Перейти к содержанию
spamolov

Какой анти-спам продукт вам кажется самым лучшим.

Recommended Posts

spamolov

Добрый день, коллеги.

Давно хотелось начать данную тему. Руки просто чесались.

Какой из имеющихся антиспам продуктов на Российском рынке кажется вам наиболее эффективным(именно для рускоязычных пользователей).

Принимаются любые субъективные мнения, приведу пример,чтобы как-то упорядочить точки зрения, которые здесь прозвучат.

например приходит кто-то из Яндекса и говорит: "Наша Спамооборона - самая лучшая, так как мы используем алгоритмы шинглирования и информацию об источниках

спама, которая доступна Яндексу".

с ним не согласен кто-либо из Лаборатории Касперского, "Мы эффективнее Яндекса, так как у нас работает большая лингвистическая лаборатория,которая добавляет

огромное количество лингвистических сигнатур в день." итд.

Примеры выше все вымышленные,так сказать для затравки, хотелось бы услышать обоснованные мнения людей использовавших антиспам продукты.

Какие фичи вам больше всего по душе,что может очень нравиться а что нет. Что вы бы хотели добавить итд. Хочеться слышать мнения о всех продуктах не зависимо

Российские ли они или Западные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic

а простейший фильтр на самом вэб-ящике вам религия на позволяет настроить?

TO -- IS NOT -- ***@***

точно так же, например, в Мыше_Летучем есть фильтр "выборочное скачивание"

(добавил через два часа)

гм, spamolov, прошу прощения за резкость.

перечитал вопрос. исправлять свой пост не стал.

собственно, выше описано, то чем пользуюсь я.

ну и наверно стоит добавить, что у меня несколько п/я, каждый из которых для

писем различной важности.

в тот, который я использую для регистрации на всяких "левых" ресурсах,

даже не заглядываю. :)

на Рамблере понравилась ф-ция пересылки письма отправителю с произвольным текстом в каменте. :)

можно отвести душу :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
а простейший фильтр на самом вэб-ящике вам религия на позволяет настроить?

TO -- IS NOT -- ***@***

точно так же, например, в Мыше_Летучем есть фильтр "выборочное скачивание"

(добавил через два часа)

гм, spamolov, прошу прощения за резкость.

перечитал вопрос. исправлять свой пост не стал.

собственно, выше описано, то чем пользуюсь я.

ну и наверно стоит добавить, что у меня несколько п/я, каждый из которых для

писем различной важности.

в тот, который я использую для регистрации на всяких "левых" ресурсах,

даже не заглядываю. :)

на Рамблере понравилась ф-ция пересылки письма отправителю с произвольным текстом в каменте. :)

можно отвести душу :)

Речь, в первую очередь, идет о корпоративных средствах борьбы, а не решениях на уровне одной рабочей станции.

Какой из имеющихся антиспам продуктов на Российском рынке кажется вам наиболее эффективным(именно для рускоязычных пользователей).

Принимаются любые субъективные мнения, приведу пример,чтобы как-то упорядочить точки зрения, которые здесь прозвучат.

Я бы не стал использовать субъективные мнения. Есть тесты. Тот же Virus Bulletin, ругаемый антивирусниками, проводит хорошие, с точки зрения методологии, тестирования анти-спам систем. Можно посмотреть на результаты тестов. Жаль, что спамооборона не принимает участие. Один минус -- VB тестирует на потоке характерном для Англии, а не для России.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spamolov
Речь, в первую очередь, идет о корпоративных средствах борьбы, а не решениях на уровне одной рабочей станции.

Я бы не стал использовать субъективные мнения. Есть тесты. Тот же Virus Bulletin, ругаемый антивирусниками, проводит хорошие, с точки зрения методологии, тестирования анти-спам систем. Можно посмотреть на результаты тестов. Жаль, что спамооборона не принимает участие. Один минус -- VB тестирует на потоке характерном для Англии, а не для России.

А я вот как раз хотел бы услышать субъективные мнения людей,которые все это используют,конечных пользователей так сказать. Я вот тут недавно видел в одном из пресс релизов,что Касперский Антиспам учавствовал в тестировании от VB. Хотел бы обсудить лично это дело.

Но для публики, вот что написано в пресс релизе(Вырезал именно часть которая описывает методологию теста):

В тесте использовались более 315 тысяч почтовых сообщений, из которых более 313 тысяч были спамом, включая 19,4 тысяч писем из архива спама Virus Bulletin и более 294 тысяч писем, поступающих в режиме реального времени от спам-ловушек проекта Project Honey Pot. Все тестируемые решения получали один и тот же поток почтовых сообщений.

Письма отсылались со специально созданных, фиксированных IP-адресов, что затрудняло обнаружение спама с помощью технологий фильтрации интернет-адресов. Для решения проблемы потери информации о реальном отправителе спама IP-адреса и/или доменные имена отправителей добавлялись в служебные заголовки писем.

Ну а насчет Спамообороны, мне кажется им незачем учавствовать в тесте от VB, так как они именно и специализируются на рускоязычном спаме и не лезут на западные рынки. Так что на потоке который идет для Англии они будут плохо выглядеть :) А в России, как я понимаю, нет достаточно авторитетного источника,который не был бы замечен в тесных контактах с вендорами. Поэтому у всех параноя что их обсчитают или выставят в неудобном свете :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Речь, в первую очередь, идет о корпоративных средствах борьбы, а не решениях на уровне одной рабочей станции.

Корпоративных средств масса. В технологическом плане имеют преимущества известные вcем лидеры американского security-рынка:

Symantec, McAfee, Trend Micro. Дело в том, что линейка решений для предприятий по защите от спама у каждого из этих вендоров

очень богата и подойдет под любые требования любых компаний - как небольших, так и крупнейших.

Все зависит от этих самих требований.

- Есть решения для защиты groupware-серверов (Domino/Exchange), шлюзовых серверов.

- Есть решения для защиты SMTP/POP3 шлюза в виде софта, который интегрируется с MTA, и осуществляет сканирование почты

- Есть интегрированные апплайенсы, которые сочетают в себе MTA и сканер спама (доступные также и в виде VMware-образа).

По вопросу - какие фичи интересны. Мне лично нравятся последние технологии (присутствующие у всех упомянутых вендоров), направленные

на анализ IP по репутации и классификацию соединений (рейтинговая системе), которая позволяет блокировать SMTP-соединение еще до

его установления с mail-сервером. Это позволяет уже заранее срезать 80% спама, не затратив ресурсы на фильтрацию контента на самом сервере.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spamolov
Корпоративных средств масса. В технологическом плане имеют преимущества известные вcем лидеры американского security-рынка:

Symantec, McAfee, Trend Micro. Дело в том, что линейка решений для предприятий по защите от спама у каждого из этих вендоров

очень богата и подойдет под любые требования любых компаний - как небольших, так и крупнейших.

Все зависит от этих самих требований.

- Есть решения для защиты groupware-серверов (Domino/Exchange), шлюзовых серверов.

- Есть решения для защиты SMTP/POP3 шлюза в виде софта, который интегрируется с MTA, и осуществляет сканирование почты

- Есть интегрированные апплайенсы, которые сочетают в себе MTA и сканер спама (доступные также и в виде VMware-образа).

По вопросу - какие фичи интересны. Мне лично нравятся последние технологии (присутствующие у всех упомянутых вендоров), направленные

на анализ IP по репутации и классификацию соединений (рейтинговая системе), которая позволяет блокировать SMTP-соединение еще до

его установления с mail-сервером. Это позволяет уже заранее срезать 80% спама, не затратив ресурсы на фильтрацию контента на самом сервере.

Я тоже за репутацию, просто обеими руками,но вот тенденция пошла,что ее не всегда достаточно(к сожалению). А что если спам идет с hotmail серверов, с тысяч автоматически сгенерированных адресов, и к тому же на русском языке. Как ведут себя упомянутые вами решения, видно что у вас есть опыт в интеграции, сталкивались ли вы на практике с такими примерами. Я думаю здесь эффективнее будет контентная фильтрация заточенная именно под рускоязычного пользователя? Интересует ваше мнение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Соглашусь с мнением Павла выше. Стоит рассмотреть ведущие западные решения по фильтрации антиспама, в первую очередь от большой тройки Symantec, McAfee, Trend Micro.

У Symantec есть семейство Brightmail, которое еще до покупки одноименной компании во многом было ориентиром для всей индустрии по эффективности и функционалу. Также мне лично симпатичны репутационные методы, которые применяются в Trend Micro Network Reputation Services.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Я тоже за репутацию, просто обеими руками,но вот тенденция пошла,что ее не всегда достаточно(к сожалению). А что если спам идет с hotmail серверов, с тысяч автоматически сгенерированных адресов, и к тому же на русском языке

Даже если с домена hotmail.com кто-то будет слать тысячи спам-собщений, все равно на уровне SMTP-соединения будет фиксироваться конечное число IP-соединений. Если присутствуют функции локальной репутации (как в Brightmail Gateway, например), то даже такие спам-атаки не пройдут.

У Symantec, как я уже говорил, имеется функция классификации соединений, которая ведет локальную статистику всех IP-адерсов, которые отправляют спам.

Кроме того есть тот же Traffic Shaping, который на основе данных классификации (по IP или домену) может:

А) Полностю блокировать SMTP-соединение еще до принятия письма вашим mail server'ом (SMTP reject)

Б) Снизить полосу пропускания канала для конкретного IP. Это означает, что те IP, которые отправляют много спама, получат меньше ресурсов

на соединение с вами. (SMTP defer).

В) Разрешить соединение с определенным IP.

Таким образом, возвращаясь к примеру с hotmail - со временем все IP отправителей будут постепенно (причем автоматически) заносится в раздел плохих. Как только все такие IP попадут в "черный" список, спаммерам станет невыгодно отправлять спам в ваш домен (это будет занимать

очень много времени).

Единственное НО - для того, чтобы эти функции успешно работали, должна накопится некоторая статистика "плохих" и "хороших" IP.

Я думаю здесь эффективнее будет контентная фильтрация заточенная именно под рускоязычного пользователя? Интересует ваше мнение.

Да, возможно. Но это потребует "обучения" фильтров и написания правил, которое займет время.

Если говорить о русском спаме, то единственная проблема может быть в том, что продукт западного вендора может не обнаруживать его

всилу того, что у вендора не достаточно ресурсов, чтобы отслеживать спам в России (например, мало ловушек или нет доступа к базам и RBL-листам).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот в тему сегодня создал топик о тесте антиспам-решений этого года

http://www.anti-malware.ru/forum/index.php?showtopic=9606

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spamolov
Даже если с домена hotmail.com кто-то будет слать тысячи спам-собщений, все равно на уровне SMTP-соединения будет фиксироваться конечное число IP-соединений. Если присутствуют функции локальной репутации (как в Brightmail Gateway, например), то даже такие спам-атаки не пройдут.

У Symantec, как я уже говорил, имеется функция классификации соединений, которая ведет локальную статистику всех IP-адерсов, которые отправляют спам.

Кроме того есть тот же Traffic Shaping, который на основе данных классификации (по IP или домену) может:

А) Полностю блокировать SMTP-соединение еще до принятия письма вашим mail server'ом (SMTP reject)

Б) Снизить полосу пропускания канала для конкретного IP. Это означает, что те IP, которые отправляют много спама, получат меньше ресурсов

на соединение с вами. (SMTP defer).

В) Разрешить соединение с определенным IP.

Таким образом, возвращаясь к примеру с hotmail - со временем все IP отправителей будут постепенно (причем автоматически) заносится в раздел плохих. Как только все такие IP попадут в "черный" список, спаммерам станет невыгодно отправлять спам в ваш домен (это будет занимать

очень много времени).

Павел, спасибо за подробное объяснение того, как работают репутационные технологии. Вообще я в теме :)

По поводу hotmail, мы возможно с вами не поняли друг друга, я имел ввиду,что спам идет с настоящих серверов hotmail/gmail/mail.ru, письма даже подписаны domain keys(в случае gmail), но содержат в себе спам. У спамеров еще осталось куча настоящих email аккаунтов, которые им удалось сгенерировать когда была взломана google captcha.

В данный момент это очень распостранненый способ, расчитанный именно на обход репутации. И он весьма эффективно работает.

И вы, как я понимаю собираетесь заносить в черный список настоящие IP адреса серверов hotmail и gmail и сокращать колличество smtp соединений для них. Что может привести к весьма плачевным последствиям. Особенно в корпоративной среде.

Тут еще стоит отметить что спам рассылки, которые я отметил имеют весьма узкий таргетинг, и еще здесь накладывается ограничение на посылку одинаковых сообщений в сутки, которые накладывает gmail и hotmail. Если я не ошибаюсь - эта цифра равна 500 сообщениям в сутки. Но если в распоряжении спамера есть большое колличество email аккаунтов, то это ограничение тоже перестает быть проблемой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spamolov
Соглашусь с мнением Павла выше. Стоит рассмотреть ведущие западные решения по фильтрации антиспама, в первую очередь от большой тройки Symantec, McAfee, Trend Micro.

У Symantec есть семейство Brightmail, которое еще до покупки одноименной компании во многом было ориентиром для всей индустрии по эффективности и функционалу. Также мне лично симпатичны репутационные методы, которые применяются в Trend Micro Network Reputation Services.

Сергей, если вам не трудно, объясните пожалуйста чем отличаются репутационные методы Trend Micro Network Reputation Services, от всех остальных представленных на рынке, скажем от Senderbase для IronPort или McAfee Trusted source. Именно какие отличия в технологическом плане. Очень интересует данная тема.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
И вы, как я понимаю собираетесь заносить в черный список настоящие IP адреса серверов hotmail и gmail и сокращать колличество smtp соединений для них. Что может привести к весьма плачевным последствиям. Особенно в корпоративной среде.

В черный список адреса заносит не пользователь, а устройство или программа, выполняющее фильтрацию. Чем больше спаммерских писем пришло, тем меньше вероятность того, что письмо будет принято. На глобальной репутации gmail это почти не сказывается. А вот локальная репутация - со временем снижается.

А Вам часто приходят письма от корпоративных пользователей с домена hotmail или gmail? У большинства крупных предприятий

свои локальные сети, где происходит обмен письмами. И на деловую переписку между пользователями двух разных компаний блокировка новых сообщений с gmail никак не влияет - они продолжают получать свои письма.

Сергей, если вам не трудно, объясните пожалуйста чем отличаются репутационные методы Trend Micro Network Reputation Services, от всех остальных представленных на рынке, скажем от Senderbase для IronPort или McAfee Trusted source. Именно какие отличия в технологическом плане. Очень интересует данная тема.

Большинство анти-спам технологий схожи. Обычно все основывается на глобальной базе спам-ловушек, представляющих собой

истекшие и более не используемые аккаунты электронной почты, на которые стабильно приходит определенный процент спама каждый день.

Получая информацию с таких "сенсоров", можно нагдядно отследить картину спама в каждом регионе или стране, а затем получить сигнатуры

для фильтрации спама и деплойить их в форме анти-спам обновлений для своих продуктов. Или создать набор правил для проверки спам-сообщений.

Разумеется, эти базы огромные и чем больше такая база, тем более эффективно идет проверка на спам.

Т.е. происходит так же, как и с антивирусами.

Отличие состоит в том, что одни компании OEM'ят базы других компаний.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spamolov
В черный список адреса заносит не пользователь, а устройство или программа, выполняющее фильтрацию. Чем больше спаммерских писем пришло, тем меньше вероятность того, что письмо будет принято. На глобальной репутации gmail это почти не сказывается. А вот локальная репутация - со временем снижается.

Эта часть мне абсолютно понятна, я имею ввиду кто заносит IP адреса в черный список и как это происходит. Моя задача доказать вам что репутация - это не всегда панацея и я считаю что ее роль очень сильно преувеличина маркетологами, а особенно маркетологами из большой тройки (Symantec,Trendmicro, McAfee). Вот вы сказали,что репутации тоже требуется время для накопления информации о плохих/хороших адресах и я здесь с вами полностью согласен. А позвольте вас спросить на основании чего копится эта репутация? То есть скажем как мы определяем является

IP адрес хорошим или плохим. Я вам отвечу, она копиться засчет срабатывания антиспам сигнатур(в том числе лингвистических итд),которые добавляются в ручную и срабатываний антивируса, плюс к этому прибавляем добавление/удаление адресов в ручную спам аналитиками.

Можно еще сюда включитьпереработку информации в автоматическом режиме со spam traps, но этот процесс тоже должен контролироваться в ручную, и никто из вендоров не считает априори все что идет в ловушки спамом - это весьма опасный подход, так как можно опять же добавить например новый сервер gmail в черный список глобальной репутации и сильно навредить уже своей репутации :).

То есть скажем чтобы накопить репутацию о неизвестном IP адресе рассылающем спам, вам придется все равно на первом этапе ловить спам сигнатурами и ничем иным. Под сигнатурами здесь я подразумеваю обширный список, от regex до URI_BL, итд.

То есть соответственно репутация без сигнатур и без быстрой реакции производителя решения - это ни что иное как безполезная поделка. А при примере который я описал, когда спам идет с аккаунтов на бесплатных email сервисах, тут она вообще перестает работать, так как даже если вы и накопите багаж локальной репутации, вам никто не позволит держать адреса серверов gmail или mail.ru в черных списках, почему я опишу ниже ответив на вашу следующую реплику.

По моему мнению репутация работает менее эффективно в России, где спам более изощеренный и тут нет такой ситуации как на западе, что спам рассылка живет без изменений месяц и более и рассылается с одних и тех же машин. Здесь скорее все рассылки индивидуальны, спамеры все больше и больше пользуются узким таргетированием, чаще пользуются свежими ботнетами, и поэтому с русским спамом лучше справляются продукты наших производителей, ориентированные больше на контентный анализ и быстрое обновление сигнатур.

А Вам часто приходят письма от корпоративных пользователей с домена hotmail или gmail? У большинства крупных предприятий

свои локальные сети, где происходит обмен письмами. И на деловую переписку между пользователями двух разных компаний блокировка новых сообщений с gmail никак не влияет - они продолжают получать свои письма.

Я вам отвечу так, возьмем пример из реальной жизни, адвокатское бюро(специализирующееся на работе с физическими лицами), или страховая компания занимающаяся приемущественно страховкой частных автомобилей. Эти компании приемущественно работают с физическими лицами, а у физических лиц очень часто бывают акаунты на бесплатных серверах. И в нашем примере, если мы заблокируем локальной репутацией какой-либо из серверов gmail/hotmail/mail.ru, все может закончится плачевно :) Потерей клиента или еще чем-либо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spamolov
Большинство анти-спам технологий схожи. Обычно все основывается на глобальной базе спам-ловушек, представляющих собой

истекшие и более не используемые аккаунты электронной почты, на которые стабильно приходит определенный процент спама каждый день.

Получая информацию с таких "сенсоров", можно нагдядно отследить картину спама в каждом регионе или стране, а затем получить сигнатуры

для фильтрации спама и деплойить их в форме анти-спам обновлений для своих продуктов. Или создать набор правил для проверки спам-сообщений.

Разумеется, эти базы огромные и чем больше такая база, тем более эффективно идет проверка на спам.

Т.е. происходит так же, как и с антивирусами.

Отличие состоит в том, что одни компании OEM'ят базы других компаний.

Павел,спасибо, за пояснение, именно этим я и занимаюсь последние пять лет своей профессиональной деятельности :) А вопрос так был сформулирован Сергею специально, чтобы он пояснил чем именно репутационные решения Trend Micro, отличаются от всех остальных. Так как он выделил эти решения как лично ему понравившиеся, по определенным причинам, хотелось бы их услышать, если возможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
По моему мнению репутация работает менее эффективно в России, где спам более изощеренный и тут нет такой ситуации как на западе, что спам рассылка живет без изменений месяц и более и рассылается с одних и тех же машин. Здесь скорее все рассылки индивидуальны, спамеры все больше и больше пользуются узким таргетированием, чаще пользуются свежими ботнетами, и поэтому с русским спамом лучше справляются продукты наших производителей, ориентированные больше на контентный анализ и быстрое обновление сигнатур.

В России, действительно, даже у Symantec были проблемы с обнаружением спама продуктами семейства Brightmail.

Дело в том, что сама база спам-ловушек Symantec в России - совсем небольшая, мягко говоря. Поэтому были случаи, когда спам проходил в

больших количествах, причем у заказчиков не только из России.

Я вам отвечу так, возьмем пример из реальной жизни, адвокатское бюро(специализирующееся на работе с физическими лицами), или страховая компания занимающаяся приемущественно страховкой частных автомобилей. Эти компании приемущественно работают с физическими лицами, а у физических лиц очень часто бывают акаунты на бесплатных серверах. И в нашем примере, если мы заблокируем локальной репутацией какой-либо из серверов gmail/hotmail/mail.ru, все может закончится плачевно :) Потерей клиента или еще чем-либо.

Согласен с этим полностью.

Получается, что даже лучшие репутационные технологии требуют хорошей поддержки специалистов службы Security Response, а

без них будут блокировать легитимные адреса и "хороших" отправителей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Моя задача доказать вам что репутация - это не всегда панацея и я считаю что ее роль очень сильно преувеличина маркетологами, а особенно маркетологами из большой тройки (Symantec,Trendmicro, McAfee). Вот вы сказали,что репутации тоже требуется время для накопления информации о плохих/хороших адресах и я здесь с вами полностью согласен. А позвольте вас спросить на основании чего копится эта репутация? То есть скажем как мы определяем является

IP адрес хорошим или плохим. Я вам отвечу, она копиться засчет срабатывания антиспам сигнатур(в том числе лингвистических итд),которые добавляются в ручную и срабатываний антивируса, плюс к этому прибавляем добавление/удаление адресов в ручную спам аналитиками.

Немного не так все происходит. Если не углубляться в конкретные реализации вендоров, то репутационная база строится следующим образом. Есть некий "динамический RBL", куда оперативно заносится информация от сенсоров-ловушек о спамерах, тут вы правы.

Но есть еще очень важная вещь. Какова цель спама, что там обычно бывает? Там бывают линки на зараженные сайты и линки на разные сайты заказчиков. Крупные секьюрити-вендоры имеют динамические базы как зараженных URL, так и те самые базы заказчиков спама. Если в письме есть ссылка на сайта типа xxxclub.noname.ru и этот URL уже был замечен в спаме не раз, то почти на 100% можно говорить, что и сейчас нам пришел спам. Тоже самое и с зараженными URL. Если корреляционная антивирусная репутационная база показывает, что по этому адресу был вредонос, то по-любому это сообщение нежелательное.

В общих чертах как-то так :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spamolov
Немного не так все происходит. Если не углубляться в конкретные реализации вендоров, то репутационная база строится следующим образом. Есть некий "динамический RBL", куда оперативно заносится информация от сенсоров-ловушек о спамерах, тут вы правы.

Но есть еще очень важная вещь. Какова цель спама, что там обычно бывает? Там бывают линки на зараженные сайты и линки на разные сайты заказчиков. Крупные секьюрити-вендоры имеют динамические базы как зараженных URL, так и те самые базы заказчиков спама. Если в письме есть ссылка на сайта типа xxxclub.noname.ru и этот URL уже был замечен в спаме не раз, то почти на 100% можно говорить, что и сейчас нам пришел спам. Тоже самое и с зараженными URL. Если корреляционная антивирусная репутационная база показывает, что по этому адресу был вредонос, то по-любому это сообщение нежелательное.

В общих чертах как-то так :)

Сергей, вы меня наверное не так поняли, помоему все так и происходит как я написал, так как под спам сигнатурами я понимаю и описанный вами выше URI_BL (URI Blacklist). Это тоже сигнатура. Например в Спам Ассассин, если письмо сожержит плохой URL ему присваевается повышенный вес. Поэтому я и включил все методы на основании которых копится IP репутация(именно ее мы рассматриваем) в название "спам сигнатуры".

Тут еще что надо отметить, с каждым днем спамеры все меньше и меньше используют собственноручно созданные URL адреса, так как они весьма быстро блокируются и письма перестают попадать в ящики жертв. Спамерам выгоднее использовать например Google/Yahoo Groups, Или сервисы Google Documents, недавно видел что размещают картинки с Виагрой на Facebook. Это безотказный способ, так как не надо иметь свою инфраструктуру. Тут еще надо отметить,что спамеры никогда не шлют сами спам письма с тех же IP на который размещены сайты рекламируемые ими.

Плюс к выше сказанному, русские спамеры пошли еще дальше и вместо URL чаще используют телефонные номера вида (Ч95) З65 O8 49 (Буквы вместо цифр итд) либо номера ICQ.

Так что борьба продолжается :)

Не поясните все таки чем конкретно отличается реализация репутации на примере конкретного вендора, к примеру Trend Micro. Было бы интересно.

Заранее спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Сергей, вы меня наверное не так поняли, помоему все так и происходит как я написал, так как под спам сигнатурами я понимаю и описанный вами выше URI_BL (URI Blacklist). Это тоже сигнатура. Например в Спам Ассассин, если письмо сожержит плохой URL ему присваевается повышенный вес. Поэтому я и включил все методы на основании которых копится IP репутация(именно ее мы рассматриваем) в название "спам сигнатуры".

Верно, то тут важна природа этих баз. Если мы будет собирать тот же URI_BL из самого спама - это одна эффективность, а если будем использовать корреляции из других баз, например, упомянутых мной зараженных URL или сайтов с низкой репутацией (тот самый in the cloud), то эффективность будет другая.

Рука руку моет. Как бот сети зараженных компьютеров используется для рассылки спама, так и спам используется для заражения новых компьютеров и пополнения бот-сетей. URL может еще не использоваться в спаме, но информация о том, что он подозрительный или зараженный может давно уже быть.

Тут еще что надо отметить, с каждым днем спамеры все меньше и меньше используют собственноручно созданные URL адреса, так как они весьма быстро блокируются и письма перестают попадать в ящики жертв. Спамерам выгоднее использовать например Google/Yahoo Groups, Или сервисы Google Documents, недавно видел что размещают картинки с Виагрой на Facebook. Это безотказный способ, так как не надо иметь свою инфраструктуру. Тут еще надо отметить,что спамеры никогда не шлют сами спам письма с тех же IP на который размещены сайты рекламируемые ими.

Вот это действительно проблема, пока я не совсем понимаю, как можно эффективно этому противостоять. <_<

Если Андрей Никишин увидит тему, то может расскажет, как с этим борются в ЛК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Вот это действительно проблема, пока я не совсем понимаю, как можно эффективно этому противостоять. <_<

Если Андрей Никишин увидит тему, то может расскажет, как с этим борются в ЛК.

Сергей, не вполне понял в чем проблема? Максим все понятно описал как работает URIBL, твои идеи с корреляцией так же понятны и могут сработать (только не так в лоб, а чуть по-другому).

Получил уточняющий вопрос. Как бороться сло ссылками на Facebook, MySpace, Google и пр

Точно так же как и с остальным спамом -- ссылка есть сигнатура. С другой стороны, кроме ссылок обычно бывают тексты, а еще бывают IP адреса, с которых рассылают спам, а еще... много чего. Я не вижу борльшой проблемы в ловле спаса со ссылками на google, myspace и пр

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spamolov
Сергей, не вполне понял в чем проблема? Максим все понятно описал как работает URIBL, твои идеи с корреляцией так же понятны и могут сработать (только не так в лоб, а чуть по-другому).

Получил уточняющий вопрос. Как бороться сло ссылками на Facebook, MySpace, Google и пр

Точно так же как и с остальным спамом -- ссылка есть сигнатура. С другой стороны, кроме ссылок обычно бывают тексты, а еще бывают IP адреса, с которых рассылают спам, а еще... много чего. Я не вижу борльшой проблемы в ловле спаса со ссылками на google, myspace и пр

Да именно так и только так, ссылка есть сигнатура(Так как любая ссылка уникальна), тут стоит пояснить подробнее, сканер должен работать примерно так: рассмотрим превентивный сценарий, когда мы еще не видели данную ссылку встречающуюся в спаме соответсвенно не можем добавить ее в базу,

чтобы исключить ложные срабатывания необходимо не давать никакого веса для правила(регулярного) выражения, которое определяет есть ли в письме ссылка на Google, Yahoo итд, а вот если на данном письме еще и срабатывает какая-либо другая группа правил(например поддельные часы или медикаменты, то тут надо увеличивать вес.

Этот метод не всегда эффективен,так как иногда спамеры просто шлют URL и кучу разных непонятных по смыслу слов и выражений, но иногда очень помогает остановить только начавшиеся эпидемии. Это так как я с этим борюсь :)

А так Андрей совершенно прав, проблемы как таковой зедесь нет. Разьве что спамеру теперь можно обходить такие процессы как регистарация домена на подставные лица и с поддельных кредитных карт, да и не нужно делать свою инфраструктуру, а при начале блокирования его ссылок на бесплатных ресурсах, просто поменять их или переехать на другой ресурс и делают они это быстро. Вот где проблема.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Разьве что спамеру теперь можно обходить такие процессы как регистарация домена на подставные лица и с поддельных кредитных карт, да и не нужно делать свою инфраструктуру, а при начале блокирования его ссылок на бесплатных ресурсах, просто поменять их или переехать на другой ресурс и делают они это быстро. Вот где проблема.

Это не проблема. Это большой плс для спамеров. Cloudные технологии :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spamolov
Это не проблема. Это большой плс для спамеров. Cloudные технологии :-)

Ну да, для спамеров это не проблема, для нас это проблема :)

Тут еще можно отметить "быструю" реакцию самих социальных сервисов, на спам вот тут есть ссылка обнаруженная мной 13 августа сего года, неделю назад была жива картиночка :) А сколько таких даже страшно подумать.

http://www.facebook.com/notes.php?id=100000107458067

Так как это всего лишь картинка и ничего больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
birdan

Могу предложить Вам антиспам-фильтр, который работает по иному принципу, чем все распространенные и известные антиспамы. Преимущество его в том, что не ведется никакая база данных с сигнатурами сообщений (которых теоретически может быть бесконечное множество, и выгода производителей таких анитиспамов очивидна - постоянная зависимость от них). Фильтрация спама происходит по признакам подключения и содержимому SMTP-протокола, чтобы отфильтровать сообщения не нужно их получать, достаточно пообщаться с отправителем спама на уровне протокола, и сделать вывод.

Эффективность таких методов защиты проверена в течении 3-х лет на почтовом сервере крупной копмании. 90% спама просто не принимается сервером. Потери незначительны, проблемы решаются быстро с помощью настроек фильтра.

Основное преимущество - простота настроек, бесплатная техподдержка на протяжении всего периода использования, цена невысокая.

Это не спам-сообщение в форум, просто борьба со спамом - это бизнес, приносящий производителям ПО большие прибыли. Отсюда их незаинтересованность в эффективных методах борьбы со спамом, а они существуют. Но куда нам тягаться с монстрами на рынке ПО, потому я выбрал такой способ, надеюсь не вызову нареканий со стороны уважаемых форумян :)

Если Вас заинтересовало мое сообщение, предлагаю пообщаться подробнее.

ICQ 568198000

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spamolov
Могу предложить Вам антиспам-фильтр, который работает по иному принципу, чем все распространенные и известные антиспамы. Преимущество его в том, что не ведется никакая база данных с сигнатурами сообщений (которых теоретически может быть бесконечное множество, и выгода производителей таких анитиспамов очивидна - постоянная зависимость от них). Фильтрация спама происходит по признакам подключения и содержимому SMTP-протокола, чтобы отфильтровать сообщения не нужно их получать, достаточно пообщаться с отправителем спама на уровне протокола, и сделать вывод.

Эффективность таких методов защиты проверена в течении 3-х лет на почтовом сервере крупной копмании. 90% спама просто не принимается сервером. Потери незначительны, проблемы решаются быстро с помощью настроек фильтра.

Основное преимущество - простота настроек, бесплатная техподдержка на протяжении всего периода использования, цена невысокая.

Это не спам-сообщение в форум, просто борьба со спамом - это бизнес, приносящий производителям ПО большие прибыли. Отсюда их незаинтересованность в эффективных методах борьбы со спамом, а они существуют. Но куда нам тягаться с монстрами на рынке ПО, потому я выбрал такой способ, надеюсь не вызову нареканий со стороны уважаемых форумян :)

Если Вас заинтересовало мое сообщение, предлагаю пообщаться подробнее.

ICQ 568198000

Ну давайте пообщаемся поподробнее о вашем чудо творении здесь :) Заговор...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Могу предложить Вам антиспам-фильтр, который работает по иному принципу, чем все распространенные и известные антиспамы.

Фильтрация спама происходит по признакам подключения и содержимому SMTP-протокола, чтобы отфильтровать сообщения не нужно их получать, достаточно пообщаться с отправителем спама на уровне протокола, и сделать вывод.

Если Вас заинтересовало мое сообщение, предлагаю пообщаться подробнее.

ICQ 568198000

А почему аськой, Давайте здесь -- интересно не только Спамолову. Коллега, опишите чуть более подробно что вы сделате во время сессии, плс. Я знаю с пяток разных разностей в SMTP сессии (ну и имена компаний это делающих тоже:-), чтобы поймать спам, что делаете вы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×