В UserGate Mail
Server реализована поддержка нескольких методов антиспам
фильтрации. Антиспам фильтрация может выполняться на основе DNSBL
(DNS blacklist), SURBL (Spam URI blacklist), Greylisting и
Tarpitting.
Изображение 1, Антиспам.
Серые списки
Серые
списки (Greylisting) реализуют механизм отсрочки получения писем.
Это механизм подразумевает, что входящее письмо сразу не
принимается, а отправителю отсылается сообщение с просьбой
повторить попытку через некоторое время. При этом сохраняется
информационный триплет (информация о том – кто, откуда и куда
посылал). Если же триплет входящего письма совпадает с одним из
триплетов, уже хранящимся в списке, то письмо принимается (это
означает, что письмо пытаются доставить повторно). Таким образом,
отсекаются спамеры, которые обычно не предпринимают повторных
попыток отсылки писем на один и тот же адрес.
Черные списки (DNSBL)
Динамический «черный список» представляет
собой сетевую службу, предоставляемую
провайдером «черных списков». Эти провайдеры
отслеживают адреса IP (иногда и имена доменов), скомпрометированные спамерами.
Почтовые фильтры, поддерживающие применение динамических «черных
списков», формируют запрос к провайдеру «черного списка»,
содержащий адрес отправителя, а также адреса почтовых серверов,
через которые проходило письмо по пути к получателю. Если при
выполнении запроса выяснится, что адрес содержится в «черном
списке» провайдера услуги, то высока вероятность того, что письмо
представляет собой обычный спам. Некоторые провайдеры «черных
списков» наряду со списками спаммеров отслеживают адреса, с которых
происходит рассылка вирусов, «троянцев», сетевых «червей», программ
несанкционированного удаленного управления и другого вредоносного
контента.
Обращение к службам динамических «черных списков»
осуществляется через службу DNS для проверки, не содержатся ли в
списках спаммеров адреса IP, перечисленные в заголовке письма (в
поле адреса отправителя или адреса почтовых ретрансляторов в полях
Received: в некоторых случаях наряду с адресами IP могут
использоваться символьные имена доменов).
Замедление
Замедление получения писем с удаленного
сервера, который подозревается в рассылки спама. Подозрения
основываются на большом количестве адресатов в одном письме. Если
это количество превышает установленный порог, то последующие
получения с этого сервера начинают происходить с заданной
задержкой.
SURBL фильтрация
SURBL
фильтрация применяется
для обнаружения спама на основе URL содержащихся в теле письма (проверка
присутствия их в Black-листах). Модуль делает следующее: для
каждого из URL, найденных в сообщении, извлекает доменный компонент (2-го или 3-го уровня),
добавляет суффикс имени SURBL и выполняет DNS запрос на адрес SURBL
сервера(ов). Пример работы:
URL (http://some.test.ru/index.html)
-> test.ru + (insecure-bl.rambler.ru) -> resolve
test.ru.insecure-bl.rambler.ru -> 127.0.0.1 -> add
symbol
Для доменов, для
которых необходимо проверять не два уровня доменного имени, а три, используется отдельный
список - файл 2tld . Например, это актуально для виртуальных
хостингов или же специальных зон для доменов третьего уровня, например org.ru
или pp.ru.
SpamAssassin
SpamAssassin - это расширяемый почтовый фильтр, используемый для идентификации спама. Полученные почтовые сообщения последовательно прогоняются через набор тестов. Каждый тест имеет некоторую «стоимость». Если сообщение успешно проходит тест, эта «стоимость» добавляется к общему балу. Стоимость может быть положительной или отрицательной, положительные значения называются «spam», отрицательные «ham». Сообщение проходит через все тесты, подсчитывается общий бал. Чем выше бал, тем больше вероятность, что сообщение является спамом.
У
SpamAssassin'а есть настраиваемый порог,
при превышении которого письмо будет классифицировано
как спам. Обычно порог таков, что письмо должно
подойти по нескольким критериям; срабатывание только одного
теста недостаточно для превышения порога.
Commtouch
Commtouch's Anti-Spam Gateway - это запатентованное решение для защиты от спама систем для почтовых серверов и SMTP-шлюзов. Пакет компании Commtouch использует уникальный фильтр, основанный на фирменном алгоритме RPD (Recurrent-Pattern Detection), идентифицирующем спам по его основному признаку — по его распространенности. В отличие от многих производителей спам-фильтров компания Commtouch не обновляет базу данных типовых определений фильтров контента, ее продукт отыскивает паттерны в почтовом трафике.
Когда шлюз Anti-Spam Enterprise получает электронное сообщение, он пытается найти релевантное правило локальной политики, определенное либо для всего предприятия, либо для конкретных пользователей. Если сообщение не подходит ни под одно из правил, то ПО Commtouch начинает просматривать локальный кэш с ранее полученными из центра Anti-Spam Detection Center ответами. Если он по-прежнему не может найти какое-нибудь правило, соответствующее сообщению, то ПО шлюза запрашивает центр Anti-Spam Detection Center, размещаемый на территории компании Commtouch. Если центр недоступен, сообщение отправляется во входящий почтовый ящик пользователя.
Классифицировав
сообщение как спам, шлюз принимает соответствующие меры,
определенные администратором при его конфигурировании. Легитимное
сообщение доставляется в почтовый ящик конечного пользователя.