Проект "АнтиСпам": только фильтрации SMTP-трафика недостаточно

05.08.2003 | 15:24
Российский комитет Программы ЮНЕСКО "Информация для всех" опубликовал первые результаты испытания технических мер борьбы со спамом, предусмотренных проектом "АнтиСпам".

В период с 15 июля по 1 августа 2003 года, в среднем 75% сообщений электронной почты, полученных клиентами интернет-провайдера Sotis, выбранного в качестве тестовой площадки для тестирования антиспамерских мер, были отфильтрованы стандартными спам-фильтрами, удаляющими письма, прошедшие через почтовые сервера, занесенные в различные антиспамерские "черных списки", содержащие вредоносные вложения, поддельные служебные заголовки или адреса получателей и т.п. Оставшиеся 35% были дополнительно профильтрованы специальной системой, проверяющей, не было ли письмо послано через т.н. open relay. Отличие этой системы от традиционных заключается в том, что она проверяет наличие open relay в цепочке почтовых серверов, через которое прошло сообщение, не по базе данных, а в режиме реального времени.

Дополнительная фильтрация показала, что около 43% из прошедших первичную фильтрацию писем, прошли через open relay SMTP-сервера, то есть с высокой вероятностью являются спамом. Выборочный визуальный просмотр отфильтрованной корреспонденции подтвердил это предположение.

Результаты тестирования подтверждают эффективность предлагаемых в рамках Проекта "АнтиСпам" технических мер противодействия спаму. Вместе с тем следует отметить, что проверка входящего SMTP-трафика на прохождение через open proxy в режиме реального времени может существенно увеличить нагрузку на оборудование и линии связи поставщиков услуг доступа в интернет. Кроме того, эта проверка не обеспечивает 100% эффективности отсеивания спама. Согласно данным Sotis, спам, которому удалось пройти все фильтры, не имеет характерных объединительных признаков, по которым его можно было бы фильтровать в автоматическом режиме. Письма, прошедшие через все фильтры, были посланы, как правило, через хосты, захваченные спамерами с помощью вирусоподобных программ. Фильтровать такого рода спам представляется возможным лишь вручную, занося каждый захваченный спамерами хост в "черный список" или фильтруя SMTP-трафик по ключевым словам.

Первый метод оказывается малоэффективным, так как захваченные хосты обычно используются спамерами лишь один раз. Второй - не может быть применен на уровне провайдеров, так как не гарантирован от ложных срабатываний и удалению нужной корреспонденции клиентов. В связи с этим рабочая группа Проекта "АнтиСпам" считает необходимым рассматривать проблему спама в связке с проблемой распространения вирусов и подобных вредоносных программ. Рабочая группа разделяет озабоченность, выраженную в "Меморандуме о противодействии распространению вредоносных программ и спама", представленного на прошлой неделе в Минсвязи РФ Ассоциацией документальной электросвязи (АДЭ).
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://cnews.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код