Решения для противодействия распространению сорной почты появились как нельзя более кстати.

Кто-то называет ее незатребованной коммерческой электронной почтой. Другие — сорной электронной почтой. Большинству же она известна как «спам». Обычно в подобных сообщениях вам обещают помочь быстро разбогатеть, или сбросить вес, или еще что-то в том же роде. За последние несколько лет экспоненциальный рост популярности и числа бюджетов электронной почты привел к тому, что сорная почта стала своего рода маркетинговой тактикой, в рамках которой недобросовестные компании и лица используют Internet в качестве дешевого способа рекламы своих товаров.

Но организации и конечные пользователи не опускают руки и продолжают бороться с сорной почтой — многие считают подобную практику неэтичной и, в ряде случаев, незаконной. Ими было подано немало судебных исков против инициаторов рассылки сорной почты, так что в результате представители правительства штатов и федерального правительства США выдвинули ряд законодательных инициатив с целью воспрепятствовать ее распространению. (Данные законопроекты опубликованы на сервере Web комитета противодействия незатребованной электронной почте по адресу: http://www.cause.org.)

В свете этих событий ситуация с сорной почтой достигла, как представляется, своей критической точки. Однако даже с принятием соответствующих законов огромный поток сорной почты вряд ли удастся перекрыть полностью. Стремясь помочь тем пользователям и организациям, чьи почтовые системы оказались буквально парализованы сорной почтой, производители выпускают новое поколение продуктов для решения данной проблемы техническими средствами.

УДАЛЕНИЕ СОРНОЙ ПОЧТЫ

Продукты для защиты от сорной почты разрабатывает целый ряд производителей (корни данного подхода уходят в мир UNIX). Все они применяют тот или иной вид фильтрации, так что при выборе продукта для своей организации покупателю придется рассмотреть целый ряд вопросов.

Как следует из названия, фильтрация электронной почты позволяет идентифицировать и удалять нежелательные сообщения. Хотя подобную функцию имеют все системы фильтрации, они различаются способами идентификации нежелательных сообщений. К примеру, самой распространенной является фильтрация по имени домена. В этом случае конфигурация фильтра предусматривает сравнение имени домена входящего сообщения со списком известных доменов — инициаторов сорной почты. Если сообщение электронной почты пришло с одного из указанных в списке доменов, то фильтр не пропустит его в вашу систему электронной почты. Некоторые продукты позволяют проводить фильтрацию по IP-адресу.

Сходным типом фильтрации является отклонение запросов на трансляцию электронной почты, если запрашивающий домен лежит вне вашей корпоративной сети или неизвестен. Причина введения такого типа фильтрации в том, что часто инициаторы сорной почты «прикрываются» трансляторами электронной почты других организаций, чтобы замести следы. Если транслятор отклоняет посторонние запросы на передачу электронных сообщений, то тем самым он помогает не допустить распространения сорной почты.

Однако основным типом фильтрации является проверка заголовков From (отправитель) и Subject (тема сообщения). Для выявления сорной почты программные продукты этого типа анализируют содержимое названных строк и сравнивают его со списком известных ключевых слов, символов, фраз и более крупных блоков текста. Некоторые продукты также анализируют текст самого сообщения на предмет наличия типичных для сорных сообщений ключевых фраз, слов и целых абзацев, таких, как «Free!!!» («Бесплатно!!!»), «XXX» или «Do you want to earn money fast while working at home?» («Хотите быстро заработать деньги, не выходя из дома?»).

