Скачать .docx  

Доклад: Персональный заслон для спама

Роберт Басыров

Несовершенство протоколов, осуществляющих возможность общения пользователей посредством e-mail, позволяет использовать электронную почту как средство несанкционированной рассылки незапрошенных пользователем сообщений. Борьба со спамом стала уже рутиной для постоянных пользователей Интернета. Перепробовав немало программных антиспамных средств, каждый останавливается на чем-то своем. Рекомендуем присмотреться к SpamFilter от компании DeSofto - это вполне достойный вариант антиспамной защиты для частного пользователя.

Каждая из компаний, разрабатывающих антиспамное ПО, имеет свои алгоритмы обнаружения спама, которые обычно не афишируются. DeSofto так же не распространяется о своих принципах обнаружения спама (говорится только, что механизм анализа сообщений представляет собой оптимизированную нейро-сеть). Но и пользователю вряд ли это будет интересно - ему достаточно знать общие принципы работы с программой для создания эффективного антиспамного барьера.

SpamFilter, работая с присылаемой пользователю почтой, анализирует каждое письмо и присваивает письму определенный рейтинг. Рейтинг - это как бы вероятность того, что письмо "нормальное", не спам, он выражается в процентах. Вся работа с программой для пользователя сводится к управлению функциями программы по отношению к этому рейтингу.

Как и любая антиспамерская программа, SpamFilter требует некоторого первичного временного периода на обучение. Величина этого периода обучения зависит от объема приходящего вам спама. Разработчики рекомендуют включать функцию удаления спама на сервере после обучения программы на примере примерно 200 спамерских писем.

Одной из особенностей программы является отсутствие привычного для программ такого типа "белого списка" пользователей. Связано это с тем, что спамеры давно уже научились отсылать письма подставляя в поле "От" любые адреса из своей базы. Поэтому вы можете получить письмо со спамом или вирусом даже от самого себя. В SpamFiltr'е существует автоматически создаваемый "белый список", который виден в закладке "Фильтр".

В программе реализовано 2 метода проверки писем и целых 4 уровня анализа письма. Автоматический "белый список" формируется из писем, прошедших все тесты на спам. При следующем приеме почты письма с этого адреса будут пропускать проверку на стороне сервера. Однако проверка на стороне клиента все равно проводится и в случае подозрения письма от такого адресата на спам, запись сразу же удаляется из этого списка. К тому же у каждой записи есть так называемый "уровень доверия". Если он менее 100%, то запись игнорируется.

SpamFilter осуществляет двухуровневую проверку - сначала "на сервере" (по заголовку письма и по спискам), потом, если письмо классифицируется как "условно нормальное", оно скачивается и проверяется полностью содержимое письма по встроенным алгоритмам.

В период обучения спам будет проходить. Для обучения необходимо несколько раз "скормить" тело письма фильтру: через буфер обмена вставить по кнопке "Спам" или перенести письмо из Outlook Express'а по технологии drag&drop. (Отметим, что с популярным в России почтовым клиентом "the Bat!" технология drag&drop не работает.) В этом случае программа сначала будет откладывать эти письма как подозрительные, а после включения функции автоудаления на стороне сервера - будет удалять даже без скачивания.

Достаточно часто в последнее время рассылается спам либо с пустым телом письма, либо с картинкой в теле письма. Если текста совсем нет, то срабатывает только проверка "на стороне сервера". SpamFilter отбирает такие письма: если нет осмысленного текста, а только картинка или exe-файл, то письмо задерживается. Заметим, что подобной технологией рассылки пользуются и рассыльщики вирусов, получается, что SpamFilter побочно выполняет и функции антивируса.

Включаем защиту

На закладке "Фильтр" пользователь может установить один из пяти уровней защиты:

Нулевой - SpamFilter не работает совсем, скачиваются все письма.

Первый - блокируется известный программе спам на стороне почтового клиента, остальное скачивается полностью для обучения.

Второй - блокируется известный программе спам; на удаление спама, обнаруженного на стороне сервера подается запрос.

Третий - блокируется известный программе спам; на удаление спама, обнаруженного на стороне сервера подается запрос; спам на стороне сервера с рейтингом ниже установленного пользователем удаляется автоматически.

Четвертый - блокируется известный программе спам; спам на стороне сервера с рейтингом ниже установленного пользователем удаляется автоматически.

Включать повышенные уровни защиты, естественно, нужно после окончания начального периода обучения, который, как уже говорилось, составляет 200 писем. Переход от одного уровня к другому также желательно производить после того, как вы убедитесь, что на существующем уровне защиты программа работает удовлетворительно. По умолчанию в программе установлен второй уровень защиты, но все же на период обучения уровень защиты стоит понизить.

Режим Эксперта

Режим Эксперта позволяет более гибко работать с настройками программы. Как уже говорилось, на основе определенного алгоритма SpamFilter вычисляет рейтинг письма и в соответствии с этим рейтингом производятся те или иные действия с получаемой корреспонденцией. Рассмотрим подробнее, как можно работать с настройками программы.

"Автоматически удалять, если рейтинг менее..." Этот параметр задает уровень рейтинга, ниже которого письмо считается абсолютным спамом и не скачивается с сервера. Стартовый уровень рейтинга установлен в 10%. По мере обучения программы под вашу корреспонденцию эту величину можно увеличивать. Тогда все больше спама будет удаляться на стороне сервера, экономя, таким образом, ваш трафик.

"Задерживать, если рейтинг менее..." Если письмо получило рейтинг выше абсолютного спама, то оно не скачивается почтовым клиентом, но появляется в окне SpamFiltr'а, для того, чтобы пользователь смог пояснить программе спам это или нет.

"Запрашивать об удалении, если рейтинг менее..." Если письмо получило рейтинг выше рейтинга абсолютного спама, то пользователь может принять решение о нем прямо при приеме почты. В случае если письмо обладает рейтингом выше абсолютного спама, но ниже уровня задержки, то выскакивает окно, в котором пользователю показываются поля проблемного письма: "От", "Кому", "Тема". Этой информации зачастую вполне достаточно, чтобы принять решение о том, является ли письмо спамом. Такая мера также помогает экономить трафик.

Если ваша корреспонденция достаточно велика, то при анализе спама будет удобна функция "Не привлекать внимание, если рейтинг менее..." Если письмо имеет рейтинг выше установленного здесь значения, то в окне SpamFiltr'а такое письмо будет выделяться цветом, его легче найти для ручной проверки в первую очередь.

Эффективность работы SpamFiltr'а проверяется по числу на ложь-негативных и ложь-позитивных результатов. Ложь-позитивных результатов (нормальное электронное письмо, классифицированное как спам) программа за почти месяц тестирования допустила только пару раз в период обучения. Ложь-негативных результатов (фактическое спам-сообщение, прошедшее через фильтр) было много, но программа с набором статистки пропускает все меньше таких писем. Полностью ложь-негативных результатов избежать невозможно, так как спамеры совершенствуют свои методы и, поэтому, что-то всегда будет проходить через фильтры. Но число таких "пробившихся" спамерских сообщений достаточно мало. В сравнении с Norton AntiSpam от компании Symantec, использовавшимся до этого, SpamFilter выгодно отличается в положительную сторону.

Для того чтобы быть уверенным в правильности работы SpamFiltr'а в плане ложь-позитивных результатов, в программе реализована функция история работы, которая показывает все удаленные письма. Если удалено нужное сообщение, то пользователь может отправить письмо с запросом о повторе письма.

Резюме

SpamFilter является отличной программой для частного пользователя. Функции защиты она выполняет на четверку с очень большим плюсом, экономит трафик пользователя, не тормозит работу почтового клиента. Есть у нее на сегодня и недостатки: юзабилити программы недостаточно продумано, отсутствует файл помощи. Но эти недостатки из тех, которые несущественны и легко устранимы.

Системные ограничения: программа работает под ОС Windows 95/98/ME/NT 4.0/2000/XP/2003. Аппаратных ограничений разработчиком не заявлено.