Пять программных средств борьбы со спамом для Microsoft Exchange Server
Нет необходимости утомлять читателя рассуждениями о том, какой вред наносит предприятиям спам. Администраторы сталкиваются с этой проблемой ежедневно. У домашних пользователей часто нет иного выхода, кроме как установить программы для борьбы со спамом на своих компьютерах, но серверный подход обеспечивает значительные преимущества, в частности сокращается время, необходимое для развертывания и управления системой, а также расходы на приобретение программы в расчете на одного пользователя.
Я протестировал пять серверных программных решений, которые предназначены специально для интеграции с Microsoft Exchange Server и построены с использованием доступных программистам возможностей Exchange. Это продукты: iHateSpam for Exchange, Server Edition компании Sunbelt Software; GFI Mail Essentials for ExchangeSMTP фирмы GFI Software; Policy Patrol Enterprise фирмы Red Earth Software; Xwall for Microsoft Exchange with XWALLFilter компании DataEnter и Power Tools for Exchange-Internet Edition компании Nemx Software. Каждый из продуктов был установлен на системе Windows Server 2003 и Exchange Server 2003.
Методы фильтрации и тестовые критерии
В каждом из протестированных программных пакетов реализовано несколько технологий фильтрации, и администратор может выбрать метод анализа электронной почты, чтобы определить, считать ли сообщение спамом. В некоторых из этих технологий для анализа содержимого сообщений используются данные, хранящиеся на сервере, в других атрибуты сообщения сравниваются с составленным независимыми организациями черным списком (списком известных авторов спама) и белым списком (списком известных источников полезных рассылок) на удаленном сервере. Метод сопоставления атрибутов сообщений с черными списками позволяет повысить уровень распознавания спама по сравнению с некоторыми серверными алгоритмами, но сетевые запросы к удаленным серверам связаны с временными задержками. Администраторы системы сообщений должны определить, насколько необходимы и эффективны алгоритмы на базе дистанционных запросов в конкретных условиях.
Семантическая фильтрация, при использовании которой определенные слова или фразы рассматриваются как индикаторы спама, — типовой метод, реализованный во всех продуктах данного обзора. В байесовых фильтрах используются математические алгоритмы для анализа результатов и вычисления вероятности того, что входящее почтовое сообщение относится к спаму. Практика показывает, что байесова фильтрация — один из самых эффективных методов борьбы со спамом, но, как и программы распознавания речи, фильтр необходимо «обучать» на примере спама и полезных сообщений, полученных сотрудниками организации. В типичной корпорации процесс обучения может занять неделю или больше.
Оценивая продукты, я тестировал разнообразные способы фильтрации, реализованные в каждом из них, а также гибкость параметров настройки каждого продукта. Учитывались функции подготовки отчетов, простота реализации, удобство применения и эффективность всех доступных административных инструментов.
iHateSpam for Exchange, Server Edition
Продукт iHateSpam for Exchange, Server Edition фирмы Sunbelt Software устанавливается на серверах Exchange 2000 и Exchange 2003. В программе используются семантический анализ, правила и черные списки для удаления и отсылки в карантин непрошеных почтовых посланий.
Согласно документации продукта, сразу после развертывания iHateSpam идентифицирует 90% спама. Уровень идентификации можно повысить, настраивая функции продукта. Например, администратор iHateSpam может определить глобальные фильтры, применяемые ко всем пользователям. С помощью глобальных фильтров можно составлять списки адресов электронной почты, доменов и имен, которые всегда разрешены или всегда фильтруются. Если сообщение удовлетворяет критерию, то его весовой спам-коэффициент увеличивается на величину, соответствующую правилу. От окончательного веса сообщения — после применения всех фильтров — зависит, будет оно удалено, отправлено в карантин или доставлено адресату. Наконец, можно назначить специальную политику — набор критериев фильтрации, применяемых к любому почтовому ящику, привязанному к данной политике. Изначально всем почтовым ящикам назначается стандартная политика iHateSpam.
iHateSpam также располагает рядом статистических отчетов, для которых необходимо установить факультативный модуль подготовки отчетов. Отчеты могут быть представлены в графическом или текстовом формате. В частности, можно получить отчеты о непрошеных сообщениях, поступивших в адрес каждого пользователя; 50 пользователях, получающих наибольший объем спама; количестве нежелательных сообщений, обнаруженных в заданный период времени; количестве нежелательных и полезных сообщений, обнаруженных каждым фильтром; сообщениях, обработанных механизмом фильтрации.
Административный интерфейс iHateSpam представляет собой оснастку консоли Microsoft Management Console (MMC), которая запускается на Exchange Server. Иерархический интерфейс, напоминающий Windows Explorer, обеспечивает быстрый доступ ко всем функциям, в том числе политикам, глобальным фильтрам и назначению пользовательских политик.
Для повышения системной производительности в iHateSpam используется «интеллектуальное кэширование» данных о конфигурации. Кэшированные определения спама, пользовательские политики, белые и черные списки автоматически обновляются через каждые шесть часов. Изменения можно применить немедленно, вручную перезагрузив кэш из административной консоли. Возможность реплицировать данные о конфигурации с одного сервера на другой будет полезна на сайтах, в которых почтовые ящики размещены на более чем одной системе Exchange Server.
Программа была без труда установлена на тестовом сервере, с привязкой к источнику событий (event sink) SMTP OnPostCategorize. Одновременно был установлен факультативный модуль подготовки отчетов.
Для тестирования я создал отдельную политику со специализированным правилом фильтрации, которое увеличивает вес на 200, когда фильтр идентифицирует сообщение со специфической необычной строкой символов. После перезагрузки кэша, iHateSpam отправлял в карантин сообщения, которые содержали эту строку и предназначались для пользователя с данным профилем.
Несмотря на отсутствие в программе некоторых передовых алгоритмов фильтрации, iHateSpam обеспечивает базовую фильтрацию спама на сервере при доступной цене.
GFI MailEssentials for Exchange/SMTP
GFI MailEssentials for Exchange/SMTP компании GFI Software дополняет Exchange Server функциями серверного контроля спама, мониторинга и архивирования почтовых сообщений, а также загрузки POP3. Продукт располагает факультативным модулем сервера списков. MailEssentials можно развернуть в качестве почтового шлюза на компьютере без Exchange Server, хотя в шлюзе отсутствуют некоторые функции, такие как пересылка сообщений в папку нежелательных сообщений пользователя.
В дополнение к байесовой фильтрации MailEssentials поддерживает Sender Policy Framework (SPF) и функцию DNS Blacklist. SPF идентифицирует спам, сравнивая IP-адрес почтового сервера, отправившего сообщение, со списком адресов почтовых серверов, зарегистрированных для домена отправителя. Если сообщение принадлежит отправителю в домене xyz.com, но исходит не от почтового сервера, зарегистрированного почтовым администратором xyz.com для SPF, то сообщение считается спамом.
Фильтры и правила MailEssential обеспечивают множество вариантов обработки почтовых сообщений. Устанавливая программу на Exchange Server 2000 и Exchange 2003, можно направить спам прямо в папку почтового ящика пользователя. При желании можно пометить спам строкой, чтобы определить окончательное место назначения в соответствии с правилом Outlook. Последний метод может пригодиться пользователям Exchange Server 5.5 и тем, кто установил MailEssentials в почтовом шлюзе.
Шаблонные отчеты MailEssentials настраиваются по диапазону дат и другим параметрам, подходящим для конкретного отчета. Можно отображать информацию для пользователей или почтовых доменов, получателей или отправителей, получать итоговые сообщения по дате и ежедневные сводки спама.
Установка MailEssentials прошла всего за несколько минут без непредвиденных осложнений. Развернуть MailEssentials можно в режимах Active Directory (AD) или SMTP. В режиме AD можно составлять специальные правила для пользователей AD. В режиме SMTP правила основываются на адресах электронной почты.
После завершения установки я просмотрел конфигурацию MailEssentials. По умолчанию байесов фильтр не активен; другие фильтры помечают отфильтрованные сообщения «SPAM», и пользователи Exchange 2003 предпочтут изменить стандартный режим. MailEssentials обнаруживает атаки типа Directory Harvesting, в ходе которых автор спама пытается «отгадать» адреса электронной почты, направляя сообщения как в действительные, так и в несуществующие адреса. После просмотра файлов журналов MailEssentials выяснилось, что функция успешно фильтрует сообщения, направленные как в несуществующие, так и в реальные почтовые ящики.
GFI MailEssentials будет выгодным приобретением, даже если использовать продукт только для фильтрации спама. Благодаря дополнительным функциям мониторинга и архивирования почты, загрузке POP3 и серверам списков, этот вариант может оказаться предпочтительным для многих предприятий.
Policy Patrol Enterprise
В программе Policy Patrol Enterprise компании Red Earth Software возможности серверной фильтрации спама сочетаются с автоматическим сжатием и восстановлением присоединенных файлов и другими функциями электронной почты.
Policy Patrol обеспечивает байесову фильтрацию, списки URL, блокируемых в реальном времени (Spam URL Realtime Block Lists, SURBL), и другие стандартные методы фильтрации, в том числе семантическую фильтрацию, черные и белые списки. Чрезвычайно гибкий механизм назначения правил облегчает создание специальных правил для конкретных пользователей, с учетом многочисленных условий и исключений. Мощь и гибкость Policy Patrol возрастает благодаря использованию регулярных выражений, как в UNIX, для сравнения строк символов. Policy Patrol может удалить встроенные тэги HTML, применяемые многими авторами спама, чтобы замаскировать слова и фразы, выдающие их сообщения.
В соответствии со стандартным правилом Policy Patrol для обработки спама, отфильтрованные сообщения направляются в специальную папку для просмотра и доставки либо для уничтожения администратором. Однако Policy Patrol можно настроить так, чтобы добавить к сообщению заголовок (x-header), в соответствии с которым Outlook переместит сообщение в папку спама.
Пользователи могут внести новые почтовые адреса в глобальный белый список, вставив слова «[New Customer]» в строку темы сообщения, отправляемого на внешний адрес. Policy Patrol перед доставкой сообщения удаляет условную фразу. Если активизировать режим применения черных списков в реальном времени и Policy Patrol идентифицирует источник сообщения как автора спама, то пользователи могут отвергнуть сообщение, не загружая его. Это экономит полосу пропускания и серверные ресурсы, расходуемые при доставке сообщения. В программе предусмотрены правила для назначения уровня вероятности спама (Spam Confidence Level, SCL), в соответствии с которым Exchange 2003 направляет сообщения в папку Junk Mail пользователя.
Policy Patrol архивирует сообщения в форматах XML, с разделением запятыми (comma-separated value, CSV) и SQL. Для архивирования нужно составить правило для всех или отдельных сообщений. В программу также входит 21 готовый отчет; их можно генерировать только из архивов на базе SQL, поэтому для использования функций подготовки отчетов Policy Patrol необходимо организовать базу данных SQL.
Процедура установки Policy Patrol не сложна, но заняла несколько больше времени, чем у других продуктов. Этапы процесса описаны в оперативном руководстве Quick Start. Программа установки обеспечивает установку административного интерфейса на нескольких рабочих станциях для дистанционного управления. Непосредственно после установки ни одна из функций Policy Patrol не активизирована. Другое загружаемое руководство, How to Filter Spam with Policy Patrol, помогает настроить продукт. Я просмотрел имеющиеся примерные правила и активизировал правило, которое разрешает семантическую фильтрацию.
В целом настройки Policy Patrol значительно глубже, чем у большинства других продуктов. Оборотная сторона гибкости — сложность освоения на этапе внедрения продукта и дополнительные затраты на администрирование во время эксплуатации.
XWall for Microsoft Exchange with XWALLFilter
XWall for Microsoft Exchange компании DataEnter представляