Руководство по компьютерной безопасности и защите информации для Больших Боссов - Карл Шкафиц

Как работают эти фильтры? Обычно в них используется комплексный подход — то есть комбинация различных, иногда весьма сложных методов. С одной стороны, тебе можно всем этим голову не забивать, но с другой — весьма полезно хотя бы в общих чертах представлять механизмы работы антиспамерских фильтров, чтобы понимать, почему те или иные письма ими не отфильтрованы или наоборот — почему фильтр скушал вовсе не спамерское письмо.

Попробую изложить все эти методики обнаружения спама простым и доступным, надеюсь, языком...

1. Анализ текста письма

Большинство мусорных рекламных писем характеризуются довольно специфическими словосочетаниями, которые крайне редко присутствуют в обычной почте. Например, «выгодное вложение», «только у нас вы найдёте», «девочки для состоятельных господ», «увеличь свой пенис» и «виагра для обиженных жизнью».

2. Анализ по образцам

Существуют весьма продвинутые методы, позволяющие обнаружить спам по специальным образцам. Ведь не секрет, что ничего существенно нового рекламщики не выдумывают, а просто постоянно перелицовывают одно и то же старое пальтецо немудреных «находок» из серии «Вы не настолько богаты, чтобы покупать у Пупкина! Купите у Мокина — будет вам ЩАСТЕ!». Они берут уже сто лет навязший на зубах слоган, меняют там Пупкина и Мокина на Селедкина и Морковоперегрызского, после чего отправляют полученную несъедобную кашицу в массовую рассылку Антиспамерский фильтр по заложенным образцам умеет очень быстро отслеживать наиболее распространенные модификации всех этих слоганов, восходящих ещё к распродаже Ноем утвари с ковчега, что позволяет весьма точно отделить овнов от козлищ — то есть нормальной почты от спама.

3. Негодяйские списки

Многие провайдеры ведут так называемые «черные списки» адресов, откуда может валиться спам. Разумеется, это не адреса ящиков (они спамерами почти всегда подделываются а специальные интернетовские (IP) адреса, которые заслужили плохую репутацию в современном электронном обществе.

4. Стандартные спамерские признаки

Соответствующие спамерские технологи порождают определенные четко улавливаемые признаки: отсутствие в письме поля «От кого», «Кому», несуществующий IР-адрес отправителя и так далее. В нормальных электронных письмах такого не бывает.

5. Графические вложения

He так давно спамеры, казалось бы, придумали, как навсегда обмануть фильтры — стали рассылать рекламные тексты в виде графических файлов, которые невозможно проанализировать обычными методами. Однако доблестные программисты весь этот атом направили на мирные цели — разработали хорошие алгоритмы (так называемая «технология нечетких сравнений»), позволяющие как раз весьма эффективно идентифицировать подобные уловки как спам, не смешивая их с честными графическими файлами — картинками, сканами документов и фотографий девушек с торчащими грудями.

6. Спамерские трюки

Ещё один традиционный спамерский способ — пытаться обмануть фильтры путем включения в текст рекламного письма бессмысленного набора символов или кусков из стихотворений Пушкина. На самом деле эти трюки легко отслеживаются и наоборот — в первую очередь свидетельствуют о спаме.

Как уже говорилось, работает это всё в комплексе. Нельзя отбрасывать письмо, например, только при наличии в нём фразы «Только у нас» или слова «Приобретите» — это приведёт к большому количеству ложных срабатываний. Поэтому фильтр работает весьма интеллектуально. Он составляет оценку каждого письма, анализируя его по целому ряду вышеперечисленных признаков. В результате получается так называемый весовой коэффициент, величина которого, грубо rоворя, позволяет отнести письмо к одной из следующих категорий:

1. Не спам.

2. Вероятно, спам.

3. Точно спам.

Кроме того, фильтр может быть персонально обyчаемым — то есть ты сам объясняешь ему, что именно ты считаешь спамом, а что нет. (Особенно это полезно в случаях почты, которая определяется как вероятный спам или рассылок, которые стали тебе неинтересны, отправлены в историю, но продолжают насильственно появляться на твоём экране.)

Что делать с категориями «вероятно, спам» и «точно спам» — ты решаешь сам. To, что не на 100% определяется как спам — требует рассмотрения и анализа. To, что фильтр с высокой долей достоверности считает спамом — можно, не глядя, откидывать в специальную папку. В дальнейшем, если вдруг ты забеспокоишься, что всё никак не приходит очень важное для тебя письмо от некоего человека, можно поискать в этой папке — а вдруг это письмо случайно туда попало...

Где взять эти фильтры? Как их настраивать и как использовать?.. Есть разные способы: персональные и корпоративные.

1. Завести ящик на каком-нибудь публичном сервисе электронной почты, где используются подобные методы фильтрации спама (например, Mail.ru, Yandex.ru)

Способ на самом деле не сильно хороший, потому что все эти бесплатные почтовые сервисы — тот же сыр, только в мышеловке. К тому же, почтовый ящик на публичном сервере не имеет вообще никакого отношения к понятию безопасности информации. Его можно использовать разве что для пустой болтовни или осмысленного флирта, более ни для чего.

2. Воспользоваться специальным сервисом переадресации, через который будет пропускаться и тестироваться твоя почта (например, Spamtest.ru)

Такой способ более предпочтителен, потому что физически почта хранится на твоем почтовом ящике, а через Spamtest (или аналогичный сервис) просто будет пропускаться на предмет оценивания «спам — не спам». Тем не менее ваша почта будет проходить через «чужой» сервер, а это не очень хорошо и с точки зрения безопасности, и с точки зрения надёжности — ведь чем больше промежуточных этапов, тем выше опасность потерять информацию.

3. Поставить фильтр непосредственно на твой почтовый клиент

Это лучше всего с точки зрения безопасности, однако наименее эффективно с точки зрения фильтрации. Потому что комплексные антиспамерские фильтры пока не выпускаются в качестве приложений для персонального использования. Конечным пользователям остается что-то одно — или фильтр, в основном использующий «чёрные списки» (весьма криво работающий, потому что «чёрные списки» — штука совершенно неэффективная и должна использоваться в качестве оценки уровня достоверности «спам — не спам», а не в качестве фильтра), или же что­нибудь вроде так называемого байесовского фильтра. Кстати, байесовский фильтр — это, пожалуй, наиболее эффективное средство для персонального использования. Этот фильтр сначала нужно «обучить» — то есть объяснить, что именно ты считаешь спамом, а что нет (для этого придется накопить определенную базу спамерских писем, ну или позаимствовать её у кого-­нибудь), после чего фильтр будет показывать весьма неплохие результаты в отслеживании спама. Впрочем, комплексным методам он всё равно уступает... Поэтому, конечно, наилучшим средством фильтровать спам является корпоративный подход.

Собственно, тут всё очень просто. Мы предполагаем, что в твоей корпорации (фирме, концерне, конторе) есть собственный почтовый сервер, потому что его не может не быть в современных условиях. После этого от твоего админа требуется установить на этот почтовый сервер какую-нибудь фильтрующую систему поэффективнее. Ну да, она стоит денег, но вовсе не смертельных, уверяю тебя.

Работает такой фильтр следующим образом... Он проверяет всю входящую корпоративную почту и помечает ее специальными скрытыми значками: спам, вероятный спам и не спам. При этом фильтр примерно раз в час через Интернет опрашивает сайт разработчиков, чтобы пополнить свою распознавательную базу — получает новые образцы, оповещения о видах сегодняшних массовых рассылок и так далее. то есть следит за актуальностью своих механизмов отслеживания (практически так же, как и антивирус).

Что делать с письмами, помеченными как спам, — зависит от политики конторы. Если у фильтра почти не бывает ложных срабатываний, тогда убивать эти письма к чёртовой матери. Но обычно рекомендуется не убивать письма, помеченные как спам, а всё-таки складывать их в специальную папочку — чтобы, как я уже говорил, при необходимости иметь возможность поискать там долгожданное письмо.

Ради чистоты классификации и во имя попыток объять необъятное следует пояснить, что существует ещё одна разновидность спама называемая скам (от английского слова skum — накипь, нечистоты). Распространяется скам обычными спамерскими методами, однако представляет собой не рекламу, а самое настоящее жульничество.