Спам-фильтр «Барьер» — пример интеграции Kaspersky Anti-Spam

В материале освещается решение Поликом Про — петербургского системного интегратора, представляющее собой специализированный Relay-сервер с предустановленным Kaspersky Anti-Spam и технологией его интеграции в корпоративную почтовую систему. Спецификации сервера получены в результате тестирования программного продукта на реальном почтовом потоке среднего предприятия. Приводятся результаты тестирования.
Сергей Курьянов, руководитель Центра Компьютерной Безопасности Поликом Про.

Проблема спама для корпораций

Поликом Про — петербургский системный интегратор. Работает на рынке информационных технологий с 1992 года. Microsoft Certified Partner, IBM Premier Partner Software Programme, Kaspersky Distributor & Value Added Reseller. Интеграцией и поддержкой почтовых систем мы занимаемся с момента появления Lotus cc:Mail и первых версий Microsoft Exchange. Примерно с тех же пор занимаемся и информационной безопасностью. Спам, как известно, появился практически одновременно с Интернет, но несколько лет назад еще не являлся серьезной проблемой для корпоративных клиентов, скорее портил нервы домашним пользователям.

Однако года три назад ситуация изменилась. Количество перешло в качество. Спам теперь реальная проблема для пользователей, системных администраторов, ИТ-менеджеров и руководителей предприятий. Как видно, это глобальная проблема корпораций — она затрагивает почти всех работников на всех этажах иерархической структуры. В чем, на наш взгляд заключается эта проблема:

Вы — пользователь:
На работе вы отвечаете за работу в первую очередь. От этого зависит вся ваша карьера. Удаляя утром гору пришедшего за ночь спама вы не можете дать гарантии что вы не удалили случайно рабочего письма от нового клиента с непонятной темой и почтовым ящиком на бесплатном сайте, не можете также дать гарантию что не пропустили очередного любимого письма о способах заработать миллион долларов за пару дней. Т.е. спам — проблема для ваших интересов как работника и как человека.

Вы — системный администратор:
Помимо технических проблем спам просто разрушает ваш имидж профессионала. Все категории пользователей, включая высших руководителей, считают вас бездельником или в лучшем случае неумехой, который не может «настроить почту таким образом, чтобы избавить нас всех от спама». Пару недель назад вы перенастроили фильтр в очередной раз, а позавчера пробегая по диагонали папку «удаленные» с ужасом увидели там письмо в отдел продаж с темой «Срочно пришлите коммерческое предложение». Как вообще можно фильтровать письмо, отправленное Интернет-почтой и содержащее текстовый баннер со спамом Центра Американского Английского? Письмо-то ведь отправлено реальным клиентом. Надо быть дураком чтобы теперь в этом сознаться, лучше снять фильтры — пусть юзеры сами решают — спам это или нет.

Вы — ИТ-менеджер
Численно персонал не растет, а размеры дисков почтового сервера приходится увеличивать все чаще и чаще. Скоро почта станет самой большой корпоративной базой из всех. Обидно, что она почти вся заключает в себе почтовый мусор. Системные администраторы, особенно в филиалах очевидно плюют на все — не желают настраивать фильтры, чистить почтовые базы и прочее. Директор уже говорил что люди, которые не могут решить с помощью реальных денег несложную задачу должны задуматься о своей необходимости:

Вы — руководитель
Лично вы спама почти не получаете, к счастью ваш ИТ-менеджер несколько лет назад объяснил вам, что ставить на визитку директора прямой электронный адрес чревато нежелательными письмами. Секретарь разберется с почтой входящей на общий ящик и направит вам действительно нужное письмо. Однако электронная почта становится для вас проблемой персонала — на нее все чаще ссылаются в оправдание невыполненных поручений и упущенных возможностей. Вот хоть вчера — директор по продажам объяснял, что оказывается, клиент за которого мы боролись полгода направлял нам запрос по электронной почте на коммерческое предложение. Запрос куда-то пропал. Никто якобы не знает куда. Похоже все что умеет ИТ-менеджер — переписывать прошлогодний ИТ-бюджет, увеличивая в нем статью «Интернет». Как может дорожать то, чего становится все больше и больше! Надо искать нового ИТ-шника. И главное, чтобы понимал в электронной почте. Курьерами проблемы в нашем веке не решишь.

Анализ проблемы глазами системного интегратора показывает:
Главная угроза спама — угроза человеческому фактору, спам приводит к утечкам рабочего времени, разрушает рабочую среду, коммуникации внутри фирмы и в ее внешней среде.

Давайте посчитаем потери:

  • Зарплата сотрудника с накладными расходами $11/час.
  • Время «очистки» почтового ящика от спама 10 мин/день
  • Время, потерянное на чтение и обсуждение «интересного» спама 20 мин/день
  • Количество сотрудников, имеющих электронную почту 100 чел.
  • Ваши потери = $550/день = $120 000/год.
  • Это — серьёзные деньги!

    Постановка задачи интеграции, выбор решения

    Попытаемся проанализировать задачу интеграции спам-фильтра на среднем предприятии, выделяя существенные требования подчеркиванием в тексте. Позже мы их сведем в общий список.

    Почтовая инфраструктура и функциональность

    Что реально представляет собой почтовая система среднего предприятия — место, в котором надо организовать барьер против спама?
    Как правило это один или несколько почтовых серверов, чаще всего Microsoft Exchange, или Lotus Domino, реже SendMail. Встречаются и гетерогенные почтовые службы — в разных филиалах и подразделениях используются разные почтовые платформы. С точки зрения масштабируемости было бы удобнее, если спам-фильтр будет независим от платформы почтовой службы.

    Почта давно является критически важным для бизнеса приложением, миграция с одной платформы на другую — тяжелая задача, всегда приводящая к каким-то потерям, несмотря на все обещания вендоров. Остановка почты даже на один день, не говоря уже о потере почтового трафика или архивной базы — серьезная проблем для бизнеса.

    Поэтому барьер против спама должен быть чем-то внешним, чтобы меньше трогать настроенную и худо-бедно работающую почтовую среду.
    В тоже время — отдельная машина это отдельная платформа. Стоимость любого фильтрующего ПО сразу надо увеличить на стоимость платформы — операционная система, СУБД и прочее.

    Внедрять спам-фильтр надо срочно, бюджеты уже согласованы и чем дешевле получится решение тем легче удастся выделить под него деньги.
    Решений по уровню интеграции спам-фильтра может быть три:

  • внешний почтовый Relay
  • Relay на платформе почтового сервера
  • Спам-фильтр, интегрированный в почтовый сервер
  • Из этого вытекает, что спам-фильтр должен быть реализован:

  • в виде внешнего Relay-сервера на бесплатной платформе нетребовательной к аппаратным ресурсам, либо
  • на самой ходовой ОС, если все почтовые сервера организации работают на этой единственной платформе, либо
  • как add-on к стандартному почтовому фильтру организации
  • Спамеров в мире гораздо больше, чем вирусописателей, поэтому база сигнатур спама должна быть обновляемой как можно чаще, при этом фильтр должен работать с локальной копией базы, чтобы не грузить интернет-соединение on-line проверками каждого письма. Учитывая разнообразие спама и размер базы, репликация должна быть аддитивной, передавая каждый раз только дополнения и изменения к базе сигнатур.

    Спам в России на 99% состоит из русско- и англо-язычной корреспонденции, поэтому для адекватной фильтрации спама и снижения риска удаления действительно нужной почты блок лексического анализа спама кроме поддержки английского языка должен работать с русским языком, при этом имея для него развитую базу сигнатур.

    В истории электронной почты выработаны различные технологии фильтрации спама:

  • черные и белые списки отправителей, включая черные и белые имена почтовых доменов;
  • анализ заголовков писем
  • фильтры по RBL-листам
  • фильтры по типам и размерам вложенных файлов;
  • самый надежный способ — анализ текста письма
  • Желательно, чтобы спам-фильтр использовал все перечисленные способы фильтрации и обеспечивал возможность независимого управления этими способами при определении корпоративных политик.

    Пользователи и политики безопасности

    Пользователи бывают разные. Некоторым спам нужен. Это в первую очередь маркетинг, вернее его общий ящик market@ourcompany.ru. На ящик info@ourcompany.ru тоже нужно пропускать весь спам. В обоих случаях его желательно категоризировать и разложить по отдельным папкам, чтобы проще было отделять реальные услуги для бизнеса от порнографии и горящих путевок. Другим пользователям спам противопоказан на 100%. Это в первую очередь электронные адреса службы сервиса и технической поддержки. У них каждое входящее письмо автоматически регистрируется, категоризируется и в конечном счете обрабатывается как инцидент. Часть пользователей, желающих избавиться от спама полностью, хотят при этом иметь доступ к мусорной корзине, в которой можно поискать возможно удаленное письмо для полной гарантии.

    Т.е. нужна многоуровневая корпоративная политика. Общая политика организации по правилам фильтрации и обработки спама, политика пользователя по умолчанию, групповые политики по подразделениям, возможность индивидуальной политики для отдельной должности (роли) и для конкретного пользователя.

