Сергей Ильин

Kaspersky Anti-Spam 3.0 Enterprise Edition (beta 2)

В этой теме 58 сообщений

хех, а не для пользователей очень даже ничего был.

Под пользователями я понимаю системных админстраторов :)

Он же действительно лучше, мониторинг и статистика чего стоят. Ну и старый интерфейс в виде правил procmail'а... очень просто что-то напутать, а разгребать это потом саппорту, ну и опять же "ваш антиспам плохой" и т.п.

Опять же, KAS 3.0 действительно стал полноценным продуктом работающим сразу же из коробки, а не конструктором и это, на мой взгляд, хорошо.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добрый день!

Поставил KAS3 beta2 + PostFix

все практически по дефолту

в процессе тестирования

Digits mixed with letters in TO or FROM headers

наткнулся вот на такую штуку:

делаю

#telnet mail.server.ru 25

и

HELO testMAIL FROM: <1234567890@anydomain.ru>RCPT TO: <testuser@maindomin.ru>DATAReply-to: viagra@viagra.comFrom: "6 4U W!th V1a6rA" <admin@maindomin.ru>To: "Mail man" <testuser@maindomain.ru>X-Mailer: Outlook Express 6.0.QUIT

письмо проходит и не считается спамом

хотя видно что подделывается адрес

получается что MAIL FROM & RCPT TO антиспамом не проверяются? =(

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
получается что MAIL FROM & RCPT TO антиспамом не проверяются? =(

RCPT To проверять бесмысленно, это очевидно. А правило, которое Вы тестировали, работает по заголовкам, это явно указано в его описании (headers). Причины по которым спам-аналитики не поставили такие же ограничения на MAIL From в конверте письма, следует спрашивать у них, думаю, что причины у них были.

Вообще же, Вы совершенно неправильно тестируете антиспам. Ведь вот Вы послали письмо, Вы желаете, чтобы оно было классифицировано как спам. Но оно не спам! Это единичное письмо, посланное Вами самому себе, для тестирования антиспама! Если Вы хотите действительно оценить работу антиспама, дайте ему реальный поток почты.

Более подробно методику тестирования серверных антиспамов можно прочитать в статье Алексея Тутубалина http://www.spamtest.ru/document?pubid=16638&context=1

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

alk

тут следует обратить внимание на вид поля MAIL FROM.

Такой вид по эвристике спам аналитиков есть признак СПАМА

Добавлено спустя 8 минут 5 секунд:

alk

кроме всего прочего дело тут не в спам аналитиках.

если в КАS 2 написать правило которое будет фильтровать по полю

MAIL FROM, то при таком тесте оно работать не будет.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
тут следует обратить внимание на вид поля MAIL FROM.

Такой вид по эвристике спам аналитиков есть признак СПАМА

Давайте я еще раз повторю свою мысль: то что этот признак (содержимое MAIL From envelope, а не From: header) не является характеристическим признаком спама может иметь (и скорее всего имеет) смысл.

Я надеюсь, что Вы понимаете, с каким количеством общего безобразия приходится иметь дело спам-аналитикам? Именно поэтому в настройки антиспама сейчас помещены "рубильники" для включения/выключения сомнительных правил, которые могут не работать (или, наоброт, работать) на разных конкретных инсталляциях.

Поэтому, если Вы считаете, что какое-то конкретное письмо является спамом, а фильтр его не распознал, пересылайте его на адрес spam@kaspersky.com и оно попадет в спам-лабораторию, где с ним разберутся. Если у Вас есть стабильный поток спама на какие-то Ваши неиспользуемые адреса, пишите нам и мы организуем для Вас специальный адрес для приемки этого потока, это сильно поможет в нашей работе.

кроме всего прочего дело тут не в спам аналитиках.

если в КАS 2 написать правило которое будет фильтровать по полю

MAIL FROM, то при таком тесте оно работать не будет.

Почему?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Почему?

это к вам вопрос.

кстати я говорю не про 3, а про 2

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Почему?

это к вам вопрос.

кстати я говорю не про 3, а про 2

Тогда про какую почтовую систему Вы спрашиваете? Про postfix?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
есть у меня ощущение, что не в MTA тут дело.

Это странный разговор. Пожалуйста, приведите пример правила, MTA и способ интеграции, я проверю.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

postfix

relay

kas 2.0

профайл formal правило 29

указанный выше тест не прошло

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
postfix

relay

kas 2.0

профайл formal правило 29

указанный выше тест не прошло

Это правило на заголовок, а не на MAIL From.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

alk

в каких случаях mail from и from из заголовка не совпадают?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в каких случаях mail from и from из заголовка не совпадают?

В смысле? Во многих. Я сам этим злоупотребляю.

А так, навскидку, любые списки рассылок. Заголовок From: обычно исходного отправителя, а Mail From от робота рассылки.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Друзья, чего разговор ушел в технические дебри, а самое главное то осталось в тени. Какой у новой версии КАС уровень детектирования и ложных срабатываний?

Наверняка же это мерилось на этапе разработки и бета-тестрования.

Было бы очень интересно посмотреть эти параметры в сравнении с версией КАС 2.0 и с конкурентами типа Symantec Brightmail или Trend Micro SPS.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Было бы очень интересно посмотреть эти параметры в сравнении с версией КАС 2.0 и с конкурентами типа Symantec Brightmail или Trend Micro SPS.

Измерить пытались. Даже могу рассказать о результатах, но сначала попытаюсь сделать все необходимые предупреждения, потому что не считаю публикацию данных от разработчиков объективными даже в том случае, когда они наши :) Мы мониторим detection rate свой и конкурентов круглосуточно, однако с другой целью: нас очень интересуют случаи распознавания спама чужими фильтрами при условии, что наш их не распознал. Это дает нам почву для размышлений.

Мы тестируем, естественно, потоки почты, которые находятся в нашем распоряжении. Наш спамлаб, в принципе, имеет их в наличии, а конкуренты не имеют, это преимущество, которое мы не можем оценить чтобы как-то учесть в результатах тестирования. Однако, тестирование проводится в режиме реального времени, то есть наши апдейты не успевают реагировать на нераспознанный спам, который мы получили из этих потоков.

Автоматически практически невозможно протестировать количество ложных срабатываний, если только не сажать человка вручную сортировать потоки спама. Мы этого сделать не можем, поэтому используем несколько другие принципы: во-первых, если в потоке точно преобладает спам (с вероятностью 99.9%), то мы его считаем целиком спамом; если в потоке встречается одновременно спам и не спам, то мы ориентируемся на процент распознанного спама от всего потока, не делая заключения о detection rate и количестве false positves, но делая заключения об общем уровне спама в потоке, который насчитал тот или иной фильтр. Это оценки, очевидно, имеют громадное количество недостатков и одно неоспоримое достоинство: мы можем наблюдать работу своего фильтра и конкурентов в реальном времени.

Пока что мы тестировали четыре фильтра, два наших (второй и третьей версии), Symantec Brightmail и TrendMicro. Спамооборона на подходе (у нас возникли технические проблемы ее интеграции в стенд, наверное, связанные с нестандартной настройкой MTA в нем). Все тестируемые фильтры настроены "по-умолчанию".

Я приведу данные по двум потокам за две недели.

Первый из них состоит исключительно из спама, пришедшего на неиспользуемые почтовые адреса в сотне доменов, хостящихся на сервере в России; домены и сайты в разных зонах, как .ru, так и .com. .org, .... Это реальные сайты, интернет-магазины, "визитные карточки", представительства фирм и т.п. Но, в любом случае, это спам имеющий в основном русские черты:

kas2: 84%

kas3: 94%

symantec: 59%

trendmicro: 63%

Второй поток состоит из реальной почты, которая идет на ролевые адреса ЛК во всех наших доменах. То есть, это почта в основном иностранная, включает в себя как спам, так и неспам. Кроме того, это очень сложные потоки для антиспамерских фильтров в плане ложных срабатываний, потому что зачастую целевые предложения по своей лексике не отличаются от массовых рассылок.

kas2: 64%

kas3: 67%

symantec: 47%

trendmicro: 45%

Трактовка этих чисел в случае сравнения с KAS 2.0 очевидна: KAS 3.0 ловит спам лучше :) К сожалению, сделать такие же выводы о работе конкурентов я не могу по уже приведенным соображениям: потоки, на которых производилось тестирование, есть у нашего спамлаба, что должно позитивно влиять на работу наших фильтров.

Ну и данные о производительности, до кучи. Опять же, настройки по-умолчанию, посылка почты "пробирочная", то есть без "медленных" клиентов и прочих прелестей реальной жизни:

Название AS     10 потоков  20 потоков  30 потоковрешения«Пустой» MTA    110.35      99.82       98.83IMSS            39.56       49.78       62.61KAS 3.0         43.22       56.20       70.76KAS 2.0         9.45        22.27       18.8Brightmail      19.53       19.04       -

В таблице указано количество писем в секунду по фильтрации письма и начала перенаправления его на внешний релей для P4 512МБ. То есть, сюда включено два прохода через очередь MTA (в случае postqueue фильтрации) и собственно фильтрация спама.

Brightmail на 30 потоках работать прекратил. Кроме того, в качестве эталона использовался postfix, и Brightmail был интегрирован в него через prequeue milter интерфейс, что с одной стороны должно было привести к избыточному расходу ресурсов (но и большей эффективности за счет отсутствия второго прохода через очередь), а с другой стороной поддержка milter-протокола в postfix'е появлилась только что и может содержать в себе ошибки. С третьей стороны, сам sendmail по сравнению с postfix'ом очень медленный, так что еще неизвестно, хорошо это или плохо, интегрировать brightmail с postfix'ом вместо sendmail. Однако, иначе сравнить фильтры не получалось, IMSS в sendmail через milter встраиваться не умеет (вроде бы, или мы не нашли как)

В настройках фильтров были выключены все внешние сервисы, то есть проверки по DNS и обращение к UDS для KAS 3.0.

Опять же, числа трактовать можно по разному. К примеру, такие плохие результаты у KAS 2.0 характеризуются огрехами в его интеграции в постфикс по-умолчанию, без ограничений количества посылающих параллельных процессов на фильтр. Это исправлено в KAS 3.0, который за счет лучшей интеграции по-умолчанию и собственно увеличению производительности показал такое громадное увеличение по сравнению с KAS 2.0. Может быть, такая же проблема была и с другими фильтрами, однако везде (кроме Brightmail) мы ориентировались на установку по-умолчанию.

Объективными данными из приведенных чисел, я считаю только превосходство KAS 3.0 над KAS 2.0, на остальные числа ориентироваться нельзя и я их привожу только для справки, в ответ на явный вопрос.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Какой у новой версии КАС уровень детектирования и ложных срабатываний?

а какой у старой версии?

Вопрос очень интересный и сразу стоит обратить внимание на различные принципы реализации KAS 2.0 и KAS 3.0

например признак 5 цифр до @ в KAS 2.0 сразу отправлял письмо в спам, а в KAS 3.0 присваивается рейтинг (0.25) .. если (я так понимаю) до 1 не дотягивает то спамом уже не считается.

Так как упоминается о тестированиях конфигураций KAS по умолчанию то можно сделать вывод :), но вообще в KAS 2.0 можно учесть данную ситуация введением дополнительного критерия.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а какой у старой версии?

KAS 2.0. Ровно такая :) SpamTest 2.1 не рассматривался, хотя его detection rate выше, но в новых условиях сравнение качества KAS 3.0 с ним не очень интересно.

например признак 5 цифр до @ в KAS 2.0 сразу отправлял письмо в спам

Нет, мог присваиваться Probable Spam (и то на сильно жестких уровнях), но не Spam. Иначе все адреса с телефонными номерами до имени домена валились бы в спам, что странно. И Probable spam в данных выше не учитывался (точнее, учитывался как письмо, которое не было определено как спам).

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Однако, тестирование проводится в режиме реального времени, то есть наши апдейты не успевают реагировать на нераспознанный спам, который мы получили из этих потоков.

интересное наблюдение.

Но по другому и быть не может, новый СПАМ должен отлавливаться проактивно (DNS, RBL, UDS) или эвристикой (типа 5 цифр до @)

В связи с этим вопрос, в KAS 3.0 минимальный период обновления 20 минут.. в связи с чем эта цифра..

Добавлено спустя 2 минуты 4 секунды:

Нет, мог присваиваться Probable Spam (и то на сильно жестких уровнях), но не Spam. Иначе все адреса с телефонными номерами до имени домена валились бы в спам, что странно. И Probable spam в данных выше не учитывался (точнее, учитывался как письмо, которое не было определено как спам).

мог мог... но проблема решена

Добавлено спустя 3 минуты 32 секунды:

Второй поток состоит из реальной почты, которая идет на ролевые адреса ЛК во всех наших доменах. То есть, это почта в основном иностранная, включает в себя как спам, так и неспам. Кроме того, это очень сложные потоки для антиспамерских фильтров в плане ложных срабатываний, потому что зачастую целевые предложения по своей лексике не отличаются от массовых рассылок.

никогда не видел ложных срабатываний по признаку

Content SPAM

(если только это не форвард спама)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
интересное наблюдение.

Но по другому и быть не может, новый СПАМ должен отлавливаться проактивно (DNS, RBL, UDS) или эвристикой (типа 5 цифр до @)

Или терминами, или еще какими-то средставми, имеющими предсказательную силу :) Да, конечно. Однако, я имел в виду следующее: появился некий спам, который не ловится KAS. За то время, пока он дошел до тестового стенда, он не добавится ни в апдейты, ни в UDS, потому что это происходит параллельно и с участием человека. А вот через минуту этот же спам вполне может начать ловиться через UDS. А через двадцать минут в базы может быть добавлена новая эвристика, которая будет ловить не только этот конкретный спам, но и вообще весь новый класс, к которому этот спам принадлежит.

В связи с этим вопрос, в KAS 3.0 минимальный период обновления 20 минут.. в связи с чем эта цифра..

В связи с тем, что так подготавливаются апдейты на наших серверах. Мы рассматривали вопрос уменьшения этого числа до 10 минут, однако так и не решились. Надеемся на UDS.

Ну и совсем из разряда "космических кораблей, бороздящих Большой театр", это полноценные апдейты в реалтайме. Мы над этим не работаем, но думаем.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
P4 512МБ

опять интересная инфа..

посчитаем

kas 2.0 + postfix

на один фильтр (поток) приходится 27 мб оперативки

сколько тратит оперативки ОС и MTA не будет учитывать, но представьте, что кто-то гнома поставил :)

итого

10 потоков = 270 мб

20 потоков = 540 мб

30 потоков = 810 мб

обращаю внимание на то, что каждые 20 минут происходит скачивание обновлений, компиляция которых может отъедать n-е кол-во памяти при чём иногда не возвращая её

в ситуации с 30 потоками

P4 512МБ
умрёт
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
опять интересная инфа..

А вот действительно "интересная инфа", надеюсь, что "опять", хотя мне снова придется уйти в технические подробности, за что прошу прощения у Сергея Ильина (он прав, все-таки, тема про KAS, а не про способы интеграции).

Дело в том, что существует огромная разница между фильтрацией почты перед очередью (before-queue) и после очереди (after-queue).

В случае фильтрации перед очередью, проверка на спам (в данном случае, может быть любой другой контентный анализ) производится во время smtp-сессии, то есть количесто фильтров действительно зависит от количества соединений, что является недостатком такого метода интеграции, потому что количество внешних соединений обычно не контроллируется системным администратором в тех количествах, в которых хватает процессора на контентную фильтрацию. То есть использовать такой способ интеграции можно либо при очень быстрых фильтрах, либо при существенном ограничении входных соединений. Достоинством является то, что письма ложатся в очередь один раз, то есть способ интеграции не вызывает двухкратную нагрузку на жесткий диск (а жесткий диск есть основной ресурс почтовой системы), кроме того есть возможность отдать reject в smtp-сессии после контентного анализа, что так же удобно.

В случае фильтрации после очереди, проверка на спам производится после того, когда письмо легло в очередь. Здесь можно контроллировать максимальное количество фильтров и придерживать очередь в том случае, когда процессор занят. Этот подход дает уверенность в том, что почта будет приниматься вне зависимости от того, справляется фильтр с потоком или нет, или точнее, как быстро он с ним справляется, однако создает двухкратную нагрузку на жесткий диск и исключает возможность дать reject в smtp-сессии, потому что фильтрация производится когда сессия уже завершена и письмо принятно.

Фильтрация после очереди является предпочтительной и поэтому используется нами при установке по-умолчанию практически во все почтовые системы, включая postfix.

Поэтому:

в ситуации с 30 потоками P4 512МБ умрёт

Не умрет. Дело в том, что Ваша арифметика справедлива для before-queue фильтра, а не after-queue. Более подробно можете прочитать про различия между prequeue и postqueue фильтрами в документации на postfix, http://www.postfix.org/SMTPD_PROXY_README.html, например, раздел "Pros and cons of before-queue content filtering".

PS.

компиляция которых может отъедать n-е кол-во памяти при чём иногда не возвращая её

Это уже совсем неправда. Компиляция производится отдельным процессом, он всегда завершается, соответственно память всегда возвращается.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
существует огромная разница между фильтрацией почты перед очередью (before-queue) и после очереди (after-queue).

интересно!

никогда ранее хедпдеск KAS не утверждал, что можно установить КAS перед очередью .. действительно я рассматриваю только случай после очереди.

Про способ интеграции before-queue ничего нет в тех документации.

при чём когда расскрывалась цифра 27 мб никто не говорил, что это для случая before-queue

Это уже совсем неправда. Компиляция производится отдельным процессом, он всегда завершается, соответственно память всегда возвращается.

я написал иногда.. случаи всякие были.

Добавлено спустя 4 минуты 17 секунд:

alk

но вообще весьма ценная информация.

Добавлено спустя 6 минут 29 секунд:

к вам всё таки вопрос о чём мы говорим?

о фильтрах... т.е. процессах ap-mailfilter или о smtp очередях

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
никогда ранее хедпдеск KAS не утверждал, что может быть такое.. действительно я рассматриваю только случай после очереди.

Вы рассматривали случай "перед очередью", оттуда и арифметика.

Про способ интеграции before-queue ничего нет в тех документации.

Здесь я не помню. В документации на SpamTest точно была сноска про smtpd_proxy, но в документации на KAS ее могло и не быть просто по той причине, что сама возможность ее использования в postfix появилась после выпуска KAS 2.0.

при чём когда расскрывалась цифра 27 мб никто не говорил, что это для случая before-queue

Это показатель, который использовался для максимального количества процессов фильтрации KAS 2.0, а не для максимального количества входящих соединений. Хотя, в случае, к примеру, связки KAS и sendmail через milter, это действительно ограничение на входные соединения, потому что milter отрабатывает перед очередью.

я написал иногда.. случаи всякие были.

Мне не хотелось бы разводить флейм на эту тему, если Вы можете рассказать мне про них в личной почте, то я был бы Вам очень признателен.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
который использовался для максимального количества процессов фильтрации KAS 2.0

ок, а сколько процессов было при 30 потоках и 18 письмах в секунду?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
к вам всё таки вопрос о чём мы говорим?

о фильтрах... т.е. процессах ap-mailfilter или о smtp очередях

Интересны оба параметра. Смотрите, идет почта, допустим, в 30 потоков, она складывается в очередь, откуда достается и, к примеру, в 10 потоков шлется в фильтр. Она шлется быстрее, чем принимается, потому что внешние 30 потоков имеют ограничения внешней сети, а доставка через локальный интерфейс значительно быстрее, поэтому в 10 локальных потоков запросто помещается почта, принимаемая через 30 входящих. Таким образом, можно использовать только 10 фильтров.

Но если бы они стояли перед очередью, то их понадобилось бы 30, по количеству входящих соединений, и если они "тяжелые", то они потребовали бы много памяти, что вызвало бы дополнительную нагрузку на почтовый сервер.

Поэтому 30 входящих соединений вполне можно выдержать при фильтрации после очереди даже с тяжелыми фильтрами. В то же самое время, brightmail, который был интегрирован через milter (то есть перед очередью) 30 потоков не выдержал, ровно по той причине, которую я пытаюсь объяснить :)

PS. В то же самое время, KAS 3.0 вполне хорошо будет работать на P4 с 512МБ на 30 потоках и перед очередью: 20МБ разделяемой памяти + 11МБ собственной *30 процессов = 350МБ.

Добавлено спустя 22 минуты 53 секунды:

который использовался для максимального количества процессов фильтрации KAS 2.0

ок, а сколько процессов было при 30 потоках и 18 письмах в секунду?

Боюсь, не смогу ответить точно сейчас; по-моему, дефолтное максимальное количество фильтров было равно 20. Однако, там как раз сказался огрех интеграции, о котором я писал в исходном сообщении: фильтров 20, процессов kas-pipe тоже 20, а посылающих smtp-процессов вообще 100. Поэтому замедленее до 18 связано ровно с тем, что система начала уходить в свап и вела себя несколько нестабильно. Если уменьшить все эти параметры, то производительность была бы значительно выше.

К примеру, KAS 3.0 все фильтровал 10 процессами (установка по-умолчанию) и прекрасно себя чувствовал.

PS. Кстати говоря, для postfix'а есть еще один важный момент, достаточно ли он современный, чтобы поддерживать кеш исходящих smtp-соединений. Если нет, то kas-pipe будет стартовать на каждое письмо (а там еще и spawn, то есть 2 fork'а на письмо приводят к большому load average). Если да, то соединение на kas-pipe будет держаться в соответствии с параметрами кеша, что избавит от лишних fork'ов и значительно поможет эффективно фильтровать почту.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS