Новый почтовый клиент Microsoft остановит поток спама

Почтовый спам — самое настоящее бедствие, которое по-прежнему не дает скучать системным администраторам. Хотя в США и некоторых других странах предпринимаются попытки перенести эту проблему в сферу законодательную, спамеры, вероятно, смогут обойти это препятствие, переместив свой «бизнес» в области, не охваченные антиспамовым законодательством. Проблема спама в корпорациях стоит настолько остро, что, например, в HP по всему периметру сети были развернуты целые бастионы — хосты защиты, производившие сканирование всех сообщений, поступающих на hp.com. 30% всех сообщений, поступивших в 2002 году в адрес корпорации, были отброшены, поскольку они явно были идентифицированы как сомнительные. В теле сообщений присутствовал хорошо узнаваемый рекламный контент или же вирусные вложения. Сейчас то же самое количество хостов отбрасывает уже 70% всех сообщений, или около 21 млн. сообщений в месяц. Именно мощностью потока спама объясняется рост числа отброшенных сообщений, и сегодня любая компания, у которой есть почтовый сервер, является потенциальной мишенью спамеров, и не имеет значения, почтовый сервер какого производителя она использует.

Большинство крупных организаций устанавливают на своих серверах всевозможные программные пакеты, чтобы заблокировать распространение спама до того, как он достигнет конечного пользователя. Хосты защиты действительно в состоянии отфильтровать львиную долю спама, но, будучи изолированными, они постепенно отстанут от «технического прогресса» в области спама, и спамерам рано или поздно удастся замаскировать свою деятельность. Поэтому администраторы часто разворачивают вторую линию обороны в виде антиспамового программного обеспечения, интегрированного в почтовые серверы.

Разработчики Microsoft в почтовом сервере Exchange Server 2003 добавили в свойства хранилища Store новый параметр — Spam Confidence Level (SCL). Антиспамовое программное обеспечение может устанавливать значение этого параметра, которое и есть степень доверия сообщению — с какой долей вероятности сообщение может оказаться спамом. Store и почтовые клиенты могут подавлять получение сообщений, устанавливая высокий уровень SCL. Антиспамовое и антивирусное программное обеспечение на почтовых серверах Exchange нередко используются совместно, но, даже несмотря на две линии обороны (защитный хост и серверное антиспамовое программное обеспечение), некоторая часть спама все же попадает к пользователю. В прошлом, если пользователи Microsoft Outlook хотели максимально защититься от спама, им приходилось устанавливать программы производства независимых поставщиков. Теперь Microsoft включила в состав Microsoft Office Outlook 2003 почтовый фильтр Junk E-mail Filter, причем его можно устанавливать начиная с Exchange Server 5.5. Я убедился, что Outlook 2003 блокирует большую часть спама, но если необходимо отсечь весь спам, придется устанавливать множество линий защиты.

Обнаружение почтового «мусора»

Программное обеспечение, предназначенное для обнаружения спама, использует сочетание различных методов выявления сорной почты. Один из них состоит в анализе адреса отправителя и блокировке сообщений, пришедших от «заслуженных спамеров» из «черных» списков — Realtime Blackhole Lists (RBL); другой способ заключается в проверке атрибутов сообщения (например, поля subject) и контента на предмет упоминания таких слов, как Viagra и porn. Подобные проверки можно выполнять с помощью правил Outlook, но работа почтового клиента при этом замедляется — правила предназначены не для этого. Антиспамовые программы обычно поддерживают словари ключевых слов или фраз, а для проверки сообщений по словарю используют заранее скомпилированный код, что ускоряет процесс обработки сообщений во много раз.

Программы обнаружения также анализируют структуру спам-сообщений на соответствие некоторым типичным шаблонам. Создается впечатление, что авторы спама не могут обойтись без выражения эмоций в рассылаемых сообщениях и использования огромного количества восклицательных знаков. Если программа обнаружения насчитывает в сообщении 20 восклицательных знаков, то, по всей вероятности, это спам. Однако может оказаться, что автор сообщения — просто энтузиаст из коммерческого отдела. Программа обнаружения также способна поискать «отпечатки пальцев» в широко распространенных «мусорных» сообщениях. Разработчики антиспамового программного обеспечения постоянно исследуют известный спам и анализируют контент сообщений для создания своеобразных «отпечатков пальцев» (которые, как правило, потом включаются в состав словарей). В дальнейшем программные фильтры легко распознают сообщения с аналогичными «отпечатками».

В Exchange 2003 обновлены функции фильтрации соединений и блокировки почты от неавторизованных отправителей. Администратор Exchange 2003 может подписаться на обновление списков RBL и подключить к ним фильтры соединений. Возможно, это позволит избежать необходимости покупать дополнительное антиспамовое программное обеспечение. Дополнение Exchange/RBL стоит недорого, но нужно следить за актуальностью RBL, чтобы Exchange вовремя получал информацию о самых последних зарегистрированных спамерах. Кроме того, если для борьбы со спамом используется только какой-то один список, остается надеяться только на то, что его провайдер интересуется новыми технологиями борьбы со спамом и сам надежно защищен от атак типа Denial of Service (DoS). Подписка на большое количество «черных» списков уменьшает подобный риск, но это требует дополнительных расходов. Покупку и развертывание антиспамового программного обеспечения коммерческого качества осуществить гораздо проще, особенно для промышленных серверов, поддерживающих несколько сотен почтовых ящиков.

В самых последних программах подавления несанкционированной почты используются аналитические приемы отслеживания спамерских атак на ранних этапах. Специальные сетевые анализаторы (пробники) ведут мониторинг трафика, проходящего через Internet, и отслеживают всплески трафика на почтовом сервере; такие всплески могут появиться в результате генерации спамерами сотен тысяч сообщений с однотипным контентом. Пробники применяют алгоритмы, похожие на те, что используются при генерации значений хеш-функции для электронных подписей на основе контента сообщения, и затем сохраняют полученную подпись в базе данных. После этого антиспамовая программа сопоставляет новые сообщения и цифровые подписи базы и определяет, не является ли сообщение спамом. Этот технический прием работает только на серверах, в клиентском программном обеспечении он пока не используется.

Все версии Outlook поддерживают правила, которые позволяют автоматизировать наиболее общие задачи, такие как перемещение сообщений от конкретного отравителя в назначенную папку. В Outlook 2002 (и более ранних версиях) предпринимались попытки использовать набор стандартных правил для фильтрации почтового «мусора». Однако возросший объем такого «мусора» и применяемые спамерами хитроумные способы маскировки привели к тому, что спам не обнаруживался, и такой подход к борьбе со спамом утратил эффективность, к тому же использование правил сильно замедляло работу. Функция Outlook 2003 Junk E-mail Filter уже не использует старый способ обнаружения спама на основе правил (и, соответственно, необходимость поддерживать статические «черные» списки ключевых слов и отправителей отпадает). Вместо этого Outlook 2003 применяет комбинацию скомпилированного кода и словарей для обнаружения спама — подход, который сформировался в результате анализа текстов, проведенных Microsoft Research. MAPILab, небольшая компания, специализирующаяся на создании дополнительных модулей для Outlook, недавно провела углубленное исследование работы Outlook 2003 Junk E-mail Filter. Дополнительная информация содержится в статье http://www.mapilab.com/news/0042.html. Словарь хранится в файле program filesmicrosoft officeoffice 11 dictionaryoutlfltr.dat, его размер около 2 Мбайт. Содержание и точность словаря играют решающую роль в работе модуля Junk E-mail Filter, и Microsoft регулярно публикует обновления с самой свежей информацией о новых сообщениях, содержащих спам. Впервые такое обновление появилось в декабре 2003 года, как было сказано в статье Microsoft «Overview of the Outlook 2003 Junk E-mail Filter Update: December 16, 2003» (http://support.microsoft.com/?kbid=832333).

Обратите внимание, что, поскольку Outlook 2003 Junk E-mail Filter работает на клиенте, этот фильтр можно задействовать только в том случае, если настроить Outlook 2003 на режим Cached Exchange Mode или подключиться к серверам POP3 или IMAP4 (использование этих протоколов означает, что сообщения всегда размещаются в локальном хранилище для последующей обработки). Применение Junk E-mail Filter также возможно, если настроить Outlook для загрузки сообщений в файл Personal Folders (.pst), но с появлением Cached Exchange Mode такая конфигурация клиента считается уже устаревшей и применять ее есть смысл только при небольших квотах, налагаемых на почтовые ящики. Специалисты Microsoft разрабатывали Outlook для подключения к почтовым ящикам Exchange по традиционной схеме клиент-сервер и для обработки сообщений в оперативном режиме, но теперь Outlook необходимо выбрать контент сообщения из Exchange до того, как начнет действовать фильтр клиента. Такой подход работает для сообщений небольшого размера, но сетевые накладные расходы из-за требований предварительной выборки контента для проверки на спам очень быстро становятся непомерно высокими, поэтому Outlook ограничивается только обработкой локального контента.

В Outlook 2002 (и более ранних версиях) действительно сложную фильтрацию с помощью правил осуществить невозможно. С помощью антиспамового программного обеспечения, работающего на стороне сервера или клиента, это можно сделать, но вместе с тем Outlook 2003 Junk E-mail Filter в состоянии подавить высокий процент спама, который проходит сквозь все линии защиты и достигает папки Inbox. Таким образом, Outlook 2003 Junk E-mail Filter можно рассматривать как дополнительный уровень защиты от спама, подобно тому как запущенную на станции клиента антивирусную программу можно считать дополнением к антивирусному программному обеспечению, установленному на сервере. Outlook 2003 Junk E-mail Filter — одна из многочисленных программ борьбы со спамом, предназначенных для запуска на станции клиента. Дополнительная информация о том, как отыскать подобные программы, содержится во врезке «Другие программы борьбы со спамом».

Как работает Junk E-mail Filter

Если пользователь устанавливает некоторый уровень защиты от спама, Outlook 2003 сразу же после запуска начинает обработку новых сообщений по мере их поступления в Inbox. Если не требуется, чтобы Outlook просматривал почту на предмет выявления спама, следует выбрать Options в меню Tools, щелкнуть Junk E-mail, перейти на вкладку Options (см. экран 1) и выбрать параметр No Automatic Filtering. По умолчанию Junk E-mail Filter настроен на уровень защиты Low, означающий, что Outlook будет отбирать только очевидный спам. Некоторые пользователи очень настороженно относятся к фильтрации и оставляют защиту на уровне Low. Я решил установить уровень High — в этом случае Outlook активно проверяет сообщения на спам и перемещает любые сообщения, которые кажутся модулю фильтрации подозрительными, в каталог Junk E-mail. Outlook автоматически создает каталог Junk E-mail, если он отсутствует, и не предоставляет никаких настроек, чтобы изменить местоположение этого каталога. На вкладке Options есть настройка, которая позволяет сразу удалять почтовый мусор без возможности восстановления в будущем (аналог использования Shift+Delete для удаления сообщений без перемещения их в папку Deleted Items). Я не рекомендовал бы использовать эту настройку до тех пор, пока степень доверия спам-фильтрам Outlook не будет достаточно высокой. А до тех пор следует установить уровень High и периодически проверять папку Junk E-mail — не отфильтрованы ли нужные сообщения. В моем случае работа фильтров на уровне High оказалась настолько качественной, что теперь я использую Outlook с настройкой удалять любой спам (Permanently delete...), который будет обнаружен.

Изменить алгоритм, который используется в Outlook 2003 для определения, является ли сообщение спамом, нельзя, но можно помочь Outlook повысить степень точности путем создания списков надежных отправителей (safe senders) и блокированных отправителей (blocked senders). Список надежных отправителей состоит из почтовых адресов, с которых отправленные вам сообщения признаются допустимыми, и Outlook не будет маркировать их как спам. Список блокированных отправителей, напротив, состоит из адресов или доменов, все сообщения от которых считаются спамом. Чтобы блокировать отправителя, следует открыть контекстное меню сообщения и выбрать Junk E-mail, Add Sender to Blocked Senders List. Outlook добавит почтовый адрес отправителя в свой список известных спамеров. В этот список можно добавить любого, кто не входит в глобальный список адресов, Global Address List (GAL). Чтобы блокировать сообщение от адресата из глобального списка, следует использовать обычные правила Outlook.

Outlook Junk E-mail Filter выполняет следующие действия.

