Борьба со спамом в 2005 году
Попытки повлиять на котировки акций
Нигерийские письма с русским акцентом
Спам как источник слухов: цепочечные письма
Эффективность законодательства
Технические трудности фильтрации
Основные виды борьбы со спамом
Методы идентификации отправителя
В апреле этого года учебный центр «Микроинформ» (www.microinform.ru), который имеет статус авторизованного учебного центра 19 крупнейших мировых и отечественных производителей программного обеспечения, сетевого и компьютерного оборудования, провел семинар на тему «Защита вашего присутствия в Интернете от вирусов и спама». В № 6 нашего журнала мы ознакомили читателей с двумя докладами на антивирусную тематику, сделанными на данном семинаре специалистами «Лаборатории Касперского», а теперь предлагаем материал, подготовленный на базе презентации Игоря Ашманова, руководителя ЗАО «Ашманов и партнеры», представленной на том же семинаре. Лаборатория «Спамтест», которой руководит Игорь Ашманов, анализирует потоки спама в реальном времени, получая примерно 150 тыс. новых образцов спама в день. Фильтры «Спамтест» и «Антиспам Касперского» осуществляют защиту 25 млн. ящиков в России (Mail.ru, РБК, «Петерлинк», РТС, LANCK, РТКомм, МТС, «Би Лайн», «Мастерхост» и пр.), проверяя более 1,5 млрд. писем в месяц. Получаемая информация анализируется и предоставляется общественности в виде аналитических отчетов о спаме, которые публикуются раз в квартал в Интернете по адресу http://www.spamtest.ru/.
Что такое спам
режде чем говорить об этой проблеме, следует еще раз вернуться к термину «спам». Согласно определению, приведенному на сайте www.spamtest.ru, «спам это анонимная массовая непрошеная рассылка». Анонимная поскольку пользователи в основном страдают именно от автоматических рассылок со скрытым или фальсифицированным обратным адресом. Массовая так как только массовые рассылки являются настоящим бизнесом для спамеров и настоящей проблемой для пользователей. Непрошеная потому что очевидно: подписные рассылки и конференции не должны подпадать под определение «спам».
Говоря о сущности данного явления, нужно понимать, что спам это огромный бизнес (несколько миллиардов долларов в год в мире). А поскольку на основе спам-рекламы можно получать прибыль, то это приводит к постоянному росту количества спамовых писем только в прошлом году поток спама увеличился в 1,5-2 раза. Это, в свою очередь, ведет к тому, что уже сегодня 80-85% публичного почтового трафика представляет собой спам, то есть 4/5 всех ресурсов публичных Интернет-сервисов обслуживают не свой бизнес, а бизнес спамеров. Понятно, что 80% писем владельцы ящиков должны принять, распознать, оценить (спам или не спам), отфильтровать и удалить, а на это нужно дополнительное время, которое, как известно, деньги!
Доля спама в почте Рунета
Для корпораций спам является реальной угрозой их бизнесу. Это и расходы на паразитный трафик, и дополнительная загрузка персонала, и опасность для стабильности работы корпоративной ИТ-инфраструктуры, которая испытывает при этом пиковые нагрузки. Существует также проблема опасного содержания: спам достаточно часто содержит вирусы, трояны, запрещенные материалы. Спам в целом ряде случаев становится причиной возникновения юридических рисков в виде исков от клиентов, неприятностей с властями и т.п. Таким образом, спам это не просто раздражающий фактор, а действительная опасность для бизнеса.
Спам-бизнес в России процветает. Это дешевое и эффективное средство рекламы для малого бизнеса, развитию которого не слишком препятствует законодательство. Порог вхождения в спам-бизнес невысок, а потому количество спамеров и их заказчиков в ближайшее время будет расти. Среди популярных в нашей стране тем спам-рассылки можно выделить следующие: дешевые товары; порно; лохотороны (пирамиды, нигерийские письма, долги и т.д.); здоровье и секс (похудание, удлинение, виагра, бессмертие, лекарства без рецепта и пр.); малый бизнес (английский язык, грузчики, окна, трубы, семинары и т.д.); услуги спамеров (рассылки, базы, раскрутка).
Постоянно появляются и новые виды спама о некоторых из них мы расскажем.
Попытки повлиять на котировки акций
Происходит стремительное увеличение количества рассылок предложений по инвестициям и игре на фондовой бирже. Этот вид спама предлагает информацию о динамике акций той или иной компании на фондовой бирже и представляет собой попытку повлиять на предпочтения инвесторов и курс акций.
В международной классификации спама подобные письма относят к мошенничеству (scam), хотя и не запрещенному юридически. Такие рассылки могут быть оплачены держателями акций мелких компаний, желающими, например, поднять стоимость акций до максимума и оперативно продать их, пока они снова не упали в цене. До недавнего времени подобный спам существовал только на английском языке, но сейчас эту разновидность спама можно встретить и в русском варианте.
Фишинг
Фишинг (от англ. fishing рыбная ловля, ловля на удочку) это распространение поддельных сообщений от имени банков или финансовых компаний. Целью таких сообщений является сбор логинов/паролей/пин-кодов пользователей. Обычно подобный спам содержит текст с предупреждением об обнаруженных дырах в безопасности онлайновых денежных операций, а в качестве меры предосторожности предлагается зайти на сайт и подтвердить либо сменить пароль доступа к счету или пин-код банковской карты.
Естественно, ссылки в таком письме ведут не на настоящие банковские сайты, а на поддельные, то есть спамерские. Ворованные коды и пароли можно использовать как для доступа к счету, так и для оплаты покупок в Интернет-магазинах. Фишинг-сообщения могут содержать шпионский скрипт, который перехватывает коды или пароли при вводе их на официальном банковском сайте и пересылает спамеру. Для активации скрипта достаточно просто открыть сообщение.
Хотя большинство фишинговых писем является англоязычными, пользователей Рунета спамеры тоже не обошли своим вниманием. Особой любовью спамеров пользуется российский «Ситибанк». Пример типичного фишинг-сообщения:
From: CityBank To: Иванов Иван Иванович Subject: Уведомление о получении платежа Уважаемый клиент! На Ваш текущий счет был получен перевод в иностранной валюте на сумму, превышающую USD 2,000. В соответствии с пользовательским соглашением CitiBankR, Вам необходимо подтвердить этот перевод для его успешного зачисления на Ваш счет. Для подтверждения платежа просим Вас зайти в программу управления Вашим счетом CitiBankR и следовать предложенным инструкциям. Если подтверждение не будет получено в течение 48 часов, платеж будет возвращен отправителю. Для входа в программу CitiBankR нажмите сюда >> С уважением, Служба CitiBankR |
Черный PR
В качестве примера черного пиара можно привести атаку, которой подверглась компания «Караван», а причиной ее, скорее всего, послужил отказ компании в предоставлении услуг по хостингу спамерских сайтов. Эта спамерская акция отличалась особой циничностью: в разосланном сообщении якобы предлагалась полезная информация для террористов, после чего указывались реквизиты компании «Караван». Сообщение составлено таким образом, что при желании его можно попытаться представить всего лишь как неудачную шутку. Вот это письмо:
Добро пожаловать На нашем сайте вас научат как быстро сделать самодельную бомбу, как взорвать поезд, также у нас можно купить фальшивые паспорта, фальшивые доллары и евро, стать официально гражданином РФ, клоны кредитных карт банков Москвы, сделать пластическую операцию, купить оружие наркотики, и многое другое. Еще раз напоминаем, все это и только у нас по специальной цене. Большое спасибо нашему хостинг www.caravan.ru, который не обращая внимания на звонки с ФСБ по прежнему предоставляет нам самый лучший хостинг, а также помогает получать деньги за оружие. Внимание, купив сегодня взрывчатку C4 вы в подарок получаете детонатор, и это еще не все, вы также получите сумочку для взрывчатки, и пояс шахида, и все это за 499$. Спешите время акции ограничено. Если вы уже ознакомились с нашими ценами, то вы можете послать деньги напрямую по нашим реквезитам Реквизиты… (далее следуют реквизиты ЗАО «Караван-Интернет») |
Спамеры, видимо, рассчитывали на волну возмущенных звонков и писем от пользователей Рунета, особенно после всех событий прошедшего года (Беслан, теракты на борту самолетов и т.п.), такие отклики появились в форумах и пр.
Политический спам
Политический спам в Рунете наиболее ярко проявился в огромном количестве рассылок, связанных с выборами на Украине. Большинство этих рассылок имело негативный характер, то есть это была агитация не «за», а «против»: в письмах давался список причин, почему не надо голосовать за того или иного кандидата. Ни рассыльщики, ни заказчики не скрывали того факта, что эта политическая акция является спамом, о чем лучше всего свидетельствует следующая цитата из одного письма: «Простите великодушно за то, что прибегаем к такому малопочтенному способу распространения информации, как спам, но, наверное, сегодня это лучший способ донести до вас правдивую информацию о том, что действительно происходит у нас в Украине...» Кстати, в основном спам рассылали сторонники Ющенко видимо, в силу большей компьютерной квалификации.
Нигерийские письма с русским акцентом
Нигерийскими письмами называют спам, написанный от имени реальных или вымышленных лиц, обычно граждан стран с нестабильной экономической ситуацией, воспринимаемых обывателями как рассадники коррупции. Первый зафиксированный спам такого типа рассылался от имени вымышленных нигерийских чиновников, именно поэтому он и получил такое название.
Автор письма обычно утверждает, что он располагает миллионами долларов, но они приобретены не совсем законными способами или же хранятся в обход закона (например, это украденные иностранные инвестиции или гранты ООН). Далее автор письма объясняет, что по этим причинам он не может более держать деньги на счету в нигерийском банке и что ему срочно требуется счет в зарубежном банке, куда можно перечислить «грязные» деньги. В качестве вознаграждения за помощь предлагается от 10 до 30% от заявленной в письме суммы. Смысл мошенничества заключается в том, что доверчивый пользователь предоставит автору письма доступ к своему счету, а в результате все его деньги с этого счета будут сняты и уйдут в неизвестном направлении.
В прошлом году спамеры, можно сказать, впервые обратили внимание на события в России, и пользователи Рунета получили сообщения, эксплуатирующие ситуацию, сложившуюся в российской экономике, в частности арест М.Ходорковского и нестабильность компании ЮКОС. В письмах предлагалось обналичить крупные суммы денег, якобы доставшиеся отправителю после ареста олигарха. Рассылались подобные письма от имени финансового директора Ходорковского иностранца, у которого только теперь открылись глаза на незаконность действий его бывшего босса, вследствие чего он счел себя вправе воспользоваться этими неправедными миллионами.
Спам как источник слухов: цепочечные письма
Нежелательная корреспонденция бывает разных видов. И хотя пользователи Рунета привыкли считать спамом сообщения, несущие более или менее ярко выраженные рекламные компоненты, но спам более разнообразен, чем это кажется на первый взгляд.
Так, в минувшем году вновь появилась исчезнувшая было разновидность нерекламной нежелательной почты. Особенность ее состоит в том, что практически вся рассылка производится силами пользователей. Организаторы рассылки инициируют лишь первые несколько писем, содержащих эмоционально нагруженные сведения о потенциальной опасности (например, сведения о заражении питьевых источников, готовящемся теракте и т.п.) или просьбы о помощи жертвам стихийных бедствий.
Пользователи склонны доверчиво относиться к таким письмам и рассылают их копии дальше по спискам адресов из своих адресных книг. По массовости такие пересылки оказываются вполне сопоставимыми со средней спамерской рассылкой, а уступают ей только в скорости распространения.
Пустые письма
Пустые письма (вообще без контента) или письма с единственным словом «привет» или «тест» довольно часто содержат бессмысленные последовательности символов и преследуют сразу несколько целей. С одной стороны, это обычное тестирование нового или модифицированного спамерского программного обеспечения, активности зомби-сети и т.п. С другой стороны, данные рассылки довольно легко проходят антиспам-фильтры (ибо они не содержат спамерского контента), что вызывает у пользователей понятное раздражение и скепсис по отношению к фильтрации спама.
Кроме того, эти письма создают большую дополнительную нагрузку на каналы связи, что может выражаться в существенном снижении скорости обмена электронной корреспонденцией на время прохождения спамерской рассылки.
Как бороться со спамом
егодня наблюдается явная криминализация спам-бизнеса.
Если до 1995 года вредоносные программы писались исключительно хулиганами, то затем к ним присоединились мелкие мошенники, а примерно с 2003-го появилась так называемая электронная мафия вирусописатели, хакеры и спамеры объединяются для того, чтобы строить свой бизнес на сетевом финансовом мошенничестве, шантаже, вымогательстве и т.п. Все меньше остается геростратов, которые создают вредоносные коды только ради славы. А ведь чем профессиональнее становится криминальное сообщество, тем более актуально профессиональное противодействие ему.
Следует отметить, что весьма часто та или иная организация объявляет о том, что средство от спама наконец-то найдено. Однако проходит некоторое время и спамеры изобретают новые способы, как доставлять свои предложения потребителю.
Способы борьбы со спамом можно разделить на три категории: юридические (законодательство о спаме); процедурные (новые протоколы почты, которыми нужно переоснастить 800 млн. пользователей); технические (это фильтрация, которая активно используется в настоящее время). Понятно, что юридические и процедурные методы заработают через годы, а пока нам остается фильтровать технически.
Эффективность законодательства
Несмотря на введение соответствующих законов, количество спама пока не уменьшается. В тех странах, где законодательство по отношению к спаму оказывается более жестким, бизнес перемещается за рубеж. Общая тенденция состоит в том, что бизнес переходит в «серую» область экономики, то есть вместо предложения просто купить какой-либо легальный товар или услугу выстраиваются мошеннические схемы, когда людям предлагается поучаствовать в пирамидах и т.п.
Проблема спама подняла многие вопросы правового характера: «законно ли чтение писем фильтрами у ISP?», «обязательна ли сохранность переписки у ISP?», «является ли нарушением недоставка почты клиенту ISP?», «законна ли фильтрация почты в корпорациях?» и пр. Не все такие вопросы имеют однозначные ответы. Однако тот факт, что чтение почты роботами не является правонарушением, сегодня не вызывает сомнений. Антивирус, антиспам, почтовый сервер не являются субъектами права, а следовательно, тайна переписки сохраняется, если письма не читаются людьми. Право на сохранность электронной переписки также должно соблюдаться.
Что касается полного мониторинга почты в компаниях это дело очень непростое. Часто в соответствии с трудовым контрактом сотруднику запрещается использовать корпоративную почту в личных целях. Однако если при этом возникает конфликт сотрудник нарушает договор компании и отправляет личное письмо, а сотрудник службы безопасности уличает его в этом, прочитав его письмо, то получается, что последний нарушает Конституцию. Таким образом, для того, чтобы сотрудник имел возможность мониторить личную почту на предмет утечки корпоративной информации, у него на это должно быть разрешение от автора письма. Иными словами, анализ писем роботами не нарушает законов о тайне связи и переписки, но проверка почты сотрудником безопасности должна проводиться с явного согласия автора письма.
Технические трудности фильтрации
По мере того как совершенствуются фильтры, прогрессирует и спам. Появился даже термин «интеллектуальное поведение спама», то есть спам стал обладать высокой степенью изменчивости и начал использовать новые технологии обхода фильтров. Мимикрия спама под обычные письма затрудняет фильтрацию, национальная и региональная специфика затрудняет выработку единых политик фильтрации. Спамеры постоянно ведут анализ фильтров и отлаживают технологии пробивания фильтра в реальном времени. Например, рассылаются сто тысяч писем с изменениями, а после того, как письмо проходит фильтр, рассылается уже миллион писем. Проблема защиты от спама аналогична проблеме защиты жилища от воров, которая существует гораздо дольше, но до сих пор не решена. Если вы ставите дверь за 500 долл., то на взлом этой двери потребуется 15 минут, а для взлома двери за 1000 долл. потребуется еще 15 минут или профессионал более высокого уровня и т.д. Вывод однозначен: нельзя решить проблему отсеивания спама чисто технически, поставив робота против людей-спамеров в интеллектуальном поединке могут участвовать только люди.
Чтобы представить всю сложность спам-технологии, приведем пример типовой спам-машины, характерной для 2005 года:
- набор из 10-20 тыс. затрояненных машин (зомби-сеть);
- скрытый обмен информацией (например, через чаты);
- автоматическое скачивание обновлений ПО;
- многократная посылка письма до тех пор, пока оно не пробьет черные списки и защиту вообще;
- многократная посылка одного и того же письма с разных IP для противодействия черным спискам;
- автоматическая модификация писем при посылке (в том числе и картинок).
Спамеры используют массу ухищрений это и мутирующие тексты и картинки (модификация писем или картинок на лету для борьбы с сигнатурными фильтрами), и порча текста для противодействия лексическим фильтрам («про белы», «то.ч.ки», «удвоеения», «заmены» букв, невидимые хвосты слов, мелкий шрифт, светло-серое по бледно-серому, таблицы стилей, HTML-трюки), и высокая скорость рассылки (простое письмо, рассылаемое быстрее, чем реагируют сигнатурные фильтры) и т.д. и т.п. Короче говоря, происходит непрерывное развитие технологии в заранее не предсказуемых направлениях.
Основные виды борьбы со спамом
а рынке существует множество бесплатных антиспам-программ, а их производители декларируют чуть ли 99-процентный успех. Однако большинство программ такого рода рассчитаны на тех, кто готов всецело посвятить себя борьбе со спамом. В большинстве же своем пользователи пока не понимают, что такое хороший фильтр, что он должен делать и сколько он должен стоить.
На данный момент можно выделить семь основных технологических направлений борьбы со спамом:
- Пустые рамки для правил (MIMESweeper).
- Самообучающиеся (байесовы) плагины к почтовым клиентам (Outlook, The Bat!, Mozilla).
- Карантинные системы (E-style ISP).
- Стандарты идентификации (Sender Policy Framework (SPF); SenderID).
- Встроенные решения (Outlook).
- Сетевые сервисы с подпиской (BrightMail, Message Labs, «Спамтест», «Спамооборона»).
- Интегрированные коробочные антиспам-решения (KAS, «Спамтест», SpamAssassin, Symantec, McAfee, Sybari).
Несколько слов о некоторых из них.
Байесов метод самообучения ПО
К достоинствам данного метода следует отнести самообучение, высокий процент детекции.
Недостатками являются неустойчивость относительно потока, необходимость постоянной ручной работы по дообучению ПО, проблемы с мимикрирующими письмами.
Как следствие данный метод годится только для индивидуального пользователя-энтузиаста, но не для серверных приложений.
Kaspersky Anti-Spam PersonalРазработчик: «Лаборатория Касперского» (www.kaspersky.ru) Kaspersky Anti-Spam Personal представляет собой решение для фильтрации спама. Данный продукт может обрабатывать сообщения на английском, русском, испанском, французском и немецком языках. Kaspersky Anti-Spam Personal анализирует входящую почту и автоматически сортирует нежелательные сообщения по четырем категориям:
К категории возможного спама отнесены те письма, в нежелательности которых фильтр не уверен. При этом результатом фильтрации является не относительная оценка, выражающая степень уверенности фильтра (например, от 1 до 10), а четкое разделение на четыре вышеназванные категории. Это вполне логично, так как от пользователя продукта не требуется ни навыков администратора, ни знаний эксперта по спаму, без которых часто невозможно настроить корректную сортировку писем с уже выставленными оценками. К тому же пользователь всегда имеет возможность настроить параметры той или иной категории.
Kaspersky Anti-Spam реализован в виде дополнительного меню в Microsoft Outlook Чтобы эффективно проверять входящую почту, фильтр использует целый ряд простых технологий стандартных и собственных. Важной частью продукта является база, где хранятся образцы нежелательных писем. От качества базы зависит эффективность работы всей цепи. У разработчика данного продукта имеется лингвистическая лаборатория, обеспечивающая круглосуточное обновление базы, которая может осуществляться через Интернет или из папки на локальном диске пользователя. Объем ежедневных обновлений базы в среднем составляет около 100 Кбайт. Такое внимание к базе лексических сигнатур обусловлено тем, что фильтр проверяет каждое входящее сообщение на предмет сходства с теми образцами, которые хранятся в базе. По сути, происходит лингвистическое сравнение, которое проводит интеллектуальное ядро продукта SpamTest. Для того чтобы письмо было признано нежелательным, не требуется его полная идентичность одному из указанных образцов, поскольку сравнение проводится по более тонким признакам, учитывающим шаблоны и сигнатуры нежелательных писем, а также их характерные особенности. Помимо технологий собственной разработки, Kaspersky Anti-Spam Personal предлагает такие стандартные методы, как углубленный анализ формальных атрибутов письма и возможность составлять белые и черные списки. При первом запуске Kaspersky Anti-Spam Personal предлагает импортировать адресную книгу Microsoft Outlook в белый список. В дальнейшем белые и черные списки могут редактироваться и обновляться. Для Microsoft Outlook эти списки можно также в автоматическом режиме дополнить адресатами из выделенной адресной книги Microsoft Outlook или из почтовой папки. Пользователь всегда может выбрать, какие действия будут выполняться с письмами четырех основных категорий. Можно попробовать обмануть спамера и использовать команду «Отразить сообщение», которая позволяет отослать нежелательное письмо спамеру-отправителю, как будто его отразил промежуточный почтовый сервер. Вполне возможно, что в результате спамер вообще вычеркнет данный почтовый адрес из списка рассылки. Kaspersky Anti-Spam Enterprise/ISP EditionРазработчик: «Лаборатория Касперского» (www.kaspersky.ru) Для предприятий проблема спама носит еще более острый характер, так как число имеющихся в компании почтовых ящиков соответствует числу сотрудников. Но больше всего от спама страдают провайдеры услуг электронной почты и Интернета, имеющие сотни и тысячи почтовых ящиков и предоставляющие доступ к ним своим клиентам. Kaspersky Anti-Spam Enterprise/ISP Edition позиционируется как средство для решения проблемы спама в масштабах предприятий и провайдеров услуг Интернета. Программа осуществляет распознавание и фильтрацию нежелательных почтовых сообщений в процессе приема электронной почты по протоколу SMTP (используемому для пересылки электронной почты между серверами), то есть до того, как сообщения будут доставлены в почтовый ящик получателя. В программе реализована многоуровневая система анализа входящей корреспонденции:
Для работы с письмами на разных языках в программе используются встроенные модули лингвистической поддержки для русского, английского, немецкого, французского и испанского языков.
Kaspersky Anti-Spam Enterprise/ISP Edition защита от спама Как и в случае с антивирусными продуктами, эффективность фильтрации спама зависит от объема и частоты пополнения лингвистической базы. Поэтому база обновляется каждые два часа, к тому же администратор может добавлять в нее собственные шаблоны спам-писем. Kaspersky Anti-Spam позволяет выявлять относящиеся к спаму сообщения, которые не распознаются стандартными методами фильтрации. Например, программа способна распознать такие уловки, как удвоение букв, замена отдельных букв на латиницу, вставка в слова пробелов и точек и т.п., а также позволяет обнаруживать так называемые HTML-трюки (невидимый текст, текст-подложка, шрифт различного размера и т.д.). Продукт поддерживает режим работы со специальными графическими сигнатурами, с помощью которых возможен анализ содержащихся в почтовых сообщениях изображений даже в тех случаях, когда рассылка спама включает изображения, которые содержат небольшие отличия. В результате проверки каждое входящее письмо получает специальную «метку», соответствующую определенному уровню его «чистоты» и смысловому содержанию. Далее, в соответствии с правилами обработки и пользовательскими настройками системы, сообщение может быть доставлено по назначению, удалено или перенаправлено на другой адрес. Proventia Mail FilterРазработчик: Internet Security Systems (ISS) (www.iss.net) Proventia Mail Filter это средство антиспама и фильтрации электронной почты, которое позволяет повысить производительность работы сотрудников, освобождает ресурсы сети и защищает конфиденциальную информацию и обеспечивает защиту репутации компании. Proventia Mail Filter анализирует входящую и исходящую почту для защиты от спама и утечки корпоративной информации. Кроме спама, программа блокирует вирусы, порнографию и MP3-файлы. Интеллектуальные средства анализа в Proventia Mail Filter сочетаются с базой из более чем 200 тыс. наиболее распространенных примеров спама. Продукт не допускает блокирования нужных писем благодаря использованию 10-ступенчатого анализа письма, включая сравнение сообщения с базой спама и сравнение URL в e-mail-сообщениях с адресами web-сайтов, занесенными в базу. Программа постоянно обновляет базу, из которой четыре раза в день рассылаются обновления конечным пользователям для обеспечения защиты в реальном времени.
Схема работы программы Kaspersky Anti-Spam Proventia Mail Filter анализирует исходящие e-mail-сообщения и блокирует письма с нежелательным содержимым, сохраняя интеллектуальную собственность и конфиденциальные документы. Программа анализирует текст сообщения, изображения и вложенные документы независимо от формата. Кроме того, она позволяет создавать специальные почтовые политики, устанавливать правила для входящих и исходящих e-mail. Автоматическое сканирование документов предотвращает утечку фрагментов конфиденциальной информации, финансовых отчетов и контрактов. Программа распознает более 80 различных типов файлов и проверяет гиперссылки, благодаря чему нежелательное e-mail-содержимое, например предложения о работе, гороскопы и поздравительные открытки, будет заблокировано.
|
||
Карантинные методы
Суть указанных методов состоит в том, что при получении письма от неизвестного адресата оно задерживается на сервере, а отправитель помещается в карантин. При этом ему отправляется запрос, ответив на который отправитель будет идентифицирован и добавлен в белый список. Сочетание карантина с полным контролем над списками позволяет пользователю избавиться от большинства массовых рассылок, поскольку отвечать на каждый отправленный запрос спамеру будет проблематично.
Плюсом данного метода является 100-процентное избавление от спама. К минусам следует отнести риски потери почты от тех, кому вы нужны меньше, чем они вам, потери почты от роботов (подписных, магазинных), наличие целых циклов диалогов карантинных роботов, паразитный трафик и возможность атаки на ящик.
Таким образом, карантинный метод годится только для пользователей с узким кругом общения.
Методы идентификации отправителя
Подавляющая часть спама и вирусов рассылается с поддельным параметром SMTP-команды MAIL FROM. Суть технологии SPF/SenderID заключается в проверке подлинности адреса отправителя сообщения.
Достоинство данной технологии заключается в том, что она продвигается крупными игроками, удобна и проста в использовании. Но сегодня SPF/SenderID имеет недостаточную поддержку 5-10%. Не решена проблема пересылки почты. Да и спамеры уже поддержали стандарт (их в 1,5 раза больше, чем добросовестных отправителей). В целом Интернет-сообщество отказалось принять данные стандарты: проект стандарта SenderID отклонен IETF, а рабочая группа MARID, разрабатывавшая стандарт SenderID, распущена; о неподдержке SenderID объявили крупные разработчики открытого ПО (веб-серверы Apache и Debian Linux).
Из этого следует, что данную технологию можно использовать только вместе с другими методами с анализом содержания, анализом массовости и т.д.
Антиспам-сервисы в Рунете
Говоря об антиспам-сервисах в рунете, можно привести следующие примеры:
- Mail.ru «Антиспам Касперского» с ядром «Спамтест», SPF;
- «Яндекс» собственная разработка «Спамооборона», SPF);
- «Рамблер» собственная разработка, RBL, SPF;
- РБК/HotBox «Антиспам Касперского» с ядром «Спамтест»;
- Corbina Telecom SpamAssassin и собственные правила;
- E-Style ISP «Карантин»;
- «Ростелеком» РТКомм Спамтест;
- «Петерлинк» «Спамтест»;
- «Мастерхост» Спамтест»;
- «Би Лайн», «МТС» «Спамтест»;
- «Дата Форт» «Спамтест».
Будущее средств фильтрации
удущее средств фильтрации лежит в создании профессиональных средств с поддержкой 24Ѕ7Ѕ365. Данные средства будут базироваться на синтезе всех существующих методов фильтрации и на постоянном обновлении технологий. Для фильтрации будет использоваться совокупность следующих технологий: лингвистический анализ (эвристики); текстовые сигнатуры; графические сигнатуры; анализ технических заголовков; анализ графики; анализ отправителя; детекция массовости; анализ URL в письме.
Средства фильтрации будут интегрированы с антивирусными решениями и получат сильную обратную связь с пользователями, чтобы реагировать на новые виды спама в режиме реального времени.
Перспективы на 2005 год
целом следует ожидать стабилизации объемов спама в этом году, а также возможно медленное снижение этих объемов к концу 2005 года. Принятие в России законов о спаме будет приводить к постепенному смещению бизнеса спамеров в сторону «серой» экономики и в криминальную сферу и тогда со спамерами будут сотрудничать те, кому нечего терять. Развитие антиспамерских технологий, включение фильтров в антивирусы, повсеместная установка фильтров, фильтрация 90-95% спама все это должно привести к снижению эффективности спам-рассылок. В свою очередь, спамеры будут развивать собственные технологии, и прежде всего здесь будет идти борьба за скорость: побыстрее разослать, пока тебя не успели распознать и поставить заслон. По-видимому, часть спамеров перейдет в альтернативные рекламные системы (ICQ, окна pop-ups). Кроме того, будет идти медленное развитие мобильного спама.