Архив новостей

На провайдера надейся… (Фильтрация спама в «Corbina telecom»)

Спам давно перестал быть локальной проблемой пользователя-одиночки и превратился в головную боль системных администраторов и IT-специалистов. Пользователь нынче пошел нервный, свои права знает, и за непрошеный трафик платить почему-то не очень хочет. А виноват во всем, с его точки зрения, провайдер. Но и провайдеру от спама никакой радости, ведь весь этот дополнительный трафик нагружает сетевую инфраструктуру, что влечет за собой новые расходы. Вместе с тем, с этой напастью можно и нужно бороться. Способ, правда, существует всего один — фильтрация входящего трафика, зато реализаций его на разных уровнях — масса.

Первый и самый простой — настройка антиспамерских фильтров в почтовом клиенте. Правила сортировки создаются непосредственно на клиентской машине, в результате количество паразитного трафика не снижается, а админу добавляется головной боли, т.к. постоянно приходится обновлять упомянутые правила на каждой клиентской машине. Поэтому есть способ лучше — установка фильтров непосредственно на почтовом сервере, что устраняет недостатки, характерные для фильтров, установленных на клиенте. Нетривиальной также преставляется задача определения параметров фильтрации, чтобы «с водой не выплеснуть и ребенка». Вряд ли пользователю понравится такая забота, при которой он будет избавлен от спама, но заодно перестанут доходить и «чистые» письма.

Рецепт от Corbina Telecom. Для начала немного цифр: ежесуточно в сеть Корбины приходит более 300 Мбайт паразитного трафика. Естественно, что от этого балласта очень хочется избавиться, да и пользователи жалуются, что вполне объяснимо. Кому же охота переплачивать за непрошенный трафик, ведь скачивание с сервера спама означает лишнее время, проведенное на линии в случае dialup, и дополнительные мегабайты при подключении по выделенной линии. Правда, провайдер не может «убивать» спам прямо на сервере, поэтому письма только размечаются специальными заголовками, а уже пользователь сам решает их дальнейшую судьбу. Ему ничто не мешает сформировать собственную политику в отношении спама на основании этой разметки.

Поначалу для фильтрации пользовались списками RBL, в которые заносятся ip-адреса, замеченные в рассылке спама. Но со временем их адекватность стала падать, что повлекло за собой потери «хорошей» почты. Поэтому были оставлены только самые доверенные из них, но в помощь к ним была придана программа SpamAssassin. В данный момент фильтрация по RBL при грамотном подборе списков является хорошей, говоря языком военных, «первой линией обороны» для экономии трафика, но этого для нормальной защиты недостаточно. В результате объединения возможностей самых адекватных списков RBL и правильно настроенного SpapAssasssin получился комплекс, названный Corbina Антиспам.

SpamAssassin особенно привлекателен в связи с относительной простотой установки, гибкости настроек и адекватности базовых фильтров. Помимо этого у SpamAssassin предусмотрена возможность работать в клиент-серверном режиме с выделением отдельной машины для системы фильтрации. Не последнюю роль сыграло и то, что SpamAssassin написан на Perl, что позволяет устанавливать ее на любые платформы. Продолжая военную тему, SpamAssassin является хорошей «второй линией» для экономии времени, потраченного на разбор почты пользователем. Однако и здесь не обошлось без сложностей. SpamAssassin изначально ориентирован на латинский алфавит. При работе с русским языком система иногда ошибается и маркирует «хорошее» письмо как спам. Но в Corbina Антиспам используются специальные настройки SpamAssassin, и этот вопрос легко решается.

Сейчас система Corbina Антиспам, установленная на почтовом сервере CommuniGate, фильтрует корпоративную почту, почту для клиентов dial-up и хостинга, без дополнительной дифференциации, что обусловлено возможностями сервера. Статистика работы Corbina Антиспам такова: всего на сервер приходит порядка 64 000 писем. Из них 16000 писем в сутки «чистые» по SpamAssassin, 9500 писем в сутки «спам» по SpamAssassin и 38000 писем отфильтровывается по критериям RBL. Доработка системы идет постоянно, она заключается в написании новых правил и модификации существующих. Со всем этим справляется в компании один человек, поэтому бороться со спамом возможно и собственными силами.

Представим себе сеть небольшой компании, в которую из Интернета уже стали попадать и непрошеные письма, и вирусы. Для излечения от этой напасти нужна машина под управлением FreeBSD, на которой запущены DrWeb для борьбы с вирусами, и SpamAssassin с RBL для отсекания потока спама. Для запуска и отладки подобной комбинации требуется меньше одного рабочего дня, а при грамотной настройке система и в дальнейшем не требует особого внимания.

Борьба за чистоту трафика началась не вчера и закончится не завтра. Спамеры — народ изобретательный, они способны найти слабое место в самой совершенной системе защиты. Поэтому Corbina Telecom не афиширует в деталях описание технологии фильтрации, отстаивая интересы своих пользователей.

Постоянное совершенствование системы Corbina Антиспам дает высокую гарантию того, что на каждую инициативу спамеров будет найден контраргумент. Однако глобально спам непобедим до тех пор, пока он экономически выгоден для заказчика. Переломить ситуацию возможно лишь при наличии жесткого законодательства, предусматривающего серьезные экономические санкции.

На провайдера надейся… (Фильтрация спама в «Corbina telecom»)

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике