.

На этой же неделе компании Symantec и MX Logic объединились для создания сервиса безопасности электронной почты, обеспечивающего защиту от спама и вирусов на периметре сети.

Источник: InfoWorld

Спам - статистика за неделю
15 - 21 ноября 2004 г.

Ашманов и Партнеры

Объем спама

Объем спама сохраняется на уровне средних значений: 70-80% от общего объема почтового трафика в Рунете.

Продолжается распространение "политического" спама, связанного с выборами на Украине. Кроме того, активизировались турфирмы и компании, изготовляющие сувениры к Новому году (полиграфия, фото на майках, кружках и т.п.).

На серверах Mailru также были отмечены массовые рассылки "пустых" сообщений, т.е. не содержащих ни текста, ни вложений - вообще ничего. Даже темы у такого сообщения не имеется. Можно предположить, что это тестовые рассылки: спамеры тестируют новые версии ПО для массовых рассылок.

Популярные тематики

No Тематика Описание %% от общего объема Изменение за неделю
1 Для взрослых Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом 13% -4%
2 "Здоровый образ жизни" и "Медикаменты" Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 13% +3%
3 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 9% +4%
4 Образование Реклама семинаров, тренингов, курсов 7% -3
5 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 7% +2%
6 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 6% +1%
7 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 6% +2%

Самое массовое письмо недели

Replica Watches

Одновременно может считаться самым лаконичным сообщением данной недели.

True Replications Wrist Watches

Самое оригинальное предложение

Пpuбор для обнаpyжeния "жучков", закладок и скрытых камер

Прибор рекомендуется использовать "в самых неожиданных местах" и проверять на наличие скрытых камер туалеты, сауны, гостиницы и съемные квартиры.

Самое нечитаемое ("зашумленное")

Английuский разговорный nmjxgc x32zm

Эти письма вы найдете на сайте Спамтест.

Проблемы и решения в области фильтрации спама в почтовой системе Mail.Ru -
практика 2003-2004 гг.

Владимир Габриелян,
Технический руководитель
Почтовой службы Mail.ru

Профессиональная разработка антиспам-технологий, в том масштабе, который мы наблюдаем в настоящее время, началась совсем недавно - около двух лет назад.

Влияние на возникновение и развитие этих технологий в России в первую очередь оказал рост популярности спам-рассылок среди отечественного мелкого и среднего бизнеса и, как следствие, лавинообразное увеличение количества спам-сообщений в почтовом трафике.

Если 3-4 года назад средний пользователь получал не более двух спам-писем в день, то в 2004-м году это количество выросло до 8-10. Объем спама в почтовом трафике среднего провайдера или почтовой службы не превышал 20%, а на сегодняшний день спам составляет до 85% входящего на почтовые сервера трафика.

Было совершено множество попыток раз и навсегда решить проблему спама технологическим путем, однако сейчас уже с полной уверенностью можно сказать, что единого решения - некой "серебряной пули" против спама - не существует.

Спам крайне разнообразен и постоянно меняется, поэтому в борьбе с ним абсолютно необходимо использование все новых и новых методов распознавания. Борьба между спамерами и разработчиками антиспам-технологий напоминает гонку вооружений во времена холодной войны между Советским Союзом и Западом - как только на почтовые сервера устанавливается новая более совершенная технология защиты, противник сразу же бросает свои лучшие умы на изобретение обходных путей. В борьбе со спамом нельзя забывать, что нам противостоит очень умный противник, для которого спам - это бизнес, приносящий хороший доход.

Являясь крупнейшим провайдером услуг электронной почты в российском Интернете, почтовая служба Mail.Ru ежедневно сталкивается с огромным потоком спама, приходящим на ее сервера. Можно сказать, что в силу своей популярности, Mail.ru является главной мишенью для спамеров в России.

Если бы весь этот спам попадал в ящики наших пользователей, мы бы давно лишились более половины из них. Находясь на передовой войны со спамом, технические специалисты почтовой службы Mail.ru приобрели уникальный опыт в этой области и разработали свою собственную комплексную методику фильтрации спама, которая в настоящее время, по оценкам многих экспертов, является наиболее эффективной в российском Интернете.

Ситуация на данный момент

В данный момент (осень 2004 года) Mail.Ru - это около 11 миллионов активных пользователей почтовой системы. Суммарный объем хранимой корреспонденции составляет порядка 24-х терабайт. В сутки почтовые сервера Mail.ru обрабатывают более 25 миллионов входящих писем, из которых около 85% однозначно квалифицируются как "спам" или "содержащие вирусы" и не доходят до почтового ящика пользователя.

Кто и как рассылает спам

Спам давно уже вышел за рамки деятельности отдельных индивидов, которые зарабатывают таким образом небольшие деньги "на мороженое". В настоящий момент спам - это целая индустрия, масштабный бизнес, для функционирования которого нужны мощные технические ресурсы.

Поскольку главный принцип работы спамера - паразитирование на чужих ресурсах, то при рассылке спама эти "бойцы невидимого фронта" также стараются использовать мощности, которые им не принадлежат.

  1. Основная часть спама на сервера Mail.ru доставляется с помощью многотысячной армии пользовательских компьютеров, зараженных специально разработанными вредоносными программами (вирусами).
    По нашей статистике в одной спам-атаке могут участвовать от 2 до 15 тысяч зараженных компьютеров, владельцы которых даже не подозревают, что их машина в данный момент рассылает по Интернету миллионы непрошенных писем.
    Такие атаки, по данным системы спам-мониторинга Mail.ru, происходят по нескольку раз в день. В это время объем почтового трафика многократно увеличивается, и доля спама во входящей почте может достигать 99%.
    Начало спам-атаки достаточно легко установить, разумеется, при наличии у почтового сервиса развитой системы спам-мониторинга. В таких ситуациях нагрузка принимающих внешнюю почту серверов может возрасти в несколько раз. Возрастает также нагрузка на сервера, выполняющие антиспам- и антивирусную фильтрацию электронных писем.
  2. Параллельно с зараженными пользовательскими машинами для рассылки спама часто используются сервера провайдеров. Проблема заключается в том, что, потратив 5 долларов на карточку для "диалапа", спамер ничего не теряет при отключении его аккаунта. В то же время крупная почтовая служба не может разорвать связность с почтовым релеем крупного провайдера.
  3. Еще один способ, которым пользуются спамеры при рассылке своих сообщений, - это Открытые Релеи и неверно сконфигурированные прокси-сервера. Их появлением мы обязаны невнимательным системным администраторам и пользователям, не заботящимся о своей безопасности. К счастью, процент спама с таких серверов все время падает.

Статистика спама

За период 2003-2004 гг. нами также была собрана достаточно интересная и полностью отражающая мировые тенденции статистика по регионам адресов, с которых идет массовая рассылка незапрашиваемой корреспонденции.

Географическое распределение спама:

  1. Сша 31%
  2. Китай 15,58%
  3. Россия 10,03%
  4. Япония 9,59%
  5. Корея 5,96%
  6. Германия 2,15%
  7. Бразилия 2,07%
  8. Канада 2%
  9. Франция 1,85%
  10. Испания 1,7%
  11. Польша 1,48%
  12. Украина 1,38%
  13. Англия 1,23%

Как устроена система фильтрации спама в почтовой службе Mail.ru

Для обеспечения эффективной фильтрации спама необходимо варьировать методы борьбы, адекватно применяя каждый к конкретному атрибуту спама.

1 этап. Черные списки + формальные признаки

Сервер отправителя начинает работать с нашей системой антиспама еще до того, как письмо дошло до почтовых серверов Mail.Ru. В случае, если ip-адрес отправителя принадлежит к плохо администрируемой сети, которая занесена в наш черный список, наши DNS-сервера направят его на специально подготовленные МailExchange(MX)-сервера с более жесткой системой детектирования спама.

Таким образом мы боремся с перегрузкой основных МХ-серверов "паразитирующим" трафиком.

Далее при поступлении письма на любой МХ-сервер мы проверяем:

  • существование домена отправителя,
  • соответствие аргумента команды HELO реальности,
  • наличие на ip-адресе отправителя open relay или прокси-сервера с публичным доступом.

На этом пункте заканчиваются формальные признаки, по которым однозначно можно разделять письма на спам\не спам.

В дальнейшем письмо попадает в систему тестирования спама, основной задачей которой является принятие суммарного решения "спам" или "не спам", исходя из анализа многочисленных признаков, выявленных в результате комплексной проверки письма.

Каждый этап проверки добавляет лишь положительный или отрицательный вес к общему статусу письма.

Если письмо в результате всего комплекса проверок получает отрицательный коэффициент, оно характеризуется как "спам" и не доставляется пользователю.

Благодаря такому подходу удается повысить эффективность детекции спама, а главное - существенно снизить количество ложных срабатываний системы.

В ситуациях, когда электронная почта является важным каналом коммуникации для компании, необходимо поддержание максимально низкой доли ложных срабатываний, особенно для важных деловых писем. Ущерб от потерянного делового письма может быть несопоставим с потерями рабочего времени от спама.

2 этап. Анализ содержимого письма

В первую очередь письмо и все его вложения проверяются антивирусом.

Затем текст письма проверяется по обновляемой в реальном времени базе образцов спам-писем. База образцов спам-писем несколько раз в час пополняется квалифицированными сотрудниками круглосуточной лаборатории компании "Ашманов и Партнеры". Источником получения новых образцов служат специальные ящики-ловушки и информация, собираемая от пользователей.

3 этап. Построение сигнатуры

Самая затратная часть процедуры проверки - это построение нечеткой сигнатуры письма и контент-анализ.

Сигнатуры строятся не только на основе текстового тела письма, но и по графическим вложениям, что позволяет эффективно блокировать "спам в картинках".

На основе сравнения этих сигнатур изменяются показания счетчика количества одинаковых писем на специальном DCC(Digital CheckSumm ClearingHouse)-сервере. По достижении максимально разрешенного количества одинаковых писем, сообщение получает понижающий коэффициент.

4 этап. Контентный анализ

В момент прохождения письмом контент-анализа проверяется наличие в письме признаков спам-сообщения: определенного набора и распределения по письму специфических словосочетаний. Заметим, что фильтр Спамтест анализирует не только текст самого письма, но и его вложения.

Письму не обязательно проходить всю многоступенчатую систему проверки, возможен вариант, когда отрицательный вес письма станет критическим еще до окончания всех проверок.

Обратная связь

Кроме всех перечисленных "механических" средств, не менее важна обратная связь с пользователями. Важной частью любой антиспам-системы является получение обратной связи от пользователей и оперативная реакция на изменяющуюся обстановку. Для этих целей в почтовой системе Mail.ru была реализована функция "пожаловаться на спам".

Однако, запустив эту функцию мы столкнулись со следующим комплексом проблем: первая и самая важная проблема состоит в том, что большими почтовыми службами пользуется весьма разнообразная аудитория и то, что для одного пользователя не более, чем "забавные картинки", другой классифицирует как спам. Эта проблема так же является основной на пути внедрения Байесовской фильтрации писем в больших почтовых системах.

Для примера топ-5 честных служб рассылки, которые пользователи классифицируют как спам:

  1. Рассылки subscribe.ru
  2. Рассылки Mail.ru
  3. Письма сервиса li.ru
  4. Рассылки сервиса dotnews.ru
  5. Рассылки сервиса maillist.ru

Поэтому все пользовательские жалобы на спам обрабатываются вручную специальной лингвистической службой, которая позволяет оперативно вносить изменения в алгоритмы и правила контент-фильтрации писем.

Вторая проблема анализа обратной связи с пользователем заключается в том, что зачастую спамеры используют relays крупных провайдеров, блокировка которых невозможна по причине высокого процента "честных писем".

Но в то же время следует отметить, что механизм обратной связи является одним из самых важных параметров, по которому можно судить о качестве и эффективности работы антиспам-системы.

Анализ эффективности различных методов фильтрации спама

Мы произвели небольшой анализ эффективности используемых нами методов фильтрации.

Прежде всего, хочется отметить, что фильтрация по каким-то отдельным признакам или методам является неэффективной или даже вредной из-за большого количества ложных срабатываний.

Самым эффективным является, конечно, контент-анализ письма (этап 4): несмотря на достаточно высокую стоимость реализации данного метода, он распознает 30-40% всего потока спама.

Дальше в порядке убывания эффективности следуют следующие методы: DCC и черные списки, составляемые администратором системы.

Однако оба метода весьма требовательны к людским ресурсам. В случае DCC необходимо составлять и регулярно обновлять белые списки "честных" рассылок, а в случае черных списков нужны люди, которые будут пополнять и поддерживать эти черные списки.

Наименее эффективными методами борьбы со спамом являются проверка наличия открытых прокси-серверов или open relays сканированием и проверка SPF-политики ресурса.

Он-лайн сканирование всех отправителей почты очень затратный процесс, расходы на который значительно превышают пользу от получаемого результата. Кроме того, эти действия вызывают негативные эмоции у администраторов сканируемых сетей.

Проблемы метода SPF

На SPF хотелось бы остановиться чуть подробнее, особенно учитывая то, что сейчас эта технология продвигается и позиционируется чуть ли ни как самый мощный метод решения проблемы спама.

Мы видим несколько проблем при использовании этого метода фильтрации в крупных почтовых службах.

Первая проблема, на наш взгляд, проистекает из несколько неверного позиционирования SPF как универсального антиспам-средства.

SPF в его текущей модификации подходит лишь для верификации того, что отправитель действительно является тем, кем представляется.

Этот стандарт слабо применим при приеме почты от других бесплатных почтовых служб, так как регистрация нового пользователя в любой из них это дело пяти секунд.

К тому же, при отправке письма через программу-клиент, пользователь может использовать любой другой SMTP-сервер, никак не связанный с данной бесплатной почтовой службой. Более того, некоторые провайдеры услуг доступа в Интернет, например Точка.ру, категорически не позволяют своим пользователям использовать какие-либо другие SMTP-сервера, кроме своего собственного.

Вторая проблема - это возможность записи +ALL в spf-политике домена, которая означает "принимать все письма с любого ip как письма с этого домена". Это может привести к тому, что спамер, зарегистрировав домен и прописав там политику +ALL, получит в свои руки инструмент для "легитимной согласно правилам протокола" рассылки или, как минимум, для улучшения статуса письма в сложных антиспам-системах больших почтовых служб.

Третья проблема - это проблема, возникающая при пересылке почты. Пересылая письмо, пользователь может отправлять его с ip-адресов, не указанных в политике домена, от которого оно исходит изначально. При этом первый отправитель, как правило, не знает, через каких посредников пройдет его письмо, и не может добавить их список к своей SPF-политике.

Четвертая проблема заключается в том, что SPF, как и любая технология, находящаяся на начальной стадии развития, еще недостаточно широко используется.

Вот очень интересная статистика, которую мы получили при введении проверки SPF-политики на почтовых серверах Mail.Ru. Количество писем из доменов, имеющих прописанную SPF-политику, в почтовом потоке Mail.ru в данный момент составляет 22%.

Антиспам-система Mail.ru принимала решение изменить статус письма на основе SPF-политики домена в следующих процентах случаев:

  • это не спам: 0.397%
  • это спам: 0.218%
  • возможно, это спам: 0.209%

Как видно, SPF оказал воздействие на принятие решений по фильтрации спама в меньше чем в 1% случаев, именно поэтому в данный момент мы не видим особых перспектив у внедрения SPF.

Антиспам + Антивирус

Антиспам-система Mail.ru также оснащена модулем детектирования вирусов в пользовательских письмах.

Две системы были объединены в единую по причине наличия вирусных эпидемий. Ни для кого не секрет, что большинство новых вирусов распространяются путем рассылки своего тела по адресной книге почтового клиента. В пиковые моменты таких эпидемий "зараженный" трафик может составлять до 50% общего потока писем.

Интегрированная система, установленная на Mail.ru, сначала проверяет всю входящую почту на спам, после чего на наличие вирусов проверяется поток писем, признанный "не спамом". Такой порядок работы позволяет значительно снизить нагрузку на систему.

Также хотелось бы упомянуть об обратной стороне повсеместного внедрения антивирусных проверок на почтовых релеях - это "квитки" антивирусных программ о недоставке зараженного письма.

Мы считаем подобную настройку антивирусных программ недопустимой по той причине, что в момент эпидемии на каждое сообщение "вирус" генерируется сообщение-ответ от почтового сервера пользователю, который на самом деле этого письма не отправлял. Почтовая система Mail.ru классифицирует подобные сообщения от антивирусных программ как спам и не доставляет их пользователю.

В целом, фильтрация вирусов в почте - менее сложная задача, так как наличие вируса в письме можно установить однозначно. Процент ложных срабатываний антивирусной фильтрации составляет менее одной сотой доли процента.

Что нас ждет в будущем

В настоящее время наблюдаются тенденции по увеличению количества спама с небольшими сезонными и технологическими "коррекциями". Необходимо отметить, что "война" спамеров и сил, им противодействующих, идет с переменным успехом - обе стороны постоянно варьируют методы и тактику ведения борьбы.

За 2004-й год были достигнуты хорошие результаты в борьбе со спамом, однако нанести весомый урон спамерам пока не удалось. Мы ожидаем увеличения количества спама в среднем на 30% в 2005-м году. Благодаря высокой квалификации и накопленному опыту Почтовый сервис Mail.ru полностью готов к новому витку эскалации массовых непрошенных рассылок.

 



Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) ЗАО "Ашманов и Партнеры", 2003-2004

http://subscribe.ru/
http://subscribe.ru/feedback/		 Подписан адрес:
Код этой рассылки: inet.safety.spamtest		 Отписаться
В избранное