Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Уборка почтового мусора – трудная работа!

Прочитали: 4426 Комментариев: 119 Рейтинг: 281

О том, как работает антивирус, многие знают — все слышали про сигнатуры, эвристики, поведенческий анализатор и т. д. Знакомо многим и понятие «антиспам». А вот как работает этот компонент защиты?

Начнем с того, что работа спамеров принципиально отличается от деятельности вирусописателей. Если последним нужно создать программу, которая будет отличаться от всех программ, о которых имеется информация в вирусных базах и в правилах поведенческого анализатора, то задача спамеров — сделать письмо максимально похожим на доверенные сообщения. При этом, если поступление на ПК вредоносных программ можно существенно ограничить, используя список разрешенных процессов, то для писем по понятным причинам в общем случае подобное сделать нельзя (хотя для отдельных типов сотрудников и можно ограничить поступление писем с определенных доменов).

Естественно, визуально бóльшую часть спама легко отличить от легальных писем, но если мы ошибаемся, не умея отличить настоящее уведомление о штрафе от подделки под него, то как это может сделать программа, которая априори не сравнится с возможностями нашего мозга?

Самый простой (он же и самый распространенный) метод, который используется в антиспаме, — нечеткие суммы Байеса. Если объяснять упрощенно, то для всех писем по специальным формулам подсчитывается некая контрольная сумма, которая сравнивается с суммами в базе данных антиспама. Метод прост — и это его достоинство, но недостатков куда больше.

Самый главный — с помощью этого метода невозможно отфильтровать бóльшую часть спама. Поэтому в дополнение к нему необходимо применять другие методы фильтрации. К этим методам мы еще вернемся.

Второе — необходимость постоянного обучения. Поскольку база антиспама состоит из контрольных сумм конкретных образцов спама, то для эффективной фильтрации нужно постоянно добавлять все новые образцы нежелательных писем. Метод требует постоянного обучения и/или частых обновлений. Как следствие — сложность работы в закрытых от Интернета сетях, где частые обновления по понятным причинам недоступны.

Третье — графический спам. Все вы замечали, сколько спама идет в виде картинок. Графику не обсчитаешь контрольными суммами, поэтому антиспам, использующий только списки Байеса, такие сообщения пропустит.

Итак, использование метода Байеса требует использования дополнительных методов фильтрации. Самый распространенный — DNDBL. Это списки почтовых адресов/доменов, замеченных в распространении спама, то есть полный аналог черных/белых списков почтовых адресов, доступных для редактирования в Dr.Web Secutity Space, но ведущийся на некоем сервисе в Интернете. Вещь однозначно мощная, но вот недостатки... Сервисы, на которых ведутся базы DNDBL, совершенно независимы от производителей антиспама. Соответственно, качество этих списков производителем антиспама никак не контролируется — пользователь получает «под капотом» бомбу со снятым предохранителем. Дело в том, что пополнение баз идет по обращениям пользователей к владельцам сервиса или по факту попадания спама в его ловушки. Но, как известно, данные отправителя можно подделать, или вы сами можете ненароком стать отправителями спама. Вполне возможна ситуация, когда вы не сможете получать письма от некоего знакомого вам отправителя, так как того занесли в черный список, а он об этом не знает, используя иной антиспам. И кстати, удаление из баз DNDBL зачастую платно — их администраторам нужно как-то зарабатывать на жизнь.

Об альтернативном подходе к фильтрации спама поговорим в других выпусках.

#антиспам #технологии_Dr.Web #безопасность

Dr.Web рекомендует

Заглядывайте «под капот»: самое интересное — там! О том, что под капотом антиспама Dr.Web, рассказано здесь.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: