Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 79 в этом номере: Новости Спам - статистика за неделю 20 - 24 сентября 2004 г. Линейка продуктов McAfee® SpamKiller® Петр Савич, Associates (McAfee Elite Partner) Новости MessageLabs подводит итоги 2004 года 09.12.2004 Компания MessageLabs подготовила ежегодный аналитический отчет. Вирусы и спам по-прежнему являются основными угрозами для электронной почты. Однако 2004 год специалисты компании считают годом фишинга: в течение года число фишинг-писем увеличилось на порядок. Волна фишинг-атак растет стремительно: если в сентябре 2003 года MessageLabs зафиксировала всего 279 фишинг-писем, то в сентябре 2004-го их число превысило 2 миллиона, а в ноябре составило 4522495. Всего же в течение года компания перехватила более 18 миллионов фишинг-писем (писем, содержащих URL фальшивых веб-сайтов). Технология фишинга усложняется, и последние достижения фишеров позволяют обходиться без ссылок в письмах. MessageLabs зафиксировала ряд таких писем, причем некоторые из них с точки зрения пользователя были просто пустыми. При их открытии на машину жертвы пишутся скрипты. В результате, при очередной попытке выйти на легитимный сайт банка, пользователь автоматически перенаправляется на фальшивый сайт, где и осуществляется кража персональных данных по стандартной схеме. Пока такие письма атаковали лишь несколько бразильских банков, но не исключено, что этот опасный прием станет типичным. Несмотря на драматичный рост числа фишинг-писем, их количество все же значительно уступает спаму. MessageLabs в течение года проанализировала более 12,6 миллиардов писем, 73,2% из них (более 9,6 миллиардов) были идентифицированы как спам. Для сравнения: по данным компании, в 2003 году спам составлял 40% писем, а в 2002 - всего 9%. Объемы спама варьируют из месяца в месяц, однако наблюдается устойчивая тенденция роста. По прогнозам MessageLabs, в 2005 году спам будет составлять от 60% до 90% писем. Цифры будут зависеть, прежде всего, от внешних факторов, таких как внедрение новых технологий и активное использование в борьбе со спамерами юридических методов. В отчете отмечается позитивное влияние принятых антиспамовых законов на ситуацию в целом. По мнению специалистов MessageLabs, наиболее эффективен антиспамовый закон, принятый в Австралии. Угроза платить за каждый день рассылки до 1,1 миллиона австралийских долларов оказалась действенной: уровень активности местных спамеров значительно понизился, а кое-кто предпочел даже покинуть страну. К сожалению, у спамеров остается возможность перебраться в страны, где нет действующего антиспамового законодательства, - в качестве примера таких стран в отчете приведены Китай и Россия. На наличие вирусов в течение года MessageLabs проверила 147 миллиардов писем, из них 901 миллион были заражены (6,1%), при этом сохраняется тенденция роста числа инфицированных писем. По данным компании, в 2003 году вирусы содержали 3% писем, в 2002 - 0,5%. Эксперты MessageLabs отмечают, что большинство вирусов созданы для использования зараженных машин при рассылке спама. Объединение спамеров и вирусописателей происходит, разумеется, на коммерческой основе. Источник: MessageLabs Мы люди не местные... 10.12.2004 В редакцию одной из латвийских газет пришел образчик "нигерийского письма" из Санкт-Петербурга. Как известно, жажда легкой наживы обуревает не только нигерийцев. "Нигерийский" спам, предлагающий поучаствовать за вознаграждение в "спасении" крупных сумм денег, хорошо известен во многих странах мира. Недавно мы опубликовали одно из таких писем, переведенное на русский язык и адресованное россиянам. Наши соотечественники также не остаются в стороне от процесса. Латвийская газета "Час" получила недавно сообщение из Санкт-Петербурга. Написанное на хорошем английском языке письмо содержало предложение сотрудничества от имени якобы уважаемой международной компании из Петербурга. Ссылаясь на неэффективность банковской системы России, отправители письма предлагали получателю открыть банковский счет в любом большом американском, европейском или канадском банке, на который "уважаемая компания из России" будет перечислять деньги. За 5-10% эти деньги необходимо снимать со счета и пересылать в Петербург по Western Union. Разумеется, можно использовать и счета, открытые ранее. Корреспондент газеты не поленился и связался с Петербургом по указанному в письме адресу. Ему сообщили, что достаточно переслать номер счета, и компания начнет переводить на него деньги. На резонный вопрос, не нужно ли еще чего, после долгих раздумий у потенциального "партнера" запросили копию паспорта. После чего было проведено маленькое расследование, результаты которого таковы: письмо с предложением было разослано с помощью спам-технологий, адрес отправителя не соответствовал адресу компании, указанному в послании. Веб-сайта "уважаемой компании" в Интернете обнаружено не было, и вообще в Сети найти ее не удалось. Судя по всему, это типичная попытка облапошить доверчивых получателей, предпринятая, на сей раз, россиянами. Можно смело предположить, что после открытия счета под тем или иным предлогом "партнера" попросят заплатить некоторую сумму денег. Как известно, "акулы" подобного бизнеса умеют выманивать у жертвы достаточно серьезные деньги, держа ее на крючке возможности легкой наживы. Австралийцу Нику Маринелли, например, удалось заполучить таким образом 3,8 миллионов долларов США. За что он, впрочем, поплатился пятью годами свободы. Источник: gorod.lv Обзор антиспамовых продуктов 14.12.2004 Обзор 11 антиспамовых продуктов опубликовали журнал Technology & Business magazine и ZDNet Australia. К сожалению, в обзоре по разным причинам не присутствуют такие значимые производители как Sophos, Surfcontrol и Trend Micro. Тем не менее, как пишет автор Мэт Тетт (Matt Tett), статья - это своего рода путеводитель, который представляет 11 платных продуктов, существующих на рынке. Независимое тестирование продуктов проведено RMIT IT Test Labs (Мельбурн). Качество фильтрации спама в обзоре не оценивается. Специалисты RMIT IT Test Labs утверждают, что все представленные в обзоре продукты после инсталляции при настройках "по умолчанию" должны отфильтровывать 65-70% спамовых писем при близком к нулю уровне ложных срабатываний. Дополнительные настройки и использование белых и черных списков поднимут уровень фильтрации до 85-92%. Представленные в обзоре антиспамовые продукты рассматриваются, исходя из общих критериев: инсталляция, конфигурация и администрирование. Редакция, со своей стороны, выбирала продукты, соответствующие званию "лучшее ПО", "лучший управляемый сервис" и "лучшее аппаратное решение". В обзоре каждому продукту проставлены оценки по определенным критериям (пятибалльная шкала), что позволяет провести их сравнительный анализ. Сводная таблица выглядит следующим образом: Продукт/Производитель Совместимость Расширяемость ROI Сервис Общий рейтинг BitDefender v1.9 for MS Exchange 2003 NetFreighters 2,5 3 4,5 4,5 3,5 MIMEsweeper for SMTP 5.0 Clearswift 3 4 4 2 3,5 eTrust Secure Content Manager 1.1 Computer Associates 4 3,5 3,5 5 4 GFI Mail Essentials for Exchange/SMTP v10.1 GFI Software 3 3,5 4 - 3,5 IronPort C-Series mail gateway appliances models C10, C30, C60 IronPort Systems 3 4,5 3,5 4 4 MailGuard MailGuard 3 4 4 3,5 4 McAfee SpamKiller for McAfee WebShield 3000 series appliances McAfee 3 3,5 3,5 4 3,5 MessageLabs AntiSpam Service MessageLabs 3 4 - 3,5 4 NetIQ MailMarshal 6.0.3.8 NetIQ 4,5 4 4 - 4 Network Box Internet Threat Prevention System Network Box 3 4 3,5 5 4 Symantec Brightmail Anti-Spam v6.01 Symantec 4 4,5 4 - 4,5 По оценке редакции ("Editor's chice"), звание "лучшее аппаратное решение" заслужил IronPort C30; "лучший управляемый сервис" - Network Box Internet Threat Prevention System, а "лучшее ПО" - Symantec BrightMail AntiSpam 6.0.1. Полный текст обзора здесь. Источник: ZDNet Australia Sophos: итоги и тенденции 2004 года 14.12.2004 По информации компании Sophos, в 2004 году объемы спама и вирусов продолжали расти. Интернет-преступность становится все более организованной и совершенствует свои технологии. Прогноз неутешительный - угрозы только возрастут. В этом году основным поставщиком спама в мире остались США. Несмотря на вступление в силу в стране антиспамового закона, из нее в 2004 году было разослано более 42% всех спамовых писем. Это почти втрое превосходит объемы спама, разосланного из Южной Кореи, которая занимает второе место в "горячей десятке" стран-спамеров 2004 года. Страны, из которых рассылался спам в 2004 году:   страна разослано спама 1 США 42,1% 2 Южная Корея 13,4% 3 Китай (включая Гонконг) 8,4% 4 Канада 5,7% 5 Бразилия 3,3% 6 Япония 2,6% 7 Франция 1,4% 8 Испания 1,2% 9 Великобритания 1,1% 10 Германия 1,0% 11 Другие 19,7% В 2004 году спамерские технологии стали более изощренными. Спамеры умело маскируются, меняют доменные имена и прячут информацию о владельцах спамерских доменов. По информации Sophos, в настоящее время спамеры меняют свои домены в среднем раз в два дня, тогда как три месяца назад они делали это еженедельно. За прошедший год скорость использования спамерами новых технологий сократилась с недель и дней до минут - и, как считают аналитики Sophos, недалек тот день, когда спамерские "новинки" будут появляться в течение секунд. Среди новых спамерских тематик года: предложения работы на дому; предложения обучающий курсов и хорошо оплачиваемой работы в финансовом секторе; поддельные часы Rolex и другие фальшивки; спам религиозной тематики. Специалисты Sophos отмечают, что интенет-преступность становится все более организованной. В этом году развивался и укреплялся 'творческий союз' спамеров и вирусописателей, основной движущей силой которого является жажда наживы. Более 40% спама рассылается с инфицированных 'зомби'-машин. Армия 'зомби' была использована и для осуществления DdoS-атак, в частности, на сайты SCO, Microsoft, Kazaa, 10 Downing Street, RIAA, а также на правительственный сайт Пакистана и сайты некоторых антивирусных и антиспамовых компаний. Кроме того, в Интернете растет число мошеннических писем. Фишинг-письма становятся все более опасными: поддельные сайты, на которые ведут ссылки в этих письмах, все труднее отличить от оригинальных. Появился также новый вид фишинг-атак с использованием "троянов" - в результате жертвы попадают на фальшивые сайты при попытке выйти на настоящие. Всего же в течение года компания Sophos идентифицировала 10724 новых вирусов, что на 51,8% увеличило число известных вирусов, которое к концу года достигло 97535. Среди всех вирусных новинок года лидирует Netsky-P, которым было заражено 41,6% всех инфицированных писем. Таким образом, несмотря на усиление законодательной базы, объемы спама и вирусов продолжают расти, и, по мнению аналитиков Sophos, эта тенденция сохранится и в 2005 году. Продолжится также объединение вирусописателей и спамеров, в результате атаки станут еще более опасными. Чтобы противостоять им, необходимы объединенные усилия интернет-сообщества, специалистов по безопасности Сети и властей. Источник: PRNewswire Пользователи любят спам? 14.12.2004 Согласно результатам исследования Business Software Alliance (BSA), несмотря на предупреждения специалистов по безопасности, пользователи по всему миру продолжают покупать товары, рекламируемые с помощью спама. Казалось бы, общеизвестный факт: большинство пользователей на спам жалуются и встревожены "мусором", забивающим их почтовые ящики. По информации BSA, 38% пользователей считают спам угрозой безопасности Сети. Тем не менее, в ходе исследования выяснилось, что в разных странах от 18 до 37 процентов опрошенных читают спамовые письма, а 27% респондентов покупали у спамеров ПО. Последняя цифра вызвала особое беспокойство Business Software Alliance. BSA предупреждает, что необходимо соблюдать осторожность. "Многие даже не подозревают об истинных мотивах спамеров", - сказал представитель BSA Майк Ньютон (Mike Newton). По его мнению, спамеры могут использовать продажу ПО, которое выглядит вполне легитимным, для распространения программ-шпионов, с помощью которых спамеры воруют данные с компьютеров. Исследование проводилось в шести странах, всего в нем было опрошено 6000 респондентов. Как оказалось, в разных странах по-разному относятся к спаму. Наиболее благосклонны к спаму жители Бразилии: 37% опрошенных бразильцев читают спамовые письма, и 66% из них покупают товары или услуги, рекламируемые с помощью спама. Вообще же полученные результаты впечатляют. Если далекая Бразилия еще может кем-то восприниматься как страна, "где много диких обезьян", то в отсутствии информации о спаме и угрозах, которые он несет, европейские страны и Северную Америку заподозрить сложно. Тем не менее, читают спамовые письма среди опрошенных в разных странах: в Бразилии: 37%; во Франции - 29%; в Германии - 25%; в Великобритании - 23%; в Канаде - 20%; в США - 20%. А по пристрастию что-нибудь прикупить у спамеров или воспользоваться рекламируемыми услугами после бразильцев следуют французы (48%) и англичане (44%). По результатам исследования BSA, категории спам-рекламы, на которую реагируют получатели (покупают соответствующие товары/услуги), распределены следующим образом: ПО - 27%; одежда и украшения - 24%; досуг/путешествия - 21%; образование - 14%; медицина и здоровье - 13%; финансы - 12%; бизнес/инвестиции - 11%; "для взрослых" - 10%. Однако более трети из 6000 респондентов выразили озабоченность тем, что спамовые письма могут содержать вирусы или шпионские программы. Утешительная ли это цифра для экспертов по интернет-безопасности? Источник: BBC Спам - статистика за неделю 6 - 12 декабря 2004 г. Ашманов и Партнеры Объем спама и тематические особенности Объем спама сохраняется на прежнем уровне - 70-85% от общего трафика. Повторяются массовые подделки под рассылки информационного канала Subscribe.ru. На сайте Subscribe.ru вывешено предупреждение для подписчиков, а также просьба не реагировать на спамерские экземпляры подписок. Также продолжаются попытки эксплуатировать политические события на Украине, но в неожиданном ракурсе - для привлечения внимания к рекламируемым товарам и услугам. Вот, например, начало рекламы семинара "Стресс-менеджмент": "В это нелегкое для Украины время, особенно остро стоит проблема принятия эффективных и продуманных решений в кризисных и стрессовых условиях. Экономическая и политическая нестабильность, скачки спроса и предложения, изменения конъюнктуры рынка, XXI века требует особой профессиональной и психологической подготовки руководящих работников, предпринимателей, менеджеров". Активизировались предложения подарков к Новому году. Безусловными лидерами прошлой недели можно считать предложения купить "ручку с исчезающими чернилами". Только на сервера mail.ru эта рассылка пришла в количестве нескольких миллионов экземпляров. Популярные тематики Тематическое распределение спама практически остается без изменений, но предложения новогодних туров пошли на убыль. No Тематика Описание %% от общего объема Изменение за неделю 1 Для взрослых Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом 17% +2% 2 "Здоровый образ жизни" и "Медикаменты" Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 9% Без изменений 3 Образование Реклама семинаров, тренингов, курсов 8% Без изменений 4 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 7% +1% 5 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 5% Без изменений 6 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 4% -2% 7 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 4% Без изменений Самые массовые письма недели Подделка под рассылку Subscribe.ru Р*У'Ч'К'И С ИСЧЕЗАЮЩИМИ ЧЕРНИЛАМИ Это хорошо всем знакомое письмо с предложением ручек, которыми можно подписать "невыгодный для себя контракт", "чтобы подписанное исчезло через несколько часов". buy A Panerai Watch Эти письма, а также самое нечитаемое ("зашумленное") письмо вы найдете на сайте Спамтест. Самое неожиданное предложение База данных о доходах Предлагаем базу данных о доходах москвичей и жителей Подмосковья за 1999-2002 гг. База данных записана на четырнадцати CD. В ней содержатся около 7 млн. записей с ФИО, паспортными данными, домашними адресами и размером доходов с указанием источника. Источник базы данных - Пенсионный фонд РФ. Стоимость базы с бесплатной доставкой по Москве 500$ Заказы принимаем по email: {MAILTO} Линейка продуктов McAfee® SpamKiller® Петр Савич, Associates (McAfee Elite Partner) О компании McAfee, Inc. Корпорация McAfee, Inc. - мировой лидер в области разработки решений для обеспечения компьютерной и сетевой безопасности, предотвращения вторжений, защиты компьютерных систем от атак и угроз смешанного типа и вирусов последнего поколения. В рамках стратегии McAfee Protection-in-DepthT компания разрабатывает два семейства решений - McAfee System Protection Solutions (средства безопасности для настольных систем и серверов) и McAfee Network Protection Solutions (средства безопасности для корпоративных сетей). Компания была основана в 1989 г. В период с 1997 по 2004 гг. компания работала на рынке под именем Network Associates, Inc. Ее штаб-квартира расположена в Санта-Кларе, Калифорния (США). Над реализацией решений в рамках корпоративной стратегии работают более 3800 сотрудников по всему миру. Пользователи продуктов McAfee, Inc. в мире Более 70 миллионов пользователей по всему миру. Более 4 миллионов подписчиков на онлайновые сервисы. 100 миллионов ящиков электронной почты защищено через поставщиков услуг. Правительственные организации США: Управление национальной безопасности, Управление перспективных исследовательских программ, Cеть передачи данных Министерства обороны, ЦРУ, ФБР. Официальный сайт: www.mcafee.com О компании Associates Компания Associates является единственным авторизованным партнером McAfee, Inc. в России и имеет официальный статус McAfee Elite Partner. В штате компании имеются инженеры, сертифицированные McAfee, Inc. Компания предоставляет техническую поддержку на территории России и СНГ, консалтинговые услуги, обучение, внедрение и сопровождение по всему спектру решений McAfee, Inc. Официальный сайт: www.associates.ru Продукты семейства McAfee SpamKiller Решения McAfee для защиты от спама представлены как автономными высокопроизводительными аппаратно-программными комплексами, так и продуктами для встраивания в распространенные системы корпоративной почты (MS Exchange Server, Lotus Domino) и межсетевые экраны (MS ISA Server). Все продукты McAfee SpamKiller используют общий сканирующий механизм на основе технологии SpamAssassin и готовы к интеграции с системами антивирусной защиты McAfee. Аппаратно-программные комплексы McAfee SpamKiller Appliance Флагманскими продуктами линейки McAfee SpamKiller являются автономные высокопроизводительные аппаратно-программные комплексы SpamKiller Appliance и WebShield Appliance серии 3000 с предустановленным программным обеспечением. Конструктивно решения выполнены как промышленные компьютеры, готовые для монтажа в стойку 19", имеющие два сетевых интерфейса с автоматическим выбором скорости 10/100/1000. Особенностью данной серии является возможность программной активации антивирусной, антиспамовой или обеих защит одновременно, в зависимости от типа лицензии. В первую очередь, системы данного класса предназначены для средних и больших сетей. Задача контентной фильтрации является ресурсоемкой, и ее совмещение с другими задачами на одной аппаратной платформе часто приводит к недопустимой потере производительности. Системы WebShield/SpamKiller Appliance 3000 имеют унифицированный WEB-интерфейс управления. Первичная настройка происходит с использованием мастера настройки, содержащего минимальный набор необходимых опций. Как следствие, комплекс сможет ввести в эксплуатацию даже сетевой инженер средней квалификации, без наличия специальных знаний. Решение допускает управляемую балансировку нагрузки, сочетает в себе возможности почтового релея и прокси-сервера протоколов SMTP, POP3, HTTP, FTP. Appliance может быть легко установлен в стык сегмента, действуя по принципу прозрачного перехвата, не нарушающего топологию сети заказчика. Вместе с тем, Appliance способен взаимодействовать с уже имеющейся инфраструктурой заказчика через протокол LDAP. Платформа способна получать информацию непосредственно из сервера Exchange 2000/2003, Lotus Domino или любого другого (требуется соблюдение определенной схемы). Задается только несколько шаблонных фильтров запросов LDAPv3. Это может быть и коммерческий сервер Communigate Pro, и бесплатная Open Source система на базе OpenLDAP. Несомненным достоинством аппаратно-программных комплексов WebShield и SpamKiller Appliance 3000 является гибкость при интеграции в сетевую топологию заказчика за счет поддержки трех режимов работы: прозрачный мост с перехватом, прозрачный шлюз с перехватом и явный сервер прокси. Прозрачный мост с перехватом (на уровне соединения) В этом режиме устройство логически объединяет два физических сегмента в один, осуществляя перехват трафика. С точки зрения третьего уровня сетевого взаимодействия устройство прозрачно и имеет единственный логический сетевой интерфейс. Прозрачный мост не сегментирует сеть на третьем уровне, невидим для приложений и упрощает маршрутизацию трафика, осуществляя вместе с тем его безопасный перехват по заданным условиям. Этот режим практически не потребует никаких настроек сетевого оборудования заказчика. Прозрачный шлюз с перехватом (на сетевом уровне) В этом режиме устройство разделяет два логических сегмента на уровне сетевого протокола (IP), осуществляя безопасный перехват трафика. Система имеет два логических сетевых интерфейса, соответствующих физическим интерфейсам: один соединяется с внутренним корпоративным сегментом, а другой - с внешним сегментом (Интернет). В отличие от прозрачного моста, прозрачный шлюз требует явной маршрутизации на уровне IP, но по-прежнему остается "невидимкой" для уровня приложений. Прокси-сервер (на уровне приложений) В этом режиме устройство работает как обычный (некэширующий) прокси-сервер уровня приложений с контентной фильтрацией и требует явного указания себя в качестве такового всем приложениям сети. Производительность устройств McAfee WebShield/SpamKiller серии 3000 Системы McAfee WebShield/SpamKiller Appliance серии 3000 могут реализовывать антивирусную, антиспамовую и контентную фильтрации. Таблица 1. Производительность McAfee WebShield/SpamKiller Appliance 3000   Модель 3100 Модель 3200 Модель 3300I Размер сети До 250 узлов До 1000 узлов Более 1000 узлов HTTP AV 6.5 Мбит/с 8 Мбит/с 16 Мбит/с SMTP AV 60 тыс./час 120 тыс./час 240 тыс./час SMTP AV + CS 55 тыс./час 105 тыс./час 210 тыс./час SMTP AV + CS + SK 30 тыс./час 55 тыс./час 110 тыс./час SMTP SK 35 тыс./час 70 тыс./час 140 тыс./час Примечания к таблице 1: Все результаты приведены в расчете на один протокол, то есть либо 120 тыс. сообщений SMTP, либо 8 Мбит/с поток HTTP для модели 3200. AV: антивирусное сканирование, CS: контентное сканирование, SK: антиспамовое сканирование SpamKiller. Аппаратная платформа устройств McAfee WebShield/SpamKiller серии 3000 Таблица 2. Аппаратная платформа устройств McAfee WebShield/SpamKiller серии 3000.   Модель 3100 Модель 3200 Модель 3300I Форм-фактор 1U 19" 1U 19" 1U 19" Процессор 1 x 2.4 ГГц Celeron @400 МГц FSB 1 x 2.8 ГГц Xeon @800 МГц FSB 2 x 2.8 ГГц Xeon @800 МГц FSB Дисковая подсистема 1 x 80 Гб IDE 2 x 73 Гб SCSI U320 RAID1 2 x 73 Гб SCSI U320 RAID1 Память 512 Мб 1 Гб 4 Гб Сеть 2 x 10/100/1000 Ethernet 2 x 10/100/1000 Ethernet 2 x 10/100/1000 Ethernet Резервное питание Нет Нет Да Компонентные программные решения Данную линейку продуктов образуют программные решения, предназначенные для интеграции в коммерческие системы безопасности и корпоративного обмена информацией, такие как Microsoft Exchange Server 2000/2003, Microsoft Internet Security and Acceleration Server 2000/2004, Lotus Domino 5/6. Как и в случае с аппаратно-программными комплексами, продукты SpamKiller могут использоваться совместно с системами антивирусной защиты McAfee GroupShield® либо в виде самостоятельных решений. SpamKiller для Microsoft Exchange и Lotus Domino Данный продукт SpamKiller предназначен для интеграции непосредственно в сервер MS Exchange 2000/2003 или Lotus Domino 5/6 и решает задачи обнаружения, маркировки и перенаправления почты, классифицированной как спам. Продукт SpamKiller может быть установлен либо как дополнение к существующей системе антивирусной защиты McAfee GroupShield для Microsoft Exchange или Lotus Domino, либо как самостоятельный продукт. В первом случае происходит объединение антивирусной и антиспамовой защиты на одной программной базе, что существенно сокращает издержки на ввод в эксплуатацию и администрирование. Кроме этого, снижается общее потребление ресурсов. Данное компонентное решение предназначено для сетей любого размера. В числе дополнительных возможностей присутствует также генерация белых списков респондентов на основе адресных книг пользователей. SpamKiller для ISA Server McAfee SpamKiller для MS ISA Server 2000/2004 представляет собой компонент интегрированного решения комплексной контентной фильтрации McAfee SecurityShield. Защита непосредственно на шлюзе значительно снижает нагрузку на почтовые системы, расположенные за ним. Технологии защиты от спама Продукты McAfee® SpamKillerT основаны на известном проекте SpamAssassin, адаптированном под соответствующую платформу. По сравнению с бесплатной версией повышена общая производительность работы фильтра в 3-4 раза. Это обеспечивается использованием коммерческих трансляторов языка PERL, производящих машинный код, и значительной оптимизацией самого исходного кода SpamAssassin. Механизм SpamAssassin использует комплексную многоуровневую оценку почтовых сообщений по принципу штрафных очков. Специалисты McAfee проводят регулярный анализ, тестирование и обновление серии правил проверки (часть правил не имеет аналога у SpamAssassin), адаптируя их в соответствии с принципом решения "out-of-the-box". SpamKiller является самостоятельным коммерческим решением на базе SpamAssassin. Он использует свою собственную инфраструктуру для управления и хранения, собственный пользовательский интерфейс и собственную интеграцию с почтовыми системами. Мозгом антиспамового фильтра является набор из более 700 элементарных алгоритмов, выявляющий характерные для спама черты. Очевидно, что практически для любого автоматизированного фильтра можно составить такое сообщение, которое он не распознает. С этим и связан "синдром релаксации", когда с течением времени знание поведения того или иного фильтра становится доступным распространителям спама, в результате чего фильтр перестает обнаруживать новый спам. С одной стороны, одна из главных задач борьбы со спамом - это создание, анализ и регулярное дополнение наборов алгоритмических правил обнаружения, в ответ на новые технологии распространения спама. Фактически, правильно составленные наборы правил и определяют качество фильтра в терминах долей обнаруженного спама и ложных срабатываний. С другой стороны, одной из важных целей, преследуемой McAfee, является получение готового решения, которое способно обнаруживать высокий процент спама без каких-либо дополнительных настроек, тренировок байесовского фильтра и прочего. В этом заключается принцип коммерческого решения, которое работает "out-of-the-box". В этом же заключается и основное видимое отличие между бесплатным проектом SpamAssassin и коммерческими продуктами семейства McAfee SpamKiller: при установке "out-of-the-box" SpamKiller имеет существенно лучший процент обнаружения, в том числе за счет готового (заранее натренированного) байесовского фильтра, входящего в продукт. Специалисты McAfee ведут параллельную работу по созданию собственных серий тестов для SpamKiller, основываясь на опыте проекта SpamAssassin, но расширяя и дополняя его. Регулярность выхода обновлений систем SpamKiller составляет один раз в квартал. Как было сказано, механизм SpamKiller основан на сериях тестов, в которых каждый тест имеет определенный весовой коэффициент, или "штрафной заряд" (score) в виде действительного числа (со знаком и дробной частью). Если результат отдельного теста положительный, то его заряд алгебраически складывается с общей суммой. Общая сумма штрафных очков и определяет степень принадлежность сообщения к спаму, а устанавливаемые администратором пороговые значения используют данный результат для принятия окончательного решения: пропустить сообщение, пропустить и маркировать его как спам, либо перенаправить в специальный отстойник. В соответствии с заданными порогами срабатывания возможны следующие ответные действия SpamKiller: Отказ от доставки с генерацией диагностики. Отказ от доставки без генерации диагностики ("черная дыра"). Простая доставка получателю (легитимная почта). Доставка с видимой маркировкой сообщения. Перенаправление в личную папку-отстойник пользователя (user junk folder). Перенаправление в системную папку-отстойник (system junk folder). Администратор должен задать необходимые пороги штрафных очков для тех или иных действий, задать координаты системной папки-отстойника и настроить автоматические обновления, если не устраивает поведение по умолчанию. После этого система полностью готова к фильтрации. Основные группы тестов, используемые продуктами McAfee SpamKiller, классифицированы и описаны далее. Анализ целостности Под анализом целостности подразумевается серия проверок, основанная на стандартах Интернет RFC, регламентирующих MIME (Multi-purpose Internet Mail Extensions). До сих пор значительная часть спамерских сообщений содержит "нарушения различной степени тяжести", т.е. 8-битные данные в заголовках и прочие. Поскольку при разработке сетевых приложений (почтовых агентов и клиентов) большое внимание обычно уделяется стабильности, дизайн продуктов часто имеет большой "запас прочности", и продукт сохраняет способность воспроизводить "битые" сообщения, содержащие недопустимые символы в заголовках, написанные в неизвестных кодировках, и т.п. Анализатор целостности, наоборот, "уделяет пристальное внимание" различным ошибкам компоновки (кодирования) сообщений, как бы убирая этот запас прочности и начисляя штрафные очки в соответствии с частотой обнаружения данной ошибки в потоке спама. Предполагается знание фильтра a priori о степени характерности таких ошибок. Сильным инструментом являются также т.н. мета-правила (строго говоря, мета-правила не принадлежат ни к одной из описанных здесь групп). Это специальные правила (обычно, с высокими штрафными очками), которые срабатывают только при одновременном срабатывании группы других правил. Часто спам-сообщения содержат не одну, а несколько ошибок, и данный факт можно эффективно использовать с помощью мета-правил. Эвристическое обнаружение К этой группе тестов можно отнести алгоритмы, обнаруживающие попытки распространителя спама подделать санкционированную отправку сообщения. Распространитель спама часто подделывает заголовки таким образом, чтобы имитировать отправку сообщения известной программой (The Bat!, Outlook, и т.д.). SpamKiller обнаруживает некоторые характерные признаки подобных действий, начисляя штрафные баллы. К другим тестам в данной группе можно также отнести распознавание "почерка" конкретной утилиты распространения спама (spam tool pattern). Обычно этот тест выявляет характерные способы кодирования сообщения, невидимые пользователю. Еще один излюбленный трюк спамеров - это компоновка сообщений в виде документа HTML, с интенсивной "набивкой" комментариями-помехами. Такие комментарии не видны пользователю, но хорошо "сбивает с толку" примитивные антиспамовые фильтры (метод получил название "obfuscating text"). К чести SpamKiller следует сказать, что подобные попытки не только не сбивают с толку контентную фильтрацию, но и получают довольно высокие штрафные баллы. Контентная фильтрация В широком смысле, любая фильтрация на основе анализа содержимого (контента) является контентной, т.е. защита от спама уже является таковой. Здесь под контентной фильтрацией следует понимать анализ "видимого" содержимого, т.е. анализ с защитой от помех типа "obfuscating text", описанных выше. SpamKiller содержит тесты, обнаруживающие порядка нескольких сотен фраз и слов, таких, как "viagra", "sex" и прочих, а также чрезмерные восклицательные знаки, фразы типа CALL NOW!. Появившийся в последнее время метод рассылки сообщений в виде картинок также приводит к положительному срабатыванию определенных тестов. Черные и белые списки респондентов Белые списки используются для защиты от ложных срабатываний, которые часто представляют собой серьезную проблему. При наличии отправителя в белом списке анализ сообщения не прерывается, но к общему числу очков добавляется отрицательное по знаку значение штрафного балла (обычно достаточно большое), что приводит к уменьшению "спамовости" сообщения. Черные списки адресатов, в противоположность белым, начисляют положительные штрафные очки при наличии в них отправителя. В большинстве случаев личная адресная книга пользователя - это белый список в чистом виде, поэтому SpamKiller, встроенный в систему корпоративной почты, предоставляет механизм автоматической синхронизации контактов пользователей. Мало кто из спамеров сейчас пойдет на издержки, связанные с хищением и персональной подделкой почты на основе адресной книги получателя. Вместе с этим, SpamKiller дает возможность ведения статических белых и черных списков "вручную", для каждого пользователя отдельно, с индивидуальным доступом. Автоматическая адаптация к окружению (динамическая подстройка) Важным свойством коммерческого продукта является автоматизация задач администрирования и стабильная работа без вмешательства квалифицированного персонала. Для удовлетворения этих требований SpamKiller реализует механизмы SpamAssassin для автоматической тренировки байесовского фильтра (bayes auto learn) и вычисления фактора "отбеливающего списка" (auto white list factor). "Отбеливание" приводит к изменению веса правил, применяемых к отправителям, ранее определенным как легитимные. Допустимые пороги для самообучения байесовского фильтра выбраны более жестко (по сравнению с бесплатной версией SpamAssassin) с целью предотвращения неустойчивого поведения системы. Эти возможности обеспечивают более ровное поведение фильтра в целом в период между обновлениями базы правил. Поддержка DNSBL (RBL) Продукты SpamKiller, поставляемые в виде аппаратно-программных решений, производят проверку сетевого и почтового адреса отправителя по черным спискам DNSBL (DNS Black List), ранее известных как RBL (Real-time Black List). Факт нахождения отправителя в черном списке только увеличивает шанс сообщения быть трактованным как спам, потому что положительный результат тестов DNSBL, как и других, только добавляет штрафные очки к общей сумме. В ответ могут сработать "отбеливающие" правила, нейтрализующие своим отрицательным зарядом положительные штрафные очки от DNSBL, в результате чего санкционированное сообщение успешно достигнет своего получателя. Фильтрация на основе алгоритмов Байеса Байесовский фильтр - относительно молодая и довольно перспективная технология фильтрации, основанная на статистическом анализе. McAfee SpamKiller содержит предварительно натренированный байесовский фильтр, контролируемое обучение (supervised training) которого производится специалистами McAfee. Каждое квартальное обновление базы тестов для SpamKiller содержит и обновленную версию Байеса. В период между обновлениями SpamKiller допускает самообучение фильтра на рабочем потоке, ужесточая правила по сравнению с оригинальными настройками SpamAssassin. Отсутствие необходимости тренировки байесовского фильтра является несомненным качеством продукта, как коммерческого решения "out-of-the-box". Байесовский фильтр от McAfee, несмотря на свое американское происхождение, эффективно обнаруживает и русскоязычный спам, характерный для российского сегмента Интернет. Возможности продуктов McAfee SpamKiller Интеграция, управляемость и отчетность Являясь частью семейства продуктов, предназначенных для защиты от нежелательного контента (в том числе вирусов и спама), McAfee SpamKiller поддерживает систему централизованного управления и отчетности McAfee ePolicy Orchestrator. При использовании решения ePolicy Orchestrator все агенты безопасности (в т.ч. и SpamKiller) начинают функционировать как единое целое: административный комплекс ePO не только самостоятельно установит и настроит программное обеспечение всюду, где это необходимо, но и будет генерировать соответствующую отчетность. При этом ePO работает на основе политики, создаваемой администрацией сети. Решения "out-of-the-box" McAfee SpamKiller избавляет заказчика от большинства рутинных и трудоемких задач, связанных с пусконаладочными работами и текущим администрированием. Все продукты с маркой SpamKiller содержат натренированный вручную (supervised training) байесовский фильтр, обновляемый ежеквартально. SpamKiller без дополнительных усилий администратора имеет существенно более высокие показатели по сравнению со своим бесплатным прототипом SpamAssassin, установленным "out-of-the-box". Серии тестов McAfee максимально адаптированы для работы "out-of-the-box", с учетом байесовской фильтрации, автоматического обучения системы, работы с белыми списками и прочим. Системы SpamKiller практически избавляют администратора от ручного ведения белых и черных списков, синхронизируя их содержимое с адресными книгами и предоставляя возможность пользователям (с согласия администратора) вносить изменения в списки самостоятельно. Заключение Враждебность современных сетевых окружений и растущая зашумленность информационного эфира предполагает комплексные меры противодействия. Задачи фильтрации содержимого были и останутся наиболее технологичными и ресурсоемкими. Для защиты корпоративных сетей большой интерес представляют решения с широкими функциональными возможностями и большим охватом платформ - такие как интегрированные решения McAfee SpamKiller для обнаружения, маркировки и перенаправления содержимого, содержащего спам и прочий нежелательный контент. McAfee SpamKiller - это: Специально адаптированные наборы правил McAfee. Предварительно натренированный байесовский фильтр. Регулярные обновления базы правил и байесовского фильтра. Сетевая инфраструктура и пользовательский интерфейс для администрирования. Интеграция в популярные почтовые системы MS Exchange, Lotus Domino. Автоматическая адаптация к среде выполнения. Интеграция в системы антивирусной защиты McAfee. Интеллектуальное использование ресурсов типа DNSBL. Отлично зарекомендовавший себя сканирующий механизм SpamAssassin. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) ЗАО "Ашманов и Партнеры", 2003-2004