Под таким названием в конце октября в Москве прошла вторая национальная конференция. Ее устроителями выступили российские компании -- члены Национальной коалиции против спама «Ашманов и Партнеры», «Лаборатория Касперского», Mail.ru, «Рамблер», «Яндекс» и Subscribe.ru, а среди участников были представители и других фирм, разрабатывающих продукты для электронной почты или оказывающих услуги по ее доставке. Как и на первой конференции, выступления и обсуждения концентрировались на следующих проблемах спама: отношение к нему в обществе и интернет-сообществе, правовые вопросы борьбы с ним, технологическое противодействие ему, в частности, со стороны поставщиков интернет-сервисов, наконец, ПО для борьбы со спамом в корпорациях и у частных пользователей.

Подводя итоги годичного противостояния со спаммерами, И. Ашманов констатировал, что «из побочного раздражающего фактора спам превратился в крупномасштабную угрозу электронной почте». Из приведенных им данных следует: на осень 2004 г. в публичных почтовых службах Рунета спам составил около 80% от объема всей входящей корреспонденции. Таким образом, нежелательные почтовые отправления, или спам, стали не только проблемой для пользователей Сети, но и серьзной угрозой для бизнеса в целом. В приведенной И. Ашмановым характеристике ситуации, основанной на информации от компании AOL, крупнейшего провайдера в США, сообщается о блокировке примерно 80% всей почты как UCE (Unsolicited Commercial E-Mail, незапрошенные коммерческие сообщения) и Scam (незаконные предложения, мошенничество). Российские компании приводят похожие данные. Это означает, что почти три четверти дискового пространства и процессорной мощности, обслуживающих почтовые потоки, на самом деле затрачивается на обслуживание бизнеса спаммеров, что ведет к большим прямым и косвенным расходам легального бизнеса. К тому же рассылка спама несет различные риски -- технические и юридические. Например, затраты (связанные с паразитным трафиком и загрузкой персонала), угрозу стабильности (в виде пиковых нагрузок в сетях), опасность, зависящую от содержания писем (вирусы, трояны, запрещенные материалы), и юридические риски (возможные иски от клиентов и конфликты с властями).

Доклад И. Ашманова представляет достаточный интерес для всех, кого волнует проблема спама, поэтому отошлем их за подробностями к его тексту на сайте, где представлены материалы конференции http://www.spamtest.ru.

О криминальном спам-бизнесе и его влиянии на общество, точнее, об оценке ущерба, наносимого им, рассказал в своем докладе А. Никишин из «Лаборатории Касперского». Толкуя спам как «анонимную массовую нежелательную рассылку (коммерческую и некоммерческую)», он выстроил модель подобного бизнеса и охарактеризовал ущерб, причиняемый им мировой экономике. Далее он остановился на том, что общество уже приступило к борьбе со спамом, опираясь на организационные меры и создавая соответствующие юридические нормы. Так, создана Антиспаммерская коалиция, а Московская городская дума приняла в первом чтении документ постановления «О проекте федерального закона «О внесении изменений в некоторые законодательные акты Российской Федерации в части противодействия массовой рассылке сообщений электросвязи рекламного характера». В нижнюю палату российского парламента в июле 2004 г. были внесены предложения по законопроекту, направленному на борьбу с массовыми рекламными рассылками (спамом) через Интернет.

И. Ашманов, комментируя эти факты в своем докладе, полагает, что вместе с проводимой техническими средствами фильтрацией почтовых сообщений подобные меры приведут к заметному снижению объема спама уже в 2005--2006 гг. С сообщениями об опыте законодательной деятельности выступили Э. Бекещенко, юрист фирмы «Бейкер и Макензи», рассказавший о практике в США и Европе, и А. Страх из «Грант Торнтон Трид», коснувшийся толкования понятия «спам» и перспектив правоприменения тех юридических норм, что возникнут на основе поправок к Административному и Уголовному кодексам, которые готовятся в Государственной думе и Московской городской думе.

Особый интерес вызвали доклады Н. Федорова из компании «РТКомм.РУ», освещающие проблемы: спам и тайна связи; возможность компромисса со спаммерами.

В первом выступлении он остановился на вопросе глубины контроля за перепиской, а во втором высказался за легализацию спама в рекламном бизнесе, точнее, за целесообразность поиска подобного пути в связи со всеобщим скепсисом в отношении возможности победы над спамом техническими средствами. Понимая, что проблема доставки почты и ее качество с точки зрения наличия в ней спама представляет собой комплекс технических и юридических вопросов, Н. Федотов предлагает взаимодействовать двум соответствующим группам специалистов, но «желательно под общим руководством финансиста или управленца».

Основа союза со спам-бизнесом видится Н. Федотову в «экологичной» его организации, в результате которой объем рассылок сокращается в обмен на рейтингование. При этом будет составляться глобальный отписной лист, взамен рекламодатель получит целевую аудиторию, а доставка рекламы будет осуществляться за деньги (оплачиваемый спам). Добровольную отметку о спаме в корреспонденции можно, по мнению предложившего эту идею, сопроводить передачей фильтрации на усмотрение получателя.

Представитель компании Subscribe.ru К. Чистов в своем выступлении обратил внимание участников конференции на то, что при использовании сервиса Direct-Marketing в электронной почте оправдан отказ от услуг спаммеров. Прежде всего в силу наличия более тесных связей с целевой аудиторией у легальных компаний, работающих по доставке информации на основе услуг, оказываемых по подписке. В этом случае клиенты компании, поставляющей почту, могут рассчитывать не только на регулярный (а не случайный) характер ее доставки, но и на более полное использование возможностей ИТ, в частности корпоративных CRM-систем, не говоря об этической и правовой стороне отношений с корпоративными клиентами.

П. Диденко из компании «Мастерхост» выступил с сообщением об опыте выработки практики в почтовой системе провайдера, направленной на уменьшение риска, связанного со спамом. При использовании «черных списков» в качестве средства борьбы со спамом велик риск того, что ожидаемая почта не будет доставлена клиенту, если объем списков велик, поэтому требуется значительная работа с составителем подобного списка по снижению степени такого риска. Другие риски связаны с возрастанием нагрузки на почтовые серверы из-за лишнего трафика в сети провайдера, что отражается на его «кармане», с необходимостью создания службы ABUSE (занимающейся выяснением отклонений в службе эксплуатации почты), опять-таки увеличивающей его издержки. Наконец, клиенты, рассылающие спам, создают реальную угрозу для провайдера создают реальную угрозу, подрывая его бизнес. П. Диденко видит следующий выход: компания-провайдер должна иметь четкую политику в отношении противодействия спаму и принимать меры по защите от него почтовых серверов.

Технологическим приемам борьбы со спамом был посвящен ряд докладов, среди которых анализ SPF (Sender Policy Framework), автоматические методы детектирования спама, доступные большим почтовым системам, и обзор технологий, реализованных в продуктах компаний Sybari и Sophos. А. Тутубалин, руководитель проекта «Спамтест» компании «Ашманов и Партнеры», анализируя SPF, исходил из понимания спама, как анонимных массовых рассылок электронной почты, имеющих рекламный характер. Вот краткие выводы, к которым он пришел. Эффективность SPF как механизма фильтрации спама на сегодня крайне невелика. С точки зрения трудоемкости его внедрения докладчик отметил: «Публикация SPF-политики домена (для исходящей почты) в простом случае не является трудоемкой, не требует дополнительного ПО и особой последующей поддержки. В сложном случае (крупной корпорации, провайдера интернет-доступа, почтового сервиса со значительной нагрузкой) может потребоваться установка и внедрение дополнительного ПО. Внедрение поддержки SPF при приеме почты требует модификации ПО почтовых серверов, но для большинства популярных серверов это уже реализовано». Риски от внедрения SPF оценены следующим образом. Публикация SPF-политики для домена, если она только «разрешающая», не несет дополнительных рисков, но запрещающая прием почты с некоторых адресов может приводить к потере почты при пересылке. В случае учета рекомендаций политики отправителя почты при ее приеме в настоящее время есть опасность потери почты или пропуска спама.

Среди прочих проблем, возникающих при пользовании SPF, А. Тутубалин отметил ее несовместимость с пересылкой (forward) почты на сегодняшнем уровне реализации опции, а также ограниченное доверие к SPF-политике произвольного домена; кроме того, ее изолированное применение без дополнительного анализа сообщения нецелесообразно.

Доклад И. Сегаловича, технического директора компании «Яндекс», был посвящен автоматическим методам детектирования спама, в основе которых лежит лингвистический анализ. Некоторые из них уже реализованы на корпоративном портале в службе «Яндекс.Спамооборона». Механизмы аналитического обнаружения спама работают по алгоритмам, вычисляющим сигнатуры, устойчивые к слабым изменениям в тексте письма, не сказывающимся существенно на его содержании. Весьма интересным был сделанный И. Сегаловичем обзор современных способов вычисления сигнатур. Также было рассказано о сочетанном применении количественных оценок сигнатур и других признаков писем (черных списков, SPF-записей) наряду с приемами «отбеливания» писем, т.е. отнесения их к легальным рассылкам, основываясь на механизме автоматического вычисления «белых» списков, который в свою очередь использует анализ социальной сети. В технологии обнаружения спама применяются «белые» списки нескольких видов: индивидуальные, всеобщие, конкретных почтовых адресов, хостов и IP-адресов. Эффективность антиспамовой фильтрации имеющихся четырех российских систем, в том числе на основе предложенного метода, И. Сегалович продемонстрировал на примере трехмесячных наблюдений за конкретным почтовым ящиком с использованием 2,2 тыс. писем и анализа вручную.

О взаимодействии антиспамовых и антивирусных технологий на конференции говорил С. Антимонов, председатель совета директоров компании «ДиалогНаука», обратив внимание присутствующих на продукты фирм Sybari и Sophos. Помимо него о совместном использовании средств для борьбы с вирусами и спамом говорили и другие докладчики, в частности А. Никишин из «Лаборатории Касперского», предлагавший средства для ряда рыночных ниш (корпоративной, интернет-сервиса провайдеров и пользовательской), Н. Ионов из «Антивирусного центра», рассмотревший возможности продуктов компании Trend Micro (для защиты корпоративной почты на уровне шлюза, использующих простой протокол пересылки электронной почты, SMTP), и П. Савич из Associates, сделавший упор на программе McAfee SpamKiller (многоуровневая защита корпоративных сетей).

Конечно, на конференции были сообщения от компаний Mail.ru и Rambler, в которых В. Габриелян и М. Дунин рассказали об их решениях, направленных на борьбу со спамом. Так, в Mail.ru для обеспечения эффективности фильтрация спама осуществляется в четыре этапа. На первом сообщение проверяется на принадлежность IP-адреса к черному списку и на наличие у него некоторых признаков. На втором производится анализ содержимого письма (на присутствие вирусов и соответствие шаблонам спама по базе образцов спам-писем, обнавляемой несколько раз в час сотрудниками лаборатории компании «Ашманов и Партнеры»). На третьем и четвертом этапах, самых затратных, производится построение сигнатуры и контент-анализ письма. Сигнатура вычисляется не только по тексту письма, но и с учетом графических вложений, а это позволяет средствам борьбы реагировать на «спам в картинках». В ходе контент-анализа проверяется присутствие в письме признаков спам-сообщения, при этом фильтр «Спамтест» обрабатывает не только текст письма, но и его вложения. Использование обратной связи при проверке почты позволяет останавливать ее и на предыдущем этапе, а также учитывать реакцию пользователей.

Краткий обзор о системе защиты почты в компании Rambler под названием «Избранное», предложенный М. Дудиным, касался лишь проблемы блокировки почты с зараженных компьютеров. Это связано с тем, что в последнее время «вирусописатели» ставят себе целью превращение пользовательских компьютеров в анонимные прокси-серверы, используемые в дальнейшем для рассылки спама. Но тем не менее в этом заключается подсказка для блокирования ПК, на которых вирус себя «обнаружил». Поэтому технология, разработанная в компании Rambler, позволяет улучшить процедуру формирования черного списка и тем самым повысить эффективность борьбы со спамом.

Завершить обзор материалов конференции следует упоминанием о двух выступлениях. Первое сделала А. Власова из компании «Ашманов и Партнеры». Она рассказала о примере борьбы со спаммерской рассылкой, приглашающей учиться английскому языку. Эта увлекательная история, названная автором «Эволюция контентных способов обхода антиспаммерских фильтров, или Как победить Центр американского английского», по жанру похожа на приключенческий и связана с контентными «трюками», к которым прибегают спаммеры. Что же предлагают разработчики антиспамовых средств и в чем видят надежду на успех?

Вот цитата из доклада А. Власовой: «Фундаментальные свойства (такие как массовость, особенности распространения) спама почти не меняются при появлении новых механизмов его распространения. При попытке обойти проверку на какой-либо признак спама спаммер обречен на «прокол» по другому признаку. Например, увеличение количества скрытого текста затрудняет детектирование массовости, но при этом срабатывают признаки, основанные на подсчете количества паразитной информации в письме. И наоборот, «легкий» спам, без html, картинок и мусорного текста, проще с точки зрения детектирования массовости». Как полагает А. Власова, «система, работающая на достаточном количестве разнородных признаков, имеет запас прочности по отношению к новым типам спама и попыткам обхода защиты».

Второе выступление П. Завьялова, менеджера проекта «Яндекс.Почта», было посвящено практической реализации автоматического детектирования спама по формальным и статистическим признакам. В качестве примера он рассмотрел систему «Спамооборона», использующую множество разнородных признаков. Полагая признаки идеальными, плохими и хорошими, докладчик предложил их стратифицировать. Исходя из того, что поток сообщений электронной почты имеет довольно стабильные характеристики, тем не менее для конкретного пользователя или группы пользователей и даже небольшой организации можно выделить признаки, индикаторы спама. Докладчик предлагает пользоваться для этого выборочным анализом на потоке почты. Далее, чтобы набор признаков работал эффективно, следует выбирать его с избытком, что по крайней мере затрудняло бы спаммерам подделку хорошо выделяющих спам признаков. В качестве метрик различия признаков спама в докладе рассматривались: характеристика массовости (шинглы), сравнение с выборками -- результатами обучения (оценки Байеса), статистики активности по IP-адресам, свойств текста (соотношение видимого и скрытого текстов) и свойств оформления. П. Завьялов привел примеры эффективности сочетания SPF с использованием других признаков. Он отметил, как и А. Власова в своем докладе, что если количество формальных признаков спама достаточно велико, то это гарантирует эффективную борьбу со спамом.

Проведенные на конференции круглые столы были посвящены проблеме поддержки борьбы со спамом на законодательном уровне. Кроме того, разработчики средств для борьбы со спамом ите, кто их применяет, обменялись мнениями о том, как быть дальше?

Наиболее полные материалы о конференции выложены на сайте http://www.spamtest.ru.

2108