Главное меню

Как отфильтровать спам и не потерять важные письма

Нередка ситуация, когда в погоне за чистым почтовым трафиком системный администратор устанавливает такие настройки почтового шлюза, которые не только начисто избавляют организацию от спама, но и лишают ее сотрудников важных писем от контрагентов. Чтобы не пришлось искать виновных, поделюсь опытом, на что необходимо обратить внимание при настройке антиспам-модулей в системах информационной безопасности.

Больше половины почтового трафика в Интернете – чистый, незамутненный спам. Адресату он либо просто не нужен, либо опасен, так как это самый популярный у киберпреступников канал распространения вредоносных программ. Очевидно, его надо устранять из входящей почты, и для этого имеются эффективные и простые в настройке инструменты.

Однако случается, что администратор, установив систему информационной безопасности и настроив ее почтовый шлюз, лишает свою организацию входящей почты, полностью или частично. Бесследно исчезают письма от контрагентов, подрядчиков, контролирующих органов. Поздравляем победителя: спам он действительно отфильтровал. А теперь разберемся, как все-таки настроить почтовый шлюз, избавиться от спама, но сохранить полезные письма. «Разбор полетов» на примере антиспам-модулей комплексного решения информационной безопасности Traffic Inspector, которым сам пользуюсь.

Что именно делать с письмом, решает SMTP-шлюз Traffic Inspector на основе весового коэффициента, присвоенного антиспам-модулями. В настройках шлюза можно установить пороговые значения коэффициента и соответствующие действия. По умолчанию блокируется доставка сообщений с весовым коэффициентом более 100.


Настройки действий с письмом в SMTP-шлюзе Traffic Inspector

Коэффициент сообщения модифицируется двумя антиспам-модулями: Traffic Inspector Anti-Spam powered by Kaspersky и RBL SMTP Filter. Первый проверяет письма с помощью сигнатурного и лингвистического анализа. В его настройках можно установить предпочтительную агрессивность вердикта, дополнительные признаки спама, и определить, что делать с письмом – как изменять его весовой коэффициент, заголовки и тему.

Настройки действий с письмом в модуле Traffic Inspector Anti-Spam powered by Kaspersky

Второй модуль содержит перечень публичных RBL-служб. Эти сервисы ведут собственные «черные» и «серые» списки IP-адресов, считающихся источниками спама. Модуль RBL SMTP Filter опрашивает их все одновременно, рассылая IP-адрес отправителя. В ответ те сообщают, присутствует ли этот адрес в их списках, и, если присутствует, как именно он классифицируется.

Настройки действий с письмом в службе модуля RBL SMTP Filter

В настройках каждой службы можно установить, будет ли сообщение блокироваться, если отправитель есть в писке, и, если нет, как изменять его весовой коэффициент. Вот тут у администратора может возникнуть искушение включить блокировку по всем RBL, и навсегда избавиться от спама.

Так делать не стоит. Каждый RBL-сервис руководствуется собственными правилами по добавлению и удалению из списков. Попадают в «черный» список сервера с Open Relay (то есть принимающие к отправке письма от кого угодно), анонимные HTTP- и SOCKS-прокси, и целые подсети, из которых активно рассылается спам.

Нередки ситуации, когда вполне легитимный почтовый сервер попадает в один или несколько «серых» списков из-за действовавшего через него спамера. Администратор сервера, получив несколько жалоб от пользователей, что их письма не доходят, скорее всего, обратится к нескольким операторам RBL, чтобы те исправили ситуацию, но это занимает время, и какие-то RBL могут быть пропущены.

С попавшими в список подсетями ситуация еще сложнее – например, локальные провайдеры могут вообще игнорировать проблемы доставки почты от своих пользователей. В результате сервер будет «висеть» в списках одного-двух RBL долгое время, и все письма, отравленные через него, будут отбрасываться в случае включения бескомпромиссной блокировки на SMTP-шлюзе Traffic Inspector.

Решением этой проблемы и является система весовых коэффициентов. Но точное значение весового коэффициента, при котором стоит «рубить» сообщение, зависит от очень многих факторов – от числа активных RBL-служб в модуле RBL SMTP Filter, до размера и отрасли деятельности вашей организации.

Лучше всего устанавливать пороговый коэффициент динамически, исходя из результатов фильтрации, установив не блокировку, а маркировку спама. Соответственно, на почтовых клиентах нужно настроить перемещение маркированных писем в отдельную папку в почтовом ящике – так ценные письма точно не пропадут.

Если пользователи наблюдают ложноположительные срабатывания фильтров (то есть в папку для спама попадают легитимные письма) – коэффициент стоит повысить, если же много ложноотрицательных вердиктов (спам проходит через фильтры) – пора понижать. Полностью исключить ошибки фильтрации невозможно, но снизить уровень спама до долей процента – вполне реально. Лучшие результаты даст периодическая подстройка порогового коэффициента вслед за изменениями в спам-трафике.

Источник: anti-malware.ru

Нет комментариев. Ваш комментарий станет первым!

Ваш email адрес не будет опубликован.