Многие продукты анализируют и другие заголовки, так как авторы сорной почты обычно изменяют содержащуюся в этих строках информацию, чтобы ввести получателей в заблуждение и скрыть свои следы. К примеру, некоторые продукты не пропускают сообщения, если те имеют неверные адреса в заголовке транслятора почты, если заголовки не соответствуют спецификации RFC-822 и т. п. Некоторые продукты также проверяют адрес в строке From посредством отправки сообщения по указанному адресу. Если узел с таким адресом не отвечает, то сообщение удаляется. Иногда продукты используют ping для проверки правильности IP-адресов, указанных в заголовках. Производители применяют самые разные ухищрения для фильтрации заголовка и тела сообщения. Теоретически, чем больше объем анализируемой информации, тем выше вероятность того, что фильтр правильно определит сорную почту.  В любом хорошем продукте списки фильтрации можно конфигурировать, так что вы сможете добавлять или исключать ключевые слова и фразы.

Многие серверы и клиенты электронной почты имеют те или иные встроенные возможности фильтрации. Например, системы электронной почты таких компаний, как Qualcomm, Microsoft и Netscape Communications, позволяют фильтровать входящие сообщения электронной почты на основе списка ключевых слов. Кроме того, программа Sendmail имеет некоторые встроенные решения типа «сделай сам» для создания фильтров с сортировкой по ключевым словам. Нужно иметь в виду, что при таком подходе вы сами отвечаете за составление и обновление списка фильтрации и за то, что решение будет работать в масштабах всей вашей почтовой системы и подходить для каждого конкретного пользователя.

С другой стороны, готовые продукты предлагают продуманные списки ключевых слов и, в большинстве случаев, ресурсы для обновления этих списков. Безусловно, эти продукты обладают более широкими возможностями, такими, как регистрация событий и обработка отклоненных сообщений (позже в этой статье мы обсудим ряд примеров подобных функций, когда речь пойдет о конкретных продуктах).

ТРИ ВОЗМОЖНЫЕ МОДЕЛИ

В прошлом основная масса решений противодействия сорной почте представляла собой программы для индивидуального использования на уровне клиента. Это были решения для настольной системы. Но сорная почта постепенно выросла в общекорпоративную проблему, и, как следствие этого, новые продукты в виде программ для сервера или шлюза для защиты всей системы электронной почты не заставили себя ждать. Другой общекорпоративный подход состоит в обращении к услугам независимой компании с тем, чтобы та взяла на себя решение проблемы сорной почты.

В случае настольной модели пользователь имеет возможность самостоятельно выбирать и редактировать списки фильтрации, в соответствии с которыми клиент отвергает нежелательные сообщения электронной почты. Преимущество этой стратегии состоит в том, что пользователи могут влиять на то, какие сообщения будут попадать в их почтовые ящики, а не следовать общей для всей компании политике. Исходя из предположения, что вашим пользователям лучше известно, какие именно сообщения им должны приходить, вы в результате получите более эффективную и детальную систему фильтрации. Кроме того, многие пользователи опасаются передавать в чужие руки контроль над таким сугубо персональным инструментарием, как электронная почта.

Недостаток подобного подхода в том, что организации придется тратить свои ресурсы на загрузку сорной почты на ваш сервер электронной почты и передачу ее по сети в настольную систему. Кроме того, это ведет к повышению административной нагрузки по установке и поддержке продуктов на каждом клиенте, что сказывается на масштабируемости решения. Наконец, качество системы фильтрации определяется качеством списков фильтрации. Так что для противодействия новым формам сорной почты фильтрующая информация должна своевременно обновляться на уровне клиента.

В модели с установкой на сервере/шлюзе сорная почта фильтруется или на почтовом сервере, или между вашим маршрутизатором Internet и почтовым сервером. Очевидно, что фильтры на шлюзе позволят избежать транспортировки и хранения сорной почты в вашей внутренней сети, в то время как серверные продукты предотвращают проникновение сорной почты дальше в вашу сеть. Продукты обоих типов дают вам возможность определять корпоративную политику в отношении того, какая информация не может быть допущена в вашу систему электронной почты. Кроме того, такие продукты проще устанавливать и модернизировать, ими проще управлять, поскольку данная модель предусматривает централизованное администрирование.

Недостаток этой модели в том, что пользователи утрачивают контроль за входящей электронной почтой, хотя некоторые пакеты предлагают пользователям возможность отключать или подключать определенные фильтры. Вдобавок, при единой политике фильтрации в рамках всей компании допустимая электронная почта может быть с большей вероятностью отвергнута из-за того, что она содержит ключевые слова фильтрации, используемые в заголовках или тексте сообщения. Подобная ситуация в отрасли характеризуется термином «ложное заключение» (необходимо заметить, что эта опасность свойственна фильтрации в целом вне зависимости от того, где она выполняется). Обращение к сторонним услугам требует подписания контракта с независимой компанией относительно фильтрации почты вашей организации. Эти компании имеют штатных специалистов по сорной почте, причем они обычно работают круглосуточно и без выходных. Преимущество данного подхода состоит в том, что подобные компании хорошо знакомы со всеми приемами рассылки сорной почты, а также с используемыми ключевыми словами, фразами и блоками текста.

Кроме того, помимо своей осведомленности в вопросах идентификации независимые специалисты «бюро противодействия сорной почты» могут снять определенную нагрузку с администраторов по сопровождению и модернизации системы защиты от сорной почты в вашей организации. Как и создатели вирусов, инициаторы сорной почты постоянно меняют и совершенствуют свою тактику для преодоления защитных барьеров. Обязанности же независимых специалистов по сорной почте как раз и состоят в идентификации этих новых тактик и максимально быстром внедрении мер противодействия им в ваши системы фильтрации.

При анализе целесообразности применения данного подхода вы должны помнить, что в этом случае конечный пользователь еще более дистанцируется от контроля над электронной почтой. Вместе с тем некоторые компании предоставляют пользователям возможность отключить конкретные фильтры. В целом, однако, если вы используете единую политику фильтрации, то всегда есть опасность, что она не будет в равной степени удовлетворять требованиям всех ваших пользователей.

Все эти решения исходят из эффективности фильтрации как средства борьбы с сорной почтой. Но фильтрация, по своей природе, — механизм реактивный, а стратегии распространения сорной почты постоянно меняются и совершенствуются. По мере совершенствования услуг и продуктов для борьбы с сорной почтой успешность применения подобных решений следует подвергать тщательному анализу. Большинство производителей подобных систем называют число 90% в качестве стандарта эффективности.

ПРОДУКТЫ УРОВНЯ НАСТОЛЬНОЙ СИСТЕМЫ

Система MailJail компании Omron Advanced Systems представляет собой фильтрующий пакет для настольных систем. Лицензия на программу стоит 19,95 долларов. Кроме того, бесплатную 30-дневную пробную версию можно загрузить с сервера http://www.mailjail.com. Эта программа работает как подключаемый модуль для клиентов электронной почты в Windows 95 и NT, а также для систем Microsoft Outlook, Eudora Pro 3.0.5 и 4.0 и Eudora Light 3.0.5. Компания имеет также интерактивный сервер, с которого вы можете загрузить ежемесячно обновляемые правила фильтрации. Как только почтовое сообщение доставлено в клиентское приложение электронной почты, MailJail выполняет проверку в соответствии с собственными и заданными пользователями правилами. Эта программа может выполнять фильтрацию на основе информации в заголовках и теле самого сообщения. Кроме того, пакет можно сконфигурировать таким образом, чтобы отвергнутая почта или удалялась, или пересылалась в папку MailJail.

Вдобавок MailJail поставляется с возможностью Teach By Example. С помощью этой функции пользователи могут пересылать сообщения в программу MailJail, чтобы указать, какие сообщения они считают допустимыми, а какие сорными. Программа генерирует новые правила фильтрации на основе содержимого сообщений. Пользователи могут также изъять конкретные адреса из фильтров, используя функцию Address Book Matching.

ПРОДУКТЫ ДЛЯ СЕРВЕРА И ШЛЮЗА

Фильтр для шлюза Internet Mail Scanner 2.0 компании CSM-USA был выпущен в августе 1998 года. Лицензия на этот продукт для 25 пользователей стоит 695 долларов, а для 1000 пользователей — 11 995 долларов. Стоимость лицензии включает годовую подписку на еженедельно обновляемые списки известных инициаторов сорной почты, выявлением которых компания активно занимается. Продукт работает с широким кругом почтовых серверов, в том числе с Mail Server компании CSM, Microsoft Exchange, Sendmail, Netscape Mail Server, Post.Office от Software.com, Microsoft NT Mail, Lotus Notes/Domino и AltaVista Mail.

Internet Mail Scanner может работать на сервере или на отдельной машине. Программа принимает все входящие сообщения электронной почты, фильтрует их и передает допустимые сообщения на почтовый сервер. По словам Марка Смита, президента CSM-USA, система Internet Mail Scanner блокирует сорную почту за счет использования разнообразных фильтров, в том числе для контроля поля Subject и имени домена. Эти фильтры можно редактировать. Вы имеете возможность ограничить количество сообщений, поступающих от одного человека, а также размер входящего сообщения. Программа может уведомить администратора сети, если кто-то пытается передать сорную почту на почтовый сервер или использовать его в качестве транслятора.

Система Deadbolt компании E-Scrub Technologies объединяет в себе продукт и сервис для сервера. Компания отказалась представить информацию о ценах на свой продукт для этой статьи, но сообщила, что стоимость системы зависит от числа пользователей. Данный продукт работает с Sendmail, и компания сотрудничает с рядом производителей систем электронной почты в целях расширения списка поддерживаемых платформ.

Deadbolt допускает централизованное управление системой фильтрации; в то же время конечные пользователи имеют определенную степень контроля за тем, какие сообщения попадают в их почтовые ящики. Кроме того, она подключается к центру компании E-Scrub для обновления информации о сорной почте в реальном времени.

Чтобы использовать продукт, вы должны установить модифицированный агент обмена сообщениями (Message Transfer Agent, MTA) на своем почтовом сервере, сценарий CGI в сети Intranet вашей организации и сервер конфигурации конечного пользователя. С помощью сценария CGI вы можете определить различные персональные фильтры для своего входного почтового ящика электронной почты. Эта информация о конфигурации размещается в базе данных сервера конфигурации пользователя.

При получении входящей почты модифицированный почтовый сервер проверяет сообщение по библиотеке сорной почты, а также по конфигурационной информации из базы данных конечного пользователя. Фильтрация производится на основе информации в заголовках почтовых сообщений. Рон Гилмет, директор по техническим вопросам в E-Scrub, сомневается в целесообразности фильтрации на основе текста сообщения. «Мы считаем, что фильтрация по заголовкам надежнее. Опасность фильтрации по тексту сообщения — самый очевидный и важный вопрос для конечных пользователей при любом виде фильтрации — состоит в возможности потери допустимых сообщений электронной почты», — подчеркнул Гилмет.

После фильтрации каждое сообщение получает один или несколько признаков. Сообщениям присваивается черный флаг, если они содержат адреса электронной почты, IP-адреса или имена доменов известных инициаторов сорной почты; эти сообщения однозначно отвергаются. Белый флаг означает, что в соответствии с индивидуальными установками пользователя указанный в поле From адрес электронной почты является приемлемым.

Серый флаг показывает, что сообщение попадает в одну из категорий фильтрации Deadbolt. В этом случае Deadbolt информирует отправителя, что его сообщение электронной почты было отклонено и предлагает ему иные средства передачи сообщения. Таким образом, законопослушный отправитель сможет, в конечном итоге, передать свое сообщение, а инициаторы сорной почты, скорее всего, не получат или не ответят на отвергнутое сообщение, так как они редко занимаются каждым отклоненным сообщением по отдельности. (Пользователи могут включить или отключить конкретные фильтры, предлагаемые Deadbolt.) Отсутствие флага указывает на то, что сообщение не соответствует ни одной из записей фильтров и будет передано как обычное сообщение электронной почты.

Кроме того, чтобы предотвратить утерю допустимых сообщений электронной почты, программа предлагает режим виртуальной фильтрации. В этом случае Deadbolt выполняет фильтрацию и устанавливает флаги, но пропускает все сообщения; вы можете проанализировать результаты фильтрации Deadbolt, чтобы выявить, каким из сообщений был неправомерно присвоен серый или черный флаг. После этого установки фильтров можно изменить, чтобы в будущем ошибочно помеченные сообщения могли проходить свободно.

Deadbolt может работать с различными серверами Web и MTA. Сервер конфигурации может связаться в реальном времени с сервером компании E-Scrub через TCP/IP. Компания E-Scrub составляет обновляемый «черный список» инициаторов сорной почты и используемых ими приемов, так что ваш фильтр электронной почты будет автоматически обновляться по мере изменения данных о сорной почте у самой E-Scrub.

Система MailShield компании Lyris Technologies стоит 995 долларов за лицензию на один сервер. Заплатив один раз, вы получаете пожизненную лицензию, включая право на бесплатные модернизации; никакой ежегодной оплаты не предполагается. MailShield — это proxy-сервер электронной почты. Получив сообщения, он пропускает их через набор фильтров и передает допустимые сообщения на почтовый сервер. Если сообщение классифицируется как сорное, то MailShield может или сразу удалять его, или передавать администратору для проверки, в зависимости от настройки.

Этот продукт имеет свыше 50 механизмов фильтрации. Главным образом, он фильтрует заголовки, в том числе по информации в полях Subject и From, а также по данным о трансляторах. MailShield может также использовать Ping для проверки IP-адресов и анализировать имена доменов отправителей для определения факта фальсификации информации. Каждый из этих фильтров является конфигурируемым, а кроме того, вы можете добавить и свои собственные.

По словам представителей компании, MailShield работает со всеми почтовыми серверами, когда функционирует как отдельный сервер. Вместе с тем программа может также выполняться как подключаемый модуль с любым из нижеперечисленных серверов: Sendmail, Microsoft Exchange, Lotus Notes/Domino, Netscape Mail Server, Post.Office, Windows NT Mail и Qmail. Кроме того, MailShield может взаимодействовать с системами Windows NT, Windows 95, Sun Solaris/SPARC и Intel. Компания сейчас модернизирует программу с тем, чтобы она могла поддерживать другие версии UNIX.

Berkeley Software Design (BSDI) предлагает аппаратный фильтр под названием MailFilter. Данное устройство устанавливается перед почтовым сервером и проверяет сообщения по базе данных сорной почты, которая может обновляться из центральной базы данных, поддерживаемой BSDI. MailFilter поставляется в трех моделях. Model 10 стоит 2395 долларов, Model 100 — 4995 долларов, а Model 1000 — 8995 долларов. Оплата услуг в течение года обходится в 1400, 4900 и 12 500 долларов соответственно. Эти модели отличаются главным образом своей вычислительной мощностью и объемом электронной почты, которую они могут хранить для анализа. Стоимость услуг включает также обновление информации в реальном времени с сервера BSDI.

MailFilter привлекает прежде всего простотой установки; вам не нужно модифицировать свой почтовый сервер, переходить на новый почтовый сервер или модифицировать какие-либо платформы. Данный продукт выполняет интеллектуальную фильтрацию, такую, как проверка путей передачи сообщений и подлинности информации, указанной в поле From, а также анализирует заголовки на предмет наличия подложных данных. База данных MailFilter содержит списки ключевых слов и фраз, типичных для сорной почты, в соответствии с которыми и выполняется фильтрация. MailFilter также препятствует трансляции сообщений, полученных из посторонних доменов.

Если сообщение было идентифицировано как сорное, то MailFilter или удаляет его, или выставляет флаги для дальнейшего анализа. Программа может быть настроена так, чтобы она пропускала сообщения, которые иначе она промаркировала бы как сорные.

