www.

Dosud jste si neověřili žádnou doménu, učiňte tak!

Technická podpora - Antispam na mailserveru

« Seznam témat

Vedle antiviru je na našem mailserveru instalován také výkonný antispam software. V současné době je reprezentován SpamAssassinem s aktivovaným samoučícím se Bayes filtrem.

Jak se vyhodnocuje e-mail?

Každý e-mail, který má být doručen na doménu hostovanou na našich serverech je automaticky hnán skrze systém kontroly, který v první řadě vyhodnotí, zda v něm není obsažen vir. Pokud je výsledek kontroly takový, že se z pohledu antiviru zdá v pořádku, je dále předán antispamu, který po aplikaci několika desítek až stovek testů s jistou pravděpodobností určí, zda se jedná o tzv. spam (nevyžádaná pošta) či ham (opak spamu). Cílem je pak maximalizovat počet spamů, které jsou jako spamy označeny. Druhým cílem s ještě větší prioritou je naopak minimalizace případů, kdy je vyžádaný e-mail (ham) označen jako spam.

Přednastavená pravidla

První typ testů, jakým je každý příchozí e-mail podroben, jsou předem jasně deklarovaná pravidla, porovnávající možné hodnoty se skutečností. Kontroluje tak například četnost typických spamových slov, zda je e-mail v plain/text formátu či obohacen o HTML, zda obsahuje předmět či ne nebo jinak ne/vyhovuje všem RFC pravidlům pro elektronickou komunikaci. Dalším typickým testem je porovnání IP adresy SMTP serveru, ze kterého pošta došla, s IP adresami uvedenými ve všemožných veřejných "open relay" či "spam mailservers" databázích. Každé pravidlo přiřazuje e-mailu kladné či záporné spamové body. Jejich součet spolu s body z Bayes filtru pak určuje konečné spamové ohodnocení konkrétního zkoumaného e-mailu.

Učící se Bayes filtr

Druhým typem testů, který je na zprávy aplikován je tzv. Bayes filtr. Jedná se systém s jistou omezenou mírou inteligence, který se dokáže z nových zpráv učit a zdokonalovat tak své schopnosti. Bayes fitru je nutné předkládat k učení nové zprávy, které se předtím ručně roztřídí na spamy a hamy. Pokud má tento systém k dispozici dostatečný vzorek (>5000ks) obou typů zpráv, je schopný s jistou minimální chybovostí odhadovat, zda se jedná o spam či ham. Nepřesnost se jeví vyšší v oblasti 50-ti procentní míry odhadu. Blíží-li se odhad v konkrétním případě 0 či 100 procentům, lze s téměř jistotou konstatovat, že lze Bayes filtru věřit v jeho úsudku. Výsledkem jeho určení typu zpráv je určitá pravděpodobnost, s jakou je uvedený e-mail spam. Každá pravděpodobnost odpovídá opět několika předem definovaným spamovým bodům (kladným či záporným), které se přičítají k bodům za přednastavená pravidla. Společně pak tvoří kompletní bodové ohodnocení e-mailu z hlediska pravděpodobnosti, zda spam je či ne.

OCR - kontrola obrázků

V roce 2009 se začal ve zvýšené míře projevovat nový typ spamu - obrázkový, tedy takový, který nebsahuje žádný regulérní text, jen obrázek, na kterém je spamové sdělení vykresleno. V reakci na tuto situaci jsme přistoupili k instalaci nového OCR modulu, který takový druh zpráv umí překontrolovat. Dělá to tak, že si obrázek elektronicky přečte a vyhodnotí z něj slova oproti aktuálně údržovanému lokálnímu spamlistu. Pokud v takové zprávě/obrázku najde předem vyjmenovaná slova či slovní spojení, naloží s takovým e-mailem stejně jako s jakýmkoliv jiným spamem. To výrazně zvyšuje účinnost celkového antispam řešení.

Whitelist a blacklist

Přes veškerou snahu o systematičnost celého procesu a o maximalizaci účinnosti s vyloučením negativních jevů v maximální možné míře se ne úplně vždy daří e-mail označit správně. V individuálních případech pak lze některé špatně určované odesílatele zařazovat na whitelist nebo blacklist. Zařazení na blacklist znamená, že i e-mail, který se skrze standardní pravidla označí jako ham, navzdory faktu, že je ve skutečnosti spamem, se po aplikaci blacklistu označí spravně - tedy jako spam. Naopak zařazení na whitelist znamená, že spatně označovaný ham bude přístě již vždy jako ham označen.

Prahy citlivosti - akce po jejich dosažení

Po dosažení jistého bodového ohodnocení je pak odpovídajícím způsobem s kontrolovaným e-mailem naloženo. Pokud má e-mail méně jak 3.8 spamového bodu, je považován za ham a je tedy doručen bez jakékoliv změny adresátovi.

Prvním restriktivním pravidlem, které je aplikováno po dosažení bodového ohodnocení v rozmezí 3.8 - 6.2 bodu je přepsání předmětu e-mailu. Je Vám doručena zpráva, která na začátku předmětu obsahuje řetězec *****SPAM***** a obsahuje sdělení o tom, že s velkou pravděpodobností je původní e-mail spamem. Samotný kontrolovaný e-mail je přiložen v příloze zprávy. Sami tak můžete rozhodnout, zda je spam opravdu spamem a vůbec překontrolovat obsah původního sdělení.

Pokud je bodové ohodnocení ve výši 6.3 - 10.3 je mail přemístěn do speciální společné garanční složky. Mail tedy není vůbec doručen. Existuje totiž natolik velké podezření, že je spamem, že si to lze dovolit. Je to lepší řešení, než-li obtěžovat klienty se zpracováním i tohoto druhu zpráv. V případě, že by existovalo podezření, že nebyl doručen některý e-mail, který adresát očekával, lze takový e-mail manuálně najít a doručit zpětně.

V případě, že je bodů více jak 10.4, je natolik velká pravděpodobnost, že je kontrolovaný e-mail skutečně spamem, že je bez milosti a defitivně vymazán a tak nikdy nedoručen.

Související odkazy