Нередка ситуация, когда в погоне за чистым почтовым трафиком системный администратор устанавливает такие настройки почтового шлюза, которые не только избавляют организацию от спама, но и лишают ее сотрудников действительно важных писем. Чтобы не пришлось искать виновных, рассмотрим, на что необходимо обратить внимание при настройке антиспам-модулей в системах информационной безопасности.
Больше половины почтового трафика в интернете — чистый, незамутненный спам (согласно аналитическим отчетам «Лаборатории Касперского» о спаме и фишинге). Адресату он либо просто не нужен, либо опасен, так как это самый популярный у киберпреступников канал распространения вредоносных программ. Очевидно, его надо устранять из входящей почты, и для этого имеются эффективные и простые в настройке инструменты.
Однако случается, что администратор, установив систему информационной безопасности и настроив ее почтовый шлюз, лишает свою организацию входящей почты, полностью или частично. Бесследно исчезают письма от контрагентов, подрядчиков, контролирующих органов. Поздравляем победителя: спам он действительно отфильтровал. А теперь разберемся, как все-таки настроить почтовый шлюз, избавиться от спама, но сохранить полезные письма. «Разбор полетов» проведем на примере антиспам-модулей комплексного решения информационной безопасности Traffic Inspector.
Что именно делать с письмом, решает SMTP-шлюз Traffic Inspector на основе весового коэффициента, присвоенного антиспам-модулями. В настройках шлюза можно установить пороговые значения коэффициента и соответствующие действия. По умолчанию блокируется доставка сообщений с весовым коэффициентом более 100.
Рисунок 1. Настройки действий с письмом в SMTP-шлюзе Traffic Inspector
Коэффициент сообщения модифицируется двумя антиспам-модулями: Traffic Inspector Anti-Spam powered by Kaspersky и RBL SMTP Filter. Первый проверяет письма с помощью сигнатурного и лингвистического анализа. В его настройках можно установить предпочтительную агрессивность вердикта, дополнительные признаки спама и определить, что делать с письмом — как изменять его весовой коэффициент, заголовки и тему.
Рисунок 2. Настройки действий с письмом в модуле Traffic Inspector Anti-Spam powered by Kaspersky
Второй модуль содержит перечень публичных RBL-служб. Эти сервисы ведут собственные черные и серые списки IP-адресов, считающихся источниками спама. Модуль RBL SMTP Filter опрашивает их все одновременно, рассылая IP-адрес отправителя. В ответ те сообщают, присутствует ли этот адрес в их списках, и, если присутствует, как именно он классифицируется.
Рисунок 3. Настройки действий с письмом в службе модуля RBL SMTP Filter
В настройках каждой службы можно установить, будет ли сообщение блокироваться, если отправитель есть в списке, и, если нет, как изменять его весовой коэффициент. Вот тут у администратора может возникнуть искушение включить блокировку по всем RBL и навсегда избавиться от спама.
Так делать не стоит. Каждый RBL-сервис руководствуется собственными правилами по добавлению и удалению из списков. Попадают в черный список сервера с Open Relay (то есть принимающие к отправке письма от кого угодно), анонимные HTTP- и SOCKS-прокси и целые подсети, из которых активно рассылается спам.
Нередки ситуации, когда вполне легитимный почтовый сервер попадает в один или несколько серых списков из-за действовавшего через него спамера. Администратор сервера, получив несколько жалоб от пользователей, что их письма не доходят, скорее всего, обратится к нескольким операторам RBL, чтобы те исправили ситуацию, но это занимает время, и какие-то RBL могут быть пропущены.
С попавшими в список подсетями ситуация еще сложнее — например, локальные провайдеры могут вообще игнорировать проблемы доставки почты от своих пользователей. В результате сервер будет висеть в списках одного-двух RBL долгое время, и все письма, отравленные через него, будут отбрасываться в случае включения бескомпромиссной блокировки на SMTP-шлюзе Traffic Inspector.
Решением этой проблемы и является система весовых коэффициентов. Но точное значение весового коэффициента, при котором стоит «рубить» сообщение, зависит от очень многих факторов — от числа активных RBL-служб в модуле RBL SMTP Filter до размера и отрасли деятельности вашей организации.
Лучше всего устанавливать пороговый коэффициент динамически, исходя из результатов фильтрации, установив не блокировку, а маркировку спама. Соответственно, на почтовых клиентах нужно настроить перемещение маркированных писем в отдельную папку в почтовом ящике — так ценные письма точно не пропадут.
Если пользователи наблюдают ложноположительные срабатывания фильтров (то есть в папку для спама попадают легитимные письма) — коэффициент стоит повысить, если же много ложноотрицательных вердиктов (спам проходит через фильтры) — пора понижать. Полностью исключить ошибки фильтрации невозможно, но снизить уровень спама до долей процента — вполне реально. Лучшие результаты даст периодическая подстройка порогового коэффициента вслед за изменениями в спам-трафике.