Внедрение новых технологий в методы фильтрации спама позволят снизить нагрузку на корпоративную сеть компании и увеличить качество почтового трафика.
Ознакомиться с актуальными решениями в сфере анти-спамерского ПО от авторитетного разработчика можно при помощи полноценной демонстрационной версии софта.
Для экономии времени используйте возможность оценки функционала ПО для защиты от спама на удаленном сервере, без установки во внутреннюю сеть.
Безопасность почты — это не только защита от спама и фишинга, но и обеспечение сохранности данных, хранящихся на почтовых серверах.
Оптимальная система антивирусной безопасности корпоративных ИТ-систем, как правило, состоит из спектра программных и облачных решений, позволяющих осуществлять:
- защиту от спама и вирусов для почты;
- контроль и защиту доступа в веб;
- архивацию почты и документов;
- автоматический мониторинг всех узлов в сети + SIEM;
- централизованный контроль уязвимостей и обновлений;
- контроль утечки информации через внешние накопители.
Страшно представить, но почти все компьютеры в мире контролируются спамерами. Без понимания, как действуют недоброжелатели, и дополнительной автоматической защиты открытие одного лишь письма в e-mail может привести к обрушению всей корпоративной сети и уничтожению либо утечке важных данных организации. Каждой компании требуется качественная защита от спама и фишинга, которую обеспечит грамотно выбранное программное обеспечение.
Cпам и фишинг сегодня, или Почему так важна антиспам-защита
В последние годы решение проблемы спама приобретает все большую актуальность. В прошлом году доля спама в мировом почтовом трафике превысила 55%. Согласно обобщенным данным Ассоциации документальной электросвязи, сотрудники, которые получают в день по 10—20 деловых писем, попутно находят в своих электронных ящиках более сотни спамерских сообщений. Борьба с рекламной и вредоносной рассылкой потребует около 5-ти часов в месяц, а это рабочее время, оплачиваемое работодателем. Кроме того, спам значительно увеличивает нагрузку на коммуникации, повышает трафик, снижает эффективность работы сервера.
Мировой лидер по рассылке спама в 2015 году — США, им принадлежит более 15% всех нежелательных сообщений в мире. Следом за Штатами, с 8-процентной долей спама, идет Вьетнам, а замыкает тройку печальных фаворитов Китай с 7% почтового «мусора». Российские спамеры занимают четвертую строчку по объему нежелательной почты, хотя не так давно они были на второй позиции. А вот страны-«мишени» спамеров совсем иные. Больше всего достается Германии — на нее приходится более 18% всего спама, следом — Бразилия с 11%, а затем уже наша страна с долей в 7,5%. Больше всего из развитых стран повезло Саудовской Аравии, на нее приходится лишь 1% спам-сообщений.
Интересно, что спамеры не отстают от мировых событий и актуальных потребностей получателей. Так, в 2014 году основной темой коварных писем зачастую был Чемпионат мира по футболу, а в 2015 году — события на Украине. Каждый туристический сезон адресаты видят в своих электронных ящиках нежданные письма от отелей, как настоящих, так и «фейковых».
Ответ на подобные сообщения запрещен в принципе, так как каждая реакция на полученное извещение приведет к тому, что на ваш ящик будет приходить все больше и больше нежелательной корреспонденции. Как «убрать» спам, хорошо знает большинство специалистов: нужно либо сменить e-mail, либо установить дополнительную защиту.
Существуют и более опасные рассылки, которые нацелены на «заражение» компьютера или на получение доступа к конфиденциальной информации, — так называемый фишинг. Эти разновидности спама — особый вид интернет-мошенничества, призванный получить идентификационные данные пользователя, такие как личные и корпоративные пароли, номера кредитных карт, банковских счетов и так далее.
Даже самая скромная статистика свидетельствует о том, что «трояны» «живут» на нескольких миллионах пользовательских компьютеров по всему миру. Причем вирусы обладают собственным интеллектом: обновляются, рассылают спам, получают инструкции от мошенников. Согласно экспертным данным, более 96% компьютеров, с которых отправляют электронные письма, являются членами «зомби-сети», то есть контролируются спамерами.
Как правило, фишинг мы получаем в виде фальшивого уведомления от провайдера, банка и других организаций, которые хорошо узнаваемы и могут быть важны для деятельности компании. В темах таких писем нас предупреждают о срочной информации, угрозе, на которую нужно среагировать немедленно. Фишеры не гнушаются предлагать борьбу с «самими собой»: мол, стоит только пройти по ссылке на рекомендуемый сайт, ввести свой логин и пароль — и об опасности фишинга можно забыть навсегда. С помощью введенных данных мошенники получают доступ к электронному ящику жертвы и другой личной информации. При этом фишеры сами редко пользуются полученными данными, передавая их третьим лицам. И нельзя забывать об опасности заражения компьютера вредоносной программой, подхваченной на открытой по ссылке странице или в прикрепленном к письму файле. Ведь когда вирус поражает один из компьютеров корпоративной сети, есть риск парализовать работу всей организации. Теперь понимаете, что значит для компании защита от фишинга?
По данным специалистов, ущерб от одного только инцидента, связанного с информационной безопасностью, для крупных компаний составляет в среднем 20 миллионов рублей, а для небольших организаций — чуть менее 800 тысяч рублей. Чтобы ликвидировать проблему и обезопасить себя от дальнейших неприятностей, компании большого размера могут потратить до 2 миллионов рублей, а фирмы поменьше — примерно 300 тысяч. Однако 90% мирового бизнеса довольно снисходительно относится к опасности вредоносных программ, иными словами, не следит за появлением новых вирусов и оперативным обновлением программного обеспечения для борьбы с ними. А начинать следует с понимания того, под какими темами писем чаще всего скрывается спам.
Спам в рекламных целях, несмотря на свою популярность, малоэффективен. Недавно проведенный эксперимент одной из калифорнийских компаний это наглядно доказал: организация разослала 350 миллионов писем, извещающих о запуске нового продукта, получив в ответ лишь 28 заказов.
Виды спама
По традиции одной из самых популярных тематик спам-сообщений являются интернет-знакомства. Свидания, объявления брачных агентств всегда были в лидерах тем нежелательных писем, популярна и реклама сайтов «для взрослых». Далее по рейтингу идут образование, путешествия (они особенно активны в летний период), недвижимость и бухгалтерские услуги.
В зависимости от содержания письма спам делится на «коммерческий» и «некоммерческий», чему соответствуют аббревиатуры UCE — «unsolicited commercial e-mail» (коммерческий) и UBE — «unsolicited bulk e-mail» (некоммерческий).
Коммерческий спам. в свою очередь, делится на санкционированный и несанкционированный. другими словами, вам приходят коммерческие предложения, на которые вы соглашались или не соглашались. С такого рода спамом нужно обращаться аккуратно, так как можно упустить действительно важную информацию.
Некоммерческий спам, или анонимная массовая рассылка. чаще всего представлен следующими его разновидностями:
- Политический спам. Сообщения политического характера наиболее популярны, естественно, в период выборов. Речь в основном идет о «черном PR» с целью компрометации определенного лица. Интересно, что такая рассылка часто осуществляется якобы от имени конкурента. Пользователей возмущает огромное число писем от кандидата, что заставляет их идти голосовать за другого (истинного инициатора рассылки).
- «Благотворительный» спам. Как уже говорилось выше, спамеры умело используют происходящие в мире события. Так, в 2008 году популярна была просьба перечислить деньги в благотворительный фонд для помощи детям из Южной Осетии. Позже «благотворители» собирали пожертвования в Донецк. Масса сообщений поступает с кличем помочь умирающему от тяжкого недуга ребенку, которому нужна срочная дорогостоящая операция. Такой спам очень опасен, так как оформлен довольно грамотно. Неравнодушным к чужим бедам людям следует тщательно проверять изложенную в подобных письмах информацию.
- Мошеннический спам. В так называемых нигерийских письмах мошенники предлагают участие в денежных операциях, обещая огромные доходы. У получателя письма выпрашивается все больше денег на уплату различных сборов, взяток чиновникам и т. д. Популярный вариант — письмо от нотариуса, извещавшего о смерти человека с той же фамилией, что и адресат. Отправитель предлагает получить деньги с банковского счета «умершего». Поначалу такие сообщения шли со ссылкой на гибель родственника в Нигерии, отчего спам и получил свое название. Интересно, что, несмотря на множественные предупреждения о вреде подобных писем, ежегодно находятся жертвы, отправляющие деньги на счета мошенников.
- Цепочный спам («письма счастья»). Задача цепочного спама — пересылка сообщения всем родственникам и знакомым адресата. Чаще всего это некое «письмо счастья», в котором пользователю обещают полное благополучие в жизни, если он отправит письмо определенному числу других пользователей. Иной вариант — «письмо несчастья», в котором сообщается о грядущем стихийном бедствии, теракте или эпидемии. Отправители письма настоятельно рекомендуют перенаправить сообщение всем знакомым, чтобы предупредить их. Такие сообщения особенно опасны возможной паникой среди населения, а в некоторых случаях содержат и просьбы о переводе небольших сумм денег. Зачастую «письма счастья» содержат ссылку на вредоносный сайт или зараженный файл.
- Спам «для взрослых». Этот вид спама несколько сдал свои позиции по сравнению с началом 2000-х. Произошло это отчасти благодаря введению в некоторых государствах законодательных ограничений на подобный контент. Но спад фиксируется в западных странах, а в России, наоборот, идет подъем. К тематике спама для взрослых относятся порносайты и материалы, содержащие порнографию, сайты знакомств, средства для повышения потенции. Чаще всего такие сообщения приходят на английском языке.
- Вирусный спам. Самый проблемный вид спама. Одно такое письмо может повредить один компьютер или целую сеть, уничтожить или похитить информацию, остановить работу организации, причем достаточно крупной. Спамеры наловчились подделывать вирусные письма под сообщения от почтовых серверов (например, отчет о якобы недоставленном письме) под важные извещения, под документы, требующие срочного просмотра.
Согласно статистике, самой популярной на текущий момент вирусной программой является Trojan-Spy. HTML. Fraud. gen. Это фишинговая интернет-страница, маскирующаяся под интернет-магазин, банк, компанию, предлагающую антивирусную защиту. На втором по популярности месте расположился загрузчик Trojan-Downloader. JS. Agent. hhi, представляющий собой обфусцированный Java-скрипт. Загрузчики используют технологию ADODB. Stream, которая позволяет им скачивать и запускать файлы DLL, EXE и PDF. На третьей строчке расположился Trojan-Downloader. VBS. Small. lj — это VBS-скрипты, которые используют ту же ADODB. Stream, только скачивают ZIP-архивы и запускают извлеченное из них вредоносное ПО.
Иногда спамеры попадают в собственные сети. Так, широко известна история с одним из крупнейших мировых спамеров Аланом Ральски. Однажды он неосторожно дал интервью одному из журналов, после чего опытные пользователи смогли узнать не только электронный почтовый адрес спамера, но и физический. Тысячи активистов подписали эти адреса на множество рассылок, как обычных, так и электронных. В результате дом Ральски был буквально завален различными каталогами, рекламами и прайсами, а его электронный ящик не выдерживал нагрузок. Дошло до того, что спамер стал жаловаться в прессе на «выживших из ума недоброжелателей».
Способы распространения спама
Рассматривая вопрос многообразия спама, было бы странно обойти стороной тему способов его распространения.
Первоначально сообщения рассылались спамерами с использованием собственных почтовых серверов и от собственного имени. Но эти рассылки оказались неэффективны, так как их достаточно просто блокировать: необходимо всего лишь запретить адрес отправителя или почтового сервера. И как только подобные блокировки стали распространенными, спамерам пришлось искать обходные пути — к примеру, подделывать различную информацию, включая адреса отправителей.
Открытые сервисы (open relay, open proxy)
Существуют почтовые серверы, позволяющие произвольному отправителю послать любое письмо на любой электронный адрес, — их называют «открытые релеи» (open relay). Все началось еще в середине 90-х, когда абсолютно все почтовые серверы представляли собой как раз открытые релеи (впоследствии конфигурации крупных мировых почтовых серверов были изменены). Однако следить за тем, чтобы сервер был закрытым, нужно постоянно, а специалисты по IT-безопасности не всегда уделяют этому должное внимание, чем активно пользуются созданные интернет-мошенниками сервисы поиска открытых релеев или открытых прокси-серверов. И все же большинство спамеров перестало применять открытые релеи, поняв их малую эффективность, и начало искать другие способы воздействия.
Рассылка с модемных пулов
Рассылка через dial-up подключения, использующие модемы и телефонную связь, происходит следующим образом: почта от клиентов провайдера приходит на почтовый сервер, который ее пересылает, а подключение «захватывает» динамический IP-адрес, и спамер становится владельцем множества адресов, с которых рассылается почта.
Как только провайдеры узнали об этой схеме, они стали использовать ограничения на количество сообщений, отправленных от имени одного пользователя, блокировать прием почты со сторонних модемных пулов и вводить черные списки dial-up адресов.
Взломанные пользовательские ПК и другие способы
Вышеперечисленные методы становятся все менее эффективными, и сейчас наибольшее распространение получила рассылка спама с помощью зараженных пользовательских компьютеров. Чтобы получить доступ к компьютеру, мошенники используют троянские программы (они распространяются по сети Интернет или файлообменным сетям вместе с различным пиратским программным обеспечением), уязвимости в операционных системах и популярном софте, e-mail черви.
Методы защиты от спама и фишинга
По мере того как спам становится все изощреннее, разрабатываются новые способы защиты почты и усложняются «классические» методы. Надежность антиспам-систем обеспечивается использованием нескольких методов в комплексе. При выборе способов защиты важно также отталкиваться от особенностей работы организации и характера спама, который приходит чаще всего.
Фильтрация
Основным и самым популярным методом борьбы с нежелательной корреспонденцией является фильтрация, то есть отсеивание спама от действительно важных писем. Этот метод основан на том, что спам-письма значительно отличаются от обычных. Фильтрация разделяется на автоматическую и неавтоматическую.
Автоматическая фильтрация спама. Для защиты от спама используются спам-фильтры. Они могут быть установлены на пользовательских компьютерах или на серверах. Принципиально различаются два способа работы таких фильтров. В одном случае спам-фильтр опознает отправителя письма как спамера, не открывая само сообщение. Особенность такого метода в том, что ПО должно быть установлено на сервере, на который приходит нежелательная корреспонденция.
Другим способом является анализ «тела» письма. Если оно оценено как нежелательное, то отправляется в отдельную папку или удаляется. Спам-фильтр, работающий таким образом, может находиться как на сервере, так и на пользовательском компьютере. Если фильтр находится на компьютере, то получатель видит отфильтрованный спам, однако данная опция связана с издержками по его приему. Если же защита от спама «организована» на сервере, то пользователь не испытывает никаких проблем, но может попросту не получить нужное письмо, которое было определено как спам. Это, кстати, одна из основных трудностей автоматической фильтрации, которая не позволяет считать систему защиты от спама идеальной.
Очень популярна на данный момент байесовская фильтрация спама. Способ заключается в следующем: спам-фильтры предварительно «обучаются», то есть им отправляются уже отсортированные письма, на основе которых фильтр анализирует статистические особенности желательной корреспонденции и нежелательной. Если «обучение» происходит нормально, то фильтр помогает отсеять до 97% спама. К сожалению, спамеры сейчас научились обходить и такие фильтры, вставляя в «тело» письма картинку, убирая при этом текст полностью или частично. В таком случае спам-фильтр не может грамотно опознать письмо и составить статистику. Однако и для таких писем есть противоядие: если постоянно «дообучать» антиспам, указывать ему на недостатки, то автоматическая фильтрация становится весьма эффективной.
Неавтоматическая фильтрация является более трудоемкой и сложно подстраиваемой. Но в конечном счете, если грамотно подойти к вопросу, она может стать очень результативной. При неавтоматической фильтрации спам-фильтры задаются пользователем и, как правило, состоят из стоп-слов или выражений. Следовательно, пользователь точно будет знать, почему отсеяны письма и какие из них были отправлены в папку «Спам». Важно помнить, что для эффективности данной антиспам-проверки нужно постоянно следить за последними тенденциями в поведении спамеров и дополнять фильтр новыми установками.
Ежегодно из-за спама российский бизнес лишается 500 миллионов долларов, 22 миллиарда долларов теряют американские компании, а европейские — 51 миллиард евро.
Черные списки
В черные списки обычно вносятся:
- IP-адреса тех компьютеров, с которых ведется или велась рассылка нежелательной корреспонденции;
- открытые релеи;
- списки dial-up;
- локальные списки спамеров;
- черные списки, составленные службой DNS (компьютерной распределенной системой для получения информации о доменах).
Система черных списков используется уже давно, проверена временем и подводит нечасто — в этом ее сильная сторона. Слабую сторону такого подхода составляет безответственность администрации в вопросе составления списков, в которые запросто попадают ни в чем не повинные пользователи. Простой пример: компьютеры, с которых мог быть отправлен спам, включены в подсеть или принадлежат почтовому домену. А система включает в черный список весь домен или всю сеть, и после этого тысячи пользователей некоторое время не могут отправлять почту. Добавим к нежеланию вникать в детали «нечистоплотное» поведение некоторых администраторов, которые порой требуют деньги за удаление IP-адресов из черных списков.
Серые списки
Принцип работы данной методики основан на том, что функционирование программного обеспечения, отвечающего за рассылку спама, отличается от «поведения» стандартных почтовых серверов. Спамерское ПО, обходя защиту спам-фильтра, использует разные релеи и другие обратные адреса, принимающая сторона расценивает это как попытку отправлять спам-письма. Тогда включается работа серого списка. Изначально все неизвестные SMTP-серверы включены в данные списки, но при этом почта, поступающая с такого сервера, не отклоняется. Серверы получают код временной ошибки, и если почта благожелательная, то она приходит снова с того же адреса. Спамерское же ПО повторно отправляет сообщение уже с другого адреса, и тогда спам уничтожается или откладывается в специальную папку. Так отсеивается значительная (около 90%) часть нежелательной корреспонденции, а важные письма доходят без потерь — это сильная сторона подобного метода, которая и принесла ему популярность.
Слабой же стороной являются затраты времени (порой до 30-ти минут) на дополнительную проверку писем, а это неприемлемо при работе со срочной корреспонденцией. Однако задержка происходит только при получении первого письма с неизвестного сервера, так что метод может оказаться удобным для ряда организаций.
Анализ заголовков
Для генерации своих писем спамеры применяют специальное программное обеспечение, которое автоматически создает и распространяет сообщение. У таких программ есть серьезный недостаток: они допускают ошибки при оформлении заголовка, поэтому спам-сообщение не соответствует почтовому стандарту RFC. Благодаря этому просчету антиспам-фильтры и обнаруживают нежелательную корреспонденцию. Такая защита весьма надежна и эффективна.
Анализ вложений
Изначально фильтрация вложений проверяла только тему сообщения и «тело» письма, содержащего текст. Однако сейчас антиспам-проверка проводится по всему сообщению, даже по вложенным картинкам. Это одна из самых действенных программ, которая быстро «учится», подстраивается под новые виды нежелательной корреспонденции и действует практически безошибочно.
Защита от сбора адресов
Часто спамеры сканируют сайты на предмет поиска электронных адресов, указанных в качестве контактных, и потом на эти адреса идут десятки спам-сообщений. Есть несколько путей защиты e-mail от спам-ботов. Один из самых популярных способов — создание «левого» адреса. На популярном почтовом ресурсе регистрируется дубликат электронной почты, который выставляется на сайте организации. После обновления сайта вы станете получать письма от реальных пользователей, а не от мошенников.
Второе эффективное средство защиты от сбора адресов — преобразование адреса в картинку. Скриншот электронного адреса выставляется в раздел «Контакты» на сайте вместо «словесного» эквивалента — пользователь без проблем прочитает адрес, а вот спамерская программа не сможет его распознать. Схожим вариантом является «маскировка» адреса. К примеру, вместо ivan. ivanov@com становится ivan(dot)ivanov(at)com, — в таких случаях спамерские программы тоже бессильны. Недостатком подходов является то, что они усложняют доступ к почтовому адресу реальным пользователям.
Определение признаков массовости
Действует данный метод достаточно просто: в огромном потоке писем выявляются абсолютно идентичные или незначительно различающиеся сообщения. Технология предназначена в основном для крупных организаций, которые обладают значительными объемами почты.
Современные IT-компании для защиты от спама и фишинга используют сразу несколько методов, формируя комплексную защиту. Наиболее часто применяемые методы в специализированном ПО — черные и серые списки, байесовская фильтрация и анализ письма. На практике авторитетные антиспам-сканеры — такие как GFI MailEssentials, Kaspersky Anti-spam, Kaspersky Security for Mailserver, McAfee Security, Symantec MailSecurity, ESET MailSecurity — удерживают до 99% всех нежелательных сообщений.
Итак, мы видим, что спам не сдает свои позиции, становясь все более изощренным. Но и от него есть противоядия, причем как профилактического, так и лечебного свойства. Общие советы по борьбе со спамом остаются неизменными из года в год: не оставляйте электронные адреса на подозрительных сайтах, не открывайте и не пересылайте письма от не внушающих доверия источников и, конечно же, установите надежный спам-сканер.
Какое программное решение выбрать для защиты почтового сервера?
Ни одна современная компания не обходится без использования интернет-ресурсов и электронной почты для решения рабочих вопросов, соответственно, и у вас есть необходимость подбора программы антиспама. В этом деле нельзя ориентироваться только на популярные бренды — каждое ПО имеет свои особенности.
Советы экспертов по выбору ПО состоят в следующем:
- Установленная программа защиты от фишинга и спама не должна вступать в конфликт с имеющимся софтом, иначе антиспам будет уязвим.
- Защита от спама должна быть комплексной, то есть действовать для всех типов файлов и разновидностей спама, защищать всю рабочую сеть, работать при любых конфигурациях электронной почты.
- От антиспама требуется постоянное обновление и гибкость защиты, поскольку вирусы и спам-боты регулярно усложняются и ищут новые пути проникновения в компьютер.
- ПО должно быть легко настраиваемым под наиболее распространенные для вашей компании угрозы, иметь как автоматическую, так и ручную регулировку.
Например, одним из программных продуктов, отвечающим данным критериям, является антиспам-фильтр GFI MailEssentials. Разработчик — компания GFI Software — с 1992 года производит серверное ПО и облачные продукты, всего — более десяти решений, ориентированных в первую очередь на малый и средний бизнес. Совокупный пул клиентов превысил 280 000 пользователей во всем мире, включая несколько тысяч организаций в России. Генеральным дистрибьютором GFI Software в нашей стране выступает компания AFI Distribution, которая предоставляет весь спектр продуктов GFI, а также качественную техподдержку на русском языке, включая консультации по телефону, электронной почте, бесплатную установку и настройку ПО на ваши компьютеры и обучение ИТ-специалистов.
С помощью GFI MailEssentials защита почты от спама обеспечивается на самом высоком уровне. Первое, что отличает этот продукт, — надежность: он фильтрует более 99% вирусов и спама без ложных срабатываний. В сканер GFI MailEssentials входят 14 спам-фильтров, которые детально исследуют содержание писем, включая ссылки. Достоинствами антиспам-программы можно назвать:
- легкую интеграцию с любым почтовым сервером;
- возможность тонкой настройки фильтров;
- обработку сотен писем в секунду без создания помех для работы сети;
- гибкое обучение на входящих и исходящих сообщениях;
- высокий уровень защиты, обеспечиваемый 5 антивирусными ядрами: Vipre, BitDefender, McAfee, Avira, Kaspersky;
- выявление вредоносных программ, с которыми еще не знакомы другие антивирусы;
- полное отсутствие ложных срабатываний за счет обучения спам-фильтров;
- невысокая стоимость — от 500 рублей за пользователя.
Установить GFI MailEssentials можно в корпоративной сети любой сложности, количество почтовых ящиков в ней значения не имеет. Если вы хотите увидеть работу антиспама в действии, обращайтесь в компанию AFI Distribution, которая проведет для вас бесплатную демонстрацию продукта и ответит на все вопросы.