Перспективы антиспам-технологий

Перспективы антиспам-технологий

В.Ф. Дронов
компания "Лаборатория Касперского"

НЕСМОТРЯ на громкие заявления Билла Гейтса о скорой кончине спама и на жесткие антиспамерские законы в США, Великобритании, Австралии, доля незапрошенных массовых рассылок в общем объеме электронной почты в Интернете колеблется от 70 до 90%. Существует несколько моделей предоставления продуктов и услуг в сфере фильтрации спама, а также несколько основных групп технологий, на которые делают ставку те или иные вендоры.

"Черные списки"

"Черные списки" IP-адресов, с которых рассылается спам (DNSBL, DNS-based Block Lists), -один из самых старых и один из наиболее противоречивых путей фильтрации спама. Из-за высокого риска потери легальной переписки на данный момент DNSBL можно рассматривать только как вспомогательный инструмент. Подобные сервисы предоставляются как бесплатно, так и на коммерческой основе (Spamcop, Spamhaus, Trend Micro RBL+ и др.).

Open source-продукты и сервисы

Open source-сообщество, конечно же, не могло остаться в стороне от столь острой проблемы, как спам. Наиболее известный из всех проектов -продукт SpamAssassin. Также набирает обороты и сервис с базой известных спамерских ссылок - SURBL. При бесплатности исходного кода таких решений проблема высокой квалификации и уровня оплаты труда администраторов может нивелировать изначальную экономию.

Messaging Security Services

Модель работы сервиса -перенаправление входящего почтового трафика организации таким образом, чтобы вначале он поступил на серверы сервис-провайдера, был проверен (на спам, вирусы, spyware...) и лишь затем, будучи "чистым", трафик поступил на серверы организации-клиента. Крупнейшие игроки в этой сфере - Message Labs, Postini, FrontBridge (ныне известный как Exchange Hosted Services), или бесплатный сервис Spamtest для частных пользователей в России.

Аппаратные решения

Примерно так же, как и сервис-провайдеры, аргументируют свои преимущества производители аппаратных антиспам-шлюзов (Barracuda Networks, BorderWare, Cipher-Trust, Proofpoint): низкая стоимость владения, простота настроек, легкое встраивание в существующую почтовую инфраструктуру. По сути, клиенту поставляется некий сервер, с предустановленной усеченной версией ОС (как правило, Linux), предварительно настроенным антиспамерским ПО и средствами дистанционного управления.

Коммерческое ПО

Так или иначе большинство компаний строят защиту от спама на основе своей почтовой инфраструктуры. Как правило, используется либо выделенный программный антиспам-шлюз, обрабатывающий почтовый поток "на лету", либо фильтр, интегрирующийся с используемым почтовым сервером. В России наиболее популярны Kaspersky Anti-Spam, Trend Micro InterScan, Symantec Brightmail.

Все перечисленные решения используют (в том или ином сочетании) 3 основные группы методов:

• "черные списки" в более широком понимании этого слова (блокировка спамерских IP, URL, reverse DNS look up и т.д.);
• методы контроля массовости - подразумевают контроль над большими потоками электронной почты и выделение в них спама на основании появления большого числа идентичных сообщений с разных IP-адресов;
• методы контентной фильтрации - анализ Интернет-заголовков письма (есть ли пустые поля, не подменен ли адрес отправителя и т.д.), используемой терминологии и лексики тела сообщения, графических и текстовых вложений.

ПО для защиты от спама, как правило, характеризуется сочетанием нескольких технологий фильтрации корреспонденции, что позволяет более взвешенно определять статус каждого сообщения (спам - не спам) и минимизировать случаи ложных срабатываний (потери легальных сообщений). Антиспам-продукты требуют частых обновлений своих баз данных - известного спама, IP-адресов спамеров, правил анализа сообщений и т.д.

Можно предположить, что противостояние спамеров и антиспам-вендоров продолжится по двум "фронтам". Первый -скорость реакции на новые рассылки и спамерские приемы по обходу фильтров. На главное место здесь выходит частота обновлений антиспам-фильтра. Однако и спамеры не дремлют: использование крупных ботнет-сетей позволяет проводить крупные рассылки уже не за сутки, а за считанные часы и минуты.

Второй "фронт"-маскировка идентичности сообщений (зашумливание изображений и их разбиение на несколько частей, интеллектуальные генераторы, формирующие различающиеся тексты с одним содержанием и др.). Это направление развития спамеров больно ударит по тем, кто делает ставку на детектирование массовости, а также потребует еще более интеллектуальных методов разбора контента письма.

Не менее важный момент - ситуация на рынке антиспам-решений. Рынок перенасыщен игроками, идут процессы консолидации, поглощения. Поэтому необходимо учитывать, будет ли поддерживаться и совершенствоваться выбранное решение через год, два или пять лет.