- Новий поштовий клієнт Microsoft зупинить потік спаму Поштовий спам - справжнісіньке лихо, яке як...
- Як працює Junk E-mail Filter
- Список надійних реципієнтів (Safe Recipients List)
- Створення і спільне використання списків
- продуктивність
- З'єднання Exchange 2003
- Інші програми боротьби зі спамом в Outlook
Новий поштовий клієнт Microsoft зупинить потік спаму
Поштовий спам - справжнісіньке лихо, яке як і раніше не дає нудьгувати системним адміністраторам. Хоча в США і деяких інших країнах робляться спроби перенести цю проблему в сферу законодавчу, спамери, ймовірно, зможуть обійти цю перешкоду, перемістивши свій «бізнес» в області, не охоплені антиспамовим законодавством. Проблема спаму в корпораціях стоїть настільки гостро, що, наприклад, в HP по всьому периметру мережі були розгорнуті цілі бастіони - хости захисту, які робили сканування всіх повідомлень, що надходять на hp.com. 30% всіх повідомлень, що надійшли в 2002 році на адресу корпорації, були відкинуті, оскільки вони явно були ідентифіковані як сумнівні. У тілі повідомлень присутній добре впізнаваний рекламний контент або ж вірусні вкладення. Зараз те ж саме кількість хостів відкидає вже 70% усіх активних повідомлень, або близько 21 млн. Повідомлень на місяць. Саме потужністю потоку спаму пояснюється зростання числа відкинутих повідомлень, і сьогодні будь-яка компанія, у якої є поштовий сервер, є потенційною мішенню спамерів, і не має значення, поштовий сервер якого виробника вона використовує.
Більшість великих організацій встановлюють на своїх серверах всілякі програмні пакети, щоб заблокувати поширення спаму до того, як він досягне кінцевого користувача. Хости захисту дійсно в змозі відфільтрувати левову частку спаму, але, будучи ізольованими, вони поступово відстануть від «технічного прогресу» в області спаму, і спамерам рано чи пізно вдасться замаскувати свою діяльність. Тому адміністратори часто розгортають другу лінію оборони у вигляді антиспамового програмного забезпечення, інтегрованого в поштові сервери.
Розробники Microsoft в поштовому сервері Exchange Server 2003 додали в якості сховища Store новий параметр - Spam Confidence Level (SCL). Антиспамове програмне забезпечення може встановлювати значення цього параметра, яке і є ступінь довіри до повідомлення - з якою часткою ймовірності повідомлення може виявитися спамом. Store і поштові клієнти можуть пригнічувати отримання повідомлень, встановлюючи високий рівень SCL. Антиспамове і антивірусне програмне забезпечення на поштових серверах Exchange нерідко використовуються спільно, але, навіть незважаючи на дві лінії оборони (захисний хост і серверне антиспамове програмне забезпечення), деяка частина спаму все ж потрапляє до користувача. У минулому, якщо користувачі Microsoft Outlook хотіли максимально захиститися від спаму, їм доводилося встановлювати програми виробництва незалежних постачальників. Тепер Microsoft включила до складу Microsoft Office Outlook 2003 поштовий фільтр Junk E-mail Filter, причому його можна встановлювати починаючи з Exchange Server 5.5. Я переконався, що Outlook 2003 блокує більшу частину спаму, але якщо необхідно відсікти весь спам, доведеться встановлювати безліч ліній захисту.
Виявлення поштового «сміття»
Програмне забезпечення, призначене для виявлення спаму, використовує поєднання різних методів виявлення бур'янів пошти. Один з них полягає в аналізі адреси відправника і блокування повідомлень, що прийшли від «заслужених спамерів» з «чорних» списків - Realtime Blackhole Lists (RBL); інший спосіб полягає в перевірці атрибутів повідомлення (наприклад, поля subject) і контенту на предмет згадки таких слів, як Viagra і porn. Подібні перевірки можна виконувати за допомогою правил Outlook, але робота поштового клієнта при цьому сповільнюється - правила призначені не для цього. Антиспамові програми зазвичай підтримують словники ключових слів або фраз, а для перевірки повідомлень по словником використовують заздалегідь скомпільований код, що прискорює процес обробки повідомлень у багато разів.
Програми виявлення також аналізують структуру спам-повідомлень на відповідність деяким типовим шаблоном. Створюється враження, що автори спаму не можуть обійтися без вираження емоцій в розсилаються повідомленнях і використання величезної кількості знаків оклику. Якщо програма виявлення налічує в повідомленні 20 знаків оклику, то, цілком ймовірно, це спам. Однак може виявитися, що автор повідомлення - просто ентузіаст з комерційного відділу. Програма виявлення також здатна пошукати «відбитки пальців» в широко поширених «сміттєвих» повідомленнях. Розробники антиспамового програмного забезпечення постійно досліджують відомий спам і аналізують контент повідомлень для створення своєрідних «відбитків пальців» (які, як правило, потім включаються до складу словників). Надалі програмні фільтри легко розпізнають повідомлення з аналогічними «відбитками».
В Exchange 2003 оновлені функції фільтрації з'єднань і блокування пошти від неавторизованих відправників. Адміністратор Exchange 2003 може підписатися на оновлення списків RBL і підключити до них фільтри з'єднань. Можливо, це дозволить уникнути необхідності купувати додаткове антиспамове програмне забезпечення. Доповнення Exchange / RBL коштує недорого, але потрібно стежити за актуальністю RBL, щоб Exchange вчасно отримував інформацію про самих останніх зареєстрованих спамерів. Крім того, якщо для боротьби зі спамом використовується тільки якийсь один список, залишається сподіватися тільки на те, що його провайдер цікавиться новими технологіями боротьби зі спамом і сам надійно захищений від атак типу Denial of Service (DoS). Підписка на велику кількість «чорних» списків зменшує подібний ризик, але це вимагає додаткових витрат. Покупку і розгортання антиспамового програмного забезпечення комерційного якості здійснити набагато простіше, особливо для промислових серверів, що підтримують кілька сотень поштових скриньок.
В найостанніших програмах придушення несанкціонованої пошти використовуються аналітичні прийоми відстеження спамерських атак на ранніх етапах. Спеціальні мережеві аналізатори (пробники) ведуть моніторинг трафіку, що проходить через Internet, і відстежують сплески трафіку на поштовому сервері; такі сплески можуть з'явитися в результаті генерації спамерами сотень тисяч повідомлень з однотипним контентом. Пробники застосовують алгоритми, схожі на ті, що використовуються при генерації значень хеш-функції для електронних підписів на основі контенту повідомлення, і потім зберігають отриману підпис в базі даних. Після цього антиспамових програма зіставляє нові повідомлення і цифрові підписи бази і визначає, чи не є повідомлення спамом. Цей технічний прийом працює тільки на серверах, в клієнтському програмному забезпеченні він поки не використовується.
Всі версії Outlook підтримують правила, які дозволяють автоматизувати найбільш загальні завдання, такі як переміщення повідомлень від конкретного отруйника в призначену папку. В Outlook 2002 (і більш ранніх версіях) робилися спроби використовувати набір стандартних правил для фільтрації поштового «сміття». Однак зрослий обсяг такого «сміття» і застосовуються спамерами хитромудрі способи маскування привели до того, що спам не виявлявся, і такий підхід до боротьби зі спамом втратив ефективність, до того ж використання правил сильно уповільнювало роботу. Функція Outlook 2003 Junk E-mail Filter вже не використовує старий спосіб виявлення спаму на основі правил (і, відповідно, необхідність підтримувати статичні «чорні» списки ключових слів і відправників відпадає). Замість цього Outlook 2003 застосовує комбінацію скомпільованої коду і словників для виявлення спаму - підхід, який сформувався в результаті аналізу текстів, проведених Microsoft Research. MAPILab, невелика компанія, що спеціалізується на створенні додаткових модулів для Outlook, недавно провела поглиблене дослідження роботи Outlook 2003 Junk E-mail Filter. Додаткова інформація міститься в статті http://www.mapilab.com/news/0042.html . Словник зберігається в файлі program filesmicrosoft officeoffice 11 dictionaryoutlfltr.dat, його розмір близько 2 Мбайт. Зміст і точність словника грають вирішальну роль в роботі модуля Junk E-mail Filter, і Microsoft регулярно публікує оновлення з найсвіжішою інформацією про нові повідомлення, що містять спам. Вперше таке оновлення з'явилося в грудні 2003 року, як було сказано в статті Microsoft «Overview of the Outlook 2003 Junk E-mail Filter Update: December 16, 2003» ( http://support.microsoft.com/?kbid=832333 ).
Зверніть увагу, що, оскільки Outlook 2003 Junk E-mail Filter працює на клієнта, цей фільтр можна задіяти тільки в тому випадку, якщо налаштувати Outlook 2003 на режим Cached Exchange Mode або підключитися до серверів POP3 або IMAP4 (використання цих протоколів означає, що повідомлення завжди розміщуються в локальному сховищі для подальшої обробки). Застосування Junk E-mail Filter також можливо, якщо налаштувати Outlook для завантаження повідомлень в файл Personal Folders (.pst), але з появою Cached Exchange Mode така конфігурація клієнта вважається вже застарілою і застосовувати її є сенс тільки при невеликих квоти, що накладаються на поштові скриньки . Фахівці Microsoft розробляли Outlook для підключення до поштових скриньок Exchange за традиційною схемою клієнт-сервер і для обробки повідомлень в оперативному режимі, але тепер Outlook необхідно вибрати контент повідомлення з Exchange до того, як почне діяти фільтр клієнта. Такий підхід працює для повідомлень невеликого розміру, але мережеві накладні витрати через вимоги попередньої вибірки контенту для перевірки на спам дуже швидко стають непомірно високими, тому Outlook обмежується тільки обробкою локального контенту.
В Outlook 2002 (і більш ранніх версіях) дійсно складну фільтрацію за допомогою правил здійснити неможливо. За допомогою антиспамового програмного забезпечення, що працює на стороні сервера або клієнта, це можна зробити, але разом з тим Outlook 2003 Junk E-mail Filter в змозі придушити високий відсоток спаму, який проходить крізь усі лінії захисту і досягає папки Inbox. Таким чином, Outlook 2003 Junk E-mail Filter можна розглядати як додатковий рівень захисту від спаму, подібно до того як запущену на станції клієнта антивірусну програму можна вважати доповненням до антивірусного програмного забезпечення, встановленого на сервері. Outlook 2003 Junk E-mail Filter - одна з численних програм боротьби зі спамом, призначених для запуску на станції клієнта. Додаткова інформація про те, як відшукати подібні програми, міститься в урізанні «Інші програми боротьби зі спамом».
Як працює Junk E-mail Filter
Якщо користувач встановлює певний рівень захисту від спаму, Outlook 2003 відразу ж після запуску починає обробку нових повідомлень в міру їх надходження в Inbox. Якщо ви не бажаєте, щоб Outlook переглядав пошту на предмет виявлення спаму, слід вибрати Options в меню Tools, клацнути Junk E-mail, перейти на вкладку Options (див. екран 1 ) І вибрати параметр No Automatic Filtering. За замовчуванням Junk E-mail Filter налаштований на рівень захисту Low, що означає, що Outlook буде відбирати тільки очевидний спам. Деякі користувачі дуже насторожено ставляться до фільтрації і залишають захист на рівні Low. Я вирішив встановити рівень High - в цьому випадку Outlook активно перевіряє повідомлення на спам і переміщує будь-які повідомлення, які здаються модулю фільтрації підозрілими, в каталог Junk E-mail. Outlook автоматично створює каталог Junk E-mail, якщо він відсутній, і не надає ніяких налаштувань, щоб змінити місце розташування цього каталогу. На вкладці Options є настройка, яка дозволяє відразу видаляти поштовий сміття без можливості відновлення в майбутньому (аналог використання Shift + Delete для видалення повідомлень без переміщення їх в папку Deleted Items). Я не рекомендував би використовувати цю настройку до тих пір, поки ступінь довіри спам-фільтрам Outlook не буде достатньо високою. А до тих пір слід встановити рівень High і періодично перевіряти папку Junk E-mail - НЕ відфільтровані Чи потрібні повідомлення. У моєму випадку робота фільтрів на рівні High виявилася настільки якісною, що тепер я використовую Outlook з налаштуванням видаляти будь-спам (Permanently delete ...), який буде виявлений.
Змінити алгоритм, який використовується в Outlook 2003 для визначення, чи є повідомлення спамом, не можна, але можна допомогти Outlook підвищити ступінь точності шляхом створення списків надійних відправників (safe senders) і блокованих відправників (blocked senders). Список надійних відправників складається з поштових адрес, з яких відправлені вам повідомлення визнаються допустимими, і Outlook НЕ буде маркувати їх як спам. Список блокованих відправників, навпаки, складається з адрес або доменів, всі повідомлення від яких вважаються спамом. Щоб блокувати відправника, слід відкрити контекстне меню повідомлення і вибрати Junk E-mail, Add Sender to Blocked Senders List. Outlook додасть поштову адресу відправника до свого списку відомих спамерів. У цей список можна додати будь-якого, хто не входить в глобальний список адрес, Global Address List (GAL). Щоб блокувати повідомлення від адресата з глобального списку, слід використовувати звичайні правила Outlook.
Outlook Junk E-mail Filter виконує наступні дії.
- Перевірка адрес поштових повідомлень за списком контактів. Передбачається, що повідомлення, відправлене з будь-якої адреси з цього списку, є надійним.
- Перевірка адрес поштових повідомлень за списком GAL. Передбачається, що ви хочете отримувати листи з будь-якої адреси з цього списку.
- Перевірка адрес поштових повідомлень за списком Safe Senders List. Передбачається, що ви хочете отримувати листи з будь-якої адреси з цього списку.
- Перевірка адрес поштових повідомлень за списком Safe Recipients List (трохи пізніше я розповім про нього). Передбачається, що повідомлення з будь-якої адреси з цього списку проходить фільтри.
- Перевірка адрес поштових повідомлень за списком Blocked Senders List і переміщення всіх повідомлень з будь-якої адреси з цього списку в папку Junk E-mail.
- Запуск фільтра, аналізує контент повідомлень на спам. Фільтр виробляє ранжування (під ранжированием в даному випадку розуміється визначення деякого числа в діапазоні від 1 до 100) і визначає, наскільки дане повідомлення підходить під визначення спам. Чим більше число, тим вище ймовірність, що повідомлення являє собою спам. Після визначення рангу Outlook вирішує, чи потрібно переміщати повідомлення в папку Junk E-mail. Якщо встановлений низький рівень захисту, Low, Outlook навіть при відносно високому ранзі буде посилати повідомлення в Inbox. Якщо встановлений високий рівень захисту, High, то навіть при менших значеннях рангу Outlook направить повідомлення в папку Junk E-mail.
Як уже зазначалося, слід про всяк випадок час від часу перевіряти повідомлення в папці Junk E-mail перед тим, як їх звідти остаточно видалити. Може бути, з'ясується, що обраний рівень захисту занадто високий і що Outlook переносить цілком коректні повідомлення в папку Junk E-mail. Якщо Outlook постійно фільтрує повідомлення від якогось певного легітимного кореспондента, можна додати його поштову адресу в список Safe Senders List і тим самим вирішити проблему.
Список надійних реципієнтів (Safe Recipients List)
Призначення списків Blocked Senders List і Safe Senders List зрозуміло; мета створення Safe Recipients List не настільки очевидна. Фактично надійний адресат (safe recipient) - це список розсилки, distribution list (DL), або новинна група (newsgroup), від яких ви хочете отримувати кореспонденцію. Ви не керуєте членством в DL або новинний групі, але припускаєте, що адміністратор не дозволяє учасникам списків розсилати спам. Ви повідомляєте Outlook, що хочете отримувати повідомлення, відправлені з деякого адреси DL або встановлено Пошук, поміщаючи цю адресу в список Safe Recipients List.
Створення і спільне використання списків
Через деякий час у адміністратора накопичується список блокованих відправників, яким він може поділитися з кимось ще. Можна передати в спільне користування списки як надійних адресатів, так і надійних відправників - є можливість експортувати дані з будь-якого списку або імпортувати їх в будь-який список. Для цього слід перейти на вкладку Blocked Senders у вікні Junk E-mail Options і клацнути Export to File. Згенерує текстовий файл, який можна підправити в будь-якому редакторі. Можна додати в кінець списку записи, отримані від інших користувачів, і передати оновлений список відомих спамерів в спільне користування в централізоване сховище, щоб будь-який бажаючий міг імпортувати його в Outlook.
Варто відзначити, що можна додати до свого списку Blocked Senders List цілі домени, блокуючи тим самим будь-які спроби послати на Вашу електронну адресу поштове повідомлення з певного домену. Але не варто проявляти занадто великий ентузіазм, додаючи всіх підряд в Blocked Senders List, оскільки довгі списки уповільнюють час обробки пошти.
продуктивність
Навіть найсучасніші багаторівневі механізми захисту від мережевого спаму не в змозі забезпечити абсолютний захист, частина повідомлень все ж обходить лінію оборони. Якщо ви наберетеся терпіння і кожного відправника спаму, минулого Junk E-mail Filter, будете додавати в список Blocked Senders List, здатність Outlook розпізнавати і блокувати новий спам мало-помалу почне рости. У моєму випадку модуль Junk E-mail Filter перехоплював більшість повідомлень, які пробилися крізь захисний хост компанії і серверні фільтри, і до Inbox доходило зовсім небагато спаму.
