Статья была опубликована в журнале "Бухгалтер и компьютер" в декабре 2008 года. Некоторые цифры уже устарели конечно, но ситуация, увы, актуальна еще для многих компаний.
Недавно общался с приятелем, он обмолвился, что за прошлый
день получил 430 спам сообщений. Отметил, что это был рекорд, обычно 100-200
сообщений в день. Надо сказать, что в компании у них несколько сотен
сотрудников, и если посчитать, что один сотрудник тратит хотя бы 2 секунды на
то чтобы удалить каждое из 150 нежелательных сообщений, то при среднем окладе в
компании 1 тыс. долларов США и числе сотрудников около 400, получаем косвенные
убытки около 1,5 млн. рублей в год.
Вдумайтесь в эти цифры! А если еще учесть время на восстановление важного
письма, которое было случайно удалено вместе со спамом, стоимость хранения и
архивирования информации, то эта цифра будет еще больше. На мой вопрос что же
делает ИТ отдел, приятель ответил что они ищут решение, но пока так и не
выбрали подходящего. Тут я стал вспоминать своих знакомых и ситуацию в их
компаниях и почти во всех фирмах, ИТ службы долгие годы безуспешно борются со
спамом. Неужели все так плохо, и выхода нет?
Я бы выделил основные причины подобного положения вещей.
1. Непонимание большинством руководства компаний таких
затрат как косвенные убытки. Тем более вызванных снижением производительности.
Кроме того, руководство, как правило, не обладает техническими знаниями, и если
их убеждают, что ничего поделать нельзя, они готовы принять эту ситуацию как
неизбежную.
2. Низкие технические навыки ИТ персонала, особенно это
характерно для малого и среднего бизнеса. Очень часто можно наблюдать картину,
когда и в системных интеграторах сотрудники ежедневно разгребают тонны спама,
что же говорить про компании со штатом до 100 человек, где один-три системных
администратора на весь офис, которые заняты решением «рутинных» задач.
Рассмотрим существующие
варианты решения проблемы спама.
Все средства защиты от спама можно разделить на два класса:
серверные и индивидуальные. Хотя последнее время на рынке активно предлагается
и третий способ – фильтрация спама на стороне сторонней организации
(«аутсорсинг»). Однако, этот способ пока не получил широко распространения и
вряд ли получит в ближайшем будущем. Краткую информацию по этому виду
фильтрации спама, можно прочесть в приложении 1.
Индивидуальный тип защиты слишком трудоемок для компаний с
числом сотрудником уже от 30 человек, поскольку такой фильтр устанавливается и
настраивается на каждом рабочем месте. Кроме того, компьютерная грамотность
сотрудников зачастую находится на очень низком уровне, и никто из работников,
как показывает практика, не будет заниматься «обучением» спам фильтра, к тому
же им ведь надо заниматься и своими прямыми обязанностями. Дополнительную
информацию по этому классу решению смотрите в приложении 2.
Наиболее широко применяются серверные решения по обнаружению
спама (приложение 3). Основную долю этого класса решений составляют программы,
анализирующие содержание письма, после чего принимается решение о том, куда
отнести полученное сообщение: в спам или нет. На мой взгляд данный метод уже
давно доказал свою несостоятельность, но, тем не менее, продолжает активно
использоваться. Можно назвать следующие очевидные недостатки:
- низкая эффективность (40-45%)
- необходимость обучения фильтра
- хранение спам сообщений для их последующей доставки
пользователю, в случае если письмо по ошибке отнесено к спаму
- высокая нагрузка на серверные ресурсы
- необходимость постоянного администрирования
Также в серверных средствах спам защиты широко применяются
«белые» и «черные» списки. Но современные спам технологии давно научились их
обходить.
Есть ли возможность эффективно и, по возможности,
безошибочно фильтровать спам?
Хотелось бы обрадовать читателя, пока такие механизмы есть и
они очень эффективны, по сравнению с широко используемыми решениями.
Одной из наиболее эффективных является технология
использования «серых списков» (greylist). Данные списки представляют собой
что-то среднее между «белыми» и «черными» списками. Суть работы метода,
заключается в использовании особенностей протокола SMTP, а также ограничений,
присущих спам программам. Сервер, который использует технологию серых списков,
первоначально отклоняет любую почтовую сессию от неизвестного отправителя,
сообщая о временной ошибке. При этом, в базу данных записывается информация об
этой попытке, которая, включает в себя набор данных из трех полей (триплет):
- электронный адрес отправителя
- электронный адрес получателя
- IP адрес сервера отправителя
Если письмо было отправлено спам программой, то обычно на
этом все и заканчивается и спам сообщение не попадает в почтовые ящики пользователей.
В случае если почтовая сессия была инициирована «правильным» почтовым сервером,
то через некоторый интервал времени, будет сделана повторная попытка доставить
сообщение адресату. При этом, сервер, использующий «серые списки», обнаружит в
своей базе данных соответствующий повторный триплет и пропустит письмо. Для
повышения эффективности метода, обычно, вводится дополнительное ограничение:
после первой попытки должно пройти не менее определенного промежутка времени. В
последующем, все письма с уже имеющимися в базе триплетами будут приняты без
временных задержек. Как легко видеть, технология «серых списков» обладает
следующими достоинствами:
- требует незначительной настройки на почтовом сервере
- не требует участия пользователей
- не требует обучения
- использует минимум системных ресурсов сервера
- высокая эффективность работы (зачастую более 95%)
- низкая вероятность ложных срабатываний
Разумеется, данный метод может быть обойден спам
программами. Для этого они должны реагировать на ошибки сервера получателя
также как и «правильный» почтовый сервер. Но в этом случае они становятся более
уязвимыми для обнаружения и блокировки.
Другим эффективным методом, является блокировка писем,
отправленных на несуществующие адреса. Список всех имеющихся в компании
электронных адресов достаточно легко сформировать и регулярно обновлять с
помощью LDAP запросов.
Кроме того, для успешной защиты от спама, необходимо иметь
обновляемые в автоматическом режиме «черные» списки спам серверов. Ряд
существующих программ, использующих «серые списки», умеют использовать
собранные триплеты для выявления и блокировки IP адресов, уличенных в отправке
спама. Чем с большего количества клиентов собираются данные, тем эффективнее и
быстрее происходит обнаружение источников рассылки спам сообщений. В ряде
случаев, удается выявить заблокировать IP адрес буквально в течение 15-30 минут
после начала рассылки спама.
Стоит отметить также аппаратные решения для защиты от спама
(приложение 4)
Использование вышеописанных методов совместно, позволяет
повысить эффективность блокировки спама до уровня 98%, что согласитесь весьма
неплохо, и, как мы выяснили в самом начале статьи, позволяет снизить косвенные
убытки.
Приложение 1.
Фильтрация спама с помощью услуг третьих фирм.
Услуга по фильтрации спама появилась на российской рынке 2-3
года назад. Принцип работы у всех компаний идентичный: с помощью изменения MX записи
домена, вся почта, предназначенная для компании заказчика, перенаправляется на
сервера обслуживающей фирмы, где осуществляется многоступенчатая фильтрация
корреспонденции. По результатам обработки возможны следующие варианты:
- письмо доставляется адресату (100% не спам),
- сообщение доставляется с пометкой «СПАМ» (маловероятно что
спам)
- письмо отправляется в карантин (высокая степень
вероятности, что это спам), где оно хранится 1-2 недели
- сообщение удаляется (система посчитала, что это 100% спам)
Поставщики данной услуги заявляют эффективность от 95% до
98%
Помимо фильтрации спама, также осуществляется обнаружение и удаление
вирусов.
Стоимость услуги зависит от числа почтовых ящиков, которые
обслуживаются системой. Например, для компаний, с числом сотрудников менее 50
человек, стоимость услуги будет составлять от 1200 до 5700 рублей в месяц, что
составляет 14000-68000 рублей в год. В случае если, в компании 70-100
сотрудников, цена составит 3400-9200 рублей в месяц.
Плюсы решения:
- высокоэффективное решение
- невысокая стоимость услуги за фильтрацию спама и вирусов
- не надо самим поддерживать систему защиты от спама
Минусы решения:
- зависимость от поставщика услуги и от работоспособности
его серверов
- серверные площадки у многих поставщиков находятся в
Москве, что означает, что письмо из Омска в Омск, например, сначала будет
отправлено в Москву, и только потом доставлено адресату.
- в случае большой разности часовых поясов, техническая
служба фирмы, предоставляющей услугу, должна работать круглосуточно.
- пользователям приходится просматривать сообщения,
помеченные как спам.
Данные приведены с сайтов http://www.spamorez.ru/
и http://www.antispam-post.ru
Приложение 2.
Индивидуальные системы защиты от спама.
Класс индивидуальных анти спам программ наиболее известен и
широко распространен. Наиболее часто для каждого почтового клиента есть свой
набор плагинов, хотя некоторые разработчики предлагают универсальные решения.
Например, Agava Spamprotexx работает со всеми почтовыми клиентами, хотя все же
программа наиболее приспособлена к таким почтовыми клиентами как MS Outlook или
Outlook Express,
но поддерживается и The Bat!
Работа программ данного класса основана на анализе
содержимого письма с помощью разнообразных алгоритмов (байесовский алгоритм).
Также программы могут самостоятельно обучатся анализируя исходящую
корреспонденцию клиента. Ведутся «белые» и «черные» списки. Эффективность
работы у разработчиков заявляется на уровне 80-90%. Однако, для этого
необходимо обучение фильтра, в противном случае, эффективность будет ниже.
Средняя стоимость лицензии на антиспам модуль, составляет 250-700
рублей на одно рабочее место в год. Для компании в 50 человек, это составит 12500-35000
рублей. Также в Интернет можно найти и бесплатные программы (например, spamfighter.com).
Приложение 3.
Серверные программы для защиты от спама.
На рынке много компаний, предлагающих серверные программы
для защиты от спама. Можно выделить наиболее часто применяемые: Антиспам Dr.Web
для Windows (http://www.drweb.ru), GFI MailEssentials
(www.gfi.com), ORF
(www.orf-filter.ru),
JEPS (www.spam-filter.ru).
Стоимость программы Dr.Web на 50 пользователей составит 26 000 рублей в год. В
настоящее время на сайте компании нет информации о поддержке Exchange 2007. Стоит отметить, что за
эти деньги покупатель получает не только антиспам, но и антивирус для своего
почтового сервера. Механизмы работы подробно не раскрываются, указано, что
программа построена на базе технологий Vade Retro французской компании Goto Software.
Продукты компании GFI широко известны на рынке. Среди
прочих они предлагают и антиспам. Основной принцип работы это фильтрация по
Байесу. Кроме этого, используются и другие механизмы: автоматическое обучение,
«белые» и «черные» списки. Эффективность заявляется более 98%. Стоимость
годовой лицензии на 50 пользователей составить почти 16000 рублей.
Последние два продукта относятся к классу решений,
лицензируемых на сервер, а не на почтовый ящик, без необходимости ежегодно
продлевать лицензию. Это делает их очень привлекательными по соотношению цена/качество. Оба продукта
используют «серые» списки, как основной механизм фильтрации спама. Но, при
этом, также применяются и другие механизмы, обеспечивающие высокую
эффективность - более 95%. Стоимость серверной
лицензии составляет 4500-11500 рублей.
Приложение 4.
Аппаратные решения для защиты от спама.
Последнее время ряд производителей стали продвигать на рынке
аппаратные решения. Несмотря на то, что такие решения достаточно дороги, стоит
немного сказать о них. Наиболее известным является продукт IronPort (http://www.ironport.com/products/). Компания была
приобретена CISCO в 2007 году. IronPort Systems имеет хорошую репутацию на рынке
корпоративных пользователей, производя при отсеивании спама детальный сбор и
анализ сведений об отправителе. Система производит многоуровневый анализ и
обеспечивает низкий уровень ложных срабатываний. Решение не требует обучения,
так как использует собственные правила, обновляемые в онлайн режиме. На
следующем этапе анализируется содержимое письма по нескольким сотням критериев.
Кроме того, IronPort обеспечивает обнаружение и удаление вирусов. В зависимости
от числа пользователей поставляются различные виды решения. Для компании из 50
сотрудников, подойдет IronPort С150. Цена устройства от производителя
составляет 48000 рублей (в стоимость включено обновление баз данных на 1 год).
Кроме
того, можно отметить решение F-Secure
Messaging Security Gateway от компании F-Secure (поставляется
в России компанией Legit).
С
помощью запатентованной технологии машинного обучения Proofpoint
MLX модуль
обнаружения спама исследует более 300 тыс. структурных и содержательных атрибутов
каждого электронного письма, чтобы заблокировать как можно большее количество
спама, и автоматически приспосабливается к новым спам-атакам по мере их появления.
Служба динамического обновления обеспечивает максимальную эффективность системы
защиты от спама в любое время. Решение поставляется в виде сервера, который
легко интегрируется в существующую ИТ инфраструктуру. Стоимость решения состоит
из цены оборудования (около 70.000 рублей) и клиентских лицензий (700 рублей за
одну лицензию), которые оплачиваются ежегодно. Минимальная поставка от 100
лицензий. Возможно поставка образа аппаратного решения, в этом случае
оплачиваются только лицензии для клиентов.
Комментариев нет:
Отправить комментарий