Борьба со спамом: Kerio Mail Server
Спамовый рейтинг и байесов фильтр
Понятие «электронная почта» в настоящее время неотделимо от понятия «спам», поэтому при описании почтовых серверов и почтовых клиентов прежде всего рассматриваются их возможности по борьбе со спамом. Естественно, при этом предполагается, что свою основную задачу — отправку/прием почты — эти программы выполняют (иначе какой в них смысл?). Рассказ о стандартных возможностях почтового сервера не представляет интереса, а вот о его умении отсекать спам — очень актуален. Учитывая это, в данной статье мы рассмотрим Kerio Mail Server с точки зрения его способности бороться со спамом.
В Kerio Mail Server (KMS) реализовано несколько технологий для борьбы со спамом и предусмотрена их совместная работа. Вклад каждой технологии в общее дело различен и определяется администратором системы с учетом корпоративных особенностей, пожеланий пользователей и роли почтового сервера. Одни технологии не нуждаются в настройке и работают самостоятельно, другие требуют начальной настройки и постоянного слежения со стороны администратора и/или пользователя для достижения оптимальных результатов. Рассмотрим, какие же технологии для борьбы со спамом реализованы в Kerio Mail Server.
Спам-репеллент
Суть технологии «спам-репеллент» (spam repellent) состоит в следующем. Сервер-отправитель посылает запрос серверу-получателю на установление соединения. Сервер-получатель обязан откликнуться на этот запрос, после чего между двумя серверами устанавливается соединение для обмена почтовым сообщением. Поскольку отклик может задержаться на некоторое время из-за низкой скорости в сети, загруженности сервера или слабости аппаратной части сервера, то сервер-отправитель должен ждать его в течение по крайней мере пяти минут (стандарт RFC на SMTP-соединение). Выступающий же в качестве сервера-отправителя «рассылочный» (спамовый) автомат не может ждать отклика так долго, поскольку его задача состоит в рассылке как можно большего количества писем за как можно меньшее время. Используя эту особенность поведения спам-автомата, сервер-получатель может преднамеренно вставить задержку перед откликом в расчете на то, что отправителю надоест ждать. Такое поведение сервера-получателя получило название «спам-репеллент». В подобной ситуации спам-автоматы могут либо завершить соединение, не дождавшись отклика (чего и добивался сервер-получатель), либо начать передачу сообщения немедленно без ожидания отклика — в этом случае KMS сбрасывает соединение и никаких данных не принимает.
Однако выбрать время задержки не так просто, как может показаться. Задержка должна быть достаточно большой, чтобы отсеять спам-автоматы, и достаточно малой, чтобы настоящие почтовые серверы не сбросили соединение. Величина задержки определяется при настройке почтового сервера, и от нее напрямую зависит эффективность отсечки спама. Разработчики KMS рекомендуют выбирать максимальное время задержки (тайм-аут) равным 30 с. В таком случае сервер отсекает от 50 до 70% спама, причем проблем с настоящими серверами не возникает. Если же установить тайм-аут равным 60 с, то спама останется от 5 до 10% от соответствующего показателя с выключенным режимом спам-репеллент. Но при этом уже возникают проблемы с некоторыми настоящими серверами, которые тоже не выдерживают большой таймаут, а следовательно, поступают жалобы от пользователей на то, что почта не приходит. Для таких серверов в KMS предусмотрена лазейка — их IP-адреса необходимо занести в группу, для которой отменяется применение задержки. Таких серверов очень мало, например в эту категорию попадают некоторые (но не все) серверы mail.ru, но определение серверов, для которых требуется исключение, отнимает у администратора много времени.
Приведем некоторые статистические данные. В табл. 1 указано количество спамерских сообщений, пришедших за один день в компанию, в зависимости от включенного/выключенного режима спам-репеллента и от величины тайм-аута. Отметим, что данная статистика собиралась не один месяц.
Таблица 1
В табл. 2 представлены данные из статистики KMS за 40 суток работы при тайм-ауте равном 60 с. В таблице указана доля (в процентах) от количества входящих SMTP-соединений по категориям: «Потеряно соединений» — количество соединений, не выдержавших таймаут; «черные списки» — сброшено соединений от источников, найденных в черных списках; «сообщения» — количество сообщений от общего числа соединений, то есть «сухой остаток» борьбы со спамом посредством технологии спам-репеллента и черных списков. Статистика приведена для первичного и вторичного почтовых серверов. Для первичного почтового сервера статистика немного искажена тем, что в число всех его соединений входят и соединения от вторичного сервера и от серверов, на которых включена переадресация почтовых ящиков. Очевидно, что такие соединения должны были проходить на все 100%. А вот на вторичном сервере получилась очень яркая статистика — 99% всех входящих SMTP-соединений оказались спамерскими! Интересно отметить, что общее количество соединений за один и тот же период (40 суток) практически одинаково для обоих серверов, хотя приоритет MX-записей у них разный. А это значит, что спам-автоматы атакуют все почтовые серверы домена, не учитывая приоритеты. Обратите внимание, что вторичный сервер — тоже KMS, а не сервер провайдера — такая система избавляет примерно от 200 спам-сообщений в день.
Таблица 2
Спамовый рейтинг и байесов фильтр
Спамовый рейтинг представляет собой набор критериев, по которым оценивается каждое сообщение с целью установить его возможную принадлежность к спаму. По каждому критерию сообщению присваивается определенное количество баллов, а сумма баллов по всем критериям определяет спамовый рейтинг письма. Если сумма баллов превышает некоторое пороговое значение (оно задается администратором), то далее возможны три варианта поведения KMS: вернуть письмо отправителю, удалить или пометить как спам. В последнем случае в заголовок письма может быть добавлена какая-нибудь отличительная метка, например «**SPAM**». Спамовый рейтинг работает без какого-либо участия администратора или пользователя почтового ящика.
Поскольку присвоение спам-рейтинга — задача нетривиальная, KMS обладает средствами статической корректировки данной технологии. В категорию спама могут попасть информационные рассылки солидных компаний, банков, а также, например, статусные сообщения маршрутизатора. Чтобы избежать этого, можно определить правила изменения спам-рейтинга на основе некоторых полей сообщения (From, To, Cc и т.п.). Обычно с помощью таких правил приходится умерять пыл спамового фильтра, а не наоборот.
Динамическую корректировку осуществляют с помощью байесова фильтра. Байесов (Bayesian) фильтр предназначен для совместной работы со спамовым рейтингом и представляет собой обучаемый фильтр для спама. Пользователь почтового ящика, который расположен на KMS, может указать серверу, что конкретное письмо, помеченное сервером как спам, на самом деле спамом не является. Возможна и обратная ситуация: пользователь указывает серверу, что письмо, пропущенное сервером как нормальное, на самом деле представляет собой спам. Таким образом, пользователь дает указания серверу, как в дальнейшем он должен изменить свое поведение. Очевидно, что процесс обучения требует постоянного участия пользователя и возможен только в том случае, когда почтовые ящики расположены на самом KMS. Если же KMS используется как почтовый шлюз, то обучение невозможно, а значит, байесов фильтр неприменим.
Технологии Caller ID и SPF
Технологии Caller ID (разработана Microsoft) и SPF (Sender Policy Framework) (разработана открытым сообществом) похожи друг на друга. Суть их состоит в следующем. В DNS домена создаются текстовые записи, содержащие IP-адреса всех почтовых серверов домена, которым позволено отправлять почту от имени этого домена. Сервер-получатель почтового сообщения сверяет список допустимых IP-адресов с IP-адресом отправителя и отвергает почту, направленную с нелегального IP-адреса. Спамер не сможет отправить почту от имени чужого домена с произвольного IP-адреса и не сможет отправить почту от имени несуществующего домена (сервер-получатель отсекает почту от несуществующего домена), а должен будет отправлять почту от имени своего домена и с помощью своего сервера, который может быть легко внесен в черный список. Но это в идеале.
Сейчас эти технологии только начинают внедряться, и еще очень мало DNS, которые содержат требуемые записи. Поддержка Caller ID во многих доменах находится еще в тестовом режиме, поэтому разработчики KMS пока рекомендуют не использовать данную технологию для отсечения спама, а только фиксировать соответствующие события в журнале безопасности (Security log) для наглядности.
Анализ журнала безопасности KMS свидетельствует, что Caller ID реализована, например, на mail.ru, ya.ru и yandex.ru, а технологию SPF применяют, в частности, на yandex.ru и bkkmail.com. Возможно, в будущем, когда большинство доменов будут использовать подобные технологии, защита от спама превратится в несложную задачу (конечно, если спамеры не выдумают чего-нибудь еще). Во всяком случае, KMS уже готов к применению данных технологий.
Черные списки
Черные списки — это списки IP-адресов, с которых рассылается спам. Для того чтобы избавиться от спама, почтовому серверу достаточно сверить адрес отправителя каждого письма с черным списком. Если бы все было так просто, то не было бы ни спама, ни борьбы с ним! Трудность состоит в том, что черные списки не соответствуют действительности: приличные серверы могут фигурировать в черных списках, а спамерские — в них отсутствовать. И все-таки некоторую пользу они приносят, поэтому KMS умеет работать с ними.
К сожалению, задать много ссылок почтовому серверу на черные списки нельзя, потому что тогда почта вообще не будет приходить. Поэтому приходится ограничиваться двумя-тремя ссылками, что реально приводит к отсечению нескольких десятков писем в день. Кроме того, время от времени приходится добавлять исключения, к которым нельзя применять данную технологию.
Выводы
KMS использует несколько независимых технологий для борьбы со спамом, которые к тому же могут дополнять друг друга. Преимущества и недостатки каждой из них тесно связаны с управлением ими, а следовательно, с временными затратами администратора и пользователей. Если просто включить ту или иную технологию, не производя ее мониторинг, то она или будет работать очень слабо, или, наоборот, будет вставлять палки в колеса.
Применительно к KMS одной из лучших технологий представляется спам-репеллент. Во-первых, эта технология более предсказуема по отсечению почты по сравнению со спамовым и байесовым фильтрами (меньше вероятность потерять нужную почту), во-вторых, при равной эффективности этих двух подходов, спам-репеллент требует меньше усилий по мониторингу от администратора, а в-третьих, она не нуждается в участии пользователя.
Черные списки либо малоэффективны, либо при работе приходится постоянно отслеживать исключения.
Наиболее перспективными представляются технологии Caller ID и SPF. Во-первых, принцип их действия высокоэффективен, а во-вторых, они работают полностью автоматически, не требуя участия ни администратора, ни пользователей. Но в настоящее время эффективность этих технологий пока очень низкая.
Если почтовый сервер на основе KMS выполняет функции первичного или вторичного сервера компании, то эффективность использования спам-репеллента с полезным дополнением спамовым и байесовым фильтрами не вызывает сомнения. Если сервер играет роль почтового шлюза (нет ящиков пользователей), то байесов фильтр неприменим. Для обоих случаев подходят технологии черных списков, Caller ID и SPF.
Худшим вариантом использования KMS для борьбы со спамом является применение его как внутреннего сервера почтовых ящиков, который получает почту от первичного сервера (обычно сервера провайдера) в режиме POP3 download или ETRN download, поскольку при этом доступными для использования остаются только спамовый и байесов фильтры. И хотя все не так плохо, но весь свой потенциал борьбы со спамом KMS в такой конфигурации не раскроет.
 |
|
