Анти-спам (и анти-спэм) : Гигиена сообщений. Часть 2
Welcome to TechNet Blogs
Sign in | Join
|
Help
Стратегия, тактика, технология и философия борьбы со спэмом.
Анти-спам (и анти-спэм)
This Blog
About
Email
Syndication
RSS 2.0
Atom 1.0
Search
Go
Tags
Гигиена сообщений
News
- Информация на данном сайте предоставляется "КАК ЕСТЬ" без каких-либо гарантий и передачи прав. Мнения, высказанные здесь, являются отражением моего личного взгляда, а не позиции работодателя.
Archives
March 2008 (1)
October 2007 (2)
September 2007 (2)
August 2007 (1)
July 2007 (1)
March 2007 (3)
October 2006 (1)
July 2006 (3)
June 2006 (2)
May 2006 (9)
Гигиена сообщений. Часть 2
Проснулся я как-то утром, а Protocol Analysis Agent-а нет. Пока я спал, кто-то взял и объединил всех транспортных агентов в одну библиотеку. Ну дак вот. Здесь в кратце я опишу чем занимаются наши агенты, цель которых защитить Ваш почтовый ящик от лавины изливающегося на него мусора.
Итак. Первая полоса защиты - Content Filtering Ageng. Это фактически спэм фильтр. Спэм фильтр выдает вердикт каждому сообщению до него дошедшему, от 0 - 9. 0 - хорошо, 9 - точно спэм. Админ может установить уровень допустимости (по-умолчанию он 7, и это в общем не стоит менять). Другой параметр отвечает за то, что делать если сообщение получило максимально допустимый вердикт (7 или более). По-умолчанию сообщение будет отвергнуто на уровне SMTP сессии.
Отвергнутое или нет, сообщение дойдет до Protocol Analysis (PA) агента, который следит за событиями OnEndOfData и за ОnReject. PA соберет всю нужную ему информацию и добавит IP посылавшего к своему внутреннему списку.
Обработка данных ведется этим агентом асинхронно, вне SMTP сессии. Агент выполняет следующие тесты:
Обратный DNS на IP. Поэтому если у пославшего не было PTR записи в DNS это может негативно повлиять не его вердикт
Тест на Open Proxy (происходит очень редко, т.к. очень мало отправителей являются Open Proxy
Анализ HELO. По-просту: соответствует ли то, что мы узнали из обратного DNS тому, откуда отправитель заявил, что он послал сообщения. Смотрим на FQDN.
Подсчет Уровня Репутации Отправителя (Sender Reputation Level - SRL).
Как и в случае со спэм фильтром, SRL это чилсо от 0 - 9. (9 - очень плохо). В отличие от вердикта спэм фильтра, SRL применяется к отправителю, а не к сообщению. Если SRL больше или равен максимально допустимому (7 тут тоже наилучший выбор), отправитель будет заблокирован на 24 часа (максимум - 48). Это значит, что он будет отброшен агентом по фильтрации соединений (Connnection Filtering Agent) при попытке сказать серверу Превед в следующий раз.
Сам PA агент довольно консервативен. Первый подсчет вердикта проводится только если мы видели достаточное количество сообщений в определенное время. Если после первого подсчета мы получили низкий вердикт - отправитель "награждается" тем, что в следующий раз подсчет произойдет при получении в несколько раз большего количества сообщений за тоже время.
Если же отправитель только что вышел из периода блокирования, он будет "наказан" тем, что подсчет SRL будет производиться в несколько раз чаще.
Имеется еще один важный компонент PA агента, бегущий в стороне от транспортного процесса. Этот компонент ответсвеннен за получение данных нашего списка известных отправителей и передачи его PA агенту. Данные в этом списке уже содержат SRL. Если сообщение пришло от одного из таких отправителей и SRL в нем больше максимально допустимого, отправитель будет заблокирован. Подробнее в следующем посте.
Published
Wednesday, May 24, 2006 12:26 AM
by
borisk
Filed under: Гигиена сообщений
Comments
#
re: Гигиена сообщений. Часть 2
Wednesday, April 04, 2007 10:21 AM by Maxim_Kam
Готов поспорить. Сразу ТТХ: Exchange 2003 & SP2, antigen for exchange 9.0. Как показала практика использования antigen, без подключённых серверов RBL уровень фильтрования сообщений встроенным spam cure составлял порядка 25-30%%. И касался англоязычных сообщений. Русскоязычный спам "пролетал со свистом". Подключили RBL и.... для рассылки именно русскоязычного спама используются именно open relay. причём в антиген хоть возможность есть их просмотреть, и переслать пользователю,в отличии от Exch2003 ,который сразу "отлуп" даёт если в RBL. Очень странный механизм определения русскоязычного спама именно IMF. Есть хост, в DNS настроен SPF, reverse DNS тоже верный, дак нет - сообщение в две-три строки проходит, SCL=3, а если пользователи добавили что-то типа "важно!!!" сразу SCL 9. при этом сообщения с других хостов, которые ни SPF записей не имеют, ни reverse DNS записей не имеют - IMF с успехом проходят и проваливаются дальше....
#
re: Гигиена сообщений. Часть 2
Wednesday, April 04, 2007 10:27 AM by Maxim_Kam
Добавление к предыдущему. Через WSUS устанавливаем обновления IMF и очень забавная статистика получается. Стоит по умолчанию SCL=9 reject. Дак вот в зависимости от версии обновления IMF процент срабатывания по SCL=9 составляет от 4,5% до 22%. И всё равно смысловой спам "проваливается", а сообщения, в которых 2 строки и "всё по делу" не могут пролезть, т.к. у них тоже SCl=9 или 8. Приходилось "ручками" по 1000 сообщений разбирать для оценки работы IMF, когда вместо reject делал archive message - when SCL=8.
Anonymous comments are disabled
2008 Microsoft Corporation. All rights reserved.
Terms of Use |
Trademarks |
Privacy Statement
8800 white gold
dvd-box
sikkens
longines
.
braas
touch screen
electrolux
electrolux
cad
rvg
dimplex model lee rc
online
hotbird
asus p505
o2 optix
protherm