Цифры говорят сами за себя: с начала 2006 г. количество сорных писем выросло более чем на 500%. Таким образом, при неизменном уровне распознавания спама, обеспечиваемом фильтрами, в ящики входящей почты сотрудников попало в шесть раз больше сорных сообщений. Нагрузка на корпоративную инфраструктуру электронной почты в результате также растет.

При таком наплыве спама — а его количество будет только расти — нужны новые методы обеспечения бесперебойной коммуникации по электронной почте. Дело в том, что наиболее частыми последствиями потока спама являются перегрузка серверов, простои и задержка или даже потеря электронных писем.

КЛАССИКА СВОЕ ОТСЛУЖИЛА

Такие методы, как распознавание на основе содержимого или составление черных списков с помощью постоянно обновляемых открытых баз данных с перечнями адресов рассыльщиков спама (Realtime Blackhole List, RBL), едва ли в состоянии реагировать на новые уловки спамеров и не могут предложить проактивную защиту. Поэтому в конце прошлого года, после пятилетнего существования, база данных открытых ретрансляторов (Open Relay Database, ORDB) — система, которая основана на черных списках, базирующихся на DNS, — прекратила свою работу. Причина в том, что подобные системы не смогли проявить себя в качестве эффективного средства для отражения спама, не в последнюю очередь из-за потери значения отрытой ретрансляции при пересылке спама.

Чтобы обмануть спам-фильтр, рекламные сообщения с осени 2005 г. все чаще запаковываются в изображения. Механизмы фильтрации текстов абсолютно не в состоянии справиться с так называемым «графическим спамом». Даже у инструментов фильтрации, специально ориентированных на этот вид сорной почты, возникают проблемы при распознавании новых вариантов, в особенности, когда речь заходит о «спаме со случайными изображениями». К примеру, в поля и фон изображений спамеры случайным образом вставляют неправильные пиксели и указывают другие цвета, стремясь ввести в заблуждение механизмы распознавания, которые выявляют похожие рисунки. Кроме того, в рекламных изображениях варьируется шрифт, с тем чтобы помешать системам, применяющим методы распознавания текстов (Optical Character Recognition, OCR). И наконец, неудовлетворительные результаты приносят и усилия по сбору IP-адресов подозрительных серверов: с одной стороны, в черные списки ежедневно попадает множество «добропорядочных» серверов предприятий, из-за чего не доставляются нужные электронные письма, а с другой — спамеры буквально за несколько секунд меняют имена доменов и IP-адреса.

Кроме того, спамерами уже давно освоены совершенно новые методы, и наряду с выделенными серверами все чаще для отправки рекламных писем применяются так называемые бот-сети. Речь идет о крупных сетях «захваченных» компьютеров, которые используются в первую очередь для рассылки спама и заражения других компьютеров с целью расширения сети, причем совершенно незаметно для владельца. Контроль над этими компьютерами злоумышленники получают с помощью заранее рассылаемого вредоносного программного обеспечения в форме троянских программ и червей. По оценкам экспертов, в сети Internet уже сегодня постоянно функционируют от шести до восьми миллионов подобных зомбированных компьютеров, и в прошлом году около 87% всего незапрошенного трафика было отправлено именно с них.

УРОВЕНЬ ЛОЖНЫХ СРАБАТЫВАНИЙ ВАЖНЕЕ УРОВНЯ РАСПОЗНАВАНИЯ СПАМА

Нередко фильтр задерживает и важные электронные письма, поскольку почти все традиционные фильтры спама определяют тип электронного письма путем его сравнения с уже идентифицированными и известными фразами, заголовками и отправителями. Речь идет о так называемых «ложных срабатываниях». Их частота должна быть как можно меньшей, ведь даже небольшой, казалось бы, уровень в 0,1% может иметь серьезные последствия: если бы ошибочно отфильтровывалось «всего» 0,1% от миллиона поступающих за неделю писем, то за неделю адресаты не получили бы примерно 10 тыс. потенциально важных сообщений. Связанный с этим экономический ущерб может оказаться гораздо большим, чем вред, наносимый спамом. Карантинные решения тоже не помогут, поскольку слишком высокий уровень ложных срабатываний ложится тяжким бременем на плечи отдельных сотрудников или всего отдела ИТ: им приходится тратить огромное количество времени на поиск отфильтрованных по ошибке электронных писем.

АЛГОРИТМ КАК ДЕЙСТВЕННОЕ СРЕДСТВО ПРОТИВ СПАМА

Спамеры очень изобретательны в выборе способов обхода спам-фильтров. Однако главную особенность спама они спрятать не могут: он представляет собой массовую рассылку. Именно на основе этого принципа строятся методы с применением алгоритма проверки контрольных сумм, к примеру, спам-фильтр и служба eXpurgate распределения электронных писем по категориям берлинской антиспамовой компании eleven. Система проверки контрольных сумм сравнивает входящие электронные письма без исследования текстового содержимого сообщения. Базовый принцип заключается в том, что при проверке электронным письмам присваивается нечто вроде ключа в форме контрольной суммы, который сохраняется в центральной базе данных. Благодаря этому другие серверы сопоставляют входящую почту с записями базы данных и отделяют сорные письма от нужных сообщений. В результате электронные письма сокращаются до кода длиной в несколько байт, на основании которого невозможно сделать каких-либо заключений об исходном содержимом электронного письма. Чем чаще приходит одно и то же или похожее на него письмо, тем выше вероятность, что оно является сорным. В сочетании с другими методами исследования такой способ разбиения электронных писем на категории позволяет однозначно идентифицировать спам или какой-либо другой вид массовой рассылки и соответствующим образом его отфильтровывать.

С помощью так называемой «функции заморозки», которая на короткое время задерживает подозрительные электронные письма, а потом снова проверяет их, указанный способ позволяет достичь уровня распознавания свыше 99%. В случае высокой нагрузки дополнительно подключается брандмауэр электронной почты, чем гарантируется надежный обмен сообщениями с постоянными партнерами, тогда как некоторые не столь важные электронные письма временно отклоняются. Так можно обеспечить регулярную коммуникацию даже во время атак с целью вызвать «отказ в обслуживании».

Подобная технология требует крайне мало ресурсов, позволяя осуществлять проверку в реальном времени, поэтому она особенно подходит для крупных предприятий или провайдеров услуг Internet, поддерживающих несколько миллионов почтовых ящиков. Ложные срабатывания практически исключены, поскольку важные электронные письма, имеющие отношение к работе компании, не отправляются в массовом порядке. Используя и другие методы, которые среди прочего проверяют цель распространения больших объемов электронной почты, можно отличать легитимные массовые рассылки, к примеру, новостные, от незапрошенных и доставлять их адресатам, основываясь на определенной категоризации.

ЗАЩИТА ОТ ВОЛН РАСПРОСТРАНЕНИЯ ВИРУСОВ

Антивирусные сканеры, работающие на основе сигнатур, могут реагировать только на уже известные угрозы. Производители должны сначала написать код, соответствующий новому вирусу, и проверить его, и только после этого он может быть разослан клиентам. В зависимости от вида вируса может пройти несколько часов, пока в их распоряжении появится новая сигнатура. Указанный пробел устраняется с помощью метода распознавания на основе кодов. Используемый в нем алгоритм контрольных сумм, как и в предыдущем случае, сравнивает формируемые контрольные суммы электронных писем и их вложений. В конце концов, вирусы и спамовые электронные письма распространяются одинаково — с высокой скоростью и в очень большом количестве.

Благодаря контрольной сумме, которая служит «отпечатком» электронного письма, можно идентифицировать подозрительные электронные письма и обрабатывать их в соответствии с конфигурацией. Такой метод выполняет роль буфера для программного обеспечения, защищающего от вирусов с использованием сигнатур. Более 90% всех новых эпидемий вирусов могут быть блокированы с его помощью уже в самом начале своего возникновения. Таким образом, решение для защиты от вирусов на базе контрольных сумм предоставляет значительные преимущества с точки зрения обеспечения безопасности.

Роберт Роте — учредитель и генеральный директор компании eleven.


© AWi Verlag


Признаки качества антиспамовых решений

Уровень распознавания — чем выше уровень распознавания, тем лучше работает фильтр.

Уровень ложных срабатываний — высокий уровень распознавания спама обеспечивают многие фильтры, но еще важнее знать, вызывают ли они ложные срабатывания, так как критически важные для работы предприятия электронные письма не должны застревать в фильтре.

Административные издержки — сложно конфигурируемый фильтр и необходимость его постоянного обслуживания обходятся недешево. В случае использования решения услуг по сопровождению приложений (Application Service Providing, ASP) эту работу берет на себя провайдер.

Скорость — для поддержки функционирования антиспамового фильтра нужна пропускная способность, достаточная для моментальных вычислений и не требующая дополнительных инвестиций в аппаратное обеспечение.

Защита данных — необходимо выяснить, какие данные пропускает фильтр. Особой проверке следует подвергнуть решения иностранных поставщиков.

Дополнительные свойства — идентификация опасных электронных писем, фишинговых атак и вирусов, а также защита от атак типа «отказ в обслуживании» представляют собой значительные преимущества с точки зрения обеспечения безопасности.