Тактика проти спаму: що працює і що ні

Чорні списки, "білі списки", консорціуми і евристики намагаються контролювати спам ("небажана електронна пошта"). Завдяки великому врожаю нових антиспамових продуктів на ринку, важливо знати, які запитання слід поставити постачальникам.

Нижня лінія

Яке значення буде отримано від інвестицій в електронні робочі місця?

Спам - це електронний еквівалент "небажаної пошти", яку ми отримуємо на папері або факсом. Хоча деякі з них є законними листуваннями від легітимних підприємств, більшість спаму - і основна частина проблеми - це виразні пропозиції від неетичних відправників, які не існують, або, чесно кажучи, представляють довіру до ігор. В "Зберігати спам з електронної пошти" ми визначили чотири типи спаму і пояснили, що треба обробляти на кордоні, і що треба обробляти одержувачем.

Гранична оборона

Хороший захист від спаму починається з хорошого агента передачі повідомлень (MTA), який розуміє тактику захисту меж. Це схоже на наймання охоронця. Добрий "охоронець" MTA повинен мати можливість:

• Визначте і припиніть атаку відмови в обслуговуванні
• Визначити і перервати атаку словника або атаку на збирання адреси (див "Чому я отримую цей спам?" )
• Повідомлення "Неприйняття" (просто відхиліть його, а не взагалі)

Аналіз заголовків

Хороший анти-спам-агент спочатку проаналізує заголовок, шукаючи типові характеристики спам-повідомлень. Якщо сам заголовок дає достатньо доказів того, що це спам, повідомлення може бути "неприйнятим" ще до того, як тіло буде прийнято.

Аналіз заголовків повинен шукати такі речі, як:

• Термін дії відправника (з використанням "зворотного пошуку")
• Консистенція між відправниками та полями
• Тактика, яку використовують відомі спамери, які навряд чи знайдуться в звичайних повідомленнях

Аналіз вмісту

Кожен продукт має дещо інший підхід до аналізу контенту. Методика повинна оцінюватися на основі бізнес-цілей клієнта підприємства.

Аналіз вмісту буде включати один або декілька з наступних можливостей:

• Набір правил пошуку відомої тактики спамерів
• Набір правил пошуку відомих листів, ланцюжків і міських легенд
• Можливість шукати слова та фрази в цільовому "списку слів" (наприклад, порно, фінансові послуги)
• Можливість робити контекстний аналіз
• Можливість "налаштувати" продукт на навколишнє середовище

Евристика

Постачальники іноді рекламують свої евристики, або алгоритми, які мають намір передбачити, які повідомлення можуть бути спамом завтрашнього дня на основі характеристик в заголовку або тілі. Термін «евристика» найчастіше застосовується до вірусів, де алгоритми намагаються знайти мутанти раніше побачених вірусів, або нові ініціативи, що містять подібну шкідливу поведінку. Термін є менш точним, якщо застосовується до спаму. Тактику, що використовується в цих алгоритмах, необхідно ретельно вивчити.

Зондування або звітність

У деяких випадках рішення про те, чи є повідомлення спамом, може бути зроблено лише шляхом перегляду поведінки відправника в Інтернеті. Brightmail та інші поставили облікові записи електронної пошти у всіх місцях, де спамери люблять збирати адреси. Деякі нові продукти намагаються створити консорціуми або групи користувачів для розробки та спільного використання антиспамових правил. Ми маємо певну стурбованість щодо підходу консорціуму. Якщо клієнт поставляє правило, його потрібно перевірити та перевірити центральною групою контролю, перш ніж стане доступним для інших учасників консорціуму. Без центральної перевірки це стає хорошим способом забронювати вашого ворога. При хорошій центральній перевірці це може бути дуже ефективною технікою.

Чорні списки та білі списки

Використання чорних списків як єдиної анти-спам-тактики цілком незадовільно. Використовується як одна точка даних в точковій системі, чорні списки можуть бути корисними. Підприємство може також створити білий список доменів, яким завжди дозволяється отримувати електронну пошту, незалежно від їхнього вмісту.

Визначення дій

Хороший продукт контролю над спамом повинен визначати дії, які необхідно вжити, залежно від того, які правила були припинені, такі як неприйняття, повернення до відправника, пересилання копії керівнику, карантин або звітування про надзвичайні повідомлення в центральній точці повідомлення. Чим більше інформації може забезпечити двигун правил, тим більш гранульовані дії можуть бути.

Помилки

Найбільше бояться, що антиспамовий агент помилково ідентифікує важливі бізнес-повідомлення як спам і затримує їх доставку, створюючи незручні ситуації з кінцевими користувачами. Ось два приклади:

• Репортер надіслав повідомлення про дружбу весіллі 100 його друзів, які працювали в різних компаніях. Повідомлення було повне збудження та КАПІТАЛЬНІ БУКВИ та, для акценту, багато пунктів вигуку !!!!!! а також запрошення дати гроші на благодійність на честь щасливої ​​пари. Повідомлення було ідентифіковано як спам за допомогою інструментів, які використовуються майже у половині компаній.
• Книжковий магазин, що спеціалізується на книгах з таємницею, відповідав одному з його клієнтів. Він не мав жодних труднощів з отриманням повідомлень клієнта, але відповіді магазину не проходили. Нарешті, клієнт назвав свого постачальника послуг Інтернету (ISP) і з'ясував, що провайдер блокує повідомлення від mysterylovers.com, оскільки в доменному імені є слово "lover".

Це типові проблеми, які виникають при використанні інструменту керування слабким спамом, який дуже швидко йде до неправильних висновків. Зазвичай вони зупиняють лише 20% до 30% спаму, а також ловлять занадто багато помилкових спрацьовувань.

Кращі інструменти використовують своєрідну "точкову систему", де кожна тактика спаму, виявлена ​​в повідомленні, заробляє одну або більше балів. Повідомлення, однак, не оголошується спамом, поки не буде досягнуто певного порогу точок. У кожному з наведених вище прикладів заголовки включали б не тактику спамерів, яка повинна була б усунути занепокоєння, але інструменти дуже швидко перейшли до висновку, що це спам. Інструменти використовували занадто мало критеріїв і не розглядали пом'якшувальні фактори. Особливо корисно, якщо продукт контролю над спамом ставить загальну кількість точок у заголовок (у X-поле) і причини, з яких повідомлення отримало високий бал. Система дій, або інша особа або процес, потім може приймати подальші рішення на основі цього аналізу.

Ймовірно, найбільше занепокоєння викликає те, що антиспамовий інструмент може виявити повідомлення від розлюченого клієнта, який використовує невідповідну мову. Таке повідомлення, яке заробляє певні моменти для мови, але не достатньо, щоб бути спамом, може бути поміщене в карантинну групу для розгляду та спеціального звернення з боку супервізора, замість того, щоб бути надісланим наступній доступній особі служби підтримки.

Щонайменше десяток продуктів були введені в 3Q02, і багато постачальників з ветеранськими продуктами розширюють свої послуги для кращої роботи зі спамом.

Боротьба зі спамом є складною і постійно розвивається грою. Незважаючи на наявність низки ініціатив, спрямованих на запобігання спамерам та зменшення спаму, реальний вплив на цю проблему потребує десятиліття. Клієнти Gartner використовують інструменти для вимірювання звіту про спам, що 30% до 50% повідомлень, які вони отримують, ідентифікуються як спам. Зміст стає все більш неприйнятним, забарвлює робоче середовище незахищених компаній і створює проблеми людських ресурсів.

Недорогі та неадекватні засоби боротьби зі спамом не припинять спам, а для управління продуктом та скарг вимагатиме багато часу. Кожне підприємство має впроваджувати компетентний продукт або послугу для охорони кордону підприємства. Це, на жаль, частина витрат на ведення бізнесу в Інтернеті. Підприємства з менш ніж 5000 користувачами повинні серйозно розглянути можливість аутсорсингу таких послуг, як Postini, MessageLabs, eDoxs або Syntegra. Підприємства, які не бажають аутсорсингу цієї діяльності, можуть розглядати пристрій, такий як Ciphertrust або IronPort, або одну з дуже масштабованих і досвідчених продуктів від Sendmail MailStream Manager, Tumbleweed або Brightmail.