Архив новостей

Office Outlook: сам в

Outlook, входящий в ряд комплексов Microsoft Office, вероятно, является самым распространенным почтовым клиентом. К нему приспособлены фильтры спама большинства производителей, в частности, Symantec и MacAffee. Однако Outlook обладает и собственными встроенными возможностями фильтрации, которые от издания к изданию становятся все более совершенными.

Возможности фильтрации

  • Фильтр нежелательной почты включен в Outlook как встроенный компонент.
  • При фильтрации спама используются несколько списков надежных и заблокированных отправителей. Технология фильтрации является know-how, разработанным Microsoft Research. Заявлено, что при определении вероятности принадлежности письма к нежелательной почте проводится комплексный анализ совокупности признаков сообщения и принимается во внимание определенный набор таких факторов, как время отправления, отправитель, его адрес и характер содержимого письма. Система не является обучаемой и, в отличие от систем, работающих на основе применения принципа Байеса, самостоятельно опыта не накапливает.
  • Для полноценной работы фильтра в системе Outlook 2003 необходимо установить первый пакет обновлений (SP1) для Microsoft Office 2003. Впрочем, предпочтительно отслеживать появляющиеся обновления регулярно.
  • По умолчанию в фильтре установлен низкий уровень защиты, рассчитанный на перехват заведомо нежелательных сообщений. Можно установить и более жесткие режимы фильтрации, но тогда, естественно, возрастает вероятность попадания востребованных писем в категорию «нежелательных».
  • Все сообщения, перехваченные фильтром как спам, помещаются в папку «Нежелательные письма». Эта папка создается при обнаружении первого сообщения, определенного как нежелательное, и располагается в общем списке папок. Сохраняется возможность впоследствии извлекать и просматривать помещенные туда письма. При настройке параметров фильтра можно задать и такой режим, когда отнесенные к спаму сообщения будут удаляться безвозвратно. Однако при этом существует вероятность утраты полезных сообщений, ошибочно распознанных как спам.

Взаимодействие с системой

В отличие от многих других систем антиспама, построенных автономно от конструкций почтовых программ, в Outlook возможности фильтрации сообщений встроены органично и легко доступны. Взаимодействие с системой фильтрации в Outlook осуществляется через пункт основного меню «Действия», где в падающем меню выбирается «Нежелательная почта» с последующим раскрытием меню низшего уровня.

Появившееся боковое меню следующего уровня самоочевидно, особенно если версия системы русскоязычная. Среди пунктов последнего меню есть «Параметры», позволяющие задавать конфигурацию и режимы работы системы. Замечу, что настройка в Outlook гораздо легче, чем в системах, построенных на основе идеологии open sources. Вот, собственно, описание интерфейса взаимодействий.

Списки

В системе фильтрации Outlook присутствуют пять списков почты:

  • надежные отправители,
  • востребованные доменные имена или адреса электронной почты подписок,
  • блокированные отправители,
  • блокированные кодировки,
  • блокированные домены верхнего уровня.

Чтобы добавить элемент в список надежных отправителей, надежных получателей или заблокированных отправителей, выполните следующие действия:

  1. Щелкните нужное сообщение правой кнопкой мыши.
  2. Выберите пункт «Нежелательная почта», а затем выберите команду «Добавить в список надежных отправителей», «Добавить отправителя в список заблокированных отправителей» или «Добавить получателя в список надежных получателей».

Если списки надежных и заблокированных имен доменов и электронных адресов уже существуют, их можно импортировать в Microsoft Outlook 2003. Для этого их следует представить в формате текстового файла (.txt), в каждой строке которого содержится только одна запись, а затем ввести в Outlook, используя последовательность шагов «Действия > Нежелательная почта > Параметры нежелательной почты > Заблокированные отправители > Импорт из файла».

Список «Надежные отправители»

Адреса электронной почты и имена доменов, перечисленные в списке «Надежные отправители», никогда не обрабатываются как нежелательные, независимо от содержания сообщения.

Адреса электронной почты, включенные в адресную книгу, по умолчанию включаются в этот список. Поэтому сообщения от лиц из папки «Контакты» не будут обрабатываться как нежелательные.

Адреса электронной почты лиц, которые не присутствуют в списке «Контакты», но с которыми переписка ведется постоянно, включаются в этот список по умолчанию при установке флажка «Добавлять отправителя в список надежных отправителей».

Если имя адресата или адрес электронной почты находится как в списке блокированных отправителей, так и в списке надежных отправителей, последний получает приоритет.

Если некое сообщение ошибочно помечается фильтром как нежелательное, его отправителя следует добавить в список надежных отправителей.

Список «Заблокированные отправители»

Первоначально Outlook содержит некоторый набор заблокированных сайтов. Пользователь может блокировать сообщения с определенных адресов или доменов, добавляя отправителей в этот список.

Сообщения от пользователей или из доменов, перечисленных в этом списке, всегда рассматриваются как нежелательные, независимо от содержимого сообщения. При добавлении имени отправителя или адреса электронной почты в список заблокированных отправителей сообщение, полученное от него, автоматически перемещается в папку «Нежелательная почта».

Наименования конкретных адресов имеют приоритет над именами доменов. Чтобы заблокировать целый домен, но получать сообщения с определенных безопасных адресов, нужно добавить конкретные адреса в список «Надежные отправители». Такой эффект достигается, например, при добавлении адреса misha@domen.ru в список «Надежные отправители», а имени домена @domen.ru в список «Заблокированные отправители».

Блокировка специфических «национальных» посланий

Заблокировать нежелательные сообщения из определенных стран либо сообщения на отдельных языках можно, используя соответствующие списки, которые легко найти, войдя в вышеупомянутые «Параметры».

Чтобы блокировать национальные домены необходимо отметить определенные последние префиксы в наименовании сайтов типа «.tw», «.ru», «.us» и т.п. Если установить в списке доменных имен высшего уровня флажки, скажем, для .tw [Тайвань] или .ng [Нигерия], то сообщения из соответствующих доменов будут блокированы.

Блокировка кодировок

Список заблокированных кодировок позволяет избавиться от посланий в определенном символьном представлении. Например, можно блокировать послания, кодированные на тайском или иврите.

Отмечается, что сейчас наибольший поток спама приходит в кодировке ASCII, но вряд ли стоит блокировать эту кодировку полностью — в США она общепринятая. Тут нужно действовать избирательно.

Стандарт кодировки знаков, разработанный консорциумом Unicode, использует для представления каждого знака более одного байта. Юникод позволяет представить в одном наборе знаков почти все языки мира, потому эти кодировки не включены в список «Заблокированные кодировки».

Сообщения с неизвестными или неопределенными кодировками трактуются как нежелательная почта.

Типы рабочих учетных записей

Фильтр спама Outlook работоспособен на следующих типах учетных записей электронной почты (соответственно, на протоколах электронной почты), которые наиболее широко используются на автономных (не связанных в корпоративные сети) компьютерах.

  • Протокол HTTP (Hyper Text Transfer Protocol) — базовый в Интернете протокол передачи гипертекста, используемый для доступа к страницам сайтов. В Microsoft Outlook протокол HTTP используется как почтовый протокол, например, в службе Hotmail.
  • Протокол POP3 (Post Office Protocol) — простой протокол, который используется для получения сообщений электронной почты с почтовых серверов непосредственно в папки почтовых клиентских программ.
  • Протокол IMAP (Internet Mail Access Protocol) — в отличие от протокола POP3 IMAP создает и поддерживает папки на почтовом сервере, в которых сообщения хранятся и упорядочиваются. Таким образом, пользователь может читать заголовки сообщений и выбирать те из сообщений, которые захочет загрузить. Протокол позволяет управлять базой почтовых сообщений, находящейся вне локального компьютера.

Специальной настройки протокольных атрибутов не требуется: фильтр Outlook, поскольку это встроенный компонент, понимает их одинаково хорошо.

Несколько советов

  1. Уровень защиты от спама следует регулировать в зависимости от ситуаций. Например, в случае корпоративного общения можно ограничить список надежных отправителей теми, кто включен в адресную книгу. А для внешних корреспондентов создать другой учетный адрес без подобных ограничений. Чтобы обеспечить максимально возможную защиту с помощью фильтра нежелательной почты и других улучшенных средств обеспечения конфиденциальности, задайте уровень защиты от нежелательной почты «Высокий» или «Только списки надежных адресатов». Там же в «Параметрах» можно выставить флажок «Безвозвратно удалять нежелательные сообщения без перемещения их в папку». По умолчанию флажок пуст, то есть спам направляется в папку. Лучше его и не устанавливать — ведь небольшой процент писем неизбежно попадает в спам ошибочно.
  2. Следует периодически обновлять фильтр нежелательной почты. Эти обновления, именуемые Junk E-mail Filter Update, периодически появляются на сайте Microsoft Office Online (http://office.microsoft.com/en-us/officeupdate/CD010798691033.aspx).
  3. Желательно блокировать изображения в сообщениях формата HTML, то есть, изображения, которые, как правило, появляются (например, как реклама) с посторонних, не связанных с отправителем послания, сайтов. А эти сайты могут опознать адрес получателя и сделать его объектом последующей атаки спамеров.
  4. По умолчанию Outlook автоматически блокирует загрузку подобных граффити. Но для пущей уверенности следует проверить параметры загрузки. В меню «Сервис» нужно выбрать «Параметры», далее открыть вкладку «Безопасность», «Изменить параметры автоматической загрузки». Теперь посмотрим, установлен ли флажок «Не загружать автоматически рисунки и другое содержимое в письмах HTML». Поступаем соответственно рекомендации.
  5. Если автоматическая загрузка картинок выключена, то сообщения, полученные с электронных адресов или из доменов из списков «Надежные отправители» и «Надежные получатели» или отправленные на них, будут рассматриваться как исключения, и заблокированное содержимое будет загружаться.

Результаты фильтрации

Наблюдения проводились на объеме 300 сообщений. При настройках были заблокированы домены стран, с которыми не предполагалось общение, а также нежелательные кодировки (активными остались только европейские языки). По мере поступления нежелательной корреспонденции пополнялся изначальный список «Заблокированные отправители». В таких условиях эффективность отсечения спама достигла 98%. Ошибочно в спам попали 2% сообщений.

Надо сказать, что 2% востребованных сообщений, воспринятых как спам, очень серьезно сказываются на активном деловом общении. При использовании встроенных возможностей фильтрации Outlook, все, что попало в спам, придется просматривать. При потоках, скажем, в 200 сообщений в день, при этом легко не увидеть в спаме важные сообщения. Но для бытовых применений, когда поток не столь обилен, указанный показатель менее критичен.

Замечания

В процессе работы с фильтром Outlook 2003 обнаружились некоторые недоработки, могущие смутить рядового пользователя.

Например, закладка «Заблокированные получатели» (таких вообще нет по идеологии системы) должна была бы называться «Заблокированные отправители», да и в комментариях ясно сказано — «Почта, отправленная с этих адресов…».

Сама система помощи пользователю (Справка Outlook) переведена непрофессионально и содержит немало грамматических, лексических и логических изъянов.

Однако, несмотря на очевидные недостатки, несомненным достоинством фильтрации с помощью Outlook является простота использования.

Office Outlook: сам в

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике