Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Лаборатория КасперскогоSubscribe.ru
Электронный журнал "Спамтест" No. 182

в этом номере:


Новости

Защита прав потребителей объединенными усилиями правоохранительных органов ЕС получила официальный статус

02.03.2007

В Брюсселе официально объявлено об активации общеевропейской сети содействия защите прав потребителей - Consumer Protection Cooperation Network, призванной положить конец безнаказанности трансграничного мошенничества с использованием Интернета.

Эта сеть, объединяющая ресурсы правоохранительных и правоприменительных организаций 27 стран-членов ЕС, была создана в соответствии с европейскими нормативами по межнациональному сотрудничеству в области защиты прав потребителей (Regulation on Consumer Protection Cooperation, СРС), принятыми в октябре 2004 года. Сеть СРС заработала в конце 2006 года, но официально ее введение в действие было оглашено 28 февраля на первом совещании правоприменительных органов стран-членов Евросоюза.

Существующие различия в национальных законодательствах способствуют высокой мобильности киберзлоумышленников, имеющих возможность оперативно менять электронные адреса и укрываться от правосудия на территории других стран. Объединение национальных правоохранительных ресурсов в единую общеевропейскую сеть призвано расширить возможности национальных организаций, стоящих на страже интересов потребителей.

Проект Consumer Protection Cooperation Network предусматривает создание и использование совместной базы данных, регулярный обмен опытом и проведение консультаций, взаимопомощь в проведении расследований, поимке нарушителей закона и передаче их в руки правосудия. Межведомственные оперативные группы наделены полномочиями отслеживать электронные адреса кибермошенников, налагать штрафные санкции, возбуждать судебные иски и замораживать активы нарушителей закона.

Сфера действия нового межнационального правоприменительного механизма включает нарушения прав потребителей с использованием каналов электронной почты для рассылок вводящей в заблуждение рекламы, фальшивых уведомлений о выигрышах в лотерею или "призовом" бесплатном отдыхе на клубных и тайм-шер курортах, предложений "чудодейственных" целебных препаратов, мошеннических писем с вымогательством предоплаты ("нигерийский" спам).

По экспертным оценкам, только в Великобритании ежегодно более 3 миллионов потребителей вверяют мошенникам свои деньги и персональную информацию в обмен на несуществующие "золотые горы", причем каждая жертва собственной доверчивости в среднем теряет на этом 1000 фунтов стерлингов (около 2000 долларов).

Источник: www.chron.com

В Великобритании предложено узаконить выплату компенсаций жертвам фишинга

06.03.2007

Крупнейшая английская организация по защите прав потребителей Which? Money призвала обязать банки выплачивать компенсации жертвам фишинга.

По экспертной оценке, за последние два года количество случаев мошенничества в банковском онлайн-сервисе Великобритании выросло с 40 до 1000 в месяц, убытки английских банков от фишинга в первой половине 2006 года составили 22,5 млн. фунтов стерлингов. В условиях роста киберпреступности борцы за права потребителей, подобные Which?, выражают озабоченность по поводу отсутствия гарантированной защиты потенциальных жертв компьютерных мошенников.

В настоящее время английские банки в большинстве случаев компенсируют своим клиентам потери от фишинга, но делают это на добровольной основе в интересах престижа. Активисты Which? предложили внести поправку в пересматриваемый ныне Банковский кодекс - нормативное соглашение, соблюдаемое большинством банков Великобритании, - которая бы налагала строгие обязательства на эти финансовые институты в отношении выплаты компенсации своим клиентам-жертвам фишинга.

Представители банковских структур считают маловероятным подобное изменение нормативов своих взаимоотношений с клиентами в ближайшем будущем. Некоторые даже считают, что большая степень финансовой защищенности будет способствовать потере бдительности пользователями онлайн-услуг, играющей на руку компьютерным мошенникам. С другой стороны, разделение бремени убытков с клиентами будет стимулировать реализацию финансовыми организациями ответственности за повышение эффективности средств защиты своего онлайн-сервиса.

Источник: BBC

Шотландец отсудил у компании-спамера 1300 фунтов

06.03.2007

Второй раз за историю британского судопроизводства процесс по иску частного лица против организации, рассылающей спам, заканчивается победой истца. 1300 фунтов стерлингов - такова сумма, которую Transcom Internet Services Ltd должна выплатить решением шерифского суда Эдинбурга по исковому требованию Гордона Дика (Gordon Dick).

Дик обвинил Transcom Internet Services в нарушении британского антиспамового закона Privacy and Electronic Communications Regulations от 2003 года, который в числе прочего защищает право частных лиц отвергать незапрошенные коммерческие рассылки по каналам электронной почты, факсимильной и SMS-связи.

В феврале 2006 года на электронный адрес Дика, защищенный от спама и до той поры свободный от нежелательной почты, стала поступать несанкционированная рассылка с рекламой: спамоустойчивых электронных адресов. Инициатором рекламной рассылки был британский веб-сайт в сети Transcom Internet Services, использующий адреса частных клиентов. По приблизительным оценкам, получателями нелегитимной рассылки стали 72000 индивидуальных пользователей.

Дик вступил в переписку с представителями группы компаний под эгидой Transcom Internet Services, пытаясь получить надлежащие объяснения и вывести свои данные из базы Transcom. Последняя подтвердила свою ответственность за рекламу, но не признала противозаконность рассылки и предложила настойчивому корреспонденту обратиться в суд. Когда Дик сообщил о своем окончательном решении подать судебный иск, представители Transcom пригрозили выступить со встречным иском, но дальше угроз не пошли. В мае 2006 года Дик обратился с жалобой в эдинбургский суд по делам с небольшой суммой иска.

В британской судебной системе слушания по искам на небольшую сумму являются несложной процедурой и не требуют юридического представительства сторон. Но иски от частных лиц против спамеров рассматриваются только в случае установленного факта нелегитимной рассылки с территории Великобритании, что далеко не всегда очевидно. Кроме того, на этой ступени британского правосудия рассматриваются только иски от владельцев частных электронных адресов, а суммы налагаемых на спамеров штрафов не оговорены.

На предварительном слушании дела по иску Дика нанятые Transcom поверенные выдвинули предложение урегулировать претензию без судебного разбирательства с выплатой компенсации истцу в размере 500 фунтов стерлингов. Дик от такого исхода отказался, так как этот вариант не предусматривал извинений со стороны Transcom и обещаний воздержаться от дальнейшей противозаконной деятельности. За день до судебного процесса сумма предложенной Дику компенсации была увеличена до 750 фунтов, но Transcom вновь отказалась связать себя обещанием более не обращаться к спамерским приемам ведения бизнеса.

Суд признал Transcom виновной в нарушении антиспам-законодательства и постановил выплатить Дику 750 фунтов с процентами в качестве морального ущерба и 167 фунтов в возмещение судебных расходов. Обычно сумма судебных издержек по искам на небольшую сумму составляет не более 75 фунтов, но в данном случае судьи наказали работников Transcom за нелицеприятное поведение - отсутствие на арбитражном разбирательстве и нежелание сотрудничать в урегулировании тяжбы до суда.

Источник: The Register

Госдепартамент США пытается уберечь американцев от "нигерийских" мошенников

06.03.2007

"Нигерийские" мошенники повсеместно преследуют легковерных искателей сокровищ и романтически настроенных представителей сильного пола. Американские граждане подчас теряют целые состояния, а иногда и жизнь, в погоне за призрачным счастьем.

Обеспокоенный участившимися случаями интернет-мошенничества по "нигерийской" схеме за пределами США, госдепартамент этой страны издал 24-страничную брошюру с описанием типовых обманных сценариев и признаков письма-подделки, выдержками из переписки обманщиков и их жертв, примерами получаемых зарубежными консульствами США запросов и жалоб от американских граждан, образцами фотографий и копий поддельных документов, высылаемых мошенниками потенциальным жертвам для вящей убедительности.

В брошюре, озаглавленной "International Financial Scams - Internet Dating, Inheritance, Work Permits, Overpayment and Money Laundering" ("Международные финансовые аферы - интернет-знакомства, трудоустройство, щедрые вознаграждения и отмывание денег"), говорится, что американские консульства в Нигерии, Гане, Великобритании и России ежегодно получают тысячи жалоб и обращений по поводу электронных посулов быстрого обогащения и обретения любовных утех, которые звучат слишком сказочно, чтобы иметь шанс на материализацию.

"Нигерийский" сценарий эволюционирует, обращаясь от "лобовых" атак с вымогательством предоплаты за кусок несуществующего финансового "пирога" к заверениям в интимной заинтересованности красоток, томящихся в плену у злых гениев и ждущих освободителя на белом коне, и "деловым предложениям, от которых невозможно отказаться".

Получателей подобных электронных посланий должны сразу насторожить просьбы выслать некую сумму денег, нередко сопровождающиеся призывами о помощи в стесненных жизненных обстоятельствах, жалобами на череду неудач, профессионально выполненными фотографиями и грамматическими ошибками.

Американская брошюра об интернет-мошенничестве была выпущена после того, как в Того покончил с собой проживавший в Южной Африке американец, ставший жертвой "нигерийского" мошенничества и потерявший все свое состояние, - около миллиона долларов.

В течение полутора лет американец, поддавшись на посулы "бизнес-партнера" из Ганы, заложил свой дом, продал автомобиль и разорил свой инвестиционный бизнес, чтобы оплатить бесчисленные поездки в Гану и Дубаи и вложить капитал в учрежденную по требованию мошенника компанию по сбыту несуществующего золотого песка, "замаскированного" под соль. Все это время от "партнера по бизнесу" он получал лишь пустые обещания.

В июле 2006 года, оставшись без средств к существованию, несчастный написал "кидале" возмущенное письмо, положил на собранный саквояж свой паспорт и конверт, адресованный брату, и повесился в номере отеля, за который так и не смог расплатиться.

"Американские посольства в Африке, - говорится в отчете посольства США в Того, - хорошо осведомлены о существовании этого вида мошенничества и очевидном желании жертв рисковать последним, боясь признаться себе, что их провели. Однако впервые мы сталкиваемся с таким трагическим исходом".

Отметим, что заманчивые предложения, в том числе от "нигерийских" невест - якобы наследниц миллионных состояний - получают и русскоязычные пользователи. Мало кто из наших соотечественников может рисковать миллионами, однако мошенники не пренебрегают и меньшими суммами, успешно выманивая их у некоторых доверчивых получателей.

Источник: www.smh.com.au

Вдохновленная спамом

09.03.2007

Выпускница Северо-Западного университета в Чикаго Кристин Томас (Kristin Thomas) гасит раздражение, вызываемое обилием спама в почтовом ящике, погружением в творческий процесс. Пятый год она увлеченно слагает стихи, используя только фразы из заголовков спамовых писем.

В один прекрасный день молодая писательница, исследующая вклад молодежи в интернет-культуру, с затаенной досадой разбирала 2000 электронных писем от незнакомых адресатов, скопившиеся за день в ее почтовом ящике. Бегло просматривая их заголовки, она уловила некий внутренний ритм, который неожиданным образом объединил обрывки фраз в стихотворные строфы.

"Look at her gleaming smile,
The girl you always wanted:"
(Взгляни, как сияет улыбка девушки твоей мечты:) - так начинается одна из стихотворных зарисовок Кристин, в которой она использовала заголовки спамовых писем с рекламой стоматологических услуг и веб-сайта знакомств match.com. По словам Кристин, стихослагательство на основе столь необычного материала не претендует на статус высокохудожественного творчества, но помогает ей вернуть душевное равновесие, превращая раздражитель в орудие вдохновения.

Своими первыми причудливыми опусами Кристин делилась с друзьями, затем стала выкладывать в Интернете. О ее увлечении даже упомянули на BBC News и Newsweek. В настоящее время у нее есть свой веб-сайт, www.spam-poetry.com, который регулярно обновляется. Теперь уже трудно установить, была ли Кристин первооткрывательницей подобного стихотворчества. В современном Интернете функционирует много веб-сайтов с аналогичным контентом, проводятся даже состязания по спам-поэзии.

Зарабатывать на своем увлечении Кристин не собирается, но, заглянув как-то в статистику на своем веб-сайте, она обнаружила, что ежедневно его посещают около 500 пользователей из разных стран. Использовать в своем творчестве заголовки спамовых писем порнографического содержания спам-поэтесса не отваживается: ее творчеством интересуются друзья и родные, среди которых есть и дети.

Материала для работы у Кристин всегда в избытке. Невзирая на антиспам-защиту, в ее 10 почтовых ящиках ежедневно скапливается около 300 спамовых сообщений на английском, русском, китайском языках и иврите. Однажды Кристин ради интереса заблокировала антиспам-фильтр, и сразу суточный объем спама вырос до 8000 единиц. Эксперимента хватило на полторы недели.

Вот одно из любимых спам-стихотворений Кристин, в котором получатели англоязычного спама, возможно, найдут знакомые строки:

"it counts"

3 Chicks in one night
(25 mg did the trick.)
3 hand made silk ties
3 dollars, each
4 out of 5 doctors recommend
5 financial tips for grads
6 times the action
7 minutes in heaven!
15 minutes of waiting and then
36 hours of pleasure!
Numbers never lie my friend
Numbers never lie

Источник: www.suntimes.com


Спам - статистика за период
26 февраля - 04 марта 2007 г.

"Лаборатория Касперского"

Объем и тематические особенности спама

Доля спама в почтовом трафике на прошлой неделе составила в среднем 74,6%, что немного ниже, чем на предыдущей неделе.

Самые серьезные изменения в тематическом распределении спама на прошедшей неделе произошли в рубриках "Медикаменты; товары/услуги для здоровья", "Образование" и "Услуги по электронной рекламе". "Медикаменты" при этом фактически вернулись к своим обычным показателям, а вот доля спамовых писем, рекламирующих "Услуги по электронной рекламе", самая маленькая за этот год.

Основной темой прошедшей недели стало, конечно, приближающееся восьмое марта. Подарки к восьмому марта и доставка цветов - самые популярные рекламируемые товары и услуги. Также постоянными темами рекламных рассылок остаются корпоративные праздники, туристические поездки на выходные, отдых в клубах.

Кроме праздничной тематики, спамеры начинают эксплуатировать и тему наступающей весны. В первую очередь это проявилось в разделе "Услуги для здоровья". Здесь отметились отбеливание зубов, похудание и реклама фитнесс-клубов.

В целом же неделя оказалась довольно спокойной и не отмеченной необыкновенными прорывами в области спама. Большинство интересных рассылок, как уже было сказано, были посвящены восьмому марта (смотри письма ниже), из прочих предложений стоит, пожалуй, выделить предложение научить рисовать за 28 часов (совершенно необходимый курс для любого взрослого, как утверждают спамеры) и спам, посвященный рекламе, размещенной на скамейках.

Зато с технической точки зрения спамеры преподнесли пользователям новый тип анимированного спама. Изображение с характерным фармацевтическим предложением (виагра и пр. по низким ценам) разделено на фрагменты, каждый из которых отображается отдельным фреймом. При этом каждый фрагмент изображения еще и повернут на случайный угол (см. пример ниже). Как и всегда, спамеры надеются с помощью новой, усложненной техники генерации изображений, обойти антиспам-защиту. Но вряд ли им это поможет.

Популярные тематики

No Тематика Описание Доля тематики Изменения за неделю
1 Другие товары и услуги Предложения других товаров и услуг 24,2% -1,0%
2 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 17,0% +9,4%
3 Образование Реклама семинаров, тренингов, курсов 16,2% -5,4%
4 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 10,6% +0,5%
5 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 9,6% +1,7%
6 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 6,6% +0,5%
7 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 5,9% +1,9%
8 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 3,5% -4,4%
9 Остальной спам   Менее 2% -3,7%
10 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% -1,7%
11 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. Менее 2% -1,0%
12 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% -0,4%

Образчики самого массового спама, а также самые оригинальные спам-предложения вы найдете на сайте Спамтест.


Обзор и тестирование системы "Kaspersky Anti-Spam" версии 3.0

Журнал КомпьютерПресс, #2 (февраль 2007)

Олег Зайцев

В февральском номере журнала КомпьютерПресс были опубликованы результаты независимого промышленного тестирования Kaspersky Anti-Spam 3,0 на корпоративном почтовом сервере ОАО Смоленскэнерго. С разрешения редакции журнала мы публикуем статью на нашем сайте.

Введение

С проблемой спама сталкивался любой пользователь Интернет, пользующийся электронной почтой. В корпоративной среде с активным документооборотом спам особенно неприятен - он вклинивается в поток деловой корреспонденции, сотрудники вынуждены тратить рабочее время на фильтрацию почты, и полезные письма нередко теряются среди спама.

Естественно, для борьбы со спамом можно применять персональные фильтры, устанавливаемые на компьютерах пользователей (например, обучаемый фильтр на базе теоремы Байеса), но в корпоративной среде с сотнями рабочих мест наилучшим решением является установка на сервер электронной почты централизованного фильтра. Данная статья посвящена тестированию и описанию возможностей системы Kaspersky Anti-Spam (KAS) версии 3.0, предназначенной для фильтрации спама на уровне почтового сервера.

Условия тестирования и опытной эксплуатации

Система Kaspersky Anti-Spam 3.0 была установлена на основном корпоративном почтовом сервере ОАО Смоленскэнерго. Сервер работает под управлением FreeBSD 4.9, почтовый сервер QMail. Из дополнительных программ на сервер установлен антивирус KAV 5.0.2 для фильтрации писем, содержащих компьютерные вирусы. Специализированных средств фильтрации спама до установки Kaspersky Anti-Spam на сервере не применялось.

Данный почтовый сервер обрабатывает в месяц в среднем 80-100 тысяч писем (2.5 - 3.5 тысячи писем в день), причем порядка 40-60 тысяч писем в месяц составляет деловая переписка. Сервер обслуживает порядка тысячи почтовых ящиков, из которых 250 обслуживается непосредственно сервером, остальные - серверами поддоменов. Аппаратная платформа - Intel Xeon 1.8, 1 ГБ ОЗУ.

Установка

Установка продукта и его настройка заняла не более часа, никаких проблем в процессе установки не возникло. Kaspersky Anti-Spam был установлен непосредственно на почтовый сервер, однако существует возможность его установки на выделенный сервер. В этом случае Kaspersky Anti-Spam может обслуживать запросы от нескольких почтовых серверов (запросы в этом случае передаются по сети).

Единственной особенностью, отмеченной в ходе установки системы, является тот факт, что операционная система на почтовом сервере "Смоленскэнерго" собрана в минимальной конфигурации, без графической оболочки - поэтому запустить браузер после установки Kaspersky Anti-Spam для его настройки невозможно, а Web-интерфейс KAS по умолчанию доступен только непосредственно с сервера, на котором он установлен. Однако эта ситуация описана в документации, и там же указан путь решения - в одном из конфигурационных файлов необходимо задать IP-адрес сетевого интерфейса и номер порта TCP, используемые Web-интерфейсом. Редактирование этого конфигурационного файла было, по сути, единственной операцией, проделанной в ходе установки вручную ( схему взаимодействия Kaspersky Anti-Spam с почтовым сервером Qmail и другие иллюстрации к статье см. на сайте Спамтест. ).

Процесс установки подробно описан в документации, а в приложении описан процесс интеграции Kaspersky Anti-Spam с различными почтовыми серверами и тонкости настройки в каждом из случаев. Документация по KAS вызвала весьма положительное впечатление - объем печатной документации составляет 132 страницы формата A4, информация в ней хорошо структурирована.

Устройство Kaspersky Anti-Spam и принцип его работы

Устройство KAS подробно описано в документации, поэтому рассмотрим его на концептуальном уровне.

Клиентские модули предназначены для интеграции KAS с почтовым сервером. Сам сервер фильтрации обведен на рисунке пунктиром. Его задачей является прием запросов от клиентских модулей, анализ и вынесение вердикта по каждому из запросов. Сервер фильтрации, в свою очередь, состоит из модуля фильтрации, который собственно и осуществляет проверку писем.

Кроме модуля фильтрации, в составе продукта имеется центр управления, предназначенный для управления продуктом при помощи Web-интерфейса. Модуль обновления данных отвечает за загрузку обновлений. Следует отметить, что KAS, подобно антивирусу, использует обновляемые базы - в данном случае это базы контентной фильтрации. Система мониторинга отвечает за контроль состояния всех компонентов - ее задачей является информирование администратора о неполадках и сбоях в KAS.

