10 лет успеха:2006-2016
8 (800) 500-92-06
Бесплатный звонок из регионов

Технологии предварительной антиспам-защиты на корпоративном почтовом хостинге

Главная / Статьи / Технологии предварительной антиспам-защиты на корпоративном почтовом хостинге

Заслуженно широкое развитие получили различные антиспам-технологии по интеллектуальному определению спама и защите от него. Такие технологии в подавляющем большинстве базируются на статистической теореме Байеса, когда сообщение оценивается по множеству различных критериев, за каждый совпавший с образцами (база токенов-жетонов образцов спама) критерий добавляется штрафной балл и только по сумме баллов сообщение может быть признано спамом. Оставшуюся часть технологий интеллектуального антиспама занимают централизованные сравнительные технологии — при получении письма антиспам вычисляет сложный хэш сообщения и корпоративный почтовый хостинг отправляет этот обезличенный хэш в центр сбора и сравнения спам-сигнатур. Примером такой антиспам-технологии пока является Reccurent Pattern Detection. Данные о спам-сигнатурах стекаются в их ситуационный антиспам-центр со множества ловушек спама по всему миру. После анализа новые сигнатуры добавляются в базу данных и становятся доступны пользователям (системам антиспама на почтовых хостингах). При этом хэш почтового сообщения не содержит ни темы, тела письма, ни отправителя или получателя, никакой конфиденциальной информации, а только, условно говоря, её контрольную сумму.Такие способы эффективны для фильтрации уже полученного корпоративным почтовым сервером спама, но возможно ли защитить корпоративную почту от спама ещё на этапе установления SMTP-сессии, не допустить даже сам приём мусорных сообщений ? Не ставя под сомнение эффективность и необходимость использования таких антиспам-технологий как фильтр Байеса и Recurrent Pattern Detection смело ответим — да !

Технологии предварительной антиспам-защиты на корпоративном почтовом хостинге

Антиспам на базе обратных DNS-запросов - история

История антиспам-технологии, основанной на анализе различных данных, доступных почтовому хостингу получателя, уже много лет. Возможно, это вообще одна из первых появившихся антиспам-технологий. Так, «дедушкой» всех современных приёмов антиспама можно назвать открытую базу данных ORDB (Open Relay Data Base – база данных открытых ретрансляторов), в которую активисты заносили IP-адреса злостных спамеров, а почтовый сервер перед приёмом почты направлял в ordb.org особым образом сформированный DNS-запрос, по результатам которого определял наличие или отсутствие IP-адреса, пытающегося передать сообщение в базе (спамер) или нет (честный отправитель. Такой способ позволял экономить трафик (спам-сообщение не принималось на почтовый сервер, а в начале 2000-х годов для многих был актуален вопрос потребления трафика — он был дорог) и был прост в настройке, что определило его широкую популярность. Однако со временем рост ложных срабатываний, ошибочно занесённых в базу адресов стал превышать полезный эффект от использования этой технологии антиспама. И хотя ordb.org окончил своё существование в конце 2006 года, некоторые проекты, основанные на идее антиспама по базе IP-адресов поддерживаются отдельными энтузиастами и поныне.При известных недостатках технологии ORDB несомненным преимуществом является его низкая требовательность в коммуникационным и вычислительным ресурсам в процессе определения «спам/не спам» - фактически на каждую SMTP-сессию выполняется один DNS-запрос, никаких сложных вычислений, загружающих процессоры почтового хостинга, не производится. Тем не менее элементы этой технологии легли в основу современных методов блокировки спама на подступах к почтовому серверу — на этапе SMTP-соединения.

Антиспам-защита по rDNS в наши дни

В наше время повсеместного распространения широкополосного доступа применение rDNS-запросов в начале SMTP-сессии дают весьма положительные результаты. Так, до 85% входящих SMTP-соединений блокируются при реверсном (обратном) DNS-запросе по их IP-адресу:если IP-адрес отправитель не имеет reverse DNS-записи в своём блоке IP-адресов: легитимные почтовые серверы обязаны иметь такую запись;обратная запись DNS содержит неправильные имена. Например, имя localhost или domain.local не могут быть использованы в интернете и, следовательно, такой отправитель с крайне высокой степенью вероятности является спамером;обратная запись DNS содержит данные, позволяющие предполагать, что отправитель является частным абонентом провайдера. Например, присутствие словосочетаний типа broadband-17-26.provider.com, 192.168.pppoe.telecom.net и 17-public-234.172.telco.net говорит о том, что подключение производится не с почтового хостинга или выделенного почтового сервера, а с домашнего компьютера частного пользователя. Общая практика заключается в том, что пользователи не поддерживают почтовые SMTP-серверы на своих компьютерах и передают почту для отправки на почтовые серверы своим провайдерам. Поэтому попытка отправить почту с пользовательского компьютера напрямую на почтовый сервер получателя явно свидетельствует о заражении вирусом, включившим данный компьютер в бот-сеть, используемую для рассылки спама;несовпадение DNS-имён в прямой (имя-в-IP-адрес) и обратной (IP-адрес-в-имя) зонах: здесь необходимо быть аккуратным — в некоторых случаях вполне легитимные корпоративные почтовые серверы могут иметь такое несоответствие по различным причинам или из-за неправильной настройки администраторами;

rDNS — полезное дополнение к антиспаму на любом почтовом хостинге

Так, используя технологию многолетней давности — обратный запрос к DNS, и проанализировав ответ можно сократить объём поступающей для интеллектуального анализа почты почти на порядок. Конечно же, описанный способ антиспам-защиты не панацея и его необходимо комбинировать с другими способами фильтрации спама, но как технология защиты и корпоративной почты и почтового хостинга первой линии обороны от спама он весьма эффективен. Отсеивание от 1/10 до 1/5 спама от входящей почты позволяет более экономно расходовать коммуникационные и вычислительные ресурсы почтового сервера, играющего роль антиспам-щита хостинга. Использование метода анализа результатов обратных DNS запросов можно рекомендовать и администраторам небольших корпоративных почтовых серверов и крупным почтовым хостингам — и там и там его использование будет оправданным.


При перепубликации статьи установка активной индексируемой гиперссылки на источник - сайт TENDENCE.RU обязательна!

2531 просмотр