Сергей Курьянов. Спам-фильтр "БАРЬЕР" – пример интеграции KASPERSKY® ANTI-SPAM

06.12.2006

Спам-фильтр «БАРЬЕР» - решение системного интегратора на базе Kaspersky® Anti-Spam

Проблема спама для корпораций
Поликом Про – петербургский системный интегратор. Работает на рынке информационных технологий с 1992 года. Microsoft Certified Partner, IBM Premier Partner Software Programme, Kaspersky Distributor & Value Added Reseller. Интеграцией и поддержкой почтовых систем мы занимаемся с момента появления Lotus cc:Mail и первых версий Microsoft Exchange. Примерно с тех же пор занимаемся и информационной безопасностью. Спам, как известно, появился практически одновременно с интернет, но несколько лет назад еще не являлся серьезной проблемой для корпоративных клиентов, скорее, портил нервы домашним пользователям.

Однако года три назад ситуация изменилась. Количество перешло в качество. Спам теперь реальная проблема для пользователей, системных администраторов, ИТ-менеджеров и руководителей предприятий. Как видно, это глобальная проблема корпораций – она затрагивает почти всех работников на всех этажах иерархической структуры.

В чем, на наш взгляд заключается эта проблема:
Вы – пользователь:
На работе вы отвечаете за работу в первую очередь. От этого зависит вся ваша карьера. Удаляя утром гору пришедшего за ночь спама вы не можете дать гарантии что вы не удалили случайно рабочего письма от нового клиента с непонятной темой и почтовым ящиком на бесплатном сайте, не можете также дать гарантию что не пропустили очередного любимого письма о способах заработать миллион долларов за пару дней. Т.е. спам – проблема для ваших интересов как работника и как человека.

Вы – системный администратор:
Помимо технических проблем спам просто разрушает ваш имидж профессионала. Все категории пользователей, включая высших руководителей, считают вас бездельником или в лучшем случае неумехой, который не может «настроить почту таким образом, чтобы избавить нас всех от спама». Пару недель назад вы перенастроили фильтр в очередной раз, а позавчера пробегая по диагонали папку «удаленные» с ужасом увидели там письмо в отдел продаж с темой «Срочно пришлите коммерческое предложение». Как вообще можно фильтровать письмо, отправленное Интернет-почтой и содержащее текстовый баннер со спамом Центра Американского Английского? Письмо-то ведь отправлено реальным клиентом. Надо быть дураком чтобы теперь в этом сознаться, лучше снять фильтры – пусть юзеры сами решают – спам это или нет.

Вы – ИТ-менеджер:
Численно персонал не растет, а размеры дисков почтового сервера приходится увеличивать все чаще и чаще. Скоро почта станет самой большой корпоративной базой из всех. Обидно, что она почти вся заключает в себе почтовый мусор. Системные администраторы, особенно в филиалах очевидно плюют на все – не желают настраивать фильтры, чистить почтовые базы и прочее. Директор уже говорил что люди, которые не могут решить с помощью реальных денег несложную задачу должны задуматься о своей необходимости…

Вы – руководитель:
Лично вы спама почти не получаете, к счастью ваш ИТ-менеджер несколько лет назад объяснил вам, что ставить на визитку директора прямой электронный адрес чревато нежелательными письмами. Секретарь разберется с почтой входящей на общий ящик и направит вам действительно нужное письмо. Однако электронная почта становится для вас проблемой персонала – на нее все чаще ссылаются в оправдание невыполненных поручений и упущенных возможностей. Вот хоть вчера – директор по продажам объяснял, что оказывается, клиент за которого мы боролись полгода направлял нам запрос по электронной почте на коммерческое предложение. Запрос куда-то пропал. Никто якобы не знает куда. Похоже все что умеет ИТ-менеджер – переписывать прошлогодний ИТ-бюджет, увеличивая в нем статью «Интернет». Как может дорожать то, чего становится все больше и больше! Надо искать нового ИТ-шника. И главное, чтобы понимал в электронной почте. Курьерами проблемы в нашем веке не решишь.

Анализ проблемы глазами системного интегратора показывает:
Главная угроза спама – угроза человеческому фактору, спам приводит к утечкам рабочего времени, разрушает рабочую среду, коммуникации внутри фирмы и в ее внешней среде.

Давайте посчитаем потери:
- Зарплата сотрудника с накладными расходами $11/час.
- Время «очистки» почтового ящика от спама 10 мин/день
- Время, потерянное на чтение и обсуждение «интересного» спама 20 мин/день
- Количество сотрудников, имеющих электронную почту 100 чел.
- Ваши потери = $550/день = $120 000/год.
Однако это ДЕНЬГИ!

Постановка задачи интеграции, выбор решения
Попытаемся проанализировать задачу интеграции спам-фильтра на среднем предприятии, выделяя существенные требования подчеркиванием в тексте. Позже мы их сведем в общий список.

Почтовая инфраструктура и функциональность
Что реально представляет собой почтовая система среднего предприятия – место, в котором надо организовать барьер против спама?
Как правило это один или несколько почтовых серверов, чаще всего Microsoft Exchange, или Lotus Domino, реже SendMail. Встречаются и гетерогенные почтовые службы – в разных филиалах и подразделениях используются разные почтовые платформы. С точки зрения масштабируемости было бы удобнее, если спам-фильтр будет независим от платформы почтовой службы.
Почта давно является критически важным для бизнеса приложением, миграция с одной платформы на другую – тяжелая задача, всегда приводящая к каким-то потерям, несмотря на все обещания вендоров. Остановка почты даже на один день, не говоря уже о потере почтового трафика или архивной базы – серьезная проблем для бизнеса.

Поэтому барьер против спама должен быть чем-то внешним, чтобы меньше трогать настроенную и худо-бедно работающую почтовую среду.
В тоже время – отдельная машина это отдельная платформа. Стоимость любого фильтрующего ПО сразу надо увеличить на стоимость платформы – операционная система, СУБД и прочее.
Внедрять спам-фильтр надо срочно, бюджеты уже согласованы и чем дешевле получится решение тем легче удастся выделить под него деньги.

Решений по уровню интеграции спам-фильтра может быть три:
- внешний почтовый Relay
- Relay на платформе почтового сервера
- Спам-фильтр, интегрированный в почтовый сервер

Из этого вытекает, что спам-фильтр должен быть реализован:
- в виде внешнего Relay-сервера на бесплатной платформе нетребовательной к аппаратным ресурсам, либо
- на самой ходовой ОС, если все почтовые сервера организации работают на этой единственной платформе, либо
- как add-on к стандартному почтовому фильтру организации

Спаммеров в мире гораздо больше, чем вирусописателей, поэтому база сигнатур спама должна быть обновляемой как можно чаще, при этом фильтр должен работать с локальной копией базы, чтобы не грузить интернет-соединение on-line проверками каждого письма. Учитывая разнообразие спама и размер базы, репликация должна быть аддитивной, передавая каждый раз только дополнения и изменения к базе сигнатур.

Спам в России на 99% состоит из русско- и англо-язычной корреспонденции, поэтому для адекватной фильтрации спама и снижения риска удаления действительно нужной почты блок лексического анализа спама кроме поддержки английского языка должен работать с русским языком, при этом имея для него развитую базу сигнатур.

В истории электронной почты выработаны различные технологии фильтрации спама:
- черные и белые списки отправителей, включая черные и белые имена почтовых доменов
- анализ заголовков писем
- фильтры по RBL-листам
- фильтры по типам и размерам вложенных файлов
- самый надежный способ – анализ текста письма
Желательно, чтобы спам-фильтр использовал все перечисленные способы фильтрации и обеспечивал возможность независимого управления этими способами при определении корпоративных политик.

Пользователи и политики безопасности
Пользователи бывают разные. Некоторым спам нужен. Это в первую очередь маркетинг, вернее, его общий ящик market@ourcompany.ru. На ящик info@ourcompany.ru тоже нужно пропускать весь спам. В обоих случаях его желательно категоризировать и разложить по отдельным папкам, чтобы проще было отделять реальные услуги для бизнеса от порнографии и горящих путевок. Другим пользователям спам противопоказан на 100%. Это в первую очередь электронные адреса службы сервиса и технической поддержки. У них каждое входящее письмо автоматически регистрируется, категоризируется и в конечном счете обрабатывается как инцидент. Часть пользователей, желающих избавиться от спама полностью, хотят при этом иметь доступ к мусорной корзине, в которой можно поискать возможно удаленное письмо для полной гарантии.

Т.е. нужна многоуровневая корпоративная политика. Общая политика организации по правилам фильтрации и обработки спама, политика пользователя по умолчанию, групповые политики по подразделениям, возможность индивидуальной политики для отдельной должности (роли) и для конкретного пользователя.
Для интегрированного в почтовый сервер спам-фильтра необходима возможность понимать alias’ы почтовых ящиков как идентичные по политикам фильтрации спама. Для внешних по отношению к почтовому серверу Relay’ев это вряд ли полезно – придется дублировать структуру alias’ов на спам-фильтре. Желательно, чтобы для внешних спам-фильтров схема лицензирования учитывала наличие многочисленных alias’ов у реальных почтовых ящиков.

Для единства управления политиками, спам-фильтр должен интегрироваться со службой каталогов, например, с Microsoft Active Directory.

Требования к корпоративному спам-фильтру
В итоге получаем следующий набор требования к корпоративному спам-фильтру:
- независимость от платформы почтового сервера
- минимум изменений в структуре и маршрутизации сети при установке спам-фильтра
- минимум затрат на программно-аппаратную платформу решения (бесплатная ОС и недорогой компьютер)
- регулярное аддитивное обновление базы сигнатур лексического анализа, работа фильтра с локальной репликой базы
- использование полного набора методов фильтрации спама, единое управление этим набором в том числе при формировании корпоративных политик
- поддержка многоуровневых политик фильтрации для различных групп пользователей и индивидуальных почтовых ящиков, интеграция со службой каталогов
- гибкая схема лицензирования, учитывающая наличие alias’ов
- поддержка лексического анализа русского языка наряду с английским

Программное обеспечение спам-фильтров поставляется многими разработчиками антивирусных решений, а также и другими производителями наряду с другими решениями фильтрации контента прикладных протоколов.
Однако до последнего времени общим недостатком предлагаемых решений являлось отсутствие блока лексического анализа русскоязычной почты и/или недостаточная база сигнатур для русского языка.
Наилучшим на сегодня решением на наш взгляд является Kaspersky® Anti-Spam, удовлетворяющий практически всем вышеприведенным требованиям.

Спам-фильтр «БАРЬЕР» - решение системного интегратора на базе Kaspersky® Anti-Spam
Результатом работы Центра Компьютерной Безопасности стало решение, представляющее собой готовый почтовый Relay на базе специализированного сервера с предустановленным ПО Kaspersky® Anti-Spam for Free BSD/Linux.
Решение предназначено для средних и небольших предприятий. При его проектировании преследовались следующие цели:
1) Предоставить  заказчику экономичное многофункциональное решение, сочетающее защиту почтового трафика от спама и опционально от вирусов в почте.
2) Минимизировать сроки внедрения и изменения в настройках действующей почтовой системы заказчика, уменьшить время работы персонала Поликом Про на объектах заказчиков и стоимость этих работ.

Выводы

Kaspersky® Anti-Spam представляет мощную технологию, на основе которой проблема спама может быть решена успешно как с технической, так и с экономической точек зрения. Спам-фильтр «Барьер» является хорошим примером работы системного интегратора по созданию решений высокой компактности и готовности в области информационной безопасности.
На сегодняшний день спам-фильтр «Барьер» успешно внедрен в ряде предприятий. Прошедший эксплуатационный период не выявил каких-либо технологических или организационных проблем.


Возврат к списку

Подписаться на новости


Закажите семинар по ИТ-аутсорсингу


Аутсорсинг

Обеспечим безотказную работу вашей ИТ-инфраструктуры

Консультация и заказ

                

РЕШЕНИЕ ДЛЯ БАНКОВ

Фильтрация web-трафика и потока электронной почты, защита от утечек информации и поведенческий анализ в едином решении для банков от 500 ПК.

Комплексное решение реализовано на базе продуктов и технологий компании Forcepoint, ранее известной как Websense, и решает следующие задачи:

  • защита от атак и вредоносного кода по сетевым каналам
  • защита периметра сети компании
  • безопасное использование веб ресурсов, защита от фишинга
  • защита от спама
  • защита от утечек данных, инсайдеров
  • оптимизация рабочего времени сотрудников
  • единая панель управления

Комплексный подход – это:

  • решение разных задач по информационной безопасности продуктами одного производителя,
  • оптимизация затрат на безопасность,
  • учет и контроль приобретаемых лицензий на продукты.

Пример внедрения комплексной системы фильтрации корпоративного трафика