Проверка интернет-заголовков сообщения
Спамеры пишут специальные программы для генерации спамерских сообщений и их мгновенного распространения. При этом они допускают ошибки в оформлении заголовков, в результате спам далеко не всегда соответствуют требованиям почтового стандарта RFC, описывающего формат заголовков. По этим ошибкам можно вычислить спамерское сообщение.
· Плюсы: Процесс распознавания и фильтрации спама прозрачный, регламентированный стандартами и достаточно надежный.
· Минусы: Спамеры быстро учатся, и ошибок в заголовках спама становится все меньше. Использование только этой технологии позволит задержать не более трети всего спама.
Контентная фильтрация
Также одна из старых, проверенных технологий. Спамерское сообщение проверяется на наличие специфических для спама слов, фрагментов текста, картинок и других характерных спамерских черт. Контентная фильтрация начиналась с анализа темы сообщения и тех его частей, которые содержали текст (plain text, HTML), но сейчас спам-фильтры проверяют все части, включая графические вложения.
В результате анализа может быть построена текстовая сигнатура или произведен подсчет «спамерского веса» сообщения.
· Плюсы: Гибкость, возможность быстрой «тонкой» настройки. Системы, работающие на такой технологии, легко подстраиваются под новые виды спама и редко ошибаются с разграничением спама и нормальной почты.
· Минусы: Обычно требуются обновления. Настройкой фильтра занимаются специально обученные люди, иногда — целые антиспам-лаборатории. Такая поддержка дорого стоит, что сказывается на стоимости спам-фильтра. Спамеры изобретают специальные трюки для обхода этой технологии: вносят в спам случайный «шум», затрудняющий поиск спамерских характеристик сообщения и их оценку. Например, используют в словах небуквенные символы (вот так, например, может выглядеть при использования этого приема слово viagra: vi_a_gra или vi@gr@), генерируют вариативный цветной фон в изображениях и т.п.
Контентная фильтрация: байес
Статистическией байесовские алгоритмы также предназначены для анализа контента. Байесовские фильтры не нуждаются в постоянной настройке. Все, что им нужно — это предварительное обучение. После этого фильтр подстраивается под тематики писем, типичные для данного конкретного пользователя. Тем самым, если пользователь работает в системе образования и проводит тренинги, то лично у него сообщения данной тематики не будут распознаваться как спам. У тех, кому предложения посетить тренинг не нужны, статистический фильтр отнесет такие сообщения к спаму.
· Плюсы: Индивидуальная настройка.
· Минусы: Лучше всего работает на индивидуальном потоке почты. Настроить «байес» на корпоративном сервере с разнородной почтой — сложная и неблагодарная задача. Главное, что конечный результат будет намного хуже, чем для индивидуальных ящиков. Если пользователь ленится и не обучает фильтр, то технология не будет эффективной. Спамеры специально работают над обходом байесовских фильтров, и это у них получается.
Серые списки (Greylisting)
Временный отказ в приеме сообщения. Сервер, который должен принять письмо, может сообщить о возникновении временной ошибки. Это означает, что в данный момент сервер не может принять письмо, например, из-за слишком большой нагрузки, недостатка места на диске и тому подобного, но в будущем ситуация может измениться, и письмо будет принято.
Если это была попытка послать спам, то этим, скорее всего, всё и закончится. Если же в дальнейшем будет сделана ещё одна попытка послать то же самое письмо (как и должно быть по протоколу SMTP), сервер, использующий серые списки, обнаружит в своей базе данных соответствующую запись и примет письмо. Для увеличения надёжности метода накладывается дополнительное ограничение: после первой попытки должно пройти не менее определённого промежутка времени. Все последующие письма от того же отправителя тому же получателю, посланные через тот же сервер, будут приняты без задержки, потому что в базе данных уже есть нужная запись.
· Плюсы: Легко реализовать, почти не использует ресурсов сервера, высокая надежность (около 95%), низкая вероятность ложных срабатываний.
· Минусы: Задержка в доставке почты (по протоколу SMTP 30 минут). Для многих пользователей такое решение неприемлемо. Также спамеры могут легко реализовать повторное отправление спам-сообщения. В таком случае данный метод абсолютно бесполезен.
литература
http://ru.wikipedia.org/
http://www.securelist.com/