Centralizovaná likvidace spamu ve firemní síti

Jakub Truschka, 08. leden 2009 06:10 0 komentářů
Rubriky: Security, Internet

StopSpam
Dlouhá léta probíhá na internetu tichá, ale urputná bitva mezi dvěma tábory. Na jedné straně stojí ti, kteří se snaží rozesílat své reklamní nabídky co nejširšímu okruhu adresátů, na druhé straně ti, kteří chtějí zastavit záplavu této nevyžádané elektronické korespondence. Obě strany soustavně pracují na zdokonalování svých metod, a přestože se zdá, že tvůrci antispamových řešení začínají mít poslední dobou navrch, bitva rozhodně není u konce.

Jakub-truschka
Jakub Truschka

Jak nepustit spam do vnitřní sítě

Bránit se přívalu spamu v prostředí podnikové sítě se dá v zásadě dvojím způsobem. Prvním řešením je vybavit každou počítačovou stanici bezpečnostním softwarem s antispamovou ochranou. Druhé řešení spočívá v zastavení spamu na vstupním bodu sítě, v rámci bezpečnostního proxy serveru, kontrolujícího mimo jiné veškerý poštovní provoz mezi firmou a světem. Řešení tohoto druhu nabízí vícero výrobců, jedním z těchto produktů je například TrustPort Net Gateway.

Existují dva hlavní důvody, proč je nutné spam likvidovat. Za prvé spam zcela bez užitku zabírá přenosovou kapacitu internetové přípojky a zahlcuje poštovní schránky uživatelů. Za druhé bývá součástí spamu příloha, která může být zavirovaná. Oba zmíněné důvody hovoří pro to, aby došlo k likvidaci spamu už na vstupu do sítě. Vnitřní síť a poštovní schránky pak spamem nejsou vůbec zatěžovány a riziko neúmyslného otevření zavirované přílohy prudce klesá.

Detekce známých zdrojů spamu

Účinný bezpečnostní proxy server, stojící mezi vlastním poštovním serverem a internetem, bude poštu pravděpodobně zpracovávat v několika stupních. Už v prvním stupni lze zjistit, jestli pošta nepřichází z některého známého zdroje spamu. Kontrola záznamu na DNS serveru ukáže, zda uvedená mailová adresa odesílatele odpovídá IP adrese, ze které byla zpráva odeslána. Místní blacklist umožňuje správci sítě blokovat poštu od určitých odesilatelů nebo pro určité příjemce, místní whitelist naopak slouží okamžitému doručení pošty od vybraných odesilatelů bez další kontroly. Kontrola DNS blacklistu odhalí všeobecně známé odesílatele spamu.

Velmi účinnou obranou proti spamu představuje jednoduchá metoda zvaná greylisting. U každé příchozí zprávy si bezpečnostní proxy server přečte uvedeného odesilatele a příjemce plus IP adresu počítače, odkud zpráva přišla, a určí, jestli už v minulosti byla přijata zpráva s totožnou trojicí těchto údajů. Pokud ano, zprávu pustí dál, pokud ne, odmítne zprávu přijmout. Z reakce odesílajícího serveru na chybové hlášení o nedoručení pak lze se značnou jistotou odvodit, zda se jedná o běžný poštovní server nebo spamovací robot.

Jak chránit legitimní poštu



Všechny zmíněné metody umožňují jednoduše rozpoznat a odstranit podstatnou část příchozího spamu. Veškerou poštu, která projde vstupní kontrolou, by měl ve druhém stupni bezpečnostní proxy server ukládat do zálohy. Čas od času může dojít k mylnému vyřazení legitimní zprávy coby spamu a záloha umožňuje takovou zprávu později dohledat a obnovit. Samozřejmostí by měla být možnost nastavit pravidla, na jejichž základě se bude pošta zálohovat. Aby zálohovaná pošta nezaplnila kapacitu disku, musí bezpečnostní proxy server řešit otázku automatizovaného mazání starších položek.

Základní antispamová kontrola, jak bylo zmíněno, probíhá už v prvním stupni. Ta se však zabývá pouze hlavičkami zprávy. Podívejme se teď, jaké metody může bezpečnostní proxy server použít ve třetím stupni, tedy při antispamovém testu obsahu zpráv. První metodou je porovnání s blacklistem, definujícím konkrétní zakázaná slova. Jakmile je takové slovo nalezeno, zpráva je obratem vyřazena jako spam. Druhá metoda spočívá v uživatelských pravidlech, která při výskytu určitých slov nebo výrazů přidělují zprávě dané bodové ohodnocení. Jestliže zpráva překročí určitou hranici bodů, bude označena jako spam.

Zbývající spam odstraní heuristika

Pokud projde pošta všemi dosud zmíněnými testy, měla by následovat heuristická bayesiánská analýza. Velmi zjednodušeně řečeno to obnáší zjištění poměru žádoucích a nežádoucích výrazů, a bodové ohodnocení zprávy. Při překročení daného počtu bodů spadne zpráva do spamu, podobně jako v případě uživatelských pravidel. Nejsložitějším antispamovým sítem je kontrola vložených obrázků, která může zahrnovat celou řadu detekčních metod.

Součástí antispamové kontroly by určitě měl být také antiphishing, tedy ochrana proti podvodným zprávám, které mají za cíl vylákat z uživatelů citlivé osobní údaje. Tato ochrana je založena na rozpoznání obvyklé struktury phishingových zpráv. Typickou vlastností podvodné zprávy jsou kupříkladu falešné odkazy, které směřují na jinou webovou adresu, než kterou uživatel vidí v textu.

Ve čtvrtém stupni pak bezpečnostní proxy server předává poštu v souladu s definovanými pravidly poštovnímu serveru, který ji pak odesílá do světa nebo do firemní sítě. Zajímavý bezpečnostní doplněk představuje tzv. anti-tracker, ořezávající z hlaviček cestu, kterou zpráva prošla, a snižující tak riziko zneužití těchto údajů při pokusech o kompromitaci vnitřní sítě firmy.

Jak již bylo řečeno, centralizované řešení antispamu nabízí řada výrobců. TrustPort Net Gateway je produktem, který zahrnuje všechny stupně kontroly a všechny antispamové metody zmíněné v tomto článku. Kromě toho ovšem poskytuje i ochranu webového provozu a vzdáleného přístupu do podnikové sítě.

Autor článku působí jako marketingový specialista společnosti TrustPort. Je absolventem Fakulty sociálních věd Univerzity Karlovy v Praze. Má zkušenosti z tištěných i online médií, v oblasti informačních technologií působil jako redaktor časopisu Computer Business a zpravodaje Channel News. V TrustPortu se zabývá především tvorbou textů pro marketingové kampaně a prezentací společnosti na odborných či vzdělávacích akcích, podílí se na komunikaci s odborným i všeobecným tiskem.


Komentáře

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

Procesor Exynos 9 Series má zvýšit výkon mobilních zařízení

Pavel Houser , 27. únor 2017 14:43

Procesor je vyrobený 10nm FinFET technologií.

...

Více 0 komentářů

Navrhované daňové změny mohou způsobit odliv IT specialistů

ITBiz.cz , 27. únor 2017 12:00

Návrh ČSSD na zavedení daňové progrese by mohl výrazným způsobem ohrozit oblast podnikových služeb, ...

Více 6 komentářů

V USA zemřel hráč PC her během 24hodinového herního maratonu

ČTK , 27. únor 2017 10:00

Ve Spojených státech zemřel hráč počítačových her během 24hodinového herního maratonu, jehož cílem b...

Více 0 komentářů

Starší zprávičky

Samsung představil nové Gear VR s ovladačem

ITBiz.cz , 26. únor 2017 20:23

Samsung představil zcela nové brýle Gear VR s ovladačem, kterými rozšiřuje vlastní portfolio zařízen...

Více 0 komentářů

3 nové smartphony Nokia s Androidem

ITBiz.cz , 26. únor 2017 20:12

Znovuzrození se dočkala Nokia 3310....

Více 1 komentářů

Acer uvádí smartphony Liquid Z6E

ITBiz.cz , 26. únor 2017 19:38

Technologie BlueLightShield snižuje míru vystavení modrému světlu....

Více 0 komentářů

V Barceloně začíná Mobile World Congress 2017

ITBiz.cz , 26. únor 2017 16:14

LG G6 je jednou z prvním novinek představených v Barceloně. Smarpthone pro sledování videa a fotogra...

Více 0 komentářů