Глава 01Что такое спам

Содержание

Слайд 2

История спама

1978
первая рассылка по e-mail
1994
первая рекламная рассылка в сети Usenet
1996-1998
массовое распространение спама
более

История спама 1978 первая рассылка по e-mail 1994 первая рекламная рассылка в
50% всей почты - спам
1997
появление средств для борьбы со спамом (DNSBL, SpamAssassin.org)
Наши дни
спам во всех областях электронных коммуникаций

Слайд 3

Что такое спам?

Спам - рассылка сообщений по электронной почте
Незапрошенная
Массовая
Анонимная

Что такое спам? Спам - рассылка сообщений по электронной почте Незапрошенная Массовая Анонимная

Слайд 4

Что НЕ является спамом?

Регулярные подписные рассылки
Автоматические ответы серверов
Рассылки «вручную» от менеджеров по

Что НЕ является спамом? Регулярные подписные рассылки Автоматические ответы серверов Рассылки «вручную»
продажам
Просто «нежелательные» сообщения

Слайд 5

Цели рассылки спама

Реклама
Мошенничество
фишинг
«нигерийские письма»
Рассылка вредоносного ПО
Черный PR, игра на бирже
Политическая агитация

Цели рассылки спама Реклама Мошенничество фишинг «нигерийские письма» Рассылка вредоносного ПО Черный

Слайд 6

Пример рекламного спама

Пример рекламного спама

Слайд 7

Пример фишинга

Пример фишинга

Слайд 8

Пример «биржевого» спама

Пример «биржевого» спама

Слайд 9

Спам – это выгодно

Дешевый контакт с получателем для рекламодателя
Доходы от рекламы для

Спам – это выгодно Дешевый контакт с получателем для рекламодателя Доходы от
спамера
Продажа/использование похищенных банковских данных
Косвенные доходы от спама
при игре на бирже
агитации
PR и т.д.

Слайд 10

Ущерб от спама

Потеря времени сотрудников
до 2% общего рабочего времени
Затраты времени ИТ-персонала
до 50%

Ущерб от спама Потеря времени сотрудников до 2% общего рабочего времени Затраты
при работе с почтовыми системами
Инвестиции в ИТ-инфраструктуру
до 90% нагрузки на сервера - спам
Увеличение интернет-трафика
70-90% всего почтового трафика - спам
Риск вирусных атак и фишинга в спаме

Слайд 11

Глава 02 Технологии рассылки спама

Глава 02 Технологии рассылки спама

Слайд 12

Прямая рассылка

Используется небольшими компаниями
Не используются специфические технологии отправки и обхода спам-фильтров
Используется собственный

Прямая рассылка Используется небольшими компаниями Не используются специфические технологии отправки и обхода
виртуальный или физический почтовый сервер
Легко идентифицируется и блокируется ISP

Слайд 13

Рассылка с выделенного сервера

Аренда или установка сервера у провайдера
Прямая рассылка (с выделенного

Рассылка с выделенного сервера Аренда или установка сервера у провайдера Прямая рассылка
сервера)
Легко идентифицируется ISP…
…если ISP хочет это идентифицировать

Слайд 14

Рассылка через dial-up провайдеров

Дешевый, быстрый, анонимный спам
Норма
отправка через сервер провайдера
Уловка
отправка напрямую получателю
Способ

Рассылка через dial-up провайдеров Дешевый, быстрый, анонимный спам Норма отправка через сервер
борьбы
Dial-Up Users List (DUL)

Слайд 15

Использование открытых релеев (Open Relay)

Что такое открытый релей?
Бесплатно и анонимно
чужой сервер
чужой IP
Борьба

Использование открытых релеев (Open Relay) Что такое открытый релей? Бесплатно и анонимно
с открытыми релеями, «черные списки»

Слайд 16

Использование зомби-сетей

Самый распространенный способ рассылки
Самый технически сложный способ рассылки
Тесная интеграция с вирусным

Использование зомби-сетей Самый распространенный способ рассылки Самый технически сложный способ рассылки Тесная
сообществом
Принцип работы зомби-сети
Заражение ПК
Получение команды от Управляющего Центра
Рассылка спама незаметно для владельца ПК

Слайд 17

Особенности работы зомби-сетей

«Быстрая и глупая» сеть
рост скоростей рассылки с появлением зомби-сетей
«Медленная, но

Особенности работы зомби-сетей «Быстрая и глупая» сеть рост скоростей рассылки с появлением
умная» сеть
усложнение технологий рассылки
Сложности в борьбе с зомби-сетями
динамический состав зомби-сетей
нельзя заблокировать по IP на 100%
устойчивость зомби-сетей
нельзя «выключить» как открытый релей или сервер

Слайд 18

Длительность рассылки

Дни
Прямая рассылка
Dial-up аккаунты
Открытые релеи
Часы
Собственный сервер на площадке провайдера
«Медленные» зомби-сети
Менее часа
«Быстрые» зомби-сети

Длительность рассылки Дни Прямая рассылка Dial-up аккаунты Открытые релеи Часы Собственный сервер

Слайд 19

Базы адресов для рассылки

Программы-роботы
поиск адресов на веб-страницах
в форумах
блогах и т.д.
Продажа спамерам баз

Базы адресов для рассылки Программы-роботы поиск адресов на веб-страницах в форумах блогах
email-адресов своих клиентов нечистыми на руку компаниями
Генерация случайных имен и использование словарей наиболее популярных имен (info@, sales@, john@ и т.д.)

Слайд 20

Приемы для обмана спам-фильтров

Подмена адреса отправителя
Искажения текста: V!A_GrA
Мусорный текст – в конце

Приемы для обмана спам-фильтров Подмена адреса отправителя Искажения текста: V!A_GrA Мусорный текст
письма, белый на белом и др.
Спам в картинках
Анимированный спам
… множество других способов

Слайд 21

Примеры графического спама

Примеры графического спама

Слайд 22

Анимированный спам: отдельные кадры

Анимированный спам: отдельные кадры

Слайд 23

Приемы социальной инженерии

Социальная инженерия – методы манипулирования человеком для побуждения его к

Приемы социальной инженерии Социальная инженерия – методы манипулирования человеком для побуждения его
неким действиям.
Применение в спаме
Фишинг
Нигерийские письма
«Биржевой спам»

Слайд 24

Глава 03 Технологии борьбы со спамом

Глава 03 Технологии борьбы со спамом

Слайд 25

Основные методы борьбы

Черные списки
IP адресов – DNSBL (RBL)
URL в теле письма –

Основные методы борьбы Черные списки IP адресов – DNSBL (RBL) URL в
URIBL
Greylisting
«серые» списки IP адресов
Авторизация отправителя письма
SPF, Sender ID, DomainKeys
Лингвистический и эвристический анализ
Анализ массовости рассылок в Интернет
Самообучаемые фильтры
Байес и др.

Слайд 26

DNSBL (RBL)

RBL (торговая марка) – Real-time Blackhole List
DNSBL – DNS Black List
Содержит

DNSBL (RBL) RBL (торговая марка) – Real-time Blackhole List DNSBL – DNS
базу данных IP с которых рассылается спам
«Срок жизни» IP в базе данных ограничен
Виды DNSBL
Коммерческие, предоставляемые как сервис
Бесплатные, существующие как open source проекты
Собственные «черные списки» для собственных нужд
Плюсы
бесплатность
экономия трафика
Минусы
ложные срабатывания
сложность обнаружения ложных срабатываний

Слайд 27

URIBL (URL BL)

URI = URL = Uniform Resource Locator
URIBL – база данных

URIBL (URL BL) URI = URL = Uniform Resource Locator URIBL –
ссылок, рекламируемых в спаме
SURBL.org – один из бесплатных сервисов
Плюсы
точная работа
Минусы
не дает всеобъемлющей картины

Слайд 28

Grey listing

Письмо с «нового» адреса не принимается, сервер дает отправителю команду «Повтори попытку

Grey listing Письмо с «нового» адреса не принимается, сервер дает отправителю команду
позже»
Легальный сервер выполнит команду, спамерский – повторит попытку сразу же
На основании поведения сервера-отправителя письмо заносится в «черный» или «белый» список

Слайд 29

SPF (а также SenderID, DomainKeys…)

Подтверждают, что домен сервера-отправителя не подделан
Требуют ряда действий

SPF (а также SenderID, DomainKeys…) Подтверждают, что домен сервера-отправителя не подделан Требуют
от домена-отправителя для того, чтобы проверка могла работать
данные технологии поддерживают лишь 1-2% почтовых систем в Интернет
Сами по себе не определяют спам, а дают лишь дополнительную информацию для анализа

Слайд 30

Лингвистический анализ

Ведение базы данных лексикона спама (вендор)
Постоянное обновление базы данных (вендор)
Автоматический анализ

Лингвистический анализ Ведение базы данных лексикона спама (вендор) Постоянное обновление базы данных
текста сообщения на основании частоты и характера употребления «спамерской» лексики в сообщении (спам-фильтр)
Плюсы
при грамотной реализации – очень точно определяет спам
Минусы
требует обновлений и быстрой реакции вендора
бессилен против графического спама

Слайд 31

Анализ массовых рассылок

Определяет спам на основании начала массовой рассылки одинаковых/схожих сообщений самым

Анализ массовых рассылок Определяет спам на основании начала массовой рассылки одинаковых/схожих сообщений
разным получателям
Требует доступа к статистике крупных почтовых систем (например, Commtouch)

Слайд 32

Обучающиеся алгоритмы (Байес и др.)

Самый большой миф в области антиспама
Обучение на «хороших»

Обучающиеся алгоритмы (Байес и др.) Самый большой миф в области антиспама Обучение
и «плохих» письмах
Плюсы
не требует обновлений
Минусы
несложно обмануть
требует активного участия пользователя

Слайд 33

Эвристика

Принцип, используемый во многих методах
эвристический анализ подразумевает начисление некоторых «баллов» письму,

Эвристика Принцип, используемый во многих методах эвристический анализ подразумевает начисление некоторых «баллов»
и затем – отнесение его к спаму (или нет) на основании суммы баллов
Эвристика применяется в...
...лингвистическом анализе (баллы за каждое «подозрительное» слово)
...анализе технических параметров («конверта») письма: заголовков, полей From и To и т.д.
...и самое главное – при комплексном подходе к фильтрации спама

Слайд 34

Комплексный подход

Один метод не может учесть все аспекты
Каждый метод имеет свои преимущества
Каждый

Комплексный подход Один метод не может учесть все аспекты Каждый метод имеет
метод имеет недостатки
Все наиболее известные антиспам-продукты используют комплексный подход

Слайд 35

Глава 04 Оценка эффективности антиспам-решений

Глава 04 Оценка эффективности антиспам-решений

Слайд 36

Detection rate

Показатель качества спам-фильтра №1
DR = число детектированных спам-писем / число всех спам-писем

Detection rate Показатель качества спам-фильтра №1 DR = число детектированных спам-писем /
в почтовом потоке
Пример
получено 110 писем, 100 из них спам
помечено как спам 90 писем… DR = ?
DR невозможно вычислить автоматически

Слайд 37

Уровень ложных срабатываний (FPR)

Тоже показатель качества спам-фильтра №1
FPR = число «чистых» писем,

Уровень ложных срабатываний (FPR) Тоже показатель качества спам-фильтра №1 FPR = число
ошибочно помеченных как спам / число всех «чистых» писем
FPR невозможно вычислить автоматически
Важность показателя и маркетинговые уловки вендоров

Слайд 38

«Быстрая» оценка эффективности решения

Берем почтовые ящики куда приходит только спам (не менее

«Быстрая» оценка эффективности решения Берем почтовые ящики куда приходит только спам (не
99% от всей приходящей почты)
Фильтруем продуктом эти ящики, оцениваем долю почты, помеченной как спам
Быстрый подход имеет свои недостатки
Не оценивается уровень ложных срабатываний
Тестирование менее 2 недель не всегда дает точные результаты
Наличие «специфики конкретного почтового ящика»

Слайд 39

«Быстрое» сравнение продуктов

Берем тот же источник «условного спама»
Устанавливаем несколько альтернативных фильтров
Подаем на

«Быстрое» сравнение продуктов Берем тот же источник «условного спама» Устанавливаем несколько альтернативных
вход каждому идентичный поток почты
Сравниваем долю отсева почты для каждого
Помним про те же минусы «быстрого» подхода

Слайд 40

Полное тестирование

Фильтрация
режим реального времени
Длительность теста
не менее 2 недель
Адресов для тестирования
не менее 20
Аккуратнее

Полное тестирование Фильтрация режим реального времени Длительность теста не менее 2 недель
с пересылкой в Windows
Поставьте все фильтры в равные условия

Слайд 41

Типичные ошибки при тестировании

«Мне приходит много спама»
А сколько не приходит?
«Почему фильтр не

Типичные ошибки при тестировании «Мне приходит много спама» А сколько не приходит?
блокирует 100% спама?»
Потому что это невозможно
«Мы протестировали на нашей спам-коллекции…»
Никаких спам-коллекций!

Слайд 42

Типичные ошибки при тестировании

«Доля спама всего 50% ..!»
Считаем detection rate, не долю
«Фильтр

Типичные ошибки при тестировании «Доля спама всего 50% ..!» Считаем detection rate,
установили, пользователям не сказали»
Пользователи должны знать как фильтруется их почта!
«Фильтр А поймал то, что фильтр Б пропустил!»
Фильтры нельзя тестировать последовательно!

Слайд 43

Ошибки при использовании Kaspersky Anti-Spam

Обновления не работают или настроены реже, чем рекомендовано
Отключена

Ошибки при использовании Kaspersky Anti-Spam Обновления не работают или настроены реже, чем
технология UDS
Отключено использование DNSBL
Используется устаревшая версия продукта

Слайд 44

Глава 05 Kaspersky AntiSpam 3.0

Глава 05 Kaspersky AntiSpam 3.0

Слайд 45

KAS в линейке продуктов Лаборатории Касперского

KAS в линейке продуктов Лаборатории Касперского

Слайд 46

Схема интеграции KAS

Схема интеграции KAS

Слайд 47

Процесс анализа почтовых сообщений

Процесс анализа почтовых сообщений

Слайд 48

Технология Urgent Detection System

Технология Urgent Detection System

Слайд 49

Поддерживаемые платформы и почтовые системы

Red Hat Linux / Fedora Core / Enterprise

Поддерживаемые платформы и почтовые системы Red Hat Linux / Fedora Core /
Advanced Server
SuSE Linux Professional / Enterprise
Mandrake Linux
Debian GNU/Linux
Free BSD 4.1 / 5.4 6.x (using compat.x)

Почтовые системы (MTA)
Sendmail
Postfix
Exim
Qmail
Communigate Pro

Слайд 50

Системные требования

Минимальные требования
Intel Pentium III 500МГц, 512Мб
Рекомендуемая конфигурация
Intel Pentium IV 2.4ГГц, 1024Мб

Системные требования Минимальные требования Intel Pentium III 500МГц, 512Мб Рекомендуемая конфигурация Intel Pentium IV 2.4ГГц, 1024Мб

Слайд 51

Производительность и статистика

Производительность
более 2,5 млн. сообщений в сутки (сервер P4-2,6 ГГц /

Производительность и статистика Производительность более 2,5 млн. сообщений в сутки (сервер P4-2,6
512 Мб)
более 70 млн. сообщений в сутки (500 Гб трафика) на Mail.Ru
Уровень обнаружения спама
до 97% (Checkmark Anti-Spam Premium)
Уровень ложных срабатываний
менее 1 на 10 000 писем
Размер обновлений
в 3,5 раза меньше, чем в версии 2.0
около 600 Мб в месяц

Слайд 52

Основные возможности KAS: функционал

Управление настройками фильтрации на основе групповых политик
Обработка сообщений на

Основные возможности KAS: функционал Управление настройками фильтрации на основе групповых политик Обработка
основе присвоенного им статуса
Веб-интерфейс
Модуль статистики фильтрации

Слайд 53

Веб-интерфейс

Веб-интерфейс

Слайд 54

Статистика фильтрации

Статистика фильтрации
Имя файла: Глава-01Что-такое-спам.pptx
Количество просмотров: 322
Количество скачиваний: 0