Kaspersky anti spam позволяет проверить прикрепленные файлы в форматах
Сегодня мы хотим представить на ваше обозрение достаточно молодой, но в то же время внушающий доверие продукт - Kaspersky Anti-Spam. Это творение достаточно известной российской компании направлено на борьбу со спамом в сетях любого масштаба. В будущем планируется выпустить версию пакета и для домашних пользователей - надежную "броню" получим и мы с вами. Kaspersky Anti-Spam претендует на высокую эффективность и необычайную гибкость в настройке. Чтобы разобраться во всех особенностях этого продукта, мы обратились к Андрею Никишину - человеку, отвечающему в Лаборатории Касперского за все, что связано с данной программой.
TanaT: Когда появился Kaspersky Anti-Spam? Что толкнуло Вашу компанию на его создание?
Андрей Никишин: Коммерческая версия программы была представлена в декабре 2002 г. Этому предшествовала обширная программа бета-тестирования, в которой приняли участие многие российские компании и отдельные профессионалы. Kaspersky Anti-Spam - это отражение нашей концепции комплексной защиты от внешних угроз: вирусов, хакерских атак и спама. Вирусами, как известно, занимается Антивирус Касперского, хакерскими атаками - Kaspersky Anti-Hacker. Соответственно, на долю оставшегося продукта выпала честь защищать компании от спама и другой нежелательной корреспонденции.
С другой стороны, нельзя не отметить и прогнозы бурного роста рынка систем фильтрации спама. По последним данным количество спама в сети Интернет составляет до 20% всего почтового трафика (прим. редактора: на самом деле, по некоторым исследованиям эта цифра - значительно выше). Больше всего от спаммеров страдают компании и частные лица, ведущие активную деятельность в Интернет - зачастую объем навязчивой рекламы и другой нежелательной корреспонденции в их почтовых ящиках превосходит количество полезной информации. Вообще, спам уже перестал быть вопросом банальной потери рабочего времени и увеличения сетевого трафика, но перешел в разряд глобальных проблем, угрожающих нормальному функционированию Интернет: при сохранении современных тенденций уже в 2005 г. каждое второе письмо в наших виртуальных почтовых ящиках будет содержать спам. Таким образом, кроме стратегического значения Kaspersky Anti-Spam имеет для "Лаборатории Касперского" и явное коммерческое значение.
TanaT: Планирует ли "Лаборатория Касперского" разработку системы защиты от спама для домашних пользователей?
Андрей Никишин: Да, в августе этого года мы планируем закончить разработку и представить специальный встраиваемый модуль для Outlook и Outlook Express, который будет производить фильтрацию входящей почтовой корреспонденции от спама.
TanaT: Версия продукта для домашних пользователей тоже будет пользоваться ежедневными обновлениями спам-базы?
Андрей Никишин: В персональной версии Kaspersky Anti-Spam будут реализованы те же самые принципы работы, что и в корпоративной. Это также относится и к пакету услуг - ежедневным обновлениям антиспамовой базы данных. Отличия будут заключаться в более удобном интерфейсе и упрощенном управлении программой.
TanaT: В этом проекте совместно с Вашей компанией работала еще и компания "Ашманов и партнеры". В чем состоит ее роль?
Андрей Никишин: С компанией "Ашманов и партнеры", в частности с ее директором, Игорем Ашмановым, нас связывают давние деловые связи. Достаточно сказать, что коллективы под его руководством разрабатывали для нас систему поиска по Вирусной Энциклопедии и технологическую платформу корпоративных сайтов. Сегодня эта компания - безусловный гуру в технологиях защиты от спама и поэтому именно с ней мы решили связать судьбу Kaspersky Anti-Spam.
"Ашманов и партнеры" разработали собственно ядро продукта, механизмы лингвистического анализа почты и осуществляют развитие системы.
От автора.
Хотя "Лаборатория Касперского" уже давно обращала внимание IT-общественности на проблему сетевого мусора, такого быстрого выхода на рынок Anti-Spam продуктов от нее никто не ждал. Действительно, как может разработчик "чисто security" продуктов создать качественный лингвистический движок для анализа корреспонденции? Ведь у "Лаборатории" нет собственной школы лингвистов, как скажем у известных отечественных компаний "ПРОМТ" и "ABBYY". На выручку пришла компания "Ашманов и Партнеры", занимающаяся лингвистическими технологиями и искусственным интеллектом уже более 10 лет. Специалисты этой компании зарекомендовали себя в таких проектах, как ОРФО (проверка правописания, входит в состав MS Office), портал Rambler, словари MultiLex, поисковая машина Следопыт, Русская служба имён и другие. Именно профессионалы из "Ашманов и Партнеры" разработали интеллектуальный фильтр корреспонденции, использующийся в Kaspersky Anti-Spam. Они вместе с сотрудниками "Лаборатории Касперского" будут следить за ежедневным пополнением базы нежелательной корреспонденции.
TanaT: Есть ли возможность удаленной настройки Kaspersky Anti-Spam для системных администраторов?
Андрей Никишин: Kaspersky Anti-Spam интегрирован в систему удаленного администрирования Web Tuner, которая используется в других Unix/Linux-продуктах "Лаборатории Касперского".
С проблемой спама сталкивался любой пользователь Интернета, прибегающий к услугам электронной почты. В корпоративной среде с активным документооборотом спам особенно неприятен — он вклинивается в поток деловой корреспонденции, сотрудники вынуждены тратить рабочее время на фильтрацию почты, к тому же полезные письма нередко теряются среди спама.
Естественно, для борьбы со спамом можно применять персональные фильтры, устанавливаемые на компьютерах пользователей (например, обучаемый фильтр на базе теоремы Байеса), но в корпоративной среде с сотнями рабочих мест наилучшим решением является установка на сервер электронной почты централизованного фильтра. Данная статья посвящена тестированию и описанию возможностей системы Kaspersky Anti-Spam (KAS) версии 3.0, предназначенной для фильтрации спама на уровне почтового сервера.
Условия тестирования и опытной эксплуатации
Система Kaspersky Anti-Spam 3.0 была установлена на основном корпоративном почтовом сервере ОАО «Смоленскэнерго», работающем под управлением FreeBSD 4.9, почтовый сервер — QMail. Из дополнительных программ на сервер был установлен антивирус KAV 5.0.2 для фильтрации писем, содержащих компьютерные вирусы. Специализированные средства фильтрации спама до установки Kaspersky Anti-Spam на сервере отсутствовали.
Данный почтовый сервер обрабатывает в месяц в среднем 80-100 тыс. писем (2,5-3,5 тыс. писем в день), причем примерно 40-60 тыс. писем в месяц составляет деловая переписка. Сервер обслуживает порядка тысячи почтовых ящиков, из которых 250 управляется непосредственно сервером, остальные — серверами поддоменов. Аппаратная платформа — Intel Xeon 1,8 ГГц, 1 Гбайт ОЗУ.
Установка
Процедура установки продукта и его настройки заняла не более часа, при этом никаких проблем не возникло. В нашем случае Kaspersky Anti-Spam был установлен непосредственно на почтовый сервер, однако существует возможность его установки и на выделенный сервер — тогда он может обслуживать запросы от нескольких почтовых серверов (запросы при этом передаются по сети).
Единственной особенностью, отмеченной в ходе установки Kaspersky Anti-Spam, является тот факт, что операционная система на почтовом сервере Смоленскэнерго собрана в минимальной конфигурации, без графической оболочки, поэтому запустить браузер после установки Kaspersky Anti-Spam для его настройки невозможно, а web-интерфейс KAS по умолчанию доступен только непосредственно с сервера, на котором он установлен. Однако эта ситуация описана в документации и там же указан путь решения: в одном из конфигурационных файлов необходимо задать IP-адрес сетевого интерфейса и номер порта TCP, используемые web-интерфейсом. Редактирование этого конфигурационного файла было, по сути, единственной операцией, проделанной в ходе установки вручную.
Для почтового сервера QMail схема интеграции имеет вид, показанный на рис. 1.
Рис. 1. Схема взаимодействия Kaspersky Anti-Spam с почтовым сервером QMail
Процедура установки подробно изложена в документации, а в приложении описан процесс интеграции Kaspersky Anti-Spam с различными почтовыми серверами и тонкости настройки в каждом из случаев. Документация по KAS произвела очень хорошее впечатление: ее объем — 132 печатные страницы формата A4, информация хорошо структурирована.
Устройство Kaspersky Anti-Spam и принцип его работы
Устройство KAS подробно описано в документации, поэтому рассмотрим его на концептуальном уровне (рис. 2).
Рис. 2. Архитектура Kaspersky Anti-Spam с почтовым сервером QMail
(диаграмма из документации к KAS)
Клиентские модули предназначены для интеграции KAS с почтовым сервером. Сервер фильтрации обведен на рисунке пунктиром. Его задачей является прием запросов от клиентских модулей, анализ и вынесение вердикта по каждому из запросов. Сервер фильтрации, в свою очередь, состоит из модуля фильтрации, который, собственно, и осуществляет проверку писем.
Помимо вышеназванного модуля, в составе продукта имеется центр управления, предназначенный для управления продуктом при помощи web-интерфейса. Модуль обновления данных отвечает за загрузку обновлений. Следует отметить, что KAS, подобно антивирусу, использует обновляемые базы — в данном случае это базы контентной фильтрации. Система мониторинга отвечает за контроль состояния всех компонентов — ее задачей является информирование администратора о неполадках и сбоях в KAS.
Классификация писем и детектирование спама в KAS производятся с применением набора различных методик, основными из которых являются следующие:
- анализ формальных признаков — основан на применении к письму набора правил, позволяющих классифицировать письмо как спам. В частности, анализу подвергается заголовок письма, его структура, размер и ряд других признаков, например IP-адрес почтового сервера, от которого получено письмо, и IP-адреса промежуточных серверов, а также адрес отправителя. Кроме того, этот метод предполагает использование черного и белого списков почтовых адресов и IP-адресов, которые создаются и редактируются администратором;
- контентная фильтрация — основана на анализе содержимого письма с применением искусственного интеллекта, методов нечеткой логики и семантического анализа. Исследованию подвергаются текст письма и вложения поддерживаемых типов (Plain Text, HTML, RTF, Microsoft Word). Для проведения подобного анализа применяется база данных, наполнение и сопровождение которой осуществляется аналитиками «Лаборатории Касперского». Обновление базы производится автоматически через заданные в настройках интервалы времени при помощи подсистемы автоматического обновления. Важным моментом является то, что, кроме текста письма, анализируются и находящиеся в нем графические изображения, все чаще применяемые спамерами для обхода антиспам-систем;
- проверки с помощью внешних сервисов — основаны на передаче запроса некоторым внешним сервисам и использовании ответа для классификации письма. В частности, в KAS применяются:
- запросы к сервисам DNSBL (DNS-based black list — черные списки на базе DNS);
- проверка адреса отправителя по правилам, полученным по SPF, также базирующемся на стандартном DNS-запросе;
- проверка найденных URL в теле письма ссылок при помощи сервиса SURLB, предназначенного для опознания ссылок на рекламируемые спамерами ресурсы. Применение данной технологии позволяет блокировать письма, содержащие вместо осмысленного текста ссылку на информацию рекламного характера;
В результате анализа письму присваивается один из следующих статусов:
Кроме перечисленных статусов, существует еще один — Obscene. Он выставляется посредством отключаемой проверки, которая детектирует наличие в тексте письма нецензурных слов и непристойных фраз.
Рис. 3. Расширенные заголовки письма, проверенного KAS
Настройка и управление
Все операции по настройке и управлению системой Kaspersky Anti-Spam производятся при помощи web-интерфейса, доступ к которому защищается паролем (рис. 4).
Рис. 4. Web-интерфейс Kaspersky Anti-Spam
Элементы web-интерфейса разбиты на несколько категорий, каждая из которых отображается на отдельной закладке:
- Monitoring — результаты мониторинга системы. На данной закладке отображается информация о состоянии системы в целом, а также протоколы событий «движка» системы и подсистемы автоматического обновления. При просмотре протокола можно установить фильтр для отбора записей с определенным типом событий;
- Statistics — статистическая информация. На данной закладе отображается статистическая информация о работе системы, которая дублируется в текстовом и графическом виде, причем графики могут строиться по количеству писем различного типа или по их объему. Предусмотрено отображение статистики по дню (с детализацией с шагом в 5 мин), за последние 7 дней (с детализацией с шагом в час), за последние 30 дней (детализация с шагом в час) и за последние 365 дней (детализация с шагом в день). В случае необходимости администратор может получить данные в виде таблицы формата HTML или CSV-файла для последующей обработки (рис. 5);
Рис. 5. Web-интерфейс: статистика работы Kaspersky Anti-Spam
- Policies — правила, на основании которых осуществляется фильтрация спама;
- Settings — настройки системы;
- License — сведения о лицензии. Отображает данные о текущей лицензии и позволяет установить новый файл с лицензией.
Конфигурирование правил фильтрации спама и реагирование системы на спам производятся при помощи закладок Policies. Рассмотрим их подробнее.
Закладка с настройками правил фильтрации показана на рис. 6.
Рис. 6. Web-интерфейс: закладка Policies
Правила сгруппированы в несколько категорий:
- General — сгруппированы глобальные настройки, позволяющие включить/выключить фильтрацию спама, задать порог срабатывания, включить или выключить проверки при помощи DNS и SPF, SURBL, по черным и белым спискам;
- DNS & SPF Checks — настройки фильтрации с применением DNS-проверок, позволяющие включить или отключить контроль IP-адреса по DNS и использование сервисов DNSBL и SPF;
- Headers Checks — настройка правил контроля заголовков, позволяющая управлять такими правилами, как контроль слишком большого количества получателей, наличие в поле FROM сочетания цифр и букв, отсутствие доменного имени в адресе, наличие в заголовке письма большого количества символов, точек, динамических фрагментов в виде отметок времени или цифровых кодов;
- Eastern Encodings — настройка поддержки восточноазиатских языков. Содержит правила, позволяющие блокировать письма в китайской, корейской, тайской и японской кодировке;
- Obscene Content — правила обработки писем с нецензурной лексикой. В настройке можно задать игнорирование нецензурной лексики или пометку письма маркером [—Obscene—].
В опциях каждой из групп есть очень важная настройка — Actions, позволяющая задать реагирование системы на письма, распознанные системой фильтрации. Привязка данной настройки к группам очень удобна: для одних пользователей, к примеру, можно настроить маркировку писем в заголовках, для других — автоматическую пересылку в карантин (причем для каждой группы карантин может быть индивидуальным) — рис. 7.
Рис. 7. Web-интерфейс: закладка Policies,
редактирование реакции на письма
с различным статусом
Оценка качества работы системы
Информация, касающаяся оценки качества работы системы, собиралась в течение двух месяцев. Тестирование производилось с настройками по умолчанию, без создания черных и белых списков. Единственное отклонение от настройки по умолчанию: в группе параметров Header Checks выключено правило Digits mixed with letters in FROM header, поскольку в Смоленскэнерго для служебной переписки активно применяются адреса вида «13ASU27».
В ходе тестирования рассматривались ошибки двух типов:
- ошибки первого рода, когда письмо является спамом, но не классифицируется системой как спам;
- ошибки второго рода — когда письмо не является спамом, но ошибочно классифицируется системой как спам.
Рис. 8. Статистика Kaspersky Anti-Spam
С точки зрения оценки качества фильтрации за время тестов было установлено, что:
Анализ пропущенных спам-писем позволил выявить тенденции, показанные на рис. 9.
Как видно из диаграммы, основной процент приходится на графический спам. Типовой «портрет» подобного письма: оно содержит связный текст на английском языке (текст может отсутствовать, реже — русский текст) и картинку. В картинке часто присутствуют следы агрессивной маскировки от OCR-систем (систем опознания текста в изображении, применяемых спам-фильтром для анализа). Пример подобного изображения показан на рис. 10.
Рис. 10. Типовое изображение из спам-письма
с защитой от OCR
Из диаграммы с процентным составом пропущенных спам-писем видно, что 19% от недетектированного спама составляют письма, классифицированные автором как корпоративный спам, под которым подразумеваются рассылки, осуществляемые в подавляющем большинстве случаев вручную и содержащие нежелательную информацию для пользователей корпоративной сети, например назойливые приглашения на различные конференции и форумы, информацию о различных курсах повышения квалификации, рекламу от различных фирм, с которыми поддерживаются деловые отношения, и т.п. Подобные письма невозможно однозначно классифицировать как спам, и бороться с ним можно включением адресов наиболее назойливых рассылок в черный список.
Заключение
За время тестирования продукт показал очень хорошие результаты, поскольку большинство спам-писем было успешно отфильтровано и от пользователей так и не поступило ни одного рапорта об обнаружении ошибок второго рода (классификация полезного письма в качестве спама). За два месяца не было зафиксировано ни одного сбоя или зависания продукта, при нагрузке на сервер порядка 3 тыс. писем в день существенного превышения потребления ресурсов не наблюдалось. Возможность установки системы на выделенный сервер для обслуживания нескольких почтовых серверов, а также интеграция с почтовыми серверами различных типов — ценные характеристики для больших корпоративных сетей или интернет-провайдеров. Кроме того, в ходе тестирования было установлено, что Kaspersky Anti-Spam отлично работает совместно с «Антивирусом Касперского 5.0», что позволяет применять эти продукты для комплексной защиты пользователей электронной почты от вирусов и спама.
Спам доставляет массу хлопот домашним пользователям, но для предприятий эта проблема носит еще более острый характер, так как число имеющихся в компании почтовых ящиков соответствует числу сотрудников. Однако больше всего от спама страдают провайдеры услуг электронной почты и Интернета, имеющие сотни и тысячи почтовых ящиков и предоставляющие доступ к ним своим клиентам.
Рис. 14.6. Kaspersky Anti-Spam Enterprise / ISP Edition - защита от спама для предприятий и провайдеров
В программе реализована многоуровневая система анализа входящей корреспонденции.
Проводится анализ распределения в тексте письма слов или словосочетаний, характерных для спама.
Содержание письма также проверяется интеллектуальным лингвистическим ядром SpamTest, которое осуществляет распознавание писем по образцу. Для каждого письма, классифицированного как спам, автоматически создается лексическая сигнатура (шаблон), которая в дальнейшем позволяет распознать это письмо, даже если оно будет несколько отличаться от шаблона.
Программа использует черные списки третьих сторон ( RBL 2 Сокращение от Realtime Blackhole List - лист IP-адресов, владельцы которых отказываются остановить распространение спама. ) - стандартное средство фильтрации писем по адресам, признанным источниками спама и занесенным в постоянно обновляемые общедоступные списки, а также черные и белые списки адресов, создаваемые непосредственно администратором продукта.
Kaspersky Anti-Spam позволяет проверить не только текст самого письма, но и его вложения, в том числе прикрепленные файлы в форматах HTML, Microsoft Word и TXT. Для работы с письмами на разных языках в программе используются встроенные модули лингвистической поддержки для русского, английского, немецкого, французского и испанского языков.
Следует заметить, что, как и в случае с антивирусными продуктами, эффективность фильтрации спама зависит от объема и частоты пополнения лингвистической базы. База обновляется каждые два часа, к тому же администратор может добавлять в нее собственные шаблоны спам-писем.
Рис. 14.7. Схема работы программы Kaspersky Anti-Spam
С 1 по 30 ноября закажите базовую лицензию для бизнеса и получите подарочную карту номиналом 10% от стоимости покупки!
Мигрируй
Настоящая программа дает возможность официальным пользователям антивирусного программного обеспечения третьих производителей приобретать программные продукты ЗАО «Лаборатория Касперского» по льготной цене.
Для Kaspersky Security 8.0 для Linux Mail Server существуют два типа лицензий:
- Лицензия с ограничением по количеству почтовых ящиков.
- Лицензия с ограничением по трафику.
С помощью такого вида лицензирования вы можете активировать несколько экземпляров продукта и разворачивать различные схемы почтового сервиса.
Современные алгоритмы защиты почты
Мгновенное реагирование на вредоносные рассылки
Решение регулярно обновляет свои базы и синхронизируется с облачными сервисами «Лаборатории Касперского». Все это стало возможно благодаря технологии Urgent Detection System, которая обновляет базы сразу после обнаружения спам рассылки.
Простая работа администратора
Через консоль Kaspersky Anti-Spam можно управлять модулями защиты, используя планшет с доступом в интернет. Интерфейс прост в освоении. Также можно осуществлять мониторинг всех происходящих процессов.
Быстродействие и масштабируемость
Защита от спама
SPF SURBL. В процессе чистки может учитываться авторизация отправителя по технологии SPF (Sender Policy Framework). Кроме того, технология SURBL детектирует спамерские URL в теле письма.
Проверка признаков письма. Подозрительные адреса отправителя, огромное число получателей или их отсутствие, отсутствие IP-адреса в системе адресов DNS и т.п. все это говорит о том, что это спам-рассылка. Проверка может быть по размеру и формату письма.
Обнаружение графического спама. Создание сигнатур необходимо для определения вложенных в письмо фото, которые обычно используются злоумышленниками как в теле письма, так и в виде вложения.
Регулярные UDS-запросы. Бывает так что решение не может четко определить относится ли письмо к спаму или нет. В этом случае выполняется запрос к UDS-серверу. Он способен предоставить информацию о последних рассылках, данные о новом спаме добавляется в тот же момент, когда он детектирован спам-аналитиком.
Администрирование
Гибкая настройка. Сисадмин может устанавливать степень фильтрации, белые и черные списки отправителей, и назначать алгоритмы поведения в зависимости от детектирования спама.
Обновление баз. Обновление баз осуществляться по заданному сисадмином графику. Приложение может само синхронизироваться.
Решение Kaspersky Anti-Spam для Linux состоит из следующих приложений:
Чтобы получить дополнительные сведения о каждом приложении, включая системные требования, нажмите на соответствующий элемент списка.
Приложение может использоваться в качестве безопасного почтового шлюза (с MTA), обеспечивая антивирусную, антиспам- и антифишинговую защиту почтовых серверов на базе Linux.
Минимальные аппаратные требования
- Процессор Intel® Xeon 3040 или Core 2 Duo 1,86 ГГц или выше;
- 2 ГБ свободной оперативной памяти;
- Раздел подкачки объемом не менее 4 ГБ;
- 4 ГБ на жестком диске для установки программы и хранения временных файлов и файлов журналов.
- Red Hat Enterprise Linux 7.3 Server
- SUSE Linux Enterprise Server 12 SP2
- CentOS-6.9
- CentOS-7.3
- Ubuntu Server 14.04.2 LTS
- Ubuntu Server 16.04 LTS
- Debian GNU / Linux 8.8, 9.0
- FreeBSD 11
Наличие следующих пакетов 32-битных библиотек для 64-битных операционных систем:
- ia32-libs for Debian and Ubuntu
- libgcc.i686, glibc.i686 for RHEL and CentOS
- libgcc-32bit, glibc-32bit for SUSE
- lib32 for FreeBSD 64bit
- compat9x for FreeBSD 11
Для работы Kaspersky Security 8 для Linux Mail Server требуется язык программирования Perl 5 версии 5.8.5 или выше.
Kaspersky Security 8 для Linux Mail Server поддерживает интеграцию со следующими почтовыми серверами:
- exim-4.86 и выше
- postfix-2.6 и выше
- sendmail-8.14 и выше
- qmail-1.03
Для работы веб-интерфейса Kaspersky Security 8 для Linux Mail Server на компьютере должен быть установлен один из следующих браузеров:
Читайте также: