Защита от спама и фишинга
Одной из главных задач Kaspersky Security является фильтрация спама в почтовом потоке, проходящем через сервер Microsoft Exchange. Модуль Анти-Спам фильтрует входящую почту до того, как сообщения попадут в почтовые ящики пользователей.
Анти-Спам проверяет следующие типы данных:
- Внутренний и внешний почтовый поток, следующий по протоколу SMTP с анонимной проверкой подлинности на сервере.
- Сообщения, попадающие на сервер через анонимные внешние подключения (edge-сервер).
- Исходящие сообщения электронной почты.
Анти-Спам не проверяет следующие типы данных:
- Внутренний почтовый поток организации.
- Внешний почтовый поток, поступающий на сервер через аутентифицируемые сессии. Проверку такого почтового потока можно включить вручную, при помощи параметра Проверять на спам сообщения, поступающие через доверительные соединения.
- Сообщения, поступающие от других серверов почтовой инфраструктуры Microsoft Exchange, поскольку соединения между серверами одной инфраструктуры Microsoft Exchange считаются доверительными. При этом если сообщения поступили в инфраструктуру через сервер, на котором отсутствует или неактивен Анти-Спам, они не будут проверены на спам и на всех последующих серверах данной инфраструктуры по пути следования сообщений. Включить проверку таких сообщений можно вручную, при помощи параметра Проверять на спам сообщения, поступающие через доверительные соединения.
Анти-Спам проверяет заголовок сообщения, содержимое сообщения, вложенные файлы, элементы оформления и другие атрибуты сообщения. При проверке Анти-Спам использует лингвистические и эвристические алгоритмы, основанные на сравнении проверяемого сообщения с сообщениями-образцами, а также дополнительные и облачные службы, такие как Kaspersky Security Network.
По результатам фильтрации Анти-Спам присваивает сообщениям один из следующих статусов:
- Спам. Сообщение имеет признаки, характерные для спама.
- Возможный спам. Сообщение имеет признаки, характерные для спама, но значение спам-рейтинга сообщения не позволяет классифицировать его как спам.
- Массовые рассылки. Сообщение относится к рассылке (как правило, новостного или рекламного характера), но не имеет признаков, достаточных, чтобы считать его спамом.
- Формальное оповещение. Техническое сообщение, например о доставке сообщения адресату.
- Чистое. Сообщение не имеет признаков, характерных для спама.
- Внесено в черный список. IP-адрес отправителя сообщения или адрес его электронной почты входит в черный список адресов.
При проверке внутреннего почтового потока, следующего по протоколу SMTP, и при включении проверки на спам сообщений, поступающих через доверительные соединения, Анти-Спам присваивает статус Чистое следующим сообщениям: сообщения рассылок, технические сообщения и сообщения, значение спам-рейтинга которых не позволяет классифицировать их как спам.
Вы можете выбирать действия, которые программа должна выполнять над сообщениями с определенным статусом. Для выбора доступны следующие действия:
- Пропускать. Сообщение будет доставлено адресату без изменений.
- Отклонять. Сервер-отправитель получит сообщение об ошибке при отправке сообщения (код ошибки 500), сообщение не будет доставлено адресату.
- Удалять. Сервер-отправитель сообщения получит уведомление об отправке сообщения (код 250), но сообщение не будет доставлено адресату.
- Добавлять SCL-оценку. Сообщениям будет даваться оценка вероятности нежелательной почты (SCL). Оценка SCL представляет собой число в диапазоне от 1 до 9. Высокая оценка SCL означает, что сообщение с большой вероятностью является спамом. SCL-оценка рассчитывается путем деления спам-рейтинга сообщения на 10. Если в результате вычисления получается цифра больше 9, то SCL-оценка принимается равной 9. SCL-оценка, присвоенная сообщениям, учитывается при дальнейшей обработке сообщений инфраструктурой Microsoft Exchange.
- Добавлять метку в тему сообщения. Сообщения, которым присвоены статусы Спам, Возможный спам, Массовые рассылки или Внесен в черный список, отмечаются в теме сообщения специальными метками
[!!SPAM], [!!Probable Spam], [!!Mass Mail] или [!!Blacklisted] соответственно. Вы можете изменять текст этих меток.
Программа поддерживает четыре уровня чувствительности проверки на спам:
- Максимальный. Этот уровень чувствительности следует использовать, если вы получаете спам очень часто. При выборе этого уровня чувствительности может возрасти частота распознавания полезной почты как спама.
- Высокий. При выборе этого уровня чувствительности сокращается (по сравнению с уровнем Максимальный) частота распознавания полезной почты как спама и увеличивается скорость проверки. Уровень чувствительности Высокий следует использовать, если вы часто получаете спам.
- Низкий. При выборе этого уровня чувствительности сокращается (по сравнению с уровнем Высокий) частота распознавания полезной почты как спама и увеличивается скорость проверки. Уровень чувствительности Низкий обеспечивает оптимальное сочетание скорости и качества проверки.
- Минимальный. Этот уровень чувствительности следует использовать, если вы редко получаете спам.
По умолчанию защита от спама осуществляется на уровне чувствительности Низкий. Вы можете повысить или понизить уровень чувствительности. В зависимости от уровня чувствительности и в соответствии со спам-рейтингом, полученным в результате проверки, сообщению может быть присвоен статус Спам или Возможный спам (см. таблицу ниже).
Пороговые значения спам-рейтинга на разных уровнях чувствительности проверки на спам
Уровень чувствительности
|
Возможный спам
|
Спам
|
Максимальный
|
60
|
75
|
Высокий
|
70
|
80
|
Низкий
|
80
|
90
|
Минимальный
|
90
|
100
|
В исключительных случаях при сбое в работе ядра Анти-Спама время проверки сообщений на спам может значительно увеличиваться. В таких случаях для предотвращения задержки сообщений Анти-Спам временно переходит в режим ограниченной проверки. В этом режиме некоторые сообщения могут быть пропущены без проверки на спам.
В начало