3 апреля 2013

Создаем спаму плохую репутацию

Продукты

Представьте себе мир, где на одно полезное сообщение электронной почты приходится три рекламы, а также послание мошеннического или вредоносного содержания. Внезапно вся радость от всемирного охвата и скорости доставки электронной почты разбивается о массу времени на разгребание этого хлама и ведет к усталости и разочарованию. Именно так могло бы быть, если бы не было антиспам-продуктов и технологий.

Статистика Лаборатории Касперского говорит о том, что спам составляет целых 74,3% от всего трафика электронных посланий. В этот поток включены миллиарды бесполезных, а зачастую и вредоносных сообщений, большинство из которых, к счастью, отсекается специальными фильтрами прежде, чем они попадают в компьютер адресата. Однако, почивать на лаврах не стоит. И Лаборатория Касперского, которая является ведущим поставщиком антиспам-решений, постоянно совершенствует свои продукты и технологические решения, позволяющие эффективно блокировать спам-сообщения. Одна из новейших разработок – фильтрация на основе Технологии Репутации – не просто улучшает показатели выявления новых вспышек нежелательных рассылок, но и помогает в работе спам-аналитикам компании.

Антиспам-специалисты играют важную роль в борьбе против спама, но они остаются потенциально слабым звеном: даже самый талантливый аналитик не может обработать каждое подозрительное сообщение немедленно и всесторонне. Для помощи в решении этой задачи и используется репутационный фильтр в системе Kaspersky Security для Linux Mail Server, берущий на себя часть работы по обнаружению и блокировке нежелательной корреспонденции.

Этот метод оценки репутации сообщений основан на информации из «облачной» системы безопасности, которая доставляется клиенту с использованием технологии Urgent Detection System 2 (UDS2), о которой мы рассказывали ранее. Если совсем просто, то UDS2 делит  все подозрительные сообщения на фрагменты, которым затем присваиваются специальные подписи-метки. Далее эти фрагменты отправляются в «облако», где они сравниваются специалистами Лаборатории Касперского с уже известными образцами спама. Репутация подозрительного сообщения выстраивается, исходя из количества совпадающих фрагментов. Чем больше совпадений, тем выше подозрение, что это спам.

Если же сразу окончательный вердикт вынести невозможно, то письмо проходит так называемый «карантин» и задерживается с доставкой на несколько минут. Этого времени обычно достаточно, чтобы аналитики Лаборатории Касперского сверили сообщение с новейшей базой данных, после чего окончательно классифицировали послание как спам, либо «реабилитировали» его. Важно отметить, что в этом «карантине» бывает не так много сообщений, на рассмотрение попадают лишь самые спорные случаи.

Второй режим работы технологии – когда спам определяется автоматически, основываясь на репутации сообщений. Это применимо там, где нет информации о сообщении в базе данных, но репутационная оценка подтверждает, что это 100% нежелательное сообщение. Впервые этот метод позволяет блокировать спам без активного вмешательства эксперта, сводя при этом ложные срабатывания до минимума.

Иными словами, фильтры на основе репутации сообщения значительно улучшают качество фильтрации спама, повышают возможность блокировки самых «хитрых» нежелательных сообщений. В сочетании с другими технологиями в системе Kaspersky Linux Mail Security, фильтры на основе репутации позволяют пользователям наслаждаться по-настоящему эффективной защитой от нежелательной корреспонденции.