В Outlook 2002 (і більш ранніх версіях) наявність правил допоможе скоротити час доставки повідомлень, особливо коли правила пов'язані зі складною обробкою, необхідної для виявлення спаму. Outlook 2003 кешируєт свої робочі списки і використовує відкомпільований код Junk E-mail Filter, тому продуктивність поштового клієнта залишається прийнятною. Я, наприклад, не помітив ніяких затримок в роботі при наявності 40 записів в Blocked Senders List. Outlook 2003 не починати фільтрацію сміття, поки повністю не будуть завантажені заголовок і контент нових повідомлень. Тому при відомій вправності можна побачити, як повідомлення з'являється в Inbox, а потім пропадає звідти, після того як Outlook перевірить контент повідомлення, з'ясує, що це спам, і перемістить його в папку Junk E-mail. Якби не ця «доказ», ніхто б і не здогадався, що відбувається обробка спаму.
З'єднання Exchange 2003
Outlook 2003 додатково підкреслює деякі переваги в роботі Exchange 2003. Клієнтське програмне забезпечення зберігає списки Safe Senders List і Blocked Senders List (а також налаштування Junk E-mail Filter) у вигляді властивостей поштових скриньок, і тому Outlook Web Access (OWA) 2003р може використовувати ті ж самі дані для перевірки повідомлень на спам. На екрані 2 показаний список Blocked Senders List для поштової скриньки в тому вигляді, в якому він відображається в OWA 2003.
Антиспамове програмне забезпечення, яке працює на серверах Exchange 2003, також може скористатися інформацією про блокованих відправників, і Exchange 2003 відправить послання від адресатів Blocked Senders List безпосередньо в папку Junk E-mail, як тільки такі повідомлення виявляться на сервері (ще до того, як Outlook встигне втрутитися). Це означає, що клієнт не обмежений ні в сенсі мережевого трафіку (не потрібно завантажувати повідомлення), ні з точки зору витрат процесорного часу на обробку повідомлення.
Варто додати, що OWA 2003 як і Outlook 2003, блокує зовнішній контент, не дозволяючи спамерам встановити, чи є атакується поштову адресу чинним. Контент може містити своєрідний «маячок» (Web-beacon), малесенький і часто непомітний графічний файл; як тільки клієнт відкриває повідомлення для перегляду, «маячок» сигналізує спамеру, що повідомлення досягло пункту призначення, тобто адресу «живий». Золоте правило в цьому випадку - ніколи не завантажувати що б там не було, якщо ви не впевнені в джерелі повідомлення. Outlook 2003 і OWA 2003 покаже графічний контент повідомлення, яке прийшло від відправника зі списку Safe Senders List. Наприклад, я додав Amazon.com в свій Safe Senders List, тому я отримую підтвердження з цього сайту після оформлення того чи іншого замовлення. Також я додав Unitedcomics.com, щоб регулярно отримувати авторські комікси, які компанія розсилає по електронній пошті.
Outlook не в змозі придушити весь спам, який приходить на адресу організації, тому треба готуватися до розгортання захисних хостів і антиспамового програмного забезпечення, щоб відкинути якомога більше спаму до того, як він досягне поштового клієнта. Але, звичайно ж, будь-який засіб боротьби зі спамом вітається, тому мене влаштовують можливості блокування спаму, вбудовані в клієнтське програмне забезпечення 2003.
Інші програми боротьби зі спамом в Outlook
Що робити, якщо Microsoft Office Outlook 2003 на комп'ютері не встановлено, але позбавлятися від спаму проте якось треба? Існує безліч незалежних розробників розширень для Outlook і Outlook Express. Результат пошуку в Google «Spam» + «Outlook» склав 13 сторінок. Маючи такий багатий вибір, як правильно підібрати відповідну програму для конкретної організації? Один з методів прийняття рішення складається в завантаженні пробної версії програми з Web-сайту виробника і її тестуванні з використанням тестового облікового запису, чий поштову адресу добре відомий розповсюджувачам спаму. У списки спамерів потрапити дуже просто - достатньо вивісити будь-яке оголошення на серверах, з яких спамери отримують адреси своїх «жертв». Або, як варіант, заведіть обліковий запис на безкоштовному поштовому сервері - такому, як MSN Hotmail або Yahoo! - і використовуйте його для тієї ж самої мети (ймовірно, це навіть краще, оскільки тестування розширення простіше виконати для Outlook Express, ніж для Outlook).
Альтернативний підхід описаний на сайті Slipstick.com. Там же можна знайти корисну інформацію про розширення Outlook (див. Список http://www.slipstick.com/rules/junkmail.htm#tools ).
Тоні Редмонд - редактор Windows 2000 Magazine, віце-президент в Compaq Global Servises. З ним можна зв'язатися за адресою: [email protected]
Com/?Маючи такий багатий вибір, як правильно підібрати відповідну програму для конкретної організації?