Лаборатория ИнформСистем

Previous Entry Share Next Entry
SPAMGUN - услуга фильтрации почты от спам и вирусов
Лаборатория ИнформСистем
its_lab
Хотим представить Вашему вниманию наш новый проект под названием SPAMGUN - сервис фильтрации электронной почты от спам и вирусов. Ниже расскажем о данном сервисе, его особенностях и затронем технические вопросы реализации.

Встречайте, SPAMGUN!

SPAMGUN осуществляет фильтрацию входящего почтового трафика, защищая IT-структуру организации от:
  • спам;
  • вирусов, spyware и другого злонамеренного кода во вложениях, в том числе не известных вирусов и червей;
  • атак на SMTP, в том числе атак типа zero-day, DoS и ботнет;
  • фишинга и фарминг атак.
Сервис предоставляется в режиме SaaS. В зависимости от выбранного пакета обслуживания, клиент получает услугу фильтрации электронной почты в дата-центре SPAMGUN или на выделенном персонально для клиента сервере SPAMGUN. Возможен вариант развертывания системы фильтрации SPAMGUN непосредственно в дата-центре клиента.

Технологии, реализованные в SPAMGUN, предусматривают техническое обеспечение конфиденциальности почтовой переписки клиентов. Эти обязательства юридически закреплены в договоре на оказание услуги фильтрации электронной почты. SPAMGUN состоит из более чем десятка серверов, размещённых в разных странах, в ЦОД с надёжными и высокоскоростными каналами связи. Вычислительная нагрузка по фильтрации спам распределяется по серверам равномерно. Это обеспечивает большую мощность системы фильтрации, повышенную устойчивость к сбоям аппаратного и программного обеспечения.

В SPAMGUN мы реализовали самые передовые анти-спам решения. Сервис легко интегрируется с различными почтовыми системами и может быть легко включен в почтовую систему небольших, средних и крупных компаний. Перенаправление почты для обработки на SPAMGUN осуществляется с помощью изменения MX-записи домена организации.

При подключении к SPAMGUN мы предоставляем 1 месяц бесплатного доступа без заключения договора, для того, чтобы клиенты могли оценить качество наших услуг.

Компоненты SPAMGUN

  • Модули многоуровневой защиты от спама (несколько сотен алгоритмов, сотни тысяч признаков спама). Технология фильтров является уникальной и обеспечивает до 99% распознавание спама.
  • Сигнатурный антивирус - отлавливает все известные виды вирусов. Обновление антивирусных баз данных осуществляется не реже одного раза в час круглосуточно.
  • Антивирус на базе анализа поведения неизвестного кода в виртуальной среде (Virus Prevention System) - отлавливает неизвестные вирусы по поведению. Обеспечивает защиту от троянов и новых вирусов, сигнатуры для которых еще не выпущены.
  • Система блокирования вредоносного кода внутри прикрепленных неисполняемых файлов (ShellCode Heuristics) - обнаруживает вирусы в DOC, XLS, PPT, JPG, ANI и других файлах.
  • Модуль предотвращения атак (IPS) - выявляет сетевые атаки внутри протокола SMTP.
  • Модуль защиты от атак на доступность – защищает от атак типа zero-day, DoS и ботнет.
  • Модуль фильтрации контента по ключевым словам и по базе фишинговых и других злонамеренных сайтов.
  • Транспортная подсистема - осуществляет доставку писем получателю. В случае, если сервер получателя недоступен, сообщения будут размещены в очереди и будут пересылаться на почтовый сервер получателя, как только он становится доступен.
  • Подсистема карантина - помещает сообщения, которые распознаны как "вероятно спам" в карантин. Подсистема обеспечивает ведение карантина для каждого подключившегося клиента. Карантином может быть специально выделенный email-адрес клиента, на который будут высылаться сообщения, либо может размещаться в специальном хранилище на сервере. В этом случае сообщения могут быть получены из карантина по запросу.
  • Модуль отчетов и статистики.
  • Модуль логирования почтовых сообщений.
  • Личный кабинет пользователя. Доступ через web-интерфейс.
Модули анализа спама в SPAMGUN

  • Distributed Checksum Clearinghouse (DCC) – для каждого письма вычисляется контрольная сумма, которая передаётся на распределённый DCC-сервер. В ответ почтовый сервер получает данные о количестве уже существующих подобных контрольных сумм. Получив ответ, принимается решение о дальнейшей судьбе этого письма: пропустить, отвергнуть или пометить как подозрительное.
  • Spam Signature Database Vipul's Razor – использование сигнатур спама сервиса голосований Vipul's Razor, который собирает от пользователей как образцы спама, так и уже созданные пользователями сигнатуры спамерских писем. Сигнатуры накапливаются на сервере, и для них подсчитывается количество обращений с данной сигнатурой. При превышении некоторого порога "популярности" соответствующее письмо признается спамерским и добавляется в базу "плохих" сигнатур. В отличие от метода DCC, контрольная сумма вычисляется не для всего письма, а лишь для его части, что позволяет эффективно бороться с “мутирующим” спамом.
  • Spam Structure Check – проверяет структуру HTML, давая возможность классифицировать это письма как спам на основе структуры письма.
  • Spam URL Check – более чем 80% всех рассылок спама содержат ссылки. Кроме сигнатур писем со спамом в базе данных хранятся и все URL, которые появляются в спамерских письмах. Одно вхождение URL из базы позволяет классифицировать письмо как спам.
  • Spam Heuristics – этот классификатор основывается на эвристическом анализе типичных признаком спам-письма, например некоторые поля в заголовке письма. Используется собственная система оценки для каждого признака, дающего либо положительное либо отрицательное приращение, в зависимости от того используется эвристика для поиска спама или хама. Если высчитанный коэффициент превышает заранее установленный уровень, то письмо классифицируется как спам.
  • Spam RBL check – IP адрес хоста пославшего SMTP сообщение проверяется на одном или нескольких RBL серверах.
  • Spam Bayesian Classifier – статистическая оценка, которая определяет является ли письмо нужным или спамом по некоторым определенным частотным характеристикам. Этот модуль анализа очень точен при обнаружении нового типа спама.
  • Spam Flow Check – анализирует поток писем в течение заданного промежутка времени. Если одно и то же письмо получено более некоторого заданного заранее уровня раз в течение данного промежутка времени и имеет различные домены отправителя, то письмо классифицируется как спам.
  • Spam Keyword – этот классификатор использует стандартные ключевые слова и шаблоны (регулярные выражения) которые обычно находят в спаме. Мы собираем соответствующие ключевые слова и шаблоны из уже известных спам писем и оцениваем их индивидуально для дополнительной защиты от спама.
  • Phishing Check – представляет из себя целый набор методов скомбинированных для обеспечения эффективной защиты против фишинговых писем, включая проверки URL и эвристику.
  • Greylisting (“серые” списки) — способ автоматической блокировки спама, основанный на том, что “поведение” программного обеспечения, предназначенного для рассылки спама, отличается от поведения обычных серверов электронной почты. Если почтовый сервер получателя отказывается принять письмо и сообщает о “временной ошибке”, сервер отправителя обязан позже повторить попытку. Спамерское программное обеспечение в таких случаях, обычно, не пытается этого делать. Это надежный и безошибочный способ фильтрации спама. Отсутствуют потери нормальных писем при их доставке получателю.
  • DomainKeys Identified Mail (DKIM) - технология объединяет несколько существующих методов антифишинга и антиспама с целью повышения качества классификации и идентификации легитимной электронной почты. Модуль DKIM добавляет в каждое сообщение цифровую подпись (вместо традиционного IP-адреса), связанную с именем домена организации. Подпись автоматически проверяется на стороне получателя, после чего, для определения репутации отправителя, применяются “белые списки” и “чёрные списки”. Данный алгоритм широко используется в сервисах фильтрации электронной почты Google.
  • Анализ “помех” - для уклонения от систем фильтрации спама, спамеры используют механизм "помех", представляющий собой специально сформированный текст напоминающий обычное письмо и не имеющий никакого отношения к рекламному сообщению, содержащемуся в спаме. Этот текст предназначен для обмана системы фильтрации, для создания видимости, что сообщение - нормальная почтовая переписка. SPAMGUN выполняет серию проверок, направленную на выявление "помех" и присвоение сообщениям с "помехами" дополнительных штрафных баллов, повышающий вероятность принятия решения о том, что данное письмо - спам.
  • "Чёрные" и "белые" списки - SPAMGUN использует списки для принудительного назначения спам-рейтинга почтовым сообщениям. Если отправитель сообщения указан в "белом" списке к спам-рейтингу сообщения добавляется отрицательное значение, уменьшающее штрафные баллы. "Чёрные" списки наоборот добавляют к спам-рейтингу дополнительные штрафные баллы, что существенно увеличивает вероятность принятия решения, что данное сообщение - спам.
  • Анализ истории - SPAMGUN ведёт базу данных по "истории" адресов отправителей и получателей почтовых сообщений. Большое количество нормальных сообщений от одного и того же отправителя к получателю почты снижает спам рейтинг почтового сообщения.
Мы активно дорабатываем и развиваем данный сервис. Будем рады сообщить Вам о новинках и улучшениях сервиса.

С уважением, команда spamgun.ru

?

Log in