12 лет назад 10 апреля 2007 в 17:24 100

Разнюхать и перехватить!

Автор: Наталья Сергеева

Даже не скажешь сразу, что в этой необычной программе главное. mail sniffer – и почтовый шпион, и перехватчик сообщений, и менеджер переписки, и первоклассный поисковик по почтовым базам, и бэкапер этих почтовых баз. прямо универсал!

Софтинформовский анонс о новом направлении в разработке ПО мы хотели пропустить мимо ушей – как-то набила оскомину тема обеспечения информационной безопасности, не говоря уже о защите от утечки данных. Но одна интересная фраза привлекла наше внимание: “Поиск ведется не только по телу письма, но и по всем его атрибутам, а также по содержимому присоединенных файлов”. Речь шла о возможностях SearchInform MailSniffer (RC) – первенца новой программной линейки. Вроде бы он умеет перехватывать весь почтовый трафик на уровне сетевых протоколов, индексировать, а потом быстро искать письма по полученной базе. Это интересно!

Как и другие тестовые версии программ, MailSniffer поначалу выпендривался, например, ни в какую не хотел выполнять онлайновую регистрацию, ссылаясь на плохой коннект. ADSL ему слабый коннект?! После отключения защиты (Outpost и KIS 6) регистрация прошла без запинок.

Мы установили серверный вариант программы – MailSniffer Server, причем на сетевой шлюз – компьютер, физически подключенный к интернету. Весь наш почтовый трафик (как входящий, так и исходящий) проходит через этот компьютер, а это значит, что MailSniffer гарантированно должен захватить все в свою базу. Серверная же версия программы позволила нам в дальнейшем не только создавать почтовые индексы, но и управлять ими.

Действительно, перехват почтового трафика пошел сразу же после установки программы. Сетевые адаптеры, через которые шел этот трафик, настраивать не пришлось – они определились сами. Правда, перехватывался трафик, транспортируемый только по протоколам POP3 и SMTP. Шифрованные протоколы (SSL, TLS, STARTLS и т. п.) не поддерживались. Почта, принимаемая через веб-интерфейсы, тоже осталась за бортом. (Надеемся, что это временно – создатели заверили, что работают над этими вопросами.) Поскольку перехват шел на уровне железок и протоколов, было совсем не важно, какие клиенты при этом принимали и отправляли почту.

Перехват перехватом, а мы надеялись на поиск по всем своим почтовым архивам, поэтому испытали легкий испуг, не обнаружив старых писем в базе MailSniffer. Оказалось, так и должно быть – индекс, созданный сразу после установки, абсолютно пуст. А для импорта писем из почтовых клиентов есть специальный мастер – MailSniffer Messages Import. Вот тут-то при импорте уже нужно выбирать почтовые клиенты и даже папки, откуда брать письма. Последняя возможность оказалась очень кстати – мы не включили в список импорта устаревшие аккаунты. Выбор почтовиков для экспорта тут не богат, зато это самые распространенные программы, и, к счастью, наш The Bat! в этом списке присутствовал.

Импорт прошел без приключений, письма добавились к текущей базе MailSniffer вместе со всеми своими атрибутами (датами, размерами, полями “Тема”, “Кому” и “От кого” и т. д.). Скорость индексации – в норме.

Наконец-то мы сможем проверить, действительно ли MailSniffer ищет письма не только по их содержимому, но и по файлам-аттачам? Ни один из локальных поисковиков, которые мы видели до сих пор, не позволял это делать! Поиск обычно ведется отдельно – нашли вложение, а к какому письму оно было прицеплено, не известно. И наоборот.

Пробуем найти письмо, содержащее во вложении архивированный файл RTF со словами “хранилище для сыра”, которое мы отсылали корреспонденту STN где-то в декабре прошлого года. Вбиваем эти слова в строку запроса, выбираем фразовый тип поиска с соблюдением порядка слов и задаем “Искать в прикрепленных файлах”. Мгновение – и вот это сообщение! И даже “суживать” запрос не пришлось, задавая временные рамки, тип писем и выполняя поиск в найденном по полю “Кому”. Все, как было в оригинале: текст сообщения и прицепка к нему. За этот поиск MailSniffer пять баллов.

Мы очень обрадовались, обнаружив в MailSniffer “Поиск похожих”. (Об этом уникальнейшем поиске документов, похожих на найденный, два года назад мы делали огромную статью.) Смысл его здесь такой: берем какое-то сообщение и по всему телу письма или его отдельному фрагменту ищем похожие сообщения. Похожесть выводится в процентах, 100% – это полные дубли. Рассылали вы, к примеру, какой-то текст на много адресов – киньте этот текст в поле поискового запроса, все эти адреса и найдутся. Бросьте туда же абзац из какой-то переписки – и вся история перед глазами, даже если адресат писал вам с разных ящиков. А вот историю переписки с конкретным человеком, не склонным к миграции, можно легко отследить с помощью функции “История переписки”. Отображаются в этом случае только письма, отправленные на указанный адрес и полученные с него.

Поисковые возможности MailSniffer довольно обширны. Что еще мы сюда добавили бы, так это функцию объединения различных поисковых запросов по логике и/или. Чтобы не сужать поиск серией последовательных запросов, например сначала по вложению, потом по отправителю, а сразу формировать общий сложный запрос. Неплохо бы и сохранять эти цепочки запросов. Впрочем, история запросов в MailSniffer ведется.

У корпоративной версии MailSniffer есть и другие интересные возможности. Это и рассылка оповещений по “тревожным” словам, и система разграничения доступа пользователей к электронным письмам согласно иерархической схеме, и удаленное управление почтовыми индексами, и даже возможность объединить почтовые сообщения нескольких территориально разделенных офисов в единое информационное пространство.

Мы же решили свою проблему выполнения качественного полнотекстового поиска по содержимому писем и прикрепленным к ним файлам. Наверное, с безмерно растущим количеством писем в наших почтовых базах никому не нужно доказывать актуальность этой проблемы.

Кроме того, с MailSniffer у нас появился своеобразный бэкап сразу всех этих почтовых баз. Если кто-то случайно удалит из почтовой программы ценное сообщение – так ничего теперь не пропадет!

Наконец, мы приобрели замечательное средство контроля над перепиской домашних. Не хорошо читать чужие письма, но вот знать о том, с кем переписываются дети, нужно обязательно. Чтобы не попали они в какие-то секты или клубы самоубийц. И жена не уйдет к другому, если вы с помощью MailSniffer заметите ее любовь по переписке. Главное – вовремя понять, чего ей, жене, не хватает, и успеть среагировать.