  • Проверка адресов почтовых сообщений по списку контактов. Предполагается, что сообщение, отправленное с любого адреса из этого списка, является надежным.
  • Проверка адресов почтовых сообщений по списку GAL. Предполагается, что вы хотите получать письма с любого адреса из этого списка.
  • Проверка адресов почтовых сообщений по списку Safe Senders List. Предполагается, что вы хотите получать письма с любого адреса из этого списка.
  • Проверка адресов почтовых сообщений по списку Safe Recipients List (чуть позже я расскажу о нем). Предполагается, что сообщение с любого адреса из этого списка проходит фильтры.
  • Проверка адресов почтовых сообщений по списку Blocked Senders List и перемещение всех сообщений с любого адреса из этого списка в папку Junk E-mail.
  • Запуск фильтра, анализирующего контент сообщений на спам. Фильтр производит ранжирование (под ранжированием в данном случае понимается определение некоторого числа в диапазоне от 1 до 100) и определяет, насколько данное сообщение подходит под определение спам. Чем больше число, тем выше вероятность, что сообщение представляет собой спам. После определения ранга Outlook решает, нужно ли перемещать сообщение в папку Junk E-mail. Если установлен низкий уровень защиты, Low, Outlook даже при относительно высоком ранге будет посылать сообщения в Inbox. Если установлен высокий уровень защиты, High, то даже при меньших значениях ранга Outlook направит сообщение в папку Junk E-mail.

Как уже отмечалось, следует на всякий случай время от времени проверять сообщения в папке Junk E-mail перед тем, как их оттуда окончательно удалить. Может быть, выяснится, что выбранный уровень защиты слишком высок и что Outlook переносит вполне корректные сообщения в папку Junk E-mail. Если Outlook постоянно фильтрует сообщения от какого-то определенного легитимного корреспондента, можно добавить его почтовый адрес в список Safe Senders List и тем самым решить проблему.

Список надежных реципиентов (Safe Recipients List)

Назначение списков Blocked Senders List и Safe Senders List понятно; цель создания Safe Recipients List не столь очевидна. Фактически надежный адресат (safe recipient) — это список рассылки, distribution list (DL), или новостная группа (newsgroup), от которых вы хотите получать корреспонденцию. Вы не управляете членством в DL или новостной группе, но предполагаете, что администратор не позволяет участникам списков рассылать спам. Вы сообщаете Outlook, что хотите получать сообщения, отправленные с некоторого адреса DL или новостной группы, помещая этот адрес в список Safe Recipients List.

Создание и совместное использование списков

Через некоторое время у администратора накапливается список блокированных отправителей, которым он может поделиться с кем-то еще. Можно передать в общее пользование списки как надежных адресатов, так и надежных отправителей — есть возможность экспортировать данные из любого списка или импортировать их в любой список. Для этого следует перейти на вкладку Blocked Senders в окне Junk E-mail Options и щелкнуть Export to File. Будет сгенерирован текстовый файл, который можно подправить в любом редакторе. Можно добавить в конец списка записи, полученные от других пользователей, и передать обновленный список известных спамеров в совместное пользование в централизованное хранилище, чтобы любой желающий мог импортировать его в Outlook.

Стоит отметить, что можно добавить в свой список Blocked Senders List целые домены, блокируя тем самым любые попытки послать на ваш адрес почтовое сообщение из определенного домена. Но не стоит проявлять слишком большой энтузиазм, добавляя всех подряд в Blocked Senders List, поскольку длинные списки замедляют время обработки почты.

Производительность

Даже самые современные многоуровневые механизмы защиты от сетевого спама не в состоянии обеспечить абсолютную защиту, часть сообщений все же обходит линию обороны. Если вы наберетесь терпения и каждого отправителя спама, прошедшего Junk E-mail Filter, будете добавлять в список Blocked Senders List, способность Outlook распознавать и блокировать новый спам мало-помалу начнет расти. В моем случае модуль Junk E-mail Filter перехватывал большинство сообщений, которые пробились сквозь защитный хост компании и серверные фильтры, и до Inbox доходило совсем немного спама.

В Outlook 2002 (и более ранних версиях) наличие правил поможет сократить время доставки сообщений, особенно когда правила связаны со сложной обработкой, необходимой для обнаружения спама. Outlook 2003 кэширует свои рабочие списки и использует откомпилированный код Junk E-mail Filter, поэтому производительность почтового клиента остается приемлемой. Я, например, не заметил никаких задержек в работе при наличии 40 записей в Blocked Senders List. Outlook 2003 не начинает фильтрацию мусора, пока полностью не будут загружены заголовок и контент новых сообщений. Поэтому при известной сноровке можно увидеть, как сообщение появляется в Inbox, а затем пропадает оттуда, после того как Outlook проверит контент сообщения, выяснит, что это спам, и переместит его в папку Junk E-mail. Если бы не эта «улика», никто бы и не догадался, что происходит обработка спама.

Соединение Exchange 2003

Outlook 2003 дополнительно подчеркивает некоторые преимущества в работе Exchange 2003. Клиентское программное обеспечение хранит списки Safe Senders List и Blocked Senders List (а также настройки Junk E-mail Filter) в виде свойств почтовых ящиков, и поэтому Outlook Web Access (OWA) 2003 может использовать те же самые данные для проверки сообщений на спам. На экране 2 показан список Blocked Senders List для почтового ящика в том виде, в каком он отображается в OWA 2003.

Экран 2. Список блокированных отправителей в OWA 2003

Антиспамовое программное обеспечение, работающее на серверах Exchange 2003, также может воспользоваться информацией о блокированных отправителях, и Exchange 2003 отправит послания от адресатов Blocked Senders List непосредственно в папку Junk E-mail, как только такие сообщения окажутся на сервере (еще до того, как Outlook успеет вмешаться). Это означает, что клиент не ограничен ни в смысле сетевого трафика (не нужно загружать сообщение), ни с точки зрения затрат процессорного времени на обработку сообщения.

Стоит добавить, что OWA 2003, как и Outlook 2003, блокирует внешний контент, не позволяя спамерам установить, является ли атакуемый почтовый адрес действующим. Контент может содержать своеобразный «маячок» (Web-beacon), малюсенький и часто незаметный графический файл; как только клиент открывает сообщение для просмотра, «маячок» сигнализирует спамеру, что сообщение достигло пункта назначения, то есть адрес «живой». Золотое правило в этом случае — никогда не загружать что бы то ни было, если вы не уверены в источнике сообщения. Outlook 2003 и OWA 2003 покажет графический контент сообщения, которое пришло от отправителя из списка Safe Senders List. Например, я добавил Amazon.com в свой Safe Senders List, поэтому я получаю подтверждения с этого сайта после оформления того или иного заказа. Также я добавил Unitedcomics.com, чтобы регулярно получать авторские комиксы, которые компания рассылает по электронной почте.

Outlook не в состоянии подавить весь спам, который приходит на адрес организации, поэтому надо готовиться к развертыванию защитных хостов и антиспамового программного обеспечения, чтобы отбросить как можно больше спама до того, как он достигнет почтового клиента. Но, конечно же, любое средство борьбы со спамом приветствуется, поэтому меня устраивают возможности блокировки спама, встроенные в клиентское программное обеспечение 2003.


Другие программы борьбы со спамом в Outlook

Что делать, если Microsoft Office Outlook 2003 на компьютере не установлен, но избавляться от спама тем не менее как-то надо? Существует множество независимых разработчиков расширений для Outlook и Outlook Express. Результат поиска в Google «Spam» + «Outlook» составил 13 страниц. Имея столь богатый выбор, как правильно подобрать подходящую программу для конкретной организации? Один из методов принятия решения состоит в загрузке пробной версии программы с Web-сайта производителя и ее тестировании с использованием тестовой учетной записи, чей почтовый адрес хорошо известен распространителям спама. В списки спамеров попасть очень просто — достаточно вывесить какое-либо объявление на серверах, с которых спамеры получают адреса своих «жертв». Или, как вариант, заведите учетную запись на бесплатном почтовом сервере — таком, как MSN Hotmail или Yahoo! — и используйте его для той же самой цели (вероятно, это даже лучше, поскольку тестирование расширения проще выполнить для Outlook Express, чем для Outlook).

Альтернативный подход описан на сайте Slipstick.com. Там же можно найти полезную информацию о расширениях Outlook (см. список http://www.slipstick.com/rules/junkmail.htm#tools).


Тони Редмонд — редактор Windows 2000 Magazine, вице-президент в Compaq Global Servises. С ним можно связаться по адресу: exchguru@win2000mag.com

Поделитесь материалом с коллегами и друзьями