Верхнее

Разрушители мифов. Миф №39.

Очередной спорный миф Алексея Лукацкого: Миф №39 «Спам легко обнаружить». Если коротко, то Алексей пишет, что по-настоящему эффективных решений для борьбы со спамом нет:«пока приходится констатировать, что спамеры более изобретательны, чем их оппоненты, которые следуют за злоумышленниками, а не предвосхищают их действия. Спам исчез бы сам, если бы мы, рядовые пользователи, перестали бы покупать рекламируемые товары, а законодательная и судебная система поставила бы надежный заслон на пути спамеров. Но пока этого не происходит».К сожалению, в статье детально рассматривается только одна технология борьбы со спамом — контентный анализ. Для материала датированого маем 2009 года это, пожалуй, не совсем правильно.

Уже давно придуманы и эффективно работают репутационные антиспам фильтры. В том же IronPort эта технология работает, причём очень эффективно:
«Cisco IronPort Reputation Filters provide an outer layer of defense using data from the Cisco SenderBase® Network to perform a real-time email traffic threat assessment and identify suspicious email senders».

Нашёл даже отзыв довольного пользователя: здесь
«Удалось ли уменьшить нагрузку на почтовую инфраструктуру благодаря использованию репутационных фильтров? На сколько?
Да, удалось и значительно, где-то на 80–90%. И это только при использовании технологии репутационных фильтров.»

Суть метода проста как всё гениальное. Спам, как известно, характеризуется вспышками — т.е. кратковременными массовыми рассылками одинаковых писем. Специализированные датацентры, разбросанные по всему миру в узлах агрегирования почтового трафика, анализируют проходящие через них электронные письма и эффективно обнаруживают такие вспышки. Образцы обнаруженных спамовых писем помещаются в единую центральную базу.

При поступлении письма в организацию с него делается своеобразный «слепок» (хэш, если хотите) размером в несколько килобайт, который отсылается в ближайший датацентр для проверки. В ответ приходит ответ вида «спам/не спам», после чего оставшиеся письма можно проверить тем же контентным фильтром, причём качественно и основательно, т.к. большая часть спама уже отфильтрована и есть запас по времени на проверку остальной почты.

Вероятность ложного срабатывания при применении данной технологии практически равна нулю, т.к. в датацентрах регистрируются только массовые рассылки однотипных писем. Одно единственное уникальное письмо, которое Вам написал Ваш коллега перепутать со спам-рассылкой крайне сложно.

Другой известный продукт, в котором реализован такой функционал — eSafe. Имея опыт практической работы с этим решением могу сказать, что его эффективность даже выше заявленных 90%: через несколько месяцев реально забываешь как выглядит спам.

Оба упомянутых продукта, насколько мне известно, лицензируют данную технологию у компании Commtouch.

,