Обзор системы защиты от спама почтовой службы Рамблера
Для борьбы со спамом на Рамблере используется многоуровневая система защиты, включающая в себя компоненты различного типа: списки запрещенных, подсистемы борьбы с фальсификацией, контент-фильтры и прочее. Для снижения количества ложных срабатываний применяются также списки разрешенных, позволяющие отключать отдельные компоненты фильтрации при приеме писем от известных корреспондентов.
В этом докладе хотелось бы остановиться на одном элементе системы защиты от спама, который в настоящий момент представляется актуальным: блокирование почты с компьютеров, зараженных вирусами.
Блокировка почты с зараженных компьютеров
В последние годы стало очевидным, что основная цель современных «вирусописателей» — это превращение компьютеров пользователей в анонимные прокси-серверы, используемые в дальнейшем в том числе для рассылки спама. При этом наработанные методы идентификации прокси-серверов становятся малоэффективными — смена используемого на зараженной машине программного обеспечения не представляет сложности (и даже используется другими вирусами как способ распространения), а детектирование всевозможных его вариантов становится все более затруднительным.
В тоже время разработчики вирусов делают все возможное, чтобы зараженный компьютер не остался незамеченным. Агрессивная модель поведения таких вирусов как Mydoom (также известный как Novarg или SCO) предусматривает отправку копий вируса на все возможные адреса, в том числе предпринимаются попытки отправки через сервера, никоим образом не связанные с приемом почты для домена (такие как ns.domain, gate.domain), вне зависимости от MX-записей в DNS. Подобное поведение вирусов позволяет уверенно обнаруживать большое количество зараженных компьютеров, не затрагивая при этом легитимные почтовые сервера, даже если они по каким-то причинам пересылают письма с вирусами. Ирония ситуации состоит в том, что вирусы сами «докладывают» о своем присутствии, фактически приглашая заблокировать зараженный компьютер.
Последние полгода в Рамблере успешно функционирует созданный на описанном принципе список запрещенных. Процедура исключения из списка при этом предельно проста: требуется всего лишь подтвердить желание исключить IP-адрес. Однако даже при столь простой процедуре на пути использования зараженных компьютеров для спама вырастает дополнительное препятствие, необходимость преодоление которого, как мы надеемся, сделает подобное использование экономически невыгодным.
Некоторые цифры:
- более 300 тысяч IP-адресов, самостоятельно «зарегистрировавшихся» в списке запрещенных;
- более 1.5 тысяч новых IP-адресов ежедневно;
- ежедневно на основании списка запрещенных отвергается до 25% от общего числа прошедшей через систему защиты от спама почты.
Безусловно, при использовании созданного таким образом списка запрещенных следует учитывать его особенности (как, впрочем, и при использовании любых других списков запрещенных):
- Диапазон динамических адресов может оказаться заблокированным целиком, если компьютер хотя бы одного клиента заражен.
- Многие небольшие сети используют NAT для обеспечения доступа в сеть, и зараженный компьютер в сети приведет к блокированию IP-адреса, используемого для NAT. Если при этом на том же IP-адресе располагается почтовый сервер, прием почты с него также будет заблокирован.
Первая особенность в современных условиях достаточно безобидна и даже в некотором роде полезна — с нашей точки зрения, почта с динамических IP-адресов должна отправляться через сервер провайдера.
Со второй особенностью дело обстоит несколько сложнее, так как не все администраторы могут себе позволить разнести NAT (за которым находятся фактически неконтролируемые ими клиенты) и почтовый сервер на разные IP-адреса, а многие просто не понимают необходимость этого. Для уменьшения ущерба в подобных ситуациях помимо простой процедуры исключения из списка запрещенных предусмотрена также возможность отключения блокировки для проблемных адресов.
Помимо решения основной задачи — защиты от спама с зараженных компьютеров — данный список запрещенных позволяет несколько снизить нагрузку на антивирус, а также уменьшить поток новых вирусов, еще не определяемых антивирусными программами. Это дополнительное свойство становится особенно актуально в период масштабных вирусных эпидемий, подобных эпидемии уже упоминавшегося червя Mydoom.
В заключение хотелось бы сказать несколько слов благодарности создателям вирусов за отличную работу по выявлению дыр в системах безопасности. А простым пользователям — порекомендовать внимательнее относиться к здоровью своего компьютера.
Система защиты от спама в почтовой службе Рамблера. Избранное