5 августа 2003, 11:08

Одной фильтрации SMTP трафика недостаточно для борьбы со спамом

Российский комитет Программы ЮНЕСКО "Информация для всех", будучи верен принципу публичного обсуждения своих инициатив, публикует первые результаты испытания технических мер борьбы со спамом, предусмотренных Проектом "АнтиСпам". В качестве тестовой площадки для тестирования антиспамерских мер решением рабочей группы был выбран интернет-провайдер ISP Sotis.

В период с 15 июля по 1 августа 2003 года, в среднем 75% сообщений электронной почты, полученных клиентами ISP Sotis, были отфильтрованы стандартными спам-фильтрами, удаляющими письма, прошедшие через почтовые сервера, занесенные в различные антиспамерские "черных списки", содержащие вредоносные вложения, поддельные служебные заголовки или адреса получателей и т.п.

Оставшиеся 25% были дополнительно профильтрованы специальной системой, проверяющей, не было ли письмо послано через т.н. open relay. Отличие этой системы от традиционных заключается в том, что она проверяет наличие open relay в цепочке почтовых серверов, через которое прошло сообщение, не по базе данных, а в режиме реального времени.

Дополнительная фильтрация показала, что около 43% из прошедших первичную фильтрацию писем, прошли через open relay SMTP сервера, то есть с высокой вероятностью являются спамом. Выборочный визуальный просмотр отфильтрованной корреспонденции подтвердил это предположение.

Результаты тестирования подтверждают эффективность предлагаемых в рамках Проекта "АнтиСпам" технических мер противодействия спаму. Вместе с тем следует отметить, что проверка входящего SMTP трафика на прохождение через open proxy в режиме реального времени может существенно увеличить нагрузку на оборудование и линии связи поставщиков услуг Интернет. Кроме того, эта проверка все-таки не обеспечивает 100% эффективности отсеивания спама.

Согласно данным ISP Sotis, спам, которому удалось пройти все фильтры, не имеет характерных объединительных признаков, по которым его можно было бы фильтровать в автоматическом режиме. Письма, прошедшие через все фильтры, были посланы, как правило, через хосты, захваченные спамерами с помощью вирусоподобных программ. Фильтровать такого рода спам представляется возможным лишь вручную, занося каждый захваченный спамерами хост в "черный список" или фильтруя SMTP трафик по ключевым словам.

Первый метод оказывается малоэффективным, так как захваченные хосты обычно используются спамерами лишь один раз. Второй - не может быть применен на уровне провайдеров, так как не гарантирован от ложных срабатываний и удалению нужной корреспонденции клиентов.

В связи с этим рабочая группа Проекта "АнтиСпам" считает необходимым рассматривать проблему спама в связке с проблемой распространения вирусов и подобных вредоносных программ. Рабочая группа разделяет озабоченность, выраженную в "Меморандуме о противодействии распространению вредоносных программ и спама", представленного на прошлой неделе в Минсвязи РФ Ассоциацией документальной электросвязи (АДЭ).

Полученные данные подтверждают уверенность рабочей группы Проекта "АнтиСпам" в масштабах угрозы, которую представляет спам и сопутствующие ему негативные явления и необходимость скорейшего принятия законодательных мер, направленных на борьбу с этим злом.

Оцените новость:
  • 0 оценок