Архив новостей

The Bat! против спама. Часть 2: SpamPal

Принципы и возможности

  • SpamPal работает на канале между почтовым сервером провайдера и клиентской почтовой программой.
  • SpamPal работает с большинством распространенных почтовых программ — в частности, с TheBat!, Outlook, Eudora, Pegasus.
  • Главным принципом работы SpamPal является использование системы списков DNSBL (DNS Black Lists — списки запрещенных доменных имен). Вообще-то, эти списки предназначены для провайдеров Интернета, чтобы отсекать почту, приходящую с активных спамерских серверов. Но по разным причинам далеко не все провайдеры их используют.
  • Программа SpamPal самостоятельно пользуется списками запрещенных имен и проводит разделение потока корреспонденции на «надежную» и спам-подозрительную (см. рис. 1).Рис. 1
  • Выбор конкретных систем DNSBL выполняется при настройке SpamPal. Без включения специальной опции подозрительные письма не удаляются, а помещаются в специальную папку. Окончательное решение остается за пользователем.
  • В SpamPal есть возможность самостоятельно формировать списки разрешенных и запрещенных почтовых адресов конкретных отправителей. Можно, например, заблокировать всех, кого нет в адресной книге.
  • В наличии возможность не принимать почту из определенных национальных доменов. К примеру, из Таиланда или Вьетама — их языки мало кому знакомы — или же назойливые письма нигерийских аферистов, присланные с их родины.
  • Можно формировать списки «хороших» и «плохих» сайтов в цифровой нотации, например, 127.0.0.1.

Авторы и версии

Первоначальным автором и владельцем интеллектуальных прав на SpamPal является англичанин Джеймс Фармер. Сейчас программа локализована практически на всех европейских языках. Русскоязычную локализацию выполнил Николай Корнев. В настоящее время SpamPal поддерживает огромное число разработчиков и энтузиастов.

Версия программы 0.01 вышла в апреле 2002 года. Единственным раздражающим свойством может являться лишь то, что уж очень часто появляются версии, обладающие все новыми и новыми функциями и опциями, — в нынешнем августе появилась бета-версия с номером 1.634.

Проблема в том, что почтовые клиенты тоже эволюционируют, а потому процесс одновременного развития двух сложных систем демонстрирует эффект синергии — разобраться в совместимости и в документации становится не так уж просто. Например, используя версию The Bat! 2.12, при настройке фильтров в закладке «Действия» не удалось обнаружить опцию «Создать копию в другой папке». А это указание явным образом присутствует в документации на SpamPal версии 1.57.

Можно догадаться, что этот вопрос был решен еще при построении правила фильтрации, но ведь SpamPal рассчитан на публичное применение, а потому следует отслеживать и устранять подобного рода неувязки.

Тем не менее, документация, размещенная в сети на многих сайтах, например, по адресу www.spampal.org/manual-rus, дает подробное описание процесса установки и настройки фильтра SpamPal.

Процесс установки фильтра очень прост — работает совершенно типичный инсталлятор. Задаются вопросы о размещении целевых программ, о подтверждении процесса и т.д. После этого нужно выполнить настройки сначала почтового клиента, в нашем случае The Bat!, а потом — SpamPal.

Настройка The Bat!

Здесь есть нюансы.

  1. Сначала нужно войти в The Bat! в пункт меню «Ящик», далее в «Свойства» и переделать ветвь «Транспорт» (рис. 2).Рис. 2

    Почтовый сервер должен быть именован localhost (или в цифровой форме 127.0.0.1), а ко входному имени пользователя через @ добавляется полное имя провайдерского сервера (POP3 или IMAP). Если @ уже использовано — ничего страшного, можно и второй раз этот значок поставить. Кстати, мне пришлось столкнуться именно с такой ситуацией. Написание получилось следующим: igor@hotbox.ru@pop3.hotbox.ru.

  2. Теперь нужно снова обратиться в «Ящик» и выбрать «Настройка сортировщика писем», после чего выполнить действие «Создать». Потом в появившихся окошках на закладке «Правила» заполнить открытые поля. Нужно дать произвольные названия правилу и папке, в которую будет перемещаться спам (рис. 3). Особенно важно точно воспроизвести «Сигнальные строки» (^X-SpamPal: SPAM) и атрибуты этого выражения (нужно указать: где — «везде», наличие — «да»).Рис. 3
  3. Теперь необходимо здесь же перейти в закладку «Свойства» и заполнить поля (рис. 4). Нужно включить два верхних предложения и отметить отправку созданных писем как отложенную.Рис. 4
  4. Закрываем «Сортировщик писем». На этом настройка The Bat! завершена. Если в наличии несколько ящиков, то для каждого из них нужно проделать такую же процедуру.

Настройка SpamPal

Пришла очередь настройки SpamPal, но на всякий случай не мешает перезагрузиться. После этого запускается SpamPal (к сожалению, у него пока нет опции автозапуска при старте Windows). Внизу экрана среди значков включенных программ можно обнаружить маленький лиловый зонтик — нажимаем на значок правой кнопкой и выбираем «Настройки», после чего выходим на дерево настройки параметров SpamPal (рис. 5).

Рис. 5

Если работа ведется с русскоязычной версией программы, то дальше все будет просто, поскольку в правой части экрана для каждой ветви появляются вполне достаточные комментарии.

Стоит не забыть в «Черных списках» «Общие черные списки» и отметить нужные системы, поставляющие DNSBL. Нужно посмотреть и «Страны» и отметить те из них, почту из которых получать вряд ли целесообразно.

Список «Провайдеры» в разделе «Игнор. Списки» тоже требует внимания. После установки программы по умолчанию все письма, идущие с их серверов, отсекаются. Для того чтобы разрешить поступление писем, нужно поставить для них метки в этом списке. Надо сказать, что в списке присутствуют очень крупные провайдеры, например, Yahoo, Telstra, Wanadoo, и не стоит всех причесывать под одну гребенку.

Скажем, у меня немало знакомых, у которых ящики располагаются на сервере Yahoo. Кроме того, идет рабочая переписка с коллегами в США, почтовые серверы у которых могут быть у любого американского провайдера.

Plugins

Часто встречается мнение, что SpamPal сам является модулем (plugin), подключаемым к The Bat!. Это заблуждение упорно цитируется в аннотациях на сайтах с программами freeware и shareware.

Фактически, SpamPal не использует никаких ресусов базовой клиенской программы, он связан с ней только через перенастроенные параметры POP3 или IMAP для доступа к серверу, выраженные явным образом. А вот встроенные модули могут использовать и используют ресурсы базовых программ, и их взаимосвязи для пользователя не очевидны.

Модули, как правило, имеют жесткую привязку к своим базовым программам, а вот SpamPal работает с большинством распространенных почтовых программ, например, с Outlook, Outlook Express, Eudora и т.п. в манере, близкой к тому, как работает с The Bat!.

SpamPal сам способен подключать модули, что обеспечивается открытостью его программ, свободных в исходных кодах для разработчиков новых модулей. Стандартно в последних версиях фильтра включаются два модуля — RegExFilter и URLBody. Первый из них проводит поиск регулярных выражений в заголовках и телах сообщений. При особом желании можно построить правило поиска и самостоятельно — только вникнуть в детали программы. Надо заметить, что модуль подключается не только к SpamPal, но и ко многим другим программам такого рода.

Второй модуль, URLBody, отслеживает в заголовках и телах писем доменные имена сайтов и анализирует возможность их принадлежности к подозрительным по признаку распространения спама. На основании этого возможно расширение списков запрещенных.

На самом деле на сайте участников группы SpamPal www.spampal.org в разделе Downloads есть ссылка Plugins на самые разнообразные модули, которых сейчас несколько десятков. Кстати, есть и модуль Bayesian Filter, который построен на тех же принципах, что рассмотренный в предыдущей части статьи BayesIt! Надо думать, что такая комбинация показывает неплохие результаты.

Немного статистики

Популярность SpamPal быстро увеличивается. Согласно статистике, размещенной на сайте Фармера, в декабре прошлого года число пользователей этого фильтра не превышало 10 тысяч, а в текущем августе достигло почти 100 тысяч.

Объяснять такую популярность можно многими факторами, и, не в последнюю очередь, бесплатностью, доступностью программы и ее относительной простотой. К большому огорчению, на сайте организации не удалось найти данных об эффективности SpamPal.

На сайте Алекса Экслера размещена написанная в несколько восторженном духе статья «Спасение утопающих — дело рук SpamPal’а». В ней автор утверждает, что эффективность фильтрации достигает 95% — при ежедневном потоке примерно 100 писем.

На сайте www.livejournal.com ведется русскоязычный форум, где было обнаружено послание Сергея Пригожина от 17 июня 2003 года. Он приводит статистику эффективности SpamPal на уровне 80% детекции спама.

А на информационном канале Subscribe.ru 20 марта 2004 года прошло сообщение, первоначально появившееся в новостях на сайте www.ma3ca.net (вполне русскоязычном). Неуказанный автор опубликовал свои наблюдения работы фильтра SpamPal, оснащенного модулем Bayesian Filter. По утверждению этого автора, эффективность достигла 95-99 процентов. Подобных комментариев в форумах можно найти немало.

И, похоже, что все это так. При нормальной настройке и отслеживании состояния списков, эффект наблюдается. У меня за относительно короткое время использования и при начальной настройке эффективность достигла 50%. Это совсем неплохо.

P.S. Поверив в чудеса, установил Bayesian.

The Bat! против спама. Часть 2: SpamPal

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике