11 лет назад 16 июня 2007 в 1:19 35

Умное сито

Автор: Наталья Сергеева

“Старый конь борозды не испортит”, – приговаривали мы, устанавливая “Dr.Web для Windows – Антивирус + Антиспам”. Именно так называется новый интегрированный продукт от компании “Доктор Веб”.

Старейший из отечественных антивирусов не только борозд не портит, но и пашет глубоко, поэтому не нуждается в каких-либо тестах и представлениях. Так что единственным объектом нашего пристального внимания стал этот французский антиспам, встроенный в почтовый монитор SpIDer Mail. Потянет он с нашим – великим и могучим?

Мы десять лет знакомы с Dr.Web и не скрываем симпатий к этой программе. Да, это не просто программа, а мощнейший симбиоз антивирусного сканера, резидентного сторожа SpIDer Guard, глубоко проникающего в операционную систему, и почтового антивирусного сторожа SpIDer Mail. И этот набор компонентов работает как единое целое, поскольку отлажен до винтика за долгие годы работы. Неприступный барьер не только для вирусов, но и троянов, червей и прочей, даже не опознанной заразы.
Но что-то кони нам попались привередливые – сразу же после запуска The Bat! система стала жутко тормозить, а Outpost “вылетать” с синим экраном. Outpost мы успокоили по отработанной “Агнитумом” методе (www.agnitum.ru/support/kb/article.php?id=1000030?=ru). А полтергейст с The Bat! напрочь исчез после отключения у SpIDer Guard проверки почтовых файлов. Все правильно, ведь почтовую базу SpIDer Guard воспринимает как файловый контейнер. Поэтому логично, что его проверка превращается в серьезную нагрузку для компьютера. К тому же за чистоту почты отвечает SpIDer Mail, так что этого сторожа будет достаточно. В общем, мы поняли, что не стоит включать бездумно опции, не выставленные для Dr.Web по умолчанию. Идем смотреть антиспам.
Наши предварительные действия были основаны на опыте работы с другими антиспамами. Для дрессировки спам-фильтра мы заготовили папку The Bat! с отборным спамом. В SpIDer Mail в качестве префикса, который будет добавляться к полю Subject писем, содержащих спам, ввели DrSpam!, а в The Bat! создали правило для сбора писем с этой меткой в папке “Спам”. Включили в SpIDer Mail проверку на наличие спама, запустили прием новой почты в The Bat!, и почта с указанной меткой благополучно ссыпалась в папку для спама. И все! А как же разметка почты на спам/не спам? И, собственно, где панель антиспама для этой разметки? Опять не встроилась в The Bat!?
Не нашли мы подобной панели и в стандартных почтовых программах, поскольку, как выяснилось, антиспам этот никуда не встраивается, а работает независимо от почтовых клиентов по основным почтовым протоколам – POP3 и IMAP. Никакой предварительной дрессуры на спамерских письмах не требует, а начинает просеивать спам сразу после установки на компьютер. Настроек минимум. В общем, включил себе – и пользуйся.
Озадаченные такой абсолютной неуправляемостью фильтра с пользовательской стороны мы пошли собирать досье на технологию Vade Retro, на которой этот фильтр и основан. Стоит ли ей доверять? Выяснилось, что чуть ли не все французы пользуются решениями компании Goto Software по антиспамовой защите. Что работает там команда профессионалов, которая моментально реагирует на свежайшие ухищрения спамеров. Короче, фильтр постоянно совершенствуется и регулярно обновляется в составе Dr.Web.
Что ж это умное сито просеяло? Две недели мы регулярно принимали почту с двух наших ящиков, превратившихся в настоящие спамосборники. И за все это время ни одного ложного срабатывания! То есть ни одно письмо от наших читателей, ни один ответ/активация на регистрацию на форумах и подписку на рассылки не попал в папку “Спам”. Наше приятное удивление можно понять, если учесть, что раньше, когда мы пользовались “обычными” спам-фильтрами, а не Vade Retro, все это сыпалось в спам. Мы привыкли уже эту папку просматривать тщательно, выуживая из нее ценные письма. Теперь мы в спам заглядываем редко.
“Мочить его на сервере!” – скажете вы. Еще месяц такой безошибочной работы – так и сделаем, как сделали это в свое время для сервиса Spamtest (spamtest.ru), удостоверившись в его надежности. Правда, в классическом виде удалять спам на сервере фильтр Vade Retro не умеет. Зато на лету его бьет без проблем – надо всего лишь изменить действие в ранее созданном правиле для почтовика (удалять вместо перемещения в папку для спама).
Что же делать с прорвавшимся спамом? Нужно сказать, что ни один спам-фильтр не выдавал у нас обещанного качества зачистки. Как в рекламе на скидки в магазине: до 97% – совсем не значит, что все 97. У Vade Retro примерно треть спама поначалу просачивалась через фильтр, и мы этот спам нераспознанный регулярно слали на специальный адрес vrspam@goto.fr – для анализа и повышения качества работы фильтра. Пусть французы улучшают русскоязычную составляющую своих алгоритмов. Как бы то ни было, а к концу второй недели процент неопознанного спама снизился до 15 и продолжает уменьшаться.
Письма, ошибочно оцененные как спам, отправляют на адрес vrnonspam@drweb.com, но у нас, повторим, таких не было. А чтобы и у вас таких не было, обязательно установите флажок в поле “Разрешать текст на кириллице”. Французы специально эту опцию включили, чтобы письма на русском языке не отфильтровывались в спам без всякой проверки. Точно так же работает флаг “Разрешать текст на китайском/японском/корейском языках”. Мы этот флаг не поднимали, поскольку писем таких не читаем – арабская вязь по любому нам спам.
Для устойчивого, так называемого пользовательского спама Vade Retro позволяет создавать черные списки. Да никто не мешает и в самом почтовике фильтры настроить, чтобы рубить стабильный спам прямо на сервере. А с неустойчивым спамом бороться – все равно что с ветряными мельницами. Прорвавшиеся сегодня спам-письма завтра придут в совершенно другом обличье – с новыми адресами, вложениями и картинками. Вот почему не дает никакого эффекта обучение спам-фильтров на этом прорвавшемся спаме, сколько ни жми на кнопки “Это спам”. И, вероятно, поэтому нет у Vade Retro панели с подобными кнопками.
Заглянем в папку “Спам” – полнейший букет современного спамостроительства! В первую очередь бросается в глаза обилие отловленного графического спама – чуть ли не каждое второе сообщение с картинкой. В основном реклама, технический спам, чуть меньше писем счастья, уведомлений о выигрышах и прочего бреда. От фишинг– и фарминг-сообщений пока нас бог миловал. Главное, вся эта муть застревает в спам-фильтре. А что особо интересно, 80% спама этот технологический комплекс определяет по заголовкам. Выходит, язык спам-рассылок программе по барабану, каким бы великим и могучим он ни был.
Отличным ситом для спама обзавелся Dr.Web, и это еще один убойный аргумент в его пользу. И повод для нашей с вами радости, что самый старый антивирус не только свои алгоритмы оттачивает, но и возможности наращивает. А это значит, что больше заразы отловит, и не простой заразы, а комплексной.

DrSpam! – это метка для спама

Что ни спам, то с картинкой