Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Снова тестируем фильтры спама

Кристофер Бирс

Законодательное противодействие спаму не стало надежной защитой от почтового “мусора”. Зато изящно спроектированный спам-фильтр и совершенные средства генерации отчетов компании MailFrontier помогут вам сдержать приток нежелательной почты.

Неважно, как вы называете это, — спам, почтовый “мусор”, незапрошенная рассылка, фишинг-атаки (phishing), назойливая реклама или как-либо еще, — мы (как и вы) по-прежнему не знаем, куда деваться от этого. И здесь мы не одиноки: домашние пользователи, журналисты, адвокаты и даже судьи — все они ежедневно испытывают отвращение, открывая свои почтовые ящики. Хотя судебный иск фирмы Microsoft и генерального прокурора штата Нью-Йорк Элиота Спитцера против печально известного “короля” спам-индустрии Скотта Рихтера привел последнего в марте 2005 г. к банкротству, большинство из нас почувствовали от постановления CAN-SPAM Act от 2003 г. лишь слабое облегчение. Установленный в редакции журнала Network Computing спам-фильтр от компании Barracuda между 18 мая и 19 октября 2005 г. пометил 78,06% всех наших входящих почтовых сообщений (т. е. 3 159 098 сообщений) как “спам”. За время, прошедшее с момента проведения нашего последнего тестирования в мае 2004 г., этот процент практически не изменился.

Откуда же берется весь этот “мусор”? Поддерживаемая компанией Symantec зондовая сеть, насчитывающая миллионы фиктивных почтовых адресов, позволила установить нам, что 52% почтового “мусора” поступает из Соединенных Штатов Америки, а 42% — из Европы и Азии вместе взятых. Имеющий отношение к предложению финансовых кредитов и рекламе продуктов (таких, как ПО, часы, “чудодейственные” таблетки для похудения) спам составил 46% всей нежелательной почты. (Полный отчет компании Symantec можно найти в Интернете по адресу http://enterprisesecurity.symantec.com/pdf/10433486_SSU_AMS_07_2005_en.pdf.)

Как бы там ни было, но мы всегда делали и делаем ставку не на политические, а на технологические решения, а посему попросили 16 производителей спам-фильтров прислать для испытания в нашу лабораторию Real-World Labs Сиракузского университета свои продукты, поддерживающие серверы Microsoft Exchange. Мы ограничили данный обзор лишь поддерживающими этот сервер продуктами, которые можно применять в компаниях с малочисленным ИТ-персоналом (а то и вовсе без такового). Многие небольшие организации используют в качестве своего почтового шлюза один-единственный сервер Exchange. Мы исключили из данного тестирования аппаратные решения, межсетевые экраны, внешние услуги фильтрации спама и продукты, не интегрируемые с Exchange, — все это мы рассматривали в нашем обзоре “Надоел почтовый мусор!” (см.: Сети и системы связи. 2004. № 10. С. 85).

Из 16 приглашенных производителей соответствующие критериям нашего тестирования продукты предоставили компании Cloudmark, Commtouch Software, MailFrontier, Red Earth Software, Sunbelt Software и Symantec. К сожалению, результаты тестирования ПО iHateSpam компании Sunbelt оказались непригодными для анализа: в ходе тестирования был поврежден кэш-файл, что лишило спам-фильтр данных, необходимых для принятия решений о принадлежности конкретных сообщений к спаму. Вместе с нами в тестировании принимала участие и служба поддержки Sunbelt, представители которой сказали, что с подобной проблемой они столкнулись впервые. Однако отпущенное нам на решение этой проблемы время, к сожалению, истекло, поэтому нам пришлось, как говорится, “снять с пробега” ПО iHateSpam. Компании Clearswift, GFI Software, Hexamail, Lyris Technologies, McAfee, NetIQ, SurfControl, Sybari Software, TrendMicro и TumbleWeed Communications отклонили наше приглашение.

Точность — ключевая характеристика работы спам-фильтра

Мы спланировали наши тесты таким образом, чтобы они позволяли оценивать точность работы технологий фильтрации спама “прямо из коробки”, т. е. без какой бы то ни было дополнительной настройки ПО (см. “Как мы тестировали почтовые фильтры”). По существу, наша методология тестирования делает упор на два наиболее важных критерия выбора коммерческого спам-фильтра — низкие административные накладные расходы и точность анализа почтового контента. С одной стороны, если вы не являетесь спамером, то почтовый “мусор” не принесет вам ни цента, а просто снизит продуктивность вашей работы. Поэтому минимизация затрат на чистку почтового мусора — это весьма важный коммерческий аргумент в пользу покупки спам-фильтра.

С другой стороны, неточная идентификация почты ваших заказчиков и партнеров может стоить вашей компании денег, поэтому такому критерию оценки, как “точность”, мы присвоили самую высокую значимость — 30%, расценив ее как самую важную рабочую характеристику спам-фильтра. Необходимо понять, какой смысл мы вкладывали в наше определение точности, отличное от имеющего рекламный характер этого же определения производителей. Последнее основано на том, насколько хорошо спам-фильтры распознают нежелательные сообщения, но не учитывает частоту принятия ими за спам легитимной почты. Мы установили, что слишком высока вероятность отнесения к спаму такой легитимной массовой почты, как трафик списков рассылки, информационные бюллетени и затребованная пользователями информация о продуктах.

Применительно к данному тестированию факт попадания спамерского сообщения в наш почтовый ящик мы назвали ошибкой нераспознавания спама, а сами такие сообщения — нераспознанным спамом (false negative), факт же отнесения легитимного сообщения к спаму с последующей его отправкой в папку для спама мы назвали ошибкой распознавания спама, а сами такие сообщения — ложным спамом (false positive). Учитывая большую опасность, которую представляют собой ошибки второго типа, при подсчете баллов по результатам тестирования мы учитывали их по отношению к ошибкам нераспознавания спама с весовым коэффициентом 5, т. е. мы принимали, что одна ошибка ложного распознавания равноценна пяти ошибкам нераспознавания. Хотя для простого сравнения было использовано невзвешенное число этих ошибок, при подсчете баллов по результатам тестирования использовались взвешенные данные (см. “Результаты тестирования точности работы фильтров спама”).

По сообщениям производителей, точность работы их продуктов может достигать примерно 99%, а некоторые из фирм без излишней скромности заявляют даже о том, что число ошибочных распознаваний спамерских сообщений их продуктами равно нулю. Наше тестирование показало, что, большая часть всех этих заявлений, — обычная рекламная шумиха, основанная на результатах “тестирования” с использованием специально настроенного ПО, — то, чего мы постарались избежать, испытывая присланные продукты без какой бы то ни было дополнительной настройки. Не все предприятия располагают средствами настройки правил фильтрации до того, как их почта будет некорректно помечена как спам. И, как всегда, будьте осторожны: прежде чем купить лицензию на любое ПО, хорошенько протестируйте его.

Продукт Mail Security for Exchange компании Symantec неправильно идентифицировал как спам только 12 сообщений, которые должны были попасть в наш почтовый ящик, тогда как продукт Policy Patrol компании Red Earth Software совершил аж 643 (!) ложных распознавания, приняв это число легитимных сообщения за спам. Используя метод “взвешенной” точности, мы получили для ПО Cloudmark Server Edition и Symantec Mail Security for Exchange показатели эффективности работы, равные 93,5 и 92,4% соответственно, а для Red Earth Policy Patrol — 10,7%.

Полученная Red Earth оценка столь сильно выпадала из общего ряда, что мы засомневались в правильности своей методологии тестирования. Наши тесты не предусматривали отправку каких бы то ни было сообщений, в то время как при настройке правил фильтрации спама реального времени продукт компании Red Earth основывается исключительно на исходящей почте, поэтому он оказался в крайне затруднительном положении. Приглашая производителей для тестирования, мы особо отмечали, что никакого обучения байесовских фильтров (Bayesian filters) делаться не будет. Кроме того, отправка электронных сообщений через спам-фильтр — это менее типичный случай, чем получение через него сообщений. Фильтры спама должны уметь идентифицировать нежелательную почту, не полагаясь на исходящие сообщения e-mail — именно за это мы и платим.

Наша тестовая среда заключала в себе еще одну трудную проблему для тестируемых продуктов. Она связана с тем, что мы использовали реальный почтовый трафик, адресованный редакторам журнала Network Computing, который включал пресс-релизы, отраслевые информационные бюллетени в формате HTML, пространные записки нарушителям установленных сроков поставки продукции, выплаты задолженностей и другие “спамоподобные” массовые — и тем не менее легитимные письма, трудные для корректного анализа. Следует также помнить о том, что при тестировании мы делали упор на изучение характеристик продуктов “прямо из коробки” и соответственно этому определяли точность их работы. Возможно, что ваша сетевая среда не столь “требовательна”, как наша.

Администрирование и средства генерации отчетов

Достаточно важной характеристикой ПО фильтрации спама является простота его администрирования и конфигурирования. Перекладывание бремени распознавания спама с плеч конечных пользователей на плечи системных администраторов может стать причиной настоящего бедствия — ведь то, что одни считают “мусором”, может оказаться важной корреспонденцией для других, поэтому только конечные пользователи сами вправе решать, какие сообщения действительно относятся к спаму. А вот помогать пользователям распознавать спам и предоставлять им полный контроль над их хранилищами сообщений должно ПО фильтрации.

Все протестированные нами программные пакеты отправляют спам в специальную папку пользовательского почтового ящика Exchange. Единственным ПО, изначально не предоставляющим конечным пользователям доступ к сообщениям, помеченным как спам, является продукт Policy Patrol компании Red Earth. Он все бремя забот по просмотру спама перекладывает на плечи администратора, который, однако, может по своему усмотрению переконфигурировать это ПО, хотя этот процесс достаточно утомительный.

Все более популярным аргументом в пользу покупки ПО фильтрации спама становится его функция Web-карантина. Интерфейсы Web-карантина предоставляют только продукты Commtouch и MailFrontier. Оба они да еще ПО Mail Security компании Symantec могут уведомлять пользователей о спаме посредством небольшого электронного сообщения с краткой информацией. Даже если в настоящее время вы просто помечаете подозрительные сообщения, разрешаете пользователям самим составлять правила фильтрации или автоматически помещаете электронную почту в их папки входящих сообщений, такой подход к борьбе со спамом может со временем измениться.

Средства генерации отчетов критически важны для обоснования выбора ПО фильтрации спама и позволяют администраторам делать выводы о том, насколько хорошо оно работает. Имея исчерпывающие отчеты, можно обосновать ежегодные затраты, связанные с реализацией вашей стратегии борьбы со спамом. Кроме того, отчеты позволяют особо привередливым, вечно жалующимся на однодва нежелательных сообщения в их ящиках пользователям увидеть реальную картину спама. Мы установили, что Gateway Server компании MailFrontier — это единственный продукт, предоставляющий исчерпывающий набор отчетов, которые можно со спокойной душой отправлять высшему руководству.

Антивирусное сканирование является критически важным компонентом любой стратегии безопасности электронной почты и настольных систем. Хотя через электронную почту просачиваются далеко не все вирусы, нейтрализация тех из них, которым все же удается сделать это, должна быть базовой функцией ПО безопасности e-mail. Оценка механизмов сканирования не входила в программу нашего тестирования, но мы надеемся, что они работают в полном соответствии с заявлениями производителей. ПО Anti-Spam Enterprise Solution компании Commtouch — это единственный пакет, в котором нет компонента антивирусного сканирования, — весьма серьезный недостаток для сканирующего ПО почтового шлюза.

Архитектура механизма фильтрации спама

Если вы исповедуете упрощенческий подход к фильтрации спама, подобный подходу в ПО Policy Patrol компании Red Earth, то с тем же успехом можете удалять сообщения через одно и надеяться на лучшее. Так называемые “черные списки реального времени” (Real-time Black Lists — RBL) становятся все менее популярными, ибо сегодняшние спамеры используют для своих грязных делишек “инфицированные” компьютеры, подключенные к высокоскоростным Интернет-соединениям. И простое сканирование электронной почты на наличие в ней типичных для спама отдельных слов или фраз будет приводить к неприемлемо большому для предприятий числу ошибочных распознаваний (false positive). Если мы отправляем сообщение, содержащее электронные кнопки “Нажмите здесь” (click here) или “Отказаться от подписки” (unsubscribe), то это еще не значит, что оно будет спамом, — любой ценой избегайте покупать продукты, которые просто выискивают слова или фразы. Компания Red Earth использует в своем продукте обе вышеуказанные концепции, что и стало причиной низких оценок, заработанных им в наших тестах.

Предпочтительнее применять механизм фильтрации, в котором с целью принятия решения вычисляются хэш-коды содержимого и заголовков сообщений. Большинство таких механизмов фильтрации обеспечивают локальное обновление фильтров контента; однако у компаний Commtouch и Cloudmark иной подход: они требуют отсылать хэш-коды сообщений для анализа на свои серверы. Результаты анализа время от времени отправляются обратно и хранятся в локальном кэше, что обычно добавляет к общей продолжительности процесса доставки сообщений несколько секунд. Любой из этих подходов может эффективно работать. Учитывая то, что электронная почта все равно доставляется по Интернет-соединению, вы спокойно можете воспользоваться любым сервисом, использующим то же самое соединение для идентификации спама.

Многие спамеры обходят основанные на хэшировании фильтры с помощью псевдослучайной генерации слов, поэтому, в частности, продукты компаний Commtouch и Cloudmark хэшируют не весь контент. Учитывая тот факт, что спамеры получают деньги за “клики” и просмотры изображений, хэширование этих компонентов сообщения и игнорирование остальных делает подходы вышеназванных компаний весьма эффективными.

Если в вашем центре обработки данных имеются кластеры серверов Exchange, убедитесь в том, что выбранный вами продукт совместим с кластерной архитектурой. Относитесь к таким малопонятным терминам, как cluster-aware с осторожностью, — чаще всего здесь подразумевается ПО, способное обнаруживать кластеры, но не способное преодолевать связанные с ними проблемы. И еще: если ваша компания имеет множество точек входа для входящей почты, то ваш процесс администрирования электронной почты заметно осложнится и, возможно, будет подвержен неприемлемо большому числу ошибок.

Как дорого это стоит

Средняя стоимость протестированного нами ПО фильтрации спама составляет 12,5 долл. в год в расчете на одного пользователя. В ходе нашего тестирования мы исходили из стоимости продуктов в нашей тестовой конфигурации с лицензией на 1000 пользователей и двухгодичного срока эксплуатации, пересчитав эту стоимость на одного пользователя и одногодичный срок эксплуатации. Единственный продукт, который не вписывался в общую модель ценообразования — “на одного пользователя, на один год” — это ПО Policy Patrol компании Red Earth. Его цена была единовременной и составила 3423 долл. за лицензию на 1000 пользователей с двухгодичным сроком эксплуатации, или 1,71 долл. в пересчете на одного пользователя и на один год.

Цены продуктов компаний Commtouch, Cloudmark и MailFrontier отличались от средней цены весьма незначительно, чего, однако, нельзя сказать о продукте Mail Security for Exchange компании Symantec. Его цена почти втрое превышала среднюю. Как уже говорилось выше, цена продукта компании Red Earth составила всего 1,71 долл., что, безусловно, было самой низкой ценой, и от цены его ближайшего соперника (ПО Commtouch) в пересчете на одного пользователя отличалась на целых 7 долл. Заметьте, что в пересчете на одного пользователя продукт компании Commtouch стоит 8,5 долл. Хотя этот продукт и является вторым по дешевизне после продукта Red Earth, но в него не включена антивирусная поддержка — причина, по которой в категории сравнения “Цена” он занял всего лишь четвертое место. Мы подсчитали, что добавление еще одного модуля поднимает общую цену этого продукта в расчете на одного пользователя по меньшей мере на 3 долл. Пакет Cloudmark Server Edition стоит 9 долл., а пакет MailFrontier — 11,6 долл. в расчете на одного пользователя и сроком на два года.

Хотя компания Symantec и предоставляет высокие скидки на свой продукт, ее цена по-прежнему остается непомерно высокой. Между тем заниженная цена продукта компании Red Earth учит вас при выборе спам-фильтра обращать внимание не только на его возможности и точность, но и на цену. Иногда вы действительно получаете то, за что платите.

После подсчета всех баллов титул победителя нашего обзора достался продукту Gateway Server компании MailFrontier. Это простое в конфигурировании ПО предоставляло лучшие средства генерации отчетов, продемонстрировало взвешенную точность чуть меньше 90% и имело весьма привлекательную цену в расчете на одного пользователя. Продукт компании Cloudmark компенсировал отсутствие у него средств генерации отчетов весьма низкой (уступающей лишь Red Earth) ценой в расчете на одного пользователя. Не так сильно отстали от него и продукты компаний Symantec и Commtouch, итоговые оценки которых были близки к оценкам второго лидера нашего тестирования — продукта фирмы Cloudmark.

Gateway Server 4.1 компании MailFrontier

При использовании обычной программы-мастера Windows инсталляция продукта MailFrontier производится мгновенно. ПО Gateway Server включает в себя копии ПО Java Runtime Engine компании Sun Microsystems и сервера приложений Tomcat (проект Apache) для поддержки административной консоли. Мастер инсталляции предупредил нас относительно достаточно высоких требований продукта Gateway Server к дисковому пространству — вме-сте с Web-карантином (или, как его еще называют, “мусорным ящиком” — junk box) ему требовалось 40 Гбайт свободного дискового пространства.

Загрузив ПО, мы зарегистрировались в административной Web-консоли, используя пользовательские имя и пароль по умолчанию. Здесь же мы ввели ключи лицензирования, предоставленные нам компанией MailFrontier для подключения различных модулей ее ПО. Мы изменили настройки сервиса Microsoft SMTP, назначив ему порт, отличный от порта по умолчанию, и активизировали Gateway Server компании MailFrontier, привязав его к стандартному SMTP-порту с номером 25 и позволив передавать сообщения в адрес сервиса Microsoft SMTP. Затем нам оставалось сделать лишь некоторые простые настройки тегов поля темы почтовых сообщений и правил Outlook для нашего тестирования. В целом, инсталляция и настройка ПО Gateway Server заняли у нас 20 мин, включая одну перезагрузку.

Архитектура спам-фильтра MailFrontier проста, но эффективность его работы достаточно высока. Это ПО просматривает и анализирует три раздела каждого сообщения: адрес отправителя (и оценивает его репутацию), заголовок и содержимое сообщения и контакты (указатели ресурса URL, телефонные номера, адреса электронной почты; кроме того, оценивает репутацию их владельцев, основываясь на их трафике e-mail). Каждый из разделов сообщения e-mail проверяется на предмет возможной принадлежности его к спаму. Если два или более раздела сообщения свидетельствуют о том, что последнее является спамом, оно помечается как спам. Если на то, что сообщение является спамом указывает только один раздел, то оно помечается как вероятный спам. Если сообщение нельзя отнести ни к одной из этих категорий, его рассматривают как легитимное электронное сообщение.

Когда ПО Gateway Server идентифицирует сообщение как спам или как вероятный спам, оно может принимать относительно них разные меры. Хотя мы настроили это ПО таким образом, чтобы оно помечало поле темы сообщения как для спама, так и для вероятного спама, его конфигурация по умолчанию отправляет сообщения с этими пометками в Web-карантин. Мы также могли настроить ПО на удаление сообщения, возвращение его отправителю, переадресацию или доставку в ящик входящих сообщений конечного пользователя. Gateway Server является единственным протестированным нами продуктом, поддерживающим специальный модуль обнаружения фишинг-атак и классифицирующий их как отдельную категорию. Учитывая тот факт, что по своей природе фишинг-атаки являются ничем иным как мошенничеством, продукт компании MailFrontier выводит предупреждение о том, чтобы пользователи случайно не “попались” на внешне напоминающие легитимные сообщения в папке для спама — весьма полезная функция безопасности.

Компания MailFrontier утверждает, что на администрирование ПО Gateway Server уходит самое большее 10 мин в неделю, а большинство клиентов тратят на это около 5 мин. Мы считаем, что эти цифры соответствуют действительности. Важный результат этого утверждения — вам не придется нанимать лишних людей для долгосрочного администрирования этого продукта. Однако следует ожидать дополнительных первоначальных затрат времени на оптимизацию точности анализа контента сообщений посредством индивидуальной настройки ПО. Впрочем, это относится к любой системе безопасности.

В тестах на взвешенную точность ПО MailFrontier Gateway Server продемонстрировало третий результат — 89,6%. Оно ошибочно идентифицировало как спам лишь 37 легитимных сообщений (ошибки типа “false positive”) и пропустило 150 спамерских сообщений (ошибки типа “false negative”). Вторым этот продукт стал при выполнении тестов на невзвешенную точность.

Gateway Server предоставляет лучшие среди всех протестированных нами продуктов средства генерации отчетов. Все отчеты генерируются непосредственно из его Web-интерфейса и достаточно хороши для того, чтобы быть непосредственно включенными в отчеты для руководителей высшего звена. Окно интерфейса Dashboard содержало краткую информацию, касающуюся работы Gateway Server за последние сутки. Еще нам понравились стандартные отчеты с данными по самым активным отправителям и получателям почты и доменам, из которых их сообщения отправлялись. Они также содержали следующую информацию: экономия полосы пропускания каналов связи, прогнозы по окупаемости инве-стиций, графики объемов спамерских и легитимных сообщений и некоторую другую. Если вас не устраивает ни один из более чем двадцати стандартных отчетов, попытайтесь создать свой собственный отчет, используя для этого программу-мастер для создания специализированных отчетов.

Server Edition 1.6 компании Cloudmark

Cloudmark Server Edition очень простой в инсталляции продукт, который не потребовал для этого практически никаких усилий с нашей стороны. Мы просто создали пользовательскую учетную запись и назначили ей права администратора предприятия (Enterprise Administrator) и делегированные права Exchange. Для запуска программы инсталляции нам потребовалось ввести код активации, IP-адрес сервера, доменные и пользовательские регистрационные данные, а затем выбрать опцию конфигурирования ПО, позволяющую автоматически помещать почтовые сообщения в папки для спама пользователей Exchange — прекрасная возможность. Инсталляцию этого ПО мы выполнили так же быстро, как и инсталляцию других протестированных нами продуктов; на это потребовалось менее 30 мин.

В ПО Cloudmark Server Edition содержится подключаемый модуль приложения Microsoft Management Console (MMC), поэтому администраторы ОС Windows смогут быстро и без проблем конфигурировать этот продукт. Модуль MMC невероятно прост и легко интегрируется с Exchange. Компания Cloudmark уверяет, что большинство администраторов устанавливают опции конфигурирования только один раз и навсегда, что звучит весьма правдоподобно, если учесть, что число этих опций не так уж и велико. Хотя это вполне устроит некоторых пользователей, лично мы предпочли бы иметь более широкие возможности индивидуальной настройки этого ПО. Ограниченные функциональные возможности и очень ограниченные средства генерации отчетов стоили этому достаточно точному спам-фильтру высшей ступеньки пьедестала почета нашего тестирования. Тем не менее предприятиям, которым не требуются совершенные графические отчеты или численность ИТ-персонала которых слишком мала, следует обратить самое пристальное внимание на Cloudmark Server. По словам производителя, это ПО масштабируется где-то до 2000 пользователей на одну инсталляцию, а оптимальной средой его применения являются предприятия, имеющие 25—500 почтовых ящиков Exchange.

Мы нашли, что сервис фильтрации спама ПО Cloudmark Server как и сервис фильтрации ПО Commtouch не поддерживает локально обновляемые определения фильтра контента. Действительно, компания Cloudmark использует интересный метод идентификации спама, основанный на том, что весь спам, поступающий на настольные системы одного миллиона пользователей продукта Cloudmark Desktop, отправляется в компанию. Применяя специальный метод идентификации (fingerprinting), ПО Server Edition вычисляет хэш-коды для заголовков, тел сообщений и вложений MIME и просит каталожные серверы спама компании Cloudmark оценить возможную принадлежность этих сообщений к спаму.

Выполнив работу, эти серверы отправляют ответ ПО Server Edition, которое принимает адекватные меры. Пользователи продукта Cloudmark Desktop, отправляющие полученный ими спам на серверы компании Cloudmark, получают от нее кредит доверия. Чем чаще присланные ими сообщения оказываются спамом, тем выше кредит доверия компании к ним. Хотя пока пользователи ПО Server Edition не могут участвовать в этой модели обратной связи доверенных пользователей, но они смогут делать это в следующей версии Server Edition, которая будет “рапортовать” компании Cloudmark всякий раз, как только пользователь станет перемещать спам в соответствующие Exchange-папки.

Мы полагаем, что миллион пользователей не могут ошибаться одновременно. Продукт компании Cloudmark продемонстрировал не только лучшую среди всех протестированных нами продуктов взвешенную точность спам-фильтра, равную 93,5%, но и лучшую невзвешенную точность, равную 97%. Это ПО показало второй результат по числу легитимных сообщений, помеченных как спам (“false positive”), и числу пропущенных сообщений, являющихся спамом (“false negative”), — 28 и 69 сообщений соответственно. Уникальный подход компании Cloudmark к идентификации спама, несомненно, эффективен. Однако слабым местом ее продукта являются средства генерации отчетов. ПО Cloudmark Server предоставляло нам лишь возможность просмотреть информацию о том, сколько времени и денег мы сэкономили, используя этот продукт. Отсутствовал у него и Web-карантин. Специалисты компании Cloudmark считают, что этот карантин не столько помогает пользователям, сколько сбивает их с толку. Мы не согласны с таким мнением, учитывая ориентацию данного продукта на очень маленькие предприятия, но понимаем, на чем оно основано.

Mail Security 4.6 for Exchange компании Symantec

В присланном нам на испытания продукте Mail Security 4.6 for Exchange with Premium Anti-Spam Service компания Symantec в полной мере использует недавно купленные ею у фирмы Brightmail технологии фильтрации спама. ПО Premium Anti-Spam Service, по существу, является сервисом Brightmail, интегрированным с Exchange-продуктом компании Symantec. ПО Mail Security можно также интегрировать с фильтром Intelligent Message Filter и модулем настройки уровня достоверности спама Spam Confidence Level компании Microsoft — возможность, отсутствующая у всех остальных его соперников.

Инсталляция продукта Mail Security достаточно простая. Мы ответили на несколько вопросов, выбрали опцию “не перезапускать сервер IIS”, установили адрес IP и назначили порт для административной Web-консоли, сконфигурировали адрес электронной почты администратора и инсталлировали две полученные нами от Symantec лицензии — для ПО Mail Security и для дополнительного модуля Premium Anti-Spam. ПО Mail Security for Exchange включает Spam Folder Agent, способный автоматически отправлять спамерские сообщения, идентифицированные модулем Premium Anti-Spam, в пользовательские папки для спама, используя для этого установленные на сервере правила. Правда, работу самого агента мы не тестировали. Только не пытайтесь экономить на этом дополнительном сервисе: сэкономив деньги, вы останетесь с не так часто обновляемым базовым эвристическим механизмом фильтрации, тогда точность идентификации спама у вас будет заметно отличаться от полученных нами результатов.

Мы выполнили базовое конфигурирование ПО Mail Security for Exchange с административной консоли Symantec. Наша процедура конфигурирования полностью соответствовала рекомендациям компании и состояла в том, чтобы настроить модуль Live Update на выполнение обновления вирусных баз и определений модуля спам-фильтра с интервалом в 1 ч, запретить сервису Premium Anti-Spam Service помечать подозрительный спам и настроить его таким образом, чтобы он помечал строку темы спамерских сообщений для доставки последних в наши папки для спама. Кроме того, мы сконфигурировали это ПО таким образом, чтобы можно было сохранять данные отчетов о спаме для последующего их просмотра и использования, и антивирусный сканер настроили так, чтобы он не уведомлял отправителей или получателей спама. Весь процесс настройки ПО Mail Security for Exchange занял у нас 30 мин.

Чтобы в кратчайшие сроки идентифицировать новые спамерские атаки, компания Symantec использует 2,5 млн зондовых почтовых ящиков (probe accounts) крупных Интернет-провайдеров. В ее операционном центре постоянно контролируются эти зондовые почтовые ящики в целях создания и тестирования определений спама и обновления баз данных спам-фильтров, которые периодически синхронизируются посредством механизма Live Update. В дополнение к этому компания использует более 20 технологий фильтрации, включая технологии, основанные на указателях URL и сигнатурах спама, а также свою собственную технологию списков RBL. При тестировании ПО Mail Security на точность идентификации спама по собственной методике Symantec ПО Brightmail показало один из самых высоких результатов — 99,99%, т. е. среди миллиона отфильтрованных сообщений может оказаться лишь одно ошибочно отфильтрованное легитимное сообщение.

В ходе нашего тестирования продукт Symantec сделал самое низкое число ошибок типа “false positive”, т. е. ошибочно идентифицировал как спам самое низкое среди всех протестированных нами продуктов число легитимных сообщений — всего 12. Хотя эта точность и не столь высока, как точность, измеренная в собственных тестах Symantec, она все же в два раза выше точности, продемонстрированной ближайшим соперником Mail Security. В целом, зарегистрированная по результатам нашего тестирования взвешенная точность фильтрации у этого продукта составила 92,4%. Это второй результат среди всех протестированных нами продуктов. ПО Mail Security for Exchange пропустил 184 спамерских сообщения (ошибки типа “false negative”), что свидетельствует о явной перестраховке компании в пользу легитимных сообщений.

Мы нашли средства генерации отчетов ПО Mail Security, предоставляющие лишь отчеты очень высокого уровня, достаточно слабыми. Чтобы делать расширенные запросы, нам приходилось экспортировать данные в формат CSV. По заверению компании, в следующей версии ее продукта можно будет отправлять отчеты по электронной почте по заранее составленному расписанию.

Учитывая все вышесказанное, нам кажется, что цена этого продукта, составляющая в нашей тестовой конфигурации 32,25 долл. в расчете на одного пользователя, с двухгодичным сроком эксплуатации является чрезмерно завышенной. Правда, на постоянных клиентов компании Symantec будут распространяться дополнительные скидки.

Anti-Spam Enterprise Solution 4.1 компании Commtouch Software

Продукт компании Commtouch — это один из самых простых в конфигурировании противоспамных пакетов, что, несомненно, является преимуществом для небольших предприятий. Общее время настройки этого продукта составило всего 20 мин. Используя инсталляционную программу-мастер, мы согласились со всеми настройками по умолчанию, включая использование СУБД MSDE (Microsoft SQL Server Desktop Engine) для хранения статистики по спаму. Кроме того, само ПО может автоматически сконфигурировать существующую инсталляцию СУБД MS SQL, если та была выбрана во время первоначальной инсталляции. Чтобы обойти ограничения MSDE (максимальный размер базы данных — 2 Гбайт), предприятиям с большим объемом почты придется покупать лицензии на MS SQL. Выполнив инсталляцию продукта Commtouch Anti-Spam, нам пришлось перезагрузить наш компьютер.

Для администрирования ПО Commtouch Anti-Spam Enterprise используется “почти совершенный” Web-интерфейс. Мы были приятно удивлены его прекрасным внешним дизайном и думаем, что этот интуитивно понятный интерфейс понравится большинству администраторов. Компания Commtouch рекомендовала нам сконфигурировать ПО Anti-Spam Enterprise таким образом, чтобы оно игнорировало строку заголовка Received from:, если сообщение поступало с нашего почтового сервера CommuniGate Pro. Мы интегрировали его с нашим справочником Active Directory посредством протокола LDAP и откорректировали значения времени сохранения отчетных данных. Кроме того, мы настроили ПО Commtouch таким образом, чтобы оно помечало строку с темой сообщения для спама и массовых сообщений, и сформировали серверные правила Outlook для отправки всех таких сообщений в нашу папку для спама. Различая спам и массовые сообщения, продукт Commtouch позволяет администраторам определять различные действия в отношении этих типов сообщений, включая перенаправление их в Web-карантин, который может управляться пользователями.

Пакет компании Commtouch использует уникальный фильтр, основанный на фирменном алгоритме RPD (Recurrent-Pattern Detection), идентифицирующем спам по его основному признаку — массированности. В отличие от многих производителей спам-фильтров компания Commtouch не обновляет БД типовых определений фильтров контента, ее продукт отыскивает паттерны в почтовом трафике.

Когда шлюз Anti-Spam Enterprise получает электронное сообщение, он пытается найти релевантное правило локальной политики, определенное либо для всего предприятия, либо для конкретных пользователей.

Если сообщение не подходит ни под одно из правил, то ПО Commtouch начинает просматривать локальный кэш с ранее полученными из центра Anti-Spam Detection Center ответами. Если он по-прежнему не может найти какое-нибудь правило, соответствующее сообщению, то ПО шлюза запрашивает центр Anti-Spam Detection Center, размещаемый на территории компании Commtouch. Если центр недоступен, сообщение отправляется во входящий почтовый ящик пользователя.

Классифицировав сообщение как спам или как массовое, шлюз принимает соответствующие меры, определенные администратором при его конфигурировании. Легитимное сообщение доставляется в почтовый ящик конечного пользователя. Используя технологию RPD, продукт Anti-Spam Enterprise может классифицировать электронное сообщение как вероятный спам и удерживать его в течение определенного времени до повторной попытки зарегистрироваться в центре Anti-Spam Detection Center с целью проверки, было ли это сообщение действительно классифицировано им как спам.

В ходе нашего тестирования ПО Commtouch допустило самое низкое число ошибок типа “false negative” — в наш почтовый ящик попали всего 48 сообщений, которые следовало бы классифицировать как спам. Однако в целом, из-за большого числа (154) ошибок типа “false positive” (принятие легитимных сообщений за спам), продукт Commtouch продемонстрировал взвешенную точность идентификации спама, равную всего 74,5%. По результатам нашего тестирования он занял лишь четвертое место. По словам представителей компании Commtouch, такая точность является необычайно низкой, что, по всей вероятности, связано с уникальностью потоков массовых сообщений e-mail, включающих пресс-релизы, подписные бюллетени и официальные сообщения о выпуске новых продуктов, которые получают наши редакторы. Компания заявляет, что точность идентификации спама ее продуктом после индивидуальной настройки может составлять более 97%. Однако в ходе нашего тестирования мы запретили делать это.

Основанные на Web-интерфейсе средства генерации отчетов продукта компании Commtouch являются вполне удовлетворительными. Мы могли создавать детальные отчеты о самых злостных спамерах и пользователях, сильнее всех пострадавших от спама. Кроме того, мы могли настроить ПО Commtouch на ежедневное создание и сохранение отчетов для последующего анализа. Продукт Commtouch лишен интерфейса, создающего специализированные отчеты, наличие которого существенно улучшило бы его. Однако сильнее всего этот продукт пострадал из-за отсутствия в нем антивирусного сканера — при тестировании это заметно снизило его оценки в таких категориях сравнения, как функциональные возможности и цена, так как вынуждает пользователей отдельно покупать почтовый антивирусный сканер.

Policy Patrol Spam Filter 4 компании Red Earth Software

Пакет Policy Patrol компании Red Earth было немного труднее конфигурировать, чем его соперников. Проблема состояла в том, что мы хотели, чтобы все спамерские сообщения доставлялись прямо в пользовательские почтовые ящики. Однако это ПО было настроено по умолчанию на помещение большей части спама в папку на сервере. И далее сетевой администратор должен решать, удалять эти сообщения или доставлять их в почтовые ящики конечных пользователей. Конфигурирование ПО для доставки сообщений в пользовательские файлы почтового мусора было слишком утомительным — мы проделывали это для каждого фильтра. Компании Red Earth следовало бы упростить этот процесс для администратора. Не считая этой проблемы, стандартная, основанная на ОС Windows программа-мастер в ходе инсталляции ПО Policy Patrol задала нам всего несколько вопросов.

Для проверки электронной почты на предмет спамерских сообщений ПО Policy Patrol использует целый ряд технологий и методов сканирования электронной почты, например, таких, как “черные” списки DNS, включая список Spamhaus Block; “черные” списки указателей URL; Sender Policy Framework; фильтры Байеса; “черные” списки слов и фраз, характерных для спама. Каждый из этих методов позволял нам конфигурировать определенное действие, включая помещение сообщения e-mail в мусорный почтовый ящик пользователя, разрыв соединения SMTP, перенаправление сообщения другому пользователю, помещение его в папку локального сервера Exchange и настройку уровня достоверности спама (Spam Confidence Level).

Продукт Policy Patrol компании Red Earth изучает поведение вашей компании путем автоматического обновления байесовских фильтров (Bayesian filter) и “белых” списков (whitelists), основанных на исходящей почте вашего сервера Exchange. Поскольку наши тестовые системы не генерировали исходящие сообщения e-mail, то этому продукту пришлось весьма трудно, о чем свидетельствует продемонстрированная им удручающе низкая взвешенная точность идентификации спама, — какие-то жалкие 10,7%! Спам-фильтр этого продукта неправильно идентифицировал в общей сложности 987 сообщений, 643 из которых были ошибочно помеченными как спам легитимными сообщениями (“false positives”). Учитывая тот факт, что мы “взвешивали” ошибки типа “false positive” с коэффициентом 5 по отношению к ошибкам типа “false negative”, наши тесты на точность идентификации спама зарегистрировали 3559 некорректно классифицированных продуктом Policy Patrol сообщений, что на 345 сообщений больше, чем полное число поступивших их в наш почтовый ящик. Как уже упоминалось ранее, использование исходящих сообщений для создания “белых” списков вполне допустимая стратегия, но в данном тестировании мы запретили “обучение” байесовских фильтров.

Похоже на то, что спам-фильтр Policy Patrol помечал значительное число наших сообщений e-mail на основе таких простых правил, как “строки “кому” и “от кого” являются одинаковыми”. Отдельные виды используемого нами ПО мониторинга отправляют сообщения e-mail от того же пользователя, который его получил. Это не противоречит стандартам RFC, но на практике встречается редко. Кроме того, ПО Policy Patrol отбирало некоторые сообщения, которыми обменивались редакторы и которые содержали характерные для спама слова и фразы (иногда наши редакторы ведут весьма интересные беседы), в этих случаях специальная настройка продукта оказалась бы весьма кстати.

ПО Red Earth ведет статистику по каждому отправленному сообщению, специально отмечая, согласно какому правилу оно было классифицировано как спам, — прекрасная возможность, благодаря которой мы помогли компании Red Earth выяснить причину столь низкой точности идентификации спама, продемонстрированной ее продуктом в ходе нашего тестирования. Хотя мы могли анализировать каждое сообщение в отдельности, все остальные опции генерации отчетов у этого ПО явно отсутствовали. Продукт Policy Patrol — единственный из всех протестированных нами продуктов продавался по фиксированной цене..


купить беседку на дачу недорого можно здесь




  
5 '2006
СОДЕРЖАНИЕ

бизнес

• Управляем конфигурационными зависимостями

• «Наглядное пособие» по конвергенции

инфраструктура

• Пришло время сетевых систем хранения данных

информационные системы

• Business Intelligence: один продукт, чтобы угодить всем

• Хостируемые CRM-системы на службе заказчика

• Семь основных принципов эффективного общения

• Электронный регион в «электронном государстве»

сети связи

• Обмен сообщениями на любой вкус

• SIP на «поверке»

кабельные системы

• Экранированным медным кабелям — путевку в новую жизнь!

• Стандартизация промышленных кабельных систем

защита данных

• Снова тестируем фильтры спама

новые продукты

• Производительная безопасность от Juniper; Мультисервисная платформа «Зелакс-ММ»; Системы электропитания Actura; Серверы Mr.ROBO


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх