5.2.3 Фильтрация почтовых сообщений и борьба со спамом

Фильтрация спама, правила борьбы со спамом, фильтры Байеса и SURBL, SMTP Relay, Open Relay DataBase (ordb.org), корпоративные фильтры, XWall

Одна из самых больших проблем при работе с электронной почтой - это нежелательные сообщения коммерческого характера, а просто говоря - спам. Помимо неудобств, связанных с избавлением от спама, спам - это еще и прямые убытки для предприятия: расходуется Интернет-трафик и место на носителях, на разбор такой почты тратится рабочее время пользователей. Одно из главных средств борьбы со спамом - это повышения уровня грамотности пользователей. В частности, пользователи должны знать, что:

·        никогда нельзя давать свой рабочий адрес электронной почты в ненадежные руки (оставлять в формах регистрации на ненадежных Web-сайтах, гостевых книгах и форумах и т.п.). Научите пользователя для участия в лотереях использовать специальный адрес электронной почты где-нибудь на бесплатной почтовой системе типа mail.ru, hotmail.com и т.п.;

·        лучше не помещать явно адреса электронной почты на Web-страницы корпоративного Web-сайта. Для запросов можно использовать, например, простые Web-приложения с формами;

·        научите пользователей не использовать рабочий адрес электронной почты в каталогах ICQ, AOL Instant Messenger и т.п.;

·        никогда нельзя отвечать на сообщения спамеров (даже если очень хочется поругаться). Очень часто "на другом конце" находится почтовый робот, который фиксирует адреса, с которых пришли ответы. Ценность таких адресов сильно возрастает и, соответственно, поток спама становится намного больше;

·        если пользователь все-таки допустил ошибку, возможно, есть смысл обратиться к администратору, чтобы он поменял для этого пользователя адреса его электронной почты.

Однако такие меры спасают  не всегда, и часто приходится бороться со спамом техническими средствами. Существует два основных способа фильтрации спам-сообщений:

·        на основе анализа содержимого письма (обычно применяются так называемые Байесовские фильтры);

·        на основе анализа адреса отправителя/его почтового домена/его почтового сервера. Обычно при этом используются черные списки таких адресов/доменов/серверов.

Чуть подробнее про каждый из этих способов. Байесовский фильтр - фильтр по признакам, наличие которых позволяет с большой вероятностью утверждать, что это письмо является спамом. К таким признакам может относиться наличие ключевых слов, большее количество получателей в списке BCC, отсутствие адреса отправителя или явно неверный адрес и т.п. Обычно число параметров, по которому оценивается каждое письмо - около 15. Базы Байесовского фильтра собираются на основе анализа большого количества спамерских и обычных сообщений. При наполнении Байесовского фильтра пользователи и специалисты (фирмы-разработчика ПО) вручную определяют, что данные письма, а программа в автоматическом режиме определяет, при наличии каких признаков письмо с высокой вероятностью - спам (или, наоборот, его нужно пропустить). Байесовские фильтры используются в настоящее время очень активно. Они встроены в практически во все специализированные средства для борьбы со спамом, а также в самые популярные почтовые клиенты Outlook, Outlook Express и The Bat. В лучших программах точность определения спам-сообщений - на уровне 95 процентов (конечно, существует вероятность, что в отфильтрованные сообщения попадут и нужные сообщения, поэтому есть смысл иногда просматривать отфильтрованные сообщения вручную).

Второй способ фильтрации сообщений - по их источнику (конкретный адрес отправителя/домен/почтовый сервер). Обычно попадают в черный список двумя способами:

·        собственно рассылая спам;

·        открывая у себя на почтовом сервере SMTP relay (то есть перенаправление писем по SMTP на другие почтовые серверы - не своим пользователям).

Про второй пункт необходимо сказать подробнее. Любой почтовый сервер принимает электронную почту по SMTP, относящуюся к пользователям, почтовые ящики которых расположены на данном почтовом сервере. Вопрос заключается в том, что делать с электронной почтой, поступившей по SMTP, которую необходимо передать другому почтовому серверу в Интернете. В соответствии с изначальными стандартами клиенты передают почту на сервер именно по протоколу SMTP, и без дальнейшего перенаправления почта от них просто уходить не будет. С другой стороны, в изначальном стандарте SMTP никакая аутентификация не предусмотрена, и если открыть такое перенаправление, кто угодно может "попросить" наш почтовый сервер разослать почту, например, по нескольким миллионам адресов. Серверы с открытым перенаправлением, которым может воспользоваться кто угодно, называются серверами с открытым SMTP релеем. Технология обнаружения подобных серверов у спамеров в настоящее время отлажена очень хорошо, и, если вы оставите на своем сервере открытый SMTP Relay, можно не сомневаться, что уже через несколько дней ваш сервер будет полностью загружен работой. Чтобы минимизировать ущерб от подобных "добрых" серверов, такие серверы обнаруживаются (автоматически или вручную) и помещаются в базу данных Open Relay DataBase (ORDB). Эта бесплатная база данных общего использования, ее Web-сайт находится по адресу www.ordb.org (на нем есть страницы и с русским интерфейсом). На ее Web-сайте можно проверить наличие того или иного почтового сервера в списке открытых релеев или оставить запрос на удаление себя из этого списка (если вы уже исправили ошибки в конфигурации). Эту базу данных используют многие средства фильтрации электронной почты (например, XWall и GFI Mail Essentials), есть и полностью бесплатное средство - Open Relay Filter (имеется на компакт-диске). Почта, отправленная с серверов, находящихся в черном списке ordb.org, на множестве почтовых серверов будет либо автоматически отфильтрована, либо доставлена в папку типа Junk E-mail, либо снабжена специальными пометками в заголовке письма.

Как решается такая проблема в Exchange Server? В Internet Mail Connector Exchange 5.5 SMTP Relay был открыт о умолчанию, поэтому эти настройки необходимо в нем было обязательно изменить. В Exchange Server 2000 и 2003 эти параметры настраиваются из свойств виртуального сервера SMTP (вкладка Access, кнопка Relay). По умолчанию Relay разрешен только тем, кто успешно аутентифицировался (по MAPI или SMTP, поэтому в на лабораторной в Outlook Express нужно было установить флажок My server requires authentification), всем остальным - нет. Варианты решения проблемы с SMTP Relay с точки зрения клиентов:

·        использовать MAPI (об этом - ниже);

·        использовать аутентификацию по SMTP;

·        в тех же самых свойствах виртуального SMTP-сервера Exchange настроить список исключений - тех клиентов, которым можно передавать почту для релея (в этот список, например, можно внести всю локальную IP-сеть);

·        использовать Outlook Web Access.

Есть также черные списки просто тех, кто рассылает спам. Наиболее полные и часто используемые - bl.spamcop.net и sbl.spamhause.org. Системы, использующие такие черные списки, называются системами с применением SURBL (Spam URI Realtime BlockLists) или SLS (Spam Lookup Services). Такие модули есть в большинстве коммерческих систем (в том числе в GFI и в XWall), есть и бесплатное ПО под Unix и Windows - SpamAssassin (создан командой Apache).

Корпоративное средство по фильтрации спама, которое считается наиболее мощным и удачным - XWall. В Санкт-Петербурге оно используется, например, в объединении "Киришинефтеоргсинтез". Мы будем рассматривать этот программный продукт на лабораторной.

Существуют также средства для защиты конечных пользователей (а не почтовых систем целиком). Они собраны в каталоге Mail\Почтовые антивирусы-фильтры-антиспам\Personal. Существуют как платные, так и бесплатные решения. Наиболее распространенным в настоящее время является бесплатный SpamPal, ориентирующийся на использование баз SURBL.

Получить учебные материалы по этому курсу