    Для интегрированного в почтовый сервер спам-фильтра необходима возможность понимать alias’ы почтовых ящиков как идентичные по политикам фильтрации спама. Для внешних по отношению к почтовому серверу Relay’ев это вряд ли полезно — придется дублировать структуру alias’ов на спам-фильтре. Желательно, чтобы для внешних спам-фильтров схема лицензирования учитывала наличие многочисленных alias’ов у реальных почтовых ящиков.

    Для единства управления политиками, спам-фильтр должен интегрироваться со службой каталогов, например с Microsoft Active Directory.

    Требования к корпоративному спам-фильтру

    В итоге получаем следующий набор требования к корпоративному спам-фильтру:

  • независимость от платформы почтового сервера
  • минимум изменений в структуре и маршрутизации сети при установке спам-фильтра
  • минимум затрат на программно-аппаратную платформу решения (бесплатная ОС и недорогой компьютер)
  • регулярное аддитивное обновление базы сигнатур лексического анализа, работа фильтра с локальной репликой базы
  • использование полного набора методов фильтрации спама, единое управление этим набором в том числе при формировании корпоративных политик
  • поддержка многоуровневых политик фильтрации для различных групп пользователей и индивидуальных почтовых ящиков, интеграция со службой каталогов
  • гибкая схема лицензирования, учитывающая наличие alias’ов
  • поддержка лексического анализа русского языка наряду с английским
  • Программное обеспечение спам-фильтров поставляется многими разработчиками антивирусных решений, а также и другими производителями наряду с другими решениями фильтрации контента прикладных протоколов.

    Однако до последнего времени общим недостатком предлагаемых решений являлось отсутствие блока лексического анализа русскоязычной почты и/или недостаточная база сигнатур для русского языка.

    Наилучшим на сегодня решением на наш взгляд является Kaspersky Anti-Spam, удовлетворяющий практически всем вышеприведенным требованиям, и включающий уникальный лексический анализатор разработанный и поддерживаемый российской компанией «Ашманов и партнеры».

    В таблице сопоставлены основные технические характеристики Kaspersky Anti-Spam и конкурирующих продуктов.

      Kaspersky Anti-Spam SpamKiller (McAfee) Symantec AntiVirus./Filtering for Microsoft Exchange 2000 RAV AntiVirus for Mail Servers
    Поддерживаемые почтовые системы / платформы UNIX/Linux, может фильтровать транзитную почту на уровне Internet Gateway, и, в таком режиме, использоваться совместно с любой почтовой системой Microsoft Exchange, Lotus Notes, может фильтровать транзитную почту на уровне Internet Gateway, работая под Linux UNIX, Linux POP3, Microsoft Outlook Express, Microsoft Outlook, Netscape Communicator, Eudora, а также Lotus Notes/Domino ( Windows, Solaris, AIX, Linux)
    Фильтрация на основе RBL-списков Да Нет Нет Да
    Фильтрация на основе «белых» списков Да Да Нет Да
    Фильтрация по формальным признакам письма Да Да Да Да
    Возможность настройки фильтра вручную Да Да Да Да
    Использование базы контентной фильтрации Да, включает в себя лексические сигнатуры и семантические образы Да Да, содержит только слова и регулярные выражения Да
    Применение лингвистического анализа и нечеткого распознавания писем по образцу Да Нет Нет Нет
    Обновления базы Да, ежедневные Да, ежедневные Да, раз в неделю Да, ежедневные
    Поддержка языков английский, немецкий, французский, русский, испанский английский английский поддержка других языков осуществляется только за счет создания собственного словаря английский

    Результаты тестирования Kaspersky Anti-Spam

    Центр Компьютерной Безопасности Поликом Про провел комплексное тестирование Kaspersky Anti-Spam.
    Тестировались как функциональные качества продукта, так и его системные характеристики — интеграция, загрузка аппаратных ресурсов, быстродействие, управляемость.
    Тестирование проводилось как в лабораторных условиях, так и на реальном потоке корпоративной почты предприятия. Количество почтовых ящиков около 100, почтовый сервер Microsoft Exchange 2000.
    В качестве платформы для Kaspersky Anti-Spam использовался сервер в следующей конфигурации:

  • P4 Celeron 1700
  • 512 RAM
  • 40 Gb HDD
  • OS: FreeBSD v. 4.8
  • Anti-Spam был настроен как Relay между двумя почтовыми серверами — внешним и внутренним.
  • На тестируемом сервере кроме Kaspersky Anti-Spam не выполнялось никаких других задач.
  • Настройки политик:
  • Common profile «Standart w/o RBL&DNS»
  • Personal profile «Marking subject»
  • Результат:

  • Через систему проходило около 1,5 тысяч сообщений в день общим объемом примерно 75 Mb.
  • Средняя загрузка процессора менее 1%
  • Занято памяти: менее 250Mb из них не менее 100Mb выделено, но не используется.
  • Свободной памяти: ~260Mb
  • Swap не используется.
  • Использование диска: ~500M вся система + очередь и временные файлы.
  • Распознавание спама:

  • Распознано 92% спама.
  • Зарегистрировано 3 ложных срабатывания: 2 из них содержали формализованный текст, и были помечены как «[??Formal Message]». Еще одно ложное срабатывание ([??Formal Message]) произошло на отчетах Proxy-сервера.
  • Спам-фильтр «БАРЬЕР» — решение системного интегратора на базе Kaspersky Anti-Spam

    Результатом работы Центра Компьютерной Безопасности стало решение, представляющее собой готовый почтовый Relay на базе специализированного сервера с предустановленным ПО Kaspersky Anti-Spam for Free BSD/Linux.

    Решение предназначено для средних и небольших предприятий. При его проектировании преследовались следующие цели:
    1) Предоставить заказчику экономичное многофункциональное решение, сочетающее защиту почтового трафика от спама и опционально от вирусов в почте.
    2) Минимизировать сроки внедрения и изменения в настройках действующей почтовой системы заказчика, уменьшить время работы персонала Поликом Про на объектах заказчиков и стоимость этих работ.

    Спецификации спам-фильтра «БАРЬЕР»

    А. Спецификация решения на 100 почтовых ящиков

    Компьютер (специализированный Relay-сервер) $525
    RedHat Linux $0
    PostFix $0
    Kaspersky Anti-Spam на 100 п/я (годовая подписка) $788
    Kaspersky AntiVirus for PostFix for Linux на 100 п/я (годовая подписка)* $725
    Работы по установке, настройке и технической поддержке $500
    Итого: $2538

    *) Kaspersky AntiVirus включается в решение по желанию заказчика

    Б. Специализированный Relay-Сервер

    Chipset I845GE VGA onboard
    CPU P4 2.4GHz 533/512
    RAM 512Mb DDR PC2700
    HDD 40Gb 5400rpm
    FDD 3.5″ x 1.44Mb
    CD-ROM drive 52x
    LAN controller 10/100 Mbps
    Case Slim Type 200W 399mm(D)x324mm(W)x95mm(H)
      Keyboard, mouse
    Итого: $525

    * Имеется вариант сервера в стоечном исполнении SVEC FD7131-XPM 1U Server Chassis

    Стоимость предложенного решения вполне умеренная, но все-таки существенная для небольшого предприятия.

    Для уменьшения риска, при покупке решения, а также с целью дать возможность широкому кругу заказчиков опробовать новую технологию в реальных условиях эксплуатации своих почтовых систем, была разработана технология внедрения спам-фильтра «Барьер» через пилотный проект на базе бесплатных тестовых лицензий Kaspersky Anti-Spam и Kaspersky AntiVirus. Заказчик в пилотном проекте оплачивает только работы и аренду компьютера.

    В пилотный проект входит поставка предустановленного почтового Relay-сервера, работы по встраиванию его в инфраструктуру ИС заказчика, а также по восстановлению ее состояния по окончании пилотного проекта, если заказчик примет решение отложить внедрение спам-фильтр «Барьер» в промышленную эксплуатацию.

    При этом работы по настройке и интеграции решения не приходится делать повторно при масштабировании пилотного проекта, а часть арендной платы компьютера зачитывается при его покупке. Увеличение стоимости решения при реализации через пилотный проект составит менее $200, при уменьшении рисков в 4 раза, а времени внедрения и возврата инвестиций — на порядок.

    В. Спецификация пилотного проекта:

    Аренда компьютера (специализированный Relay-сервер) $200
    RedHat Linux $0
    PostFix $0
    Kaspersky Anti-Spam на 100 п/я (годовая подписка) $0
    Kaspersky AntiVirus for PostFix for Linux на 100 п/я (годовая подписка) $0
    Работы по установке, настройке и технической поддержке $500
    Итого: $700

    Для контраста напомним оценку потерь предприятия на 100 почтовых ящиках (масштаб приведенных спецификаций). Это $120 000 в год. Срок окупаемости решения действительно составляет несколько дней.

    Выводы
    Kaspersky Anti-Spam представляет мощную технологию, на основе которой проблема спама может быть решена успешно как с технической, так и с экономической точек зрения. Спам-фильтр «Барьер» является хорошим примером работы системного интегратора по созданию решений высокой компактности и готовности в области информационной безопасности.

    На сегодняшний день спам-фильтр «Барьер» успешно внедрен в ряде предприятий. Прошедший эксплуатационный период не выявил каких-либо технологических или организационных проблем.

    Публикации на схожие темы

    Добавить комментарий

    Ваш e-mail не будет опубликован. Обязательные поля помечены *