Очередной спорный миф Алексея Лукацкого: Миф №39 “Спам легко обнаружить”.

Если коротко, то Алексей пишет, что по-настоящему эффективных решений для борьбы со спамом нет:

…пока приходится констатировать, что спамеры более изобретательны, чем их оппоненты, которые следуют за злоумышленниками, а не предвосхищают их действия. Спам исчез бы сам, если бы мы, рядовые пользователи, перестали бы покупать рекламируемые товары, а законодательная и судебная система поставила бы надежный заслон на пути спамеров. Но пока этого не происходит.

К сожалению, в статье детально рассматривается только одна технология борьбы со спамом - контентный анализ. Для материала датированного маем 2009 года это, пожалуй, не совсем правильно. Уже давно придуманы и эффективно работают репутационные антиспам фильтры.

В том же IronPort эта технология работает, причём очень эффективно:

Cisco IronPort Reputation Filters provide an outer layer of defense using data from the Cisco SenderBase® Network to perform a real-time email traffic threat assessment and identify suspicious email senders.

Нашёл даже отзыв довольного пользователя: здесь

  • Удалось ли уменьшить нагрузку на почтовую инфраструктуру благодаря использованию репутационных фильтров? На сколько?
  • Да, удалось и значительно, где-то на 80–90%. И это только при использовании технологии репутационных фильтров.

Суть метода проста как всё гениальное. Спам, как известно, характеризуется вспышками - т.е. кратковременными массовыми рассылками одинаковых писем. Специализированные датацентры, разбросанные по всему миру в узлах агрегирования почтового трафика, анализируют проходящие через них электронные письма и эффективно обнаруживают такие вспышки. Образцы обнаруженных спамовых писем помещаются в единую центральную базу.

При поступлении письма в организацию с него делается своеобразный слепок (хэш, если хотите) размером в несколько килобайт, который отсылается в ближайший датацентр для проверки. В ответ приходит ответ вида спам/не спам, после чего оставшиеся письма можно проверить тем же контентным фильтром, причём качественно и основательно, т.к. большая часть спама уже отфильтрована и есть запас по времени на проверку остальной почты.

Вероятность ложного срабатывания при применении данной технологии практически равна нулю, т.к. в датацентрах регистрируются только массовые рассылки однотипных писем. Одно единственное уникальное письмо, которое Вам написал Ваш коллега, перепутать со спам-рассылкой крайне сложно.

Другой известный продукт, в котором реализован такой функционал - eSafe. Имея опыт практической работы с этим решением могу сказать, что его эффективность даже выше заявленных 90%: через несколько месяцев реально забываешь как выглядит спам.

Оба упомянутых продукта, насколько мне известно, лицензируют данную технологию у компании Commtouch.

--- === @zlonov === ---