Разрушители мифов. Миф №39.

Разрушители мифов. Миф №39.
Очередной спорный миф Алексея Лукацкого: Миф №39 "Спам легко обнаружить" . Если коротко, то Алексей пишет, что по-настоящему эффективных решений для борьбы со спамом нет:
"пока приходится констатировать, что спамеры более изобретательны, чем их оппоненты, которые следуют за злоумышленниками, а не предвосхищают их действия. Спам исчез бы сам, если бы мы, рядовые пользователи, перестали бы покупать рекламируемые товары, а законодательная и судебная система поставила бы надежный заслон на пути спамеров. Но пока этого не происходит".

К сожалению, в статье детально рассматривается только одна технология борьбы со спамом - контентный анализ. Для материала датированого маем 2009 года это, пожалуй, не совсем правильно. Уже давно придуманы и эффективно работают репутационные антиспам фильтры.

В том же IronPort эта технология работает, причём очень эффективно:
"Cisco IronPort Reputation Filters provide an outer layer of defense using data from the Cisco SenderBase® Network to perform a real-time email traffic threat assessment and identify suspicious email senders".

Нашёл даже отзыв довольного пользователя: здесь
"Удалось ли уменьшить нагрузку на почтовую инфраструктуру благодаря использованию репутационных фильтров? На сколько?
Да, удалось и значительно, где-то на 80–90%. И это только при использовании технологии репутационных фильтров."

Суть метода проста как всё гениальное. Спам, как известно, характеризуется вспышками - т.е. кратковременными массовыми рассылками одинаковых писем. Специализированные датацентры, разбросанные по всему миру в узлах агрегирования почтового трафика, анализируют проходящие через них электронные письма и эффективно обнаруживают такие вспышки. Образцы обнаруженных спамовых писем помещаются в единую центральную базу.

При поступлении письма в организацию с него делается своеобразный "слепок" (хэш, если хотите) размером в несколько килобайт, который отсылается в ближайший датацентр для проверки. В ответ приходит ответ вида "спам/не спам", после чего оставшиеся письма можно проверить тем же контентным фильтром, причём качественно и основательно, т.к. большая часть спама уже отфильтрована и есть запас по времени на проверку остальной почты.

Вероятность ложного срабатывания при применении данной технологии практически равна нулю, т.к. в датацентрах регистрируются только массовые рассылки однотипных писем. Одно единственное уникальное письмо, которое Вам написал Ваш коллега перепутать со спам-рассылкой крайне сложно.

Другой известный продукт, в котором реализован такой функционал - eSafe . Имея опыт практической работы с этим решением могу сказать, что его эффективность даже выше заявленных 90%: через несколько месяцев реально забываешь как выглядит спам.

Оба упомянутых продукта, насколько мне известно, лицензируют данную технологию у компании Commtouch .
мифы
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Алексей Комаров

Всё, что я пишу в этом блоге, отражает только мою личную точку зрения и не имеет никакого отношения к точке зрения организации, в которой я работаю (работал) или с которой у меня существуют (существовали) официальные или неофициальные отношения.