Spamszűrés a szerveren

Írta: Mézes Rudolf
2006-10-24 23:30

Bayesi szűrő

Az elektronikus levelezés rákfenéje a spam, a kéretlen levél. Aki így vagy úgy nem védekezik a spam ellen, azt óhatatlanul ellepik a kihagyhatatlan ajánlatok, soha vissza nem térő meggazdagodási lehetőségek, elektronikus szóróanyagok, de rosszabb esetben még a bankszámlája elérését is kicsalhatják tőle. Szerencsére tengernyi spamszűrő van a piacon, melyek – több-kevesebb sikerrel – megóvnak minket az ilyen jellegű zaklatástól. Alapvetően két helyen védekezhetünk: a saját gépünkön vagy már magán a kiszolgálón. Az előbbi módszer az otthoni felhasználók számára praktikus, de aki saját levelezőszerverrel rendelkezik, jobban teszi, ha előretolja védelmi állásait, és már csírájában – a szerveren – elfojtja a bajt. Ezzel vállalati szinten központosítható és egyszerűsíthető a védekezés.

A GFI MailEssentials szoftvere a szerverre települő spamszűrők között az egyik piacvezető, világszerte több mint 30 000 rendszert véd. A sikeres szoftver már a tizenkettedik verziónál tart, tökéletesen együttműködik a Microsoft Exchange (200/2003/4/5/5.5) szerverekkel és a Lotus Notesszal (a 4.5-ös verziótól fölfelé), de bármilyen más SMTP levelezőszerverrel is.

A MailEssentials legerősebb fegyvere a kéretlen levelek ellen a Bayes-tételen alapuló tartalomelemzést használó szűrő. A módszer lényege, hogy a szoftver tartalmi elemzést készít a levelekről (nem csak a címükről), és a bennük előforduló szavak gyakorisága alapján szűri ki a spamet. A hátterében két adatbázis áll, amelyeket saját magunk is létrehozhatunk, de a MailEssentials automatikusan is felépíti őket. Az egyikbe pakolhatjuk a valódi leveleket (ham) a másikba a spameket. A rendszer ezután elkészíti a két levéltömeg profilját, majd ezzel veti össze a beérkező leveleket. Ha az e-mail tartalmi karaktere hasonlít a spamekéhez, kiszűri.

Egyes spamszűrők (például az Exchange Serverbe épített) használnak bayesi szűrést, de azokban általában fix ham-adatbázis van, amely nem szabható a felhasználókra. A MailEssentials ham-adatbázisát saját kimenő és legitim beérkező leveleinkből építhetjük fel, sőt azt is beállíthatjuk, hogy az összes kimenő levelet automatikusan vegye lajstromba, ezzel napról napra hatékonyabb lesz a védelem. A spamadatbázis nemcsak a kiszűrt spamekkel, hanem a GFI oldaláról egy folyamatosan frissülő listával is bővíthető, így a legújabb kéretlen levelek ellen is hatékonyan lesz képes védekezni a rendszer.

A bayesi szűréshez szükséges adatbázisok akkor lesznek hatékonyak, ha legalább 3000 ham és 3000 spam kerül a listákra, vagy a rendszert legalább két héten át tanítgatjuk. Ennyi idő alatt a kisebb vállalatoknál is előáll a szükséges levélmennyiség.

További védelmi módszerek

Bolond, aki egyetlen módszerre alapozza védelmét. A MailEssentials a bayesi szűrő mellett seregnyi más biztonsági technikát is alkalmaz. A 12-es verzió újdonsága a phishing (adathalászat) elleni védelem. A magukat bankok vagy más intézmények által küldött levélnek álcázó üzenetek rendszerfrissítésre vagy valami más okra hivatkozva arra kérik a felhasználót, hogy adja meg titkos azonosítóját. Az így kicsalt adatokkal aztán a csalók bármikor visszaélhetnek. A MailEssentials a levelekben megbújó URI bejegyzéseket hasonlítja adatbázisához, amelyet a GFI folyamatosan frissít.

A Sender Policy Framework (SPF) védelem a 11-es verzióban debütált. Segítségével azt ellenőrizhetjük, hogy a beérkezett levél valóban a feladó IP-címéről indult-e útjára, vagy valaki meghamisította a kézbesítési útvonalat. A vizsgálathoz szükséges, hogy a cégek, domain tulajdonosok, az általuk szolgáltatott DNS adatok között, megadják a domain leveleit továbbító SMPT szerverek IP-címeit.

Klasszikus spamszűrési módszer a megengedő lista (whitelist), amellyel biztosítható, hogy a legitim levelek véletlenül se kerüljenek a spamek közé. Természetesen a fehérlistának létezik negatív párja is, a feketelista. Feketelistájuk van azoknak a kiszolgálóknak is (ez az ún. DNSBL), melyeket spamek forrásaként azonosítottak.

A program véd az ún. Directory Harvesting – azaz az egy adott doménen létező e-mail címek automatizált feltérképezése – ellen is, mégpedig úgy, hogy kiszűri azokat a leveleket, melyek címzettjei között nem létező e-mail címek szerepelnek. A spamek többségének az a célja, hogy a címzetteket valamilyen weboldalra irányítsák. Szerencsére ezeknek a weboldalaknak a címeit (URL-jeit) és az egyéb URI-ket is szorgalmasan gyűjtik, a MailEssential pedig ezt a védelmi módszert is ismeri.

A levelek fejlécének, címének és tartalmának kulcsszóalapú vizsgálata az egyik legrégebbi spamszűrő technika, a GFI szoftveréből ez sem hiányzik.

Ismerkedés

A GFI MailEssentials 12-es verzióját MDeamon v9.0.7 levelezőszerverrel próbáltuk ki. A telepítéssel nem volt komolyabb gond, ugyanis a szoftverhez nagyon alapos használati útmutató jár – igaz, angol nyelven –, amely lépésről lépésre leírja a folyamatot. Lehetőség van arra is, hogy a spamszűrőt külön gépre, ne a levelezőszerverre telepítsük – ilyenkor a védelem nem rabolja a szerver erőforrásait. Mivel nem Exchange 5.5 szervert használtunk, szabálykezelőt nem kellett konfigurálnunk. Az Exchange magasabb verzióinál sincs szükség szabálykezelőre, ugyanis azoknál a MailEssentials már automatikusan osztályozza a leveleket.

A MailEssentials konfigurációs felülete egyszerű, és könnyen átlátható. A spamszűrő funkciók mellett olyan e-mail kezelő eszközöket is találunk itt, mint a levelezőlista kezelése, disclaimer készítése, levelezés archiválása és monitorozása vagy automatikus válasz.

Elsősorban a spamszűrési technikákra koncentráltunk. Az egyes védekezési módszereknek 2-5 füles dialógusablakai vannak. Az elsők az adott funkció beállítására és finomhangolására szolgálnak, az utolsó kettő mindig ugyanaz, a spam beazonosításakor végrehajtandó feladat és a naplózás állítható rajtuk. A spam sorsa lehet egyszerű és radikális törlés, vagy Exchange szerverrel közvetlenül a postafiók egy könyvtárába is terelhetjük a levelet, de elküldhetjük egy kimondottan spamtárolásra szánt e-mail címre, megadott mappába is, vagy megjelölhetjük, majd a szabálykezelővel a megfelelő helyre irányíthatjuk vagy törölhetjük. Szabályokat alkalmazva postafiókonként egyedi beállításokat hozhatunk létre.

Komoly dilemma, hogy a felfedezett spammel mit kezdjünk. Mi történik akkor, ha véletlenül egy fontos levél akad fent a védelmen? Szinte biztos, hogy a feketelistákon, a phishing elleni védelmen és a Directory Harvesting teszten megbukó levelek kéretlenek, azokat érdemes automatikusan töröltetni, esetleg a likvidálás tényét érdemes itt is naplózni. Az is nagyon valószínű, hogy a fehérlistákról nem jön szemét. Érdemes az Auto Whitelist funkciót is bekapcsolni, amely automatikusan felveszi a listára azokat az e-mail címeket, melyekre levelet küldünk.

Bár a rendszergazdák egyedi regisztrálását igényli, de nagyon valószínű, hogy a Sender Policy Framework vizsgálaton fennakadó küldemények is spamek. Mivel nem minden szerver található meg a listán, ezért a teszt „alapossága” három fokozatra állítható, de akár ki is kapcsolható. Low állásban csak azokat a leveleket szűri, amelyek biztosan hamis címről érkeztek. A szoftver a Medium állást ajánlja, amely már a gyanús összetételű címeket is elcsípi, míg a High fokozat azokat a leveleket is eltávolítja, amelyek küldőiről nincs információja. A tiltási szintek mellett kivételeket is beállíthatunk.

A bayesi szűrőt a szűz telepítésen bekapcsolva figyelmeztető üzenetet kaptunk: egyelőre még nem elég gazdag a ham-adatbázisunk a hatékony működéshez. Ha többnyire angol leveleket küldünk és kapunk, akkor 2500, ha idegen nyelvűeket, akkor legalább 3000 ham „betanítása” után lesz használható a bayesi védelem. A szükséges mennyiséget kétféleképpen gyűjthetjük össze. Az egyszerűbb, de lassabb módszer a kimenő levelek automatikus csatolása a ham-adatbázishoz. Az összetettebb, de gyorsabb metódus csak Exchange szerveren keresztül működik: itt egy varázsló segítségével betölthetjük a postafiókokban tárolt elküldött leveleket a ham-adatbázisba.

A bayesi szűrő spamlistáját frissíthetjük a GFI szerveréről is a többi védőhálón fennakadt levelekkel. Megfelelően beállított Exchange szerverrel maguk a felhasználók is bővíthetik a kéretlen és a legitim levelek listáját, de a fekete- és fehérlistát is.

Próba, értékelés

A sok védelmi modult egyszerű lista hangolja össze, melyen beállíthatjuk, hogy a leveleken milyen sorrendben akarjuk végrehajtani a szűrést. A gyári alapbeállítás a következő képen látható.

A sorrend a mi igényeinket is kielégítette. Hasznos, ha az első helyen a fontos és megbízható levelezőpartnerek automatikus átengedése van, hiszen így véletlenül sem kerülnek a leveleik a kukába. A további hét helyre is fehér- vagy feketelisták alapján osztályozó technikák kerültek, hiszen ezek szinte minden esetben biztosan betalálnak. Egyedül az SPF konfigurálásával kellett vigyázni, mert High állásban sok valóban nekünk címzett üzenetet is eldobott. A lista végére kerültek a kulcsszavakat figyelő módszerek. Érdekes, hogy alapbeállítás szerint a bayesi szűrő is hátul van, de hát éppen az a lényege, hogy a szívósabb spamekkel birkózzon meg, melyek az előtte lévő biztonsági vonalakon valami úton-módon átjutottak.

Exchange szerver hiányában háromhetes tanítási fázist hagytunk a bayesi szűrőnek, ezalatt a kimenő és legitim bejövő leveleinket dolgozta fel. Mivel főként magyar nyelven írt e-maileket küldtünk, és a fontosabb beérkező leveleink is magyarok voltak, a ham-lista magyar statisztikára épült. Szerencsére a spam túlnyomó többsége angol volt, segítségül még a GFI 25 MB-os adatbázisát is letöltöttük. Ugyan a bayesi szűrő még három hét után is jelezte, hogy az összegyűlt kétezer ham kevés a hatékony szűréshez, már önmagában is jól dolgozott. Olyan levelek fogtak csak ki rajta, melyekben a reklámszöveget egy kép tartalmazta, amelyet véletlenszerűen generált angol szöveg követett. A fekete- és fehérlistákkal, valamint a többi védelemmel kiegészítve már az összes spamet ki tudta szűrni. A napi 20-30 kéretlen levél között ugyan nem volt phishinget alkalmazó, de összekovácsolt címeket, feketelistás szervereket és gyanús URI-ket találtunk bőségesen, sőt egy-két magyar nyelvű spam is becsúszott.

A gyanús leveleket egy külön erre a célra létrehozott e-mail címre küldtük tovább, így könnyen és gyorsan megszabadultunk az egyformáktól, melyeket több postafiókunk is megkapott, de a tévesen spamként azonosított, ám valós levelek sem vesztek el végérvényesen. Bizony az ilyen postafiókra szükség is volt, mert egy-két legitim levelünk is a spam közé keveredett. Vállalati szinten erősen ajánlott a hasonló óvintézkedés, még ha személyes felügyeletet is igényel.

Felhasználói szemszögből annyit vettünk észre a GFI MailEssentialst használva, hogy a szokásos napi 20-30 spam helyett 2-3 naponta kaptunk egy-egy kéretlen levelet, és eltűntek a postafiókból azok a makacs hírlevelek is, melyekről többszöri próbálkozás ellenére sem sikerült leiratkoznunk. Az a felhasználó, akit jól konfigurált Exchange szerver segít a levelezésben, e-mail kliensén keresztül a fekete- és fehérlistát, valamint a bayesi szűrőt is bővítheti, még jobban testre szabhatja a védelmet. A szűrőt azzal is tanítjuk, ha a véletlenül átcsúszott kéretlen levelet áthelyezzük a spamek közé, és legvégső szintnek egy kulcsszószűrőt is beiktathatunk a bayesi szűrőn makacsul átsurranó levelek számára.

A GFI MailEssentials egyszerűen és gyorsan konfigurálható, így telepítése és beállítása nem terhelte le a rendszergazdát. Bár a kéretlen levelek kezelése igényel némi felügyeletet, biztosan jobban járunk egy szerveroldali megoldással, mint ha felhasználóinknak egyedül kellene megbirkóznia a spamek áradatával. A GFI MailEssentials 30 napig korlátlanul használható próbaverziója letölthető a gyártó honlapjáról.

rudi

A GFI MailEssentials szoftvert a GFI-termékek hazai disztribútora, a SVED Zrt. bocsátotta rendelkezésünkre.

Kapcsolódó cégek:
GFI

Azóta történt

Kaspersky Internet Security: az orosz bicska

Az internetes fenyegetések minden fajtája ellen véd a komplett biztonsági csomag. Bemutatjuk, hogyan.

Biztonság 2006-11-14 64
Az internet szemete

Kiirtani sosem lehet, de törekedni kell rá – mondja a spamről a szakértő, Krasznay Csaba. Interjú.

Biztonság 2007-09-21 19

Előzmények

Nyomkövető program a spamek ellen!

Az eMailTrackerPro segíthet a spamek elleni küzdelemben.

Szoftver 2006-10-19 1
Rendet vág a naplók között a GFI szoftvere

EventsManager néven fut az eseménynaplók menedzselésére szolgáló szoftver új változata.

Szoftver 2006-10-17 0
A spam vajon mi?

A löncshúsgyártó hiába próbálkozott a spam szó levédésével az Európai Unióban.

Közösségi média 2006-10-06 2
A hatékony spammelés mintapéldája

Vége az egyetlen célra alkalmazott spamküldésnek, a kéretlen e-mail a csalás számtalan formáját tartalmazhatja.

Biztonság 2006-09-25 6

Percről percre

Nyárköszöntő hardverszemle

ph A desktop gép, notebook és ház nyomába sokféle periféria szegődik, sőt, még egy VR headset is tiszteletét teszi heti rovatunkban.

Hauntii teszt

gp Ki gondolta volna, hogy az élet és halál közti rés ennyire élvezetes lehet? Igaz, szín nem sok fért ebbe a birodalomba, de a Hauntii hangulatával, harcaival és apró fejtörőivel is képes elvarázsolni.

Mobvoi TicWatch Pro 5 Enduro - kitartás kartárs?

ma WearOS 3.5, két kijelző, hosszú üzemidő, és zavaró apróságok a legújabb TicWatch modellben.

xDefiant teszt

gp A Ubisoft évek óta készül arra, hogy belépjen a gyors iramú hero shooterek piacára is: sok félbehagyott rivális és megannyi halasztás után megjelent végre a fura nevű xDefiant.

Fekete misztikum: DeepCool Mystique 360 vízhűtés

ph Fekete ventilátorokkal, visszafogott világítással, de LCD kijelzővel érkezik a gyártó új topmodellje.

Állásajánlatok

Eladó - Szerviztechnikus

Cég: Alpha Laptopszerviz Kft.

Város: Pécs

Részletek

Full Stack Developer Diákmunka

Cég: Ozeki Kft.

Város: Debrecen

Részletek

Aktív témák