Глава 01Что такое спам

История спама

1978
первая рассылка по e-mail
1994
первая рекламная рассылка в сети Usenet
1996-1998
массовое распространение спама
более

Что такое спам?

Спам - рассылка сообщений по электронной почте
Незапрошенная
Массовая
Анонимная

Что НЕ является спамом?

Регулярные подписные рассылки
Автоматические ответы серверов
Рассылки «вручную» от менеджеров по

Цели рассылки спама

Реклама
Мошенничество
фишинг
«нигерийские письма»
Рассылка вредоносного ПО
Черный PR, игра на бирже
Политическая агитация

Пример рекламного спама

Пример фишинга

Пример «биржевого» спама

Спам – это выгодно

Дешевый контакт с получателем для рекламодателя
Доходы от рекламы для

Ущерб от спама

Потеря времени сотрудников
до 2% общего рабочего времени
Затраты времени ИТ-персонала
до 50%

Глава 02 Технологии рассылки спама

Прямая рассылка

Используется небольшими компаниями
Не используются специфические технологии отправки и обхода спам-фильтров
Используется собственный

Рассылка с выделенного сервера

Аренда или установка сервера у провайдера
Прямая рассылка (с выделенного

Рассылка через dial-up провайдеров

Дешевый, быстрый, анонимный спам
Норма
отправка через сервер провайдера
Уловка
отправка напрямую получателю
Способ

Использование открытых релеев (Open Relay)

Что такое открытый релей?
Бесплатно и анонимно
чужой сервер
чужой IP
Борьба

Использование зомби-сетей

Самый распространенный способ рассылки
Самый технически сложный способ рассылки
Тесная интеграция с вирусным

Особенности работы зомби-сетей

«Быстрая и глупая» сеть
рост скоростей рассылки с появлением зомби-сетей
«Медленная, но

Длительность рассылки

Дни
Прямая рассылка
Dial-up аккаунты
Открытые релеи
Часы
Собственный сервер на площадке провайдера
«Медленные» зомби-сети
Менее часа
«Быстрые» зомби-сети

Базы адресов для рассылки

Программы-роботы
поиск адресов на веб-страницах
в форумах
блогах и т.д.
Продажа спамерам баз

Приемы для обмана спам-фильтров

Подмена адреса отправителя
Искажения текста: V!A_GrA
Мусорный текст – в конце

Примеры графического спама

Анимированный спам: отдельные кадры

Приемы социальной инженерии

Социальная инженерия – методы манипулирования человеком для побуждения его к

Глава 03 Технологии борьбы со спамом

Основные методы борьбы

Черные списки
IP адресов – DNSBL (RBL)
URL в теле письма –

DNSBL (RBL)

RBL (торговая марка) – Real-time Blackhole List
DNSBL – DNS Black List
Содержит

URIBL (URL BL)

URI = URL = Uniform Resource Locator
URIBL – база данных

Grey listing

Письмо с «нового» адреса не принимается, сервер дает отправителю команду «Повтори попытку

SPF (а также SenderID, DomainKeys…)

Подтверждают, что домен сервера-отправителя не подделан
Требуют ряда действий

Лингвистический анализ

Ведение базы данных лексикона спама (вендор)
Постоянное обновление базы данных (вендор)
Автоматический анализ

Анализ массовых рассылок

Определяет спам на основании начала массовой рассылки одинаковых/схожих сообщений самым

Обучающиеся алгоритмы (Байес и др.)

Самый большой миф в области антиспама
Обучение на «хороших»

Эвристика

Принцип, используемый во многих методах
эвристический анализ подразумевает начисление некоторых «баллов» письму,

Комплексный подход

Один метод не может учесть все аспекты
Каждый метод имеет свои преимущества
Каждый

Глава 04 Оценка эффективности антиспам-решений

Detection rate

Показатель качества спам-фильтра №1
DR = число детектированных спам-писем / число всех спам-писем

Уровень ложных срабатываний (FPR)

Тоже показатель качества спам-фильтра №1
FPR = число «чистых» писем,

«Быстрая» оценка эффективности решения

Берем почтовые ящики куда приходит только спам (не менее

«Быстрое» сравнение продуктов

Берем тот же источник «условного спама»
Устанавливаем несколько альтернативных фильтров
Подаем на

Полное тестирование

Фильтрация
режим реального времени
Длительность теста
не менее 2 недель
Адресов для тестирования
не менее 20
Аккуратнее

Типичные ошибки при тестировании

«Мне приходит много спама»
А сколько не приходит?
«Почему фильтр не

Типичные ошибки при тестировании

«Доля спама всего 50% ..!»
Считаем detection rate, не долю
«Фильтр

Ошибки при использовании Kaspersky Anti-Spam

Обновления не работают или настроены реже, чем рекомендовано
Отключена

Глава 05 Kaspersky AntiSpam 3.0

KAS в линейке продуктов Лаборатории Касперского

Схема интеграции KAS

Процесс анализа почтовых сообщений

Технология Urgent Detection System

Поддерживаемые платформы и почтовые системы

Red Hat Linux / Fedora Core / Enterprise

Системные требования

Минимальные требования
Intel Pentium III 500МГц, 512Мб
Рекомендуемая конфигурация
Intel Pentium IV 2.4ГГц, 1024Мб

Производительность и статистика

Производительность
более 2,5 млн. сообщений в сутки (сервер P4-2,6 ГГц /

Основные возможности KAS: функционал

Управление настройками фильтрации на основе групповых политик
Обработка сообщений на

Веб-интерфейс

Статистика фильтрации