ОБРАЩЕНИЕ К УСЛУГАМ СТОРОННИХ КОМПАНИЙ

Компания Bright Light Technologies, созданная в октябре 1997 года, наделала шума в отрасли своими планами создать службу Bright Mail для предоставления услуг фильтрации сорных сообщений. Главенствующую роль в реализации стратегии компании отводится команде исследователей сорной почты, задача которых состоит в защите вашей системы электронной почты от сорных сообщений. Стоимость годового пакета услуг составляет 10 тыс. долларов для 2 тыс. пользователей. Лицензия охватывает программное обеспечение и его обновление в реальном времени. При увеличении числа пользователей стоимость лицензии в расчете на одно рабочее место уменьшается. Bright Light планирует ввести службу в действие к концу 1998 года.

Саньил Пол, исполнительный директор Bright Light, описывает свою службу следующим образом: «Наш подход аналогичен подходу, предложенному компанией McAfee (теперь Network Associates) для борьбы с вирусами, с тем исключением, что мы адаптировали эту модель к Internet. Мы отказались от ежемесячных модернизаций. Вместо этого мы стремимся не отставать от инициаторов сорной почты и реагировать на их действия в реальном времени. Кроме того, наш подход масштабируется вместе с ростом масштабов сорной почты. По мере усложнения методов рассылки сорной почты мы можем опережать ее инициаторов, поскольку наши специалисты работают круглосуточно и без выходных». Как и в случае продуктов для сервера, Bright Light предлагает серверную программу для проверки входящей электронной почты и фильтрации сообщений, если они отвечают критериям, заданным центром Bright Light Operations Center (BLOC). Провайдеры Internet или корпоративные клиенты могут предоставить своим пользователям возможность присоединиться к системе через браузер Web, а также включать или отключать конкретные фильтры. Кроме того, если подозрительные сообщения электронной почты не полностью соответствуют шаблонам сорной почты, то они сохраняются отдельно, чтобы пользователь мог их просмотреть в индивидуальном порядке.

Чтобы быть в курсе атак с использованием сорной почты, Bright Light установила массу адресов для сбора сорной почты по всей Internet. Команда специалистов компании анализирует полученную сорную почту, разрабатывает необходимые правила и передает новую информацию пользователям. Bright Mail работает с Sendmail, и, по словам Пола, следующая версия Sendmail будет поставляться уже вместе с Bright Mail. Компания также ведет переговоры с Software.com о возможности включения своего продукта в состав последней версии InterMail. Bright Mail можно установить и на отдельной машине перед вашим почтовым сервером.

Основным продаваемым элементом Bright Mail является BLOC. Программное обеспечение продукта аналогично другим серверным программам, часть которых также позволяет обновлять информацию о сорной почте (некоторые — в реальном времени). Так что при анализе Bright Mail и других продуктов старшего класса главное внимание следует уделять их эффективности и диапазону информации, предлагаемой при обновлении.

ПРЕДУПРЕЖДЕНИЕ

Упомянутые в данной статье продукты — всего лишь примеры как существующих, так и разрабатываемых решений для борьбы с сорной почтой. Они призваны дать представление о возможностях и подходах, которыми вы можете воспользоваться для противодействия распространению сорной почты в вашей организации.

Помните: при покупке системы вы должны оценить, какую часть ответственности за конфигурацию и обновление фильтров вы хотите взять на себя, а какую — передать конечным пользователям или независимой компании. После того как вы определились в общих чертах с продуктами, мы рекомендуем протестировать отобранные на предмет того, насколько эффективно они удаляют сорные сообщения.

Конечная цель, безусловно, — отфильтровать все нежелательные сообщения, пропуская все допустимые. С помощью надежного технического решения и поддержки со стороны Конгресса США или судов вы сможете освободить пользователей и себя от необходимости читать ненужные сообщения электронной почты.

ОБ АВТОРЕ

Ли Че — технический писатель. С ним можно связаться по адресу: lchae@pacbell.net.

Поделитесь материалом с коллегами и друзьями