Статья только в электронной версии журнала
ОБЗОР: ГЛАВНОЕ ДЛЯ WISCNET - ГИБКОСТЬ ПРИМЕНЕНИЯ
Камерон Стардевант
Рассмотрев предложения тридцати с лишним производителей антиспамовых систем, откликнувшихся на призыв WiscNet, Тестовый центр eWeek Labs совместно с этим поставщиком сетевых услуг отобрал шесть компаний и попросил продемонстрировать, что те могут сделать для борьбы с почтовым мусором.
Результаты тестирования были получены в сети WiscNet, где каждый из продуктов проверялся в разных условиях, имитировавших требования разных клиентов этого провайдера. Среди них - ученики начальных и средних школ, студенты колледжей, преподаватели и администрация учебных заведений разного уровня, библиотекари.
Приступая к экспертизе, мы хотели не только сопоставить предлагаемые системы, но и оценить различные варианты их реализации - ПО, аппаратные комплексы и услуги в этой области.
Нас немало удивило, что выбор варианта далеко не столь важен, как нам казалось. Программная система компании Brightmail и сервис фирмы FrontBridge Technologies, скажем, управление целиком и полностью берут на себя, а услуга корпорации Postini и пакет программ от ActiveState хотя и могут использоваться без дополнительных настроек, но все же предоставляют конечным пользователям и администраторам возможность регулировать работу фильтров в зависимости от конкретных потребностей. Таким образом, главным критерием выбора платформы вполне может стать цена (для проверенных решений она приводится в таблице).
Требованием номер один у арбитров из WiscNet была гибкость применения. Пестрый состав пользователей заставляет этого провайдера подстраиваться под самые разные запросы. Преподаватели старших классов, например, требуют закрыть доступ ученикам к почтовым сообщениям, поставленным на карантин. А вот представители колледжей хотели бы предоставить самые широкие возможности преподавателям, а студентам, административному персоналу и другим группам разрешить доступ лишь к сообщениям заданных категорий.
Правда, требования WiscNet к гибкости настройки намного выше, чем у большинства других организаций, хотя и тем без нее не обойтись. Мало найдется администраторов, которым не хотелось бы самостоятельно конфигурировать подобные системы, а то и точно подстраивать их под конкретных пользователей. Менеджерам высшего звена, например, может потребоваться доступ к отфильтрованной почте, тогда как подозрительные письма рядовых сотрудников можно сразу удалять без всякого карантина.
Впрочем, мы не советуем придавать слишком уж большое значение гибкости систем идентификации спама. Проведенное тестирование укрепило нас в мысли, что мусор - он и есть мусор, поэтому его необходимо искоренять целиком и полностью.
ПРОГРАММНЫЕ СРЕДСТВА БОРЬБЫ СО СПАМОМ
ActiveState PureMessage
В своем пакете PureMessage 4.0 фирма ActiveState реализовала конфигурируемый подход к блокировке спама. Очень высокую гибкость администрирования пользователей и доменов, столь необходимую для WiscNet, обеспечивает инструментарий Domain Administration. Его надо приобретать дополнительно, но за эти деньги владелец получает право один час в неделю заниматься настройкой правил фильтрации почты.
Проверка в сети WiscNet показала, что этот программный продукт можно рекомендовать тем, кто хочет освободить пользователей от настройки фильтров либо не собирается ограничиваться отсевом спама. В дополнение к этому пакет способен блокировать даже ту нежелательную почту, которая не подпадает под официальное определение спама.
Приборная панель (вверху) диспетчера серверных групп ActiveState PureMessage предоставляет администратору всю антиспамовую и антивирусную статистику, а административная консоль Brightmail (внизу) хоть и не может похвалиться обилием настроек, но всегда готова обеспечить минимальный отсев нужных сообщений
Из всех проверенных нами продуктов PureMessage оказался самым простым в настройке основных критериев отсева. Входящая в него утилита Policy Builder, например, предоставила нам почти полный контроль над правилами обработки сообщений. Она позволяет задавать отдельные слова и целые фразы, а затем определять действия, которые должны выполняться при их обнаружении. Программа способна пометить заголовок такого сообщения, отправить письмо на карантин или удалить его. Но у подобного подхода есть и обратная сторона: почтовый администратор получает такую власть, что вместо борьбы со спамом ему придется все свои силы тратить на настройку антиспамовой системы.
Многие арбитры заметно оживились, когда услышали, что пакет PureMessage способен проверять на спам даже исходящую почту. Это убережет организацию от невольного пособничества спамовым атакам.
В PureMessage нашли применение многие распространенные технологии эффективной идентификации спама по таким признакам, как списки Realtime Blackhole, особенности заголовков и стандартные шаблоны. Как только подозрительное сообщение выявлено, оно помещается на карантин в специальную папку, легко доступную для пользователей. В пакете предусмотрена возможность подготовки краткой сводки с информацией о подозрительных сообщениях и ее отправки по электронной почте. При этом, что очень понравилось арбитрам из WiscNet и eWeek Labs, пользователям предоставлено право извлекать сообщения из своей "карантинной" папки. Правда, при желании рассылку сводки можно легко запретить, чтобы, скажем, не соблазнять почтовым мусором школьников.
Brightmail Anti-Spam Enterprise Edition
| Пользователя нужно учить |
Любые антиспамовые продукты способны отсеивать только самый очевидный спам, но полностью решить эту проблему можно лишь с участием конечных пользователей. Прежде всего их нужно научить не провоцировать приток спама своими действиями. Ниже приведен ряд положений, которые необходимо включить в правила работы с системой электронной почты. - Использовать адрес своей компании только для деловой переписки. - Сообщать свой адрес лишь тем, кто заслуживает доверия. - Если нужно привести свой адрес в общедоступном месте, писать его лучше без специальных символов, примерно так: "eweek на ziffdavis точка com". - Ни в коем случае нельзя пытаться "отписаться" от спама - это только подтвердит правильность вашего адреса. По этой же причине не стоит щелкать на Web-ссылках, указанных в подозрительном письме. - О любом полученном спаме необходимо информировать ответственных сотрудников. - Никаких официальных списков "спама не присылать" пока не существует, поэтому откликаясь на подобные предложения, пользователь как бы говорит: "Я здесь и готов получать любой мусор". |
Brightmail Anti-Spam Enterprise Edition 5.0 - это блокировщик спама высокого уровня, использующий широкий спектр эффективных методов идентификации таких рассылок. В нем предусмотрено и применение собственных "черных" списков, и анализ подписей, и проверка адресов URL.
Как и остальные производители, Brightmail утверждает, что его пакет устраняет спам на 95-96%. Опыт его использования в сети WiscNet, похоже, подтверждает такое заявление.
Желание Brightmail свести к минимуму коэффициент ложной тревоги (ошибочного отсева нужных сообщений) граничит с манией. Руководство компании прямо заявляет, что готово скорее ослабить блокировку, чем превысить заявленный порог - отправку в мусорную корзину не более одного нужного письма из миллиона просмотренных.
Чтобы постоянно держать руку на пульсе событий, фирма организовала специальную сеть, в которой каждый день отфильтровывает спам (каковы объемы этого потока информации, Brightmail не сообщает), а накопленный опыт применяет для совершенствования своего инструментария.
Для отсеивания спама в Brightmail Anti-Spam используется шесть компонентов. Кроме всего прочего, платформа проводит анализ подписей, ведет поиск типичных выражений, отыскивает адреса в Интернете, замеченные в рассылке мусора. Нынешним летом здесь появился фильтр URL, который извлекает из почтовой корреспонденции адреса с "призывом к действию". На сегодняшний день спамерам труднее всего скрыть именно данный признак, поэтому идентификация сетевых адресов, на наш взгляд, - весьма эффективный способ борьбы с почтовым мусором. Менеджерам ИТ мы рекомендуем при выборе антиспамовых средств обращать самое серьезное внимание на наличие такой функции.
Большую помощь в идентификации почтового мусора фирме оказывает ее опытная сеть. Каждые 10 мин Brightmail рассылает своим клиентам по безопасным каналам новые правила и сигнатуры спама, поэтому менеджеры ИТ вполне могут положиться на ее платформу.
Оборотная сторона такого подхода заключается в том, что менеджер утрачивает значительную долю контроля над почтовым трафиком, который так необходим WiscNet.
Однако заложенных в пакет возможностей администрирования большинству организаций окажется более чем достаточно. Brightmail Anti-Spam позволяет либо выполнять одну и ту же операцию в отношении всей отсеянной почты, либо предпринимать различные действия в двух (и только в двух) доменах. В K12.dane.wisc.edu, например, спам будет удаляться, а в a.university.wisc.edu - отправляться на карантин.
АППАРАТНЫЕ СРЕДСТВА БОРЬБЫ СО СПАМОМ
CipherTrust IronMail
Обе проверенные нами аппаратные системы предлагают гораздо больше, чем фильтрация спама, поскольку их разработчики раньше занимались средствами безопасности и теперь используют накопленный опыт для борьбы на новом фронте.
IronMail вобрал в себя наработки фирмы CipherTrust в области сетевых экранов и систем обнаружения взломов электронной почты. Так как это устройство способно отражать атаки через Интернет, оно хорошо подойдет тем организациям, которые часто становятся объектами хакерских вылазок.
А вот при фильтрации спама IronMail явно недостает гибкости: установить индивидуальные правила для разных почтовых доменов здесь невозможно, что очень не понравилось арбитрам из WiscNet.
Борьба со спамом - лишь одна из функций системы безопасности э-почты IronMail
Правда, представители CipherTrust пообещали, что следующие версии продукта позволят задавать правила для каждого домена в отдельности, но сроков их выпуска не назвали. Впрочем, по мнению специалистов eWeek Labs, отсутствие гибкости, столь тревожащее WiscNet, - не такой уж крупный недостаток. Многим корпоративным клиентам подоменное администрирование просто не нужно. В том, что касается спама, большинство, видимо, согласится с директором технологий школьного округа из г. Кеймбриджа (шт. Висконсин) Робином Джарлсбергом: "Этот мусор нужно удалять сразу и бесповоротно. Мне очень не нравится, когда пользователи копаются в карантинном ящике".
Администраторам почтовых сервисов, получившим карт-бланш на борьбу со спамом (а таких, должно быть, сейчас немало), будет, как правило, вполне достаточно и сегодняшних возможностей IronMail.
В дополнение к обычным методам борьбы с почтовым мусором, которые IronMail использовал для проверки трафика WiscNet на основе анализа (с элементами эвристики) заголовков и содержимого писем, в системе предусмотрен также статистический подход. Необходимый для этого массив данных создается за счет добровольного участия пользователей. На основе получаемой от них информации система подсчитывает, как часто то или иное сообщение поступает на клиенты CipherTrust. Впрочем, опыт eWeek Labs показывает, что статистический подход IronMail может оказаться не слишком-то эффективным. Изощренный спамер быстро найдет способ так изменить свои сообщения, что они будут попадать в разные разделы статистики. Тем не менее мы рекомендовали бы менеджерам ИТ присмотреться к этому продукту внимательнее. В нем задействовано огромное множество технологий, и на долю статистического анализа приходится всего 3-4% отсева.
McAfee SpamKiller
Подразделение Network Associates - фирма McAfee Security - для борьбы со спамом встроило в свой аппаратный шлюз SpamKiller AntiSpam программу с открытым кодом SpamAssassin (права на этот известный продукт оно приобрело в мае 2002 г.).
SpamAssassin имеет богатый послужной список и по-прежнему бесплатно предлагается на сайте www.spamassassin.org. В результате эта программа стала излюбленным оселком спамеров: готовя новую рассылку спама, организатор пропускает свои сообщения через SpamAssassin до тех пор, пока те не станут свободно просачиваться через все барьеры. После этого ему остается только бросить такое послание в Сеть - и оно тут же оказывается в вашем почтовом ящике.
SpamKiller предоставляет только самую общую информацию о своей работе
WiscNet не стала брать эту программу на вооружение главным образом из-за того, что администратор не в состоянии просматривать отсеянные сообщения. Такая возможность, как пообещали разработчики, появится в следующей версии, которая увидит свет еще до конца года.
Другой серьезный недостаток SpamKiller связан с его неспособностью просматривать HTML-сообщения, хотя спамеры используют их очень часто. Причина такой любви проста: HTML помогает избежать проверки слов и фраз многими средствами наподобие SpamKiller.
| Жюри антиспамового конкурса eVal |
- Шон Абшир, ассоциированный директор WiscNet. - Джон Аречавала, сетевой и системный менеджер колледжа Carroll. - Кайка Барр, менеджер технической поддержки WiscNet. - Джейн Думке, менеджер обработки сообщений университета шт. Висконсин (г. Стивенс-Пойнт). - Робин Джерисберг, директор технологий Кеймбриджского школьного округа. - Пит Кретче, администратор сетевых систем университета шт. Висконсин (г. Грин-Бей). - Луис Лефлер, технический инспектор библиотечной сети Восточного побережья. - Пол Онуфрак, специалист по автоматизации библиотечной сети Восточного побережья. - Крейг Стефенсон, разработчик корпоративных услуг WiscNet. - Рич Тьюриел, специалист технической поддержки WiscNet. - Шейла Уайтейкер, аналитик службы компьютерной помощи, вычислительных и информационных технологий технического колледжа Nicolet. - Джим янг, служба технической поддержки WiscNet. |
Представители McAfee заявили, что в будущем их система позволит задавать правила для отдельных пользователей, однако такая возможность появится только в SpamKiller for Exchange (его выпуск также ожидается в текущем квартале). Правда, по мнению специалистов eWeek Labs, корпоративных пользователей едва ли заинтересует система борьбы со спамом, которая позволит устанавливать раздельную политику исключительно для пользователей почтовой платформы Microsoft. Мы очень надеемся, что McAfee пойдет дальше и обеспечит такую возможность в самых разных средах, включая Lotus Domino.
Как правило, производители стараются почаще выпускать обновления, учитывающие новые шаблоны спама и методы его рассылки, но McAfee избрала другой путь. SpamKiller ведет поиск по 650 правилам, которые обновляются не чаще одного раза в месяц, а то и в два.
Администраторам почты SpamKiller предлагает мало возможностей настройки. При проведении экспертизы нам посоветовали не вмешиваться в политику его работы, чтобы это не сказалось на качестве фильтрации.
Такое предупреждение не слишком нас взволновало бы, если бы не одно "но". В SpamKiller используется много технологий, разработанных инженерами McAfee еще до приобретения прав на SpamAssassin, и некоторые из них печально известны своей способностью отсеивать нужные сообщения.
Один из компонентов этой системы, к примеру, полагается на списки RBL (Real-time Blackhole Lists - списки текущих "черных дыр"), куда сообщество Интернета заносит данные о подозреваемых спамерах. Эти списки ведутся не слишком-то богатыми бесприбыльными организациями, и в них вполне могут попасть даже легитимные отправители почты.
УСЛУГИ ПО БОРЬБЕ СО СПАМОМ
FrontBridge TrueProtect Message Management Suite
Поставщики антиспамовых услуг блокируют спам еще до того, как он поступит на почтовые серверы, благодаря чему организациям не надо развертывать у себя ни ПО, ни аппаратных средств. Однако такие услуги и обходятся дороже.
FrontBridge Technologies придерживается в борьбе со спамом простого принципа: почтовому мусору не место на предприятии, поэтому его нужно безжалостно удалять.
Сервис FrontBridge TrueProtect (вверху) облегчает задачи администраторов по слежению за спамом и вирусами, проникающими через систему электронной почты. Postini Perimeter Manager (внизу) предоставляет менеджерам э-почты очень подробные отчеты
Но такая жесткая позиция не помешала фирме предложить два эффективных способа для поиска нужных писем среди отсеянных сообщений. Для этого пользователь может либо зайти на Web-сайт со списком сообщений, либо заказать рассылаемый по электронной почте специальный бюллетень. В обоих случаях конечному пользователю предоставляется возможность восстановить отфильтрованную корреспонденцию. Впрочем, при тестировании продукта в сети WiscNet на карантине оказывался только спам.
Нам продукт FrontBridge в целом понравился, но представители WiscNet заявили, что их не полностью устраивают возможности TrueProtect по раздельному администрированию доменов. Они, в частности, отметили ограниченность "белого" списка.
Но технологии идентификации спама, как ни впечатляющи они в TrueProtect, - это еще не все. Когда к почте допускаются посторонние лица, менеджерам ИТ следует обращать особое внимание на обеспечение ее конфиденциальности и защищенности. Расспросив с пристрастием представителей FrontBridge, мы удостоверились в надежности и безопасности партнерства с этой фирмой и поэтому смело рекомендуем ее услуги всем желающим. Вычислительные центры фирмы сертифицированы по стандарту SAS70 Американского института сертифицированных общественных ревизоров, а это значит, что инфраструктура и процессы обработки данных прошли жесткую проверку независимых экспертов. Расположены эти центры по всей территории США и даже за ее пределами. Для обеспечения полной безопасности информации FrontBridge уделяет много внимания вопросам физической защиты.
Postini Perimeter Manager
Пользователи этой антиспамовой услуги должны представлять в оперативный центр Postini все записи MX (Mail Exchange - почтовый обмен) из домена своей организации. Благодаря этому, как и в сервисе FrontBridge TrueProtect, фильтрация почты производится еще до того, как она попадает на почтовые серверы клиента, поэтому им не нужны никакие дополнительные аппаратные или программные системы защиты от спама.
Но в отличие от TrueProtect, Postini позволяют пользователям самостоятельно устанавливать политику определения спама на корпоративном, групповом или индивидуальном уровне. Это понравилось арбитрам из WiscNet, однако их насторожило, что почта покидает пределы защищаемой сети. Впрочем, желание WiscNet удержать сообщения в своих каналах связи разделяют далеко не все компании, так что мы бы посоветовали менеджерам ИТ при выборе защиты от спама уделить самое пристальное внимание услуге Postini.
Разработанная этой фирмой технология фильтрации почтового мусора Postini Perimeter Manager оказалась одной из лучших среди тех, что проходили проверку. В отличие от других антиспамовых средств Perimeter Manager всегда готов удовлетворить желание пользователей поэкспериментировать с настройками защиты.
Учитывая сегодняшнюю ситуацию со спамом, когда почти все подобные сообщения не вызывают ничего, кроме раздражения, мы в полной мере оценили избранный фирмой FrontBridge подход "смывного бачка".
В ходе тестирования нам удалось почти полностью блокировать расистские сообщения, не затрагивая при этом специальных предложений (иногда ведь хочется узнать и цены на жилье). Нетрудно оказалось и импортировать списки желательных адресантов, чтобы блокировать всех остальных. Это очень удобно для подписчиков специализированных бюллетеней, которые часто воспринимаются почтовыми фильтрами (в том числе и теми, что установлены у Postini) как спам.
Perimeter Manager, как и ряд других проверенных нами систем, пропускает почтовые сообщения через несколько механизмов отсева и лишь затем выносит вердикт - нужное это письмо или спам. И представители eWeek Labs, и арбитры из WiscNet сошлись во мнении, что это сбалансированная методика. Благодаря ей анализаторы заголовков и текста успешно блокируют подавляющее большинство спама, оставляя нетронутой нужную корреспонденцию.
Мы советуем ИТ-менеджерам обязательно интересоваться, как та или иная антиспамовая система защищает от почтовых атак через Интернет, в том числе и с просмотром каталогов. Postini использует для этого утилиту Connection Manager, которая определяет характеристики подключения SMTP.
