“Звездные войны” и системы противоспэмовой защиты

Интервзгляды

Имонн Салливан

Недавно произошло знаменательное событие - появились средства фильтрации, осуществляющие отсев нежелательной почты на входе в Internet-шлюз. Таким образом, гонка вооружений между теми, кто рассылает непрошеные электронные письма, и теми, кто пытается блокировать эту деятельность, вступила в стадию “звездных войн”. В отличие от предыдущих периодов эскалации боевых действий, новая тактика позволяет отсекать ненужную почту с минимальными усилиями и, возможно, даже обеспечит пользователям успех на некоторый период времени.

Имонн Салливан

Не считая попыток просто не обращать внимания, наиболее популярный подход к решению проблемы нежелательной электронной почты - фильтрация поступающих сообщений по признаку обратного адреса с использованием “черного списка” известных спэммеров. Эта операция может выполняться Internet-шлюзом, почтовым сервером, провайдером услуг Интернет, а также осуществляться прямо на клиентской машине. Причем последний вариант - самый распространенный.

Однако эффективность такого решения не слишком велика. Большинство рассыльщиков нежелательной почты давным-давно отработали методы сокрытия происхождения своих писем - большая часть нежелательной корреспонденции приходит с придуманных адресов, например you@yourdomain.com. По существующим оценкам, менее 20% нежелательной почты рассылается с уже однажды использованных адресов.

В некоторых других продуктах характер сообщений определяется по наличию таких типичных для спэма сочетаний, как once in a lifetime (“один раз, и на всю жизнь”), act now (“прямо сейчас”) или XXX. Эта технология дает лучший эффект, хотя может отсеять и нужные письма. Так, редакция PC Week получает нежелательную почту мешками, но такие фразы, как once in a lifetime, встречаются и в обычных пресс-релизах. (Что касается лично меня, я бы не имел ничего против отсева и этих посланий тоже, но, к сожалению, не все разделяют мое мнение.)

Наиболее эффективны средства, сочетающие оба названных подхода. В их число входит, в частности, система MIME-sweeper фирмы Integralis, осуществляющая фильтрацию сразу и на основе адреса отправителя, и по содержанию сообщения. К сожалению, этот продукт работает не со всеми серверами электронной почты. Поддержка Microsoft Exchange, например, появилась только в версии 3.2.

Недавно фирма Berkeley Software Design (www.bsdi.com) анонсировала программно-аппаратный продукт BSDI Mail Filter, также сочетающий два подхода к фильтрации, но выполняющий ее еще до того, как нежелательная почта начнет забивать дисковое пространство вашего сервера или даже доберется до клиентской машины. А поскольку он работает на уровне протокола SMTP, то проблем совместимости с почтовыми серверами или шлюзами практически не возникает.

Mail Filter представляет собой сетевое устройство - просто “ящик” без монитора или клавиатуры, конфигурируемый и администрируемый по сети с помощью Web-браузера. Сотруднику службы поддержки компьютерной сети компании достаточно подключить к Mail Filter нужные кабели, настроить его на адрес обслуживаемого почтового сервера и модифицировать систему доменных имен так, чтобы вся входящая почта поступала на Mail Filter.

Только и всего. Теперь все входящие почтовые сообщения будут просеиваться через Mail Filter и только “чистый остаток” попадет на настоящий почтовый сервер. Нежелательные сообщения (мы надеемся) будут остановлены (и, возможно, возвращены отправителю), прежде чем доберутся до сервера электронной почты или клиентских машин.

Представители BSDI утверждают, что предварительное тестирование (проведенное в собственной сети этой компании) показало эффективность работы Mail Filter на уровне 90 - 95%. Это устройство анализирует не содержание сообщений, а их заголовки, производя фильтрацию также и на основе “черного списка” адресов. По оценке специалистов BSDI, большую часть нежелательной электронной почты можно идентифицировать по недействительным адресам в поле From: и неправильному форматированию заголовков писем.

В конце концов спэммеры, конечно же, найдут способ обойти и эту защиту, однако в комплекте поставки корпорациям будет предлагаться и подписка на будущие модернизации внутреннего ПО Mail Filter, автоматически выполняемые через Internet.

Те, кого беспокоит возможность потери важных сообщений, могут сконфигурировать Mail Filter таким образом, чтобы он не удалял подозреваемые в нежелательности послания, а просто специальным образом помечал их (ставил клеймо SPAM в поле subject:). Кроме того, предусмотрена возможность составления списка исключений с описанием представляющих ценность сообщений, которые по формальным признакам должны быть отфильтрованы. Эта функция может пригодиться для поддержания общения с партнером, использующим неправильно сконфигурированный или нестандартный шлюз электронной почты.

Возможности протестировать предложенный BSDI подход у нас пока не было, однако более простой схемы мне еще встречать не приходилось. Достаточно однажды включить устройство в сеть и дальше о нем можно просто забыть. Оно возводит защитный рубеж для целой корпорации и в самом подходящем для этого месте. Будь я спэммером, я бы забеспокоился.

Может быть, у вас есть на примете другое работоспособное решение? Дайте мне знать по адресу: esullivan@zd.com.

Большинство рассыльщиков нежелательной почты давным-давно отработали методы сокрытия происхождения своих писем