Классификация писем и детектирование спама в KAS производится с применением набора различных методик. Основными из них являются:

  • Анализ формальных признаков. Метод основан на применении к письму набора правил, которые позволяют классифицировать письмо как спам. В частности, анализу подвергается заголовок письма, его структура, размер и ряд других признаков, в частности IP-адрес почтового сервера, от которого получено письмо, и IP-адреса промежуточных серверов, а также адрес отправителя. Кроме того, этот метод использует "черный" и "белый" списки почтовых адресов и IP-адресов, которые создаются и редактируются администратором.
  • Контентная фильтрация. Данный метод основан на анализе содержимого письма с применением искусственного интеллекта, методов нечеткой логики и семантического анализа. Исследованию подвергается текст письма и вложения поддерживаемых типов (Plain Text, HTML, RTF, Microsoft Word). Для проведения подобного анализа применяется база данных, наполнение и сопровождение которой осуществляется аналитиками "Лаборатории Касперского". Обновление базы производится автоматически через заданные в настройках интервалы времени при помощи подсистемы автоматического обновления. Важным моментом является то, что, кроме текста письма, анализу подвергаются находящиеся в нем графические изображения, которые все чаще применяются спамерами для обхода антиспам-систем.
  • Проверки с помощью внешних сервисов. Проверки данной группы основаны на передаче запроса некоторым внешним сервисам и использовании ответа для классификации письма. В частности, в KAS применяются
    • запросы к сервисам DNSBL (DNS-based black list - черные списки на базе DNS);
    • проверка адреса отправителя по правилам, полученным по SPF (SPF также базируется на стандартном DNS-запросе);
    • проверка найденных URL в теле письма ссылок при помощи сервиса SURLB - сервиса, предназначенного для опознания ссылок на рекламируемые спамерами ресурсы. Применение данной технологии позволяет блокировать письма, содержащие вместо осмысленного текста ссылку на информацию рекламного характера;
  • Проверки на базе технологии UDS. Технология UDS (Urgent Detection System) разработана "Лабораторией Касперского" и основана на том, что из подозреваемого на спам письма выделяется набор признаков, достаточный для анализа и идентификации сообщения. Набор признаков имеет небольшой размер и не содержит информации, позволяющей восстановить адресатов или текст письма. Он передается на один из серверов "Лаборатории Касперского" в виде UDS-запроса по протоколу UDP, на сервере "Лаборатории Касперского" признаки подвергаются анализу, и результаты этого анализа передаются в качестве ответа. Применение данной технологии не создает угрозы утечки информации и не порождает существенного трафика, но позволяет детектировать известные спам-рассылки до обновления контентной базы, что позволяет повысить эффективность системы.

В результате анализа письму присваивается один из следующих статусов:

  • Spam - письмо с высокой вероятностью является спамом;
  • Probable Spam - письмо не может однозначно классифицировать как спам, но в нем обнаружены характерные для спама признаки;
  • Formal - письмо является так называемым формальным сообщением, т.е. оно сгенерировано автоматически и содержит некоторое уведомление для пользователя - например, сообщение о невозможности отправки письма или ответ почтового антивируса;
  • Trusted - письмо получено из достоверных источников. Список доверенных ведется централизованно администратором;
  • Blacklisted - письмо получено из источников, значащихся в "черном" списке. "Черный" список ведется централизованно администратором;
  • Not Detected - письму не присвоен ни один из вышеперечисленных статусов и оно не опознано как спам.

Кроме перечисленных статусов, существует еще один - "Obscene". Он выставляется при помощи отключаемой проверки, которая детектирует наличие в тексте письма нецензурных слов и непристойных фраз.

Реакция на письма с каждым типом статуса настраивается администратором системы. Поддерживаются операции: принять письмо, перенаправить письмо или его копию на заданный адрес, установить в заголовке письма текстовую метку, создать в письме специальный заголовок, удалить письмо или отклонить прием письма. В ходе тестов в "Смоленскэнерго" KAS был настроен на установку маркера в заголовке письма. Например, маркированное спам-письмо имеет заголовок, начинающийся с текста "[!! SPAM]". В результате пользователь получает всю корреспонденцию, но помеченная корреспонденция автоматически отправляется в папку "Спам" почтовой программы. Кроме маркировки письма, в его служебный заголовок помещается ряд специальных полей, значения которых можно применять для анализа или фильтрации почты.

Настройка и управление

Все операции по настройке и управлению системой Kaspersky Anti-Spam производятся при помощи Web-интерфейса. Доступ к Web-интерфейсу защищается паролем.

Элементы Web- интерфейса разбиты на несколько категорий, каждая из которых отображается на отдельной закладке:

  • Monitoring - результаты мониторинга системы. На данной закладке отображается информация о состоянии системы в целом, а также протоколы событий "движка" системы и подсистемы автоматического обновления. При просмотре протокола можно установить фильтр для отбора записей с определенным типом событий.
  • Statistics - статистическая информация. На данной закладке отображается статистика работы системы. Статистическая информация дублируется в текстовом и графическом виде, причем графики могут строиться по количеству писем различного типа или по их объему. Предусмотрено отображение статистики по дню (с детализацией с шагом в 5 минут), за последние 7 дней (с детализацией с шагом в один час), за последние 30 дней (детализация с шагом в час) и за последние 365 дней (детализация с шагом в один день). В случае необходимости администратор может получить данные в виде таблицы формата HTML или CSV-файла для последующей обработки.
  • Policies - правила, на основании которых осуществляется фильтрация спама;
  • Settings- настройки системы;
  • License - сведения о лицензии. Отображает данные о текущей лицензии и позволяет установить новый файл с лицензией.

Конфигурирование правил фильтрации спама и реагирование системы на спам производится при помощи закладок "Policies". Рассмотрим их подробнее.

Закладка Policies - правила фильтрации спама

Правила сгруппированы в несколько категорий:

  • General - в данной категории сгруппированы глобальные настройки, позволяющие включить/выключить фильтрацию спама, задать порог срабатывания, включить или выключить проверки при помощи DNS и SPF, SURBL, "черным" и "белым" спискам.
  • DNS & SPF Checks - настройки фильтрации с использованием DNS-проверок - позволяет включить или отключить контроль IP-адреса по DNS и использование сервисов DNSBL и SPF.
  • Headers Checks - настройка правил контроля заголовков. Позволяет управлять такими правилами, как контроль слишком большого количества получателей, наличия в поле FROM смеси цифр и букв, отсутствие доменного имени в адресе, наличие в заголовке письма большого количества символов, точек, динамических фрагментов в виде отметок временили цифровых кодов.
  • Eastern Encodings - настройки поддержки восточно-азиатских языков. Содержит правила, позволяющие блокировать письма в китайской, корейской, тайской и японской кодировке.
  • Obscene Content - правила обработки писем с нецензурной лексикой. В настройке можно задать игнорирование нецензурной лексики или пометку письма маркером [--Obscene--].

На закладке Policies администратор может задать список защищаемых доменов (допускается указание маски, например "*smolen.ru"), редактировать "черные" и "белые" списки.

Важной особенностью системы является возможность создания групп пользователей. Создание групп позволяет администратору выделять определенных пользователей почтового сервера в именованные группы и в дальнейшем применять к этой группе индивидуальные настройки, правила фильтрации спама, "черные" и "белые" списки и действия над почтовыми сообщениями различных типов. Кроме созданных администратором групп, предусмотрена группа "All" (существующая по умолчанию после установки системы), в которую попадают все пользователи, не относящиеся к каким либо другим группам. Привязка пользователей к группе производится путем указания их email-адресов в настройке группы. Такими образом, получается, что существуют глобальные правила по умолчанию и индивидуальные правила для каждой из групп, которые могут содержать отклонения от правил по умолчанию.

В опциях каждой из групп есть очень важная настройка - "Actions" - позволяющая задать реагирование системы на письма, распознанные системой фильтрации. Привязка данной настройки к группам очень удобна - для одних пользователей, к примеру, можно настроить маркировку писем в заголовках, для других - автоматическую пересылку в карантин (причем для каждой группы карантин может быть индивидуальным).

Оценка качества работы системы

Информация для оценки качества работы системы собиралась в течение двух месяцев. Тестирование производилось с настройками по умолчанию, без создания "черных" и "белых" списков. Единственное отклонение от настройки по умолчанию - в группе параметров "Header Checks" выключено правило "Digits mixed with letters in FROM header", поскольку в Смоленскэнерго для служебной переписки активно применяются адреса вида "13ASU27".

В ходе тестирования рассматривались ошибки двух типов:

  • Ошибки первого рода. Письмо является спамом, но не классифицируется системой как спам.
  • Ошибки второго рода. Письмо не является спамом, но ошибочно классифицируется системой как спам.

Легко заметить, что ошибки второго рода в антиспам-системах системе гораздо опаснее ошибок первого рода. Опасность подобной ошибки можно снизить при помощи настройки, в частности за счет создания "белых" списков, перенаправления или маркировки писем вместо их отклонения и удаления. По собственной статистике системы за время тестов 25,8% писем (57850 штук) из всего почтового трафика признаны спамом, 2,9% (5900 штук) - подозрение на спам, 15,6% (31450 штук) - почта класса "Formal", т.е. сообщения почтовых серверов, антивирусов и т.п., 53% (106291 писем) не классифицированы как спам.

Как видно из диаграммы, в сумме порядка 47% почтового трафика было отфильтровано как спам или неинформативные сообщения. Как отмечалось выше, столь высокий процент полезной корреспонденции в общем трафике (соотношение полезные письма - спам в среднем примерно 1:1) связан с активным документооборотом с использованием электронной почты. Эти средние цифры естественно не совсем точно отражают картину в рамках отдельно взятых почтовых адресов, поскольку на некоторые "засвеченные" в Интернете адреса приходит большое количество спама, а на некоторые адреса спам не приходит вообще.

С точки зрения оценки качества фильтрации за время тестов было установлено, что:

  • В среднем детектируется порядка 85-90 процентов спама. Процент среднестатистический, для некоторых видов спама он превышает 95%, а для графического спама с защитой от антиспам-систем - порядка 60-70%. Подобный средний процент является весьма неплохим результатом - на практике пользователи стали получать в среднем максимум 1-2 спам-письма в день вместо 20-30.
  • За все время тестов не было зарегистрировано ни одной ошибки второго рода, т.е. случаев ошибочной классификации полезной корреспонденции в качестве спама не отмечалось.

Анализ пропущенных спам-писем позволил выявить следующие тенденции. Основной процент приходится на графический спам. Типовой "портрет" подобного сообщения: письмо содержит связанный текст на английском языке (текст может отсутствовать, реже - присутствует русский текст), и картинку. Картинка часто содержит следы агрессивной маскировки от OCR систем (систем опознания текста в изображении, применяемых спам-фильтром для анализа).

19% от недетектированного спама составляют письма, классифицированные автором как "корпоративный спам". Под этим термином подразумеваются рассылки, осуществляемые в подавляющем случае вручную и несущие нежелательную информацию для пользователей корпоративной сети - например, назойливые приглашения на различные конференции и форумы, информация о различных курсах повышения квалификации, реклама от различных фирм, с которыми поддерживаются некие деловые отношения и т.п. Подобные письма невозможно однозначно классифицировать как спам и бороться с ними можно добавлением адресов наиболее назойливых рассылок в "черные" списки.

Заключение

За время тестирования продукт показал очень хорошие результаты, так как большинство спам-писем было успешно отфильтровано, и от пользователей так и не поступило ни одного рапорта об обнаружении ошибок второго рода (классификация полезного письма в качестве спама). За два месяца не было зафиксировано ни одного сбоя или зависания продукта, при нагрузке на сервер порядка 3 тыс. писем в день существенного потребления ресурсов не зафиксировано. Возможность установки системы на выделенный сервер для обслуживания нескольких почтовых серверов, а также интеграция с почтовыми серверами различных типов является ценным качеством для больших корпоративных сетей или интренет-провайдеров. Кроме того, в ходе тестирования установлено, что Kaspersky Anti-Spam отлично работает совместно с Антивирусом Касперского 5.0, что позволяет применять эти продукты для комплексной защиты пользователей электронной почты от вирусов и спама.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2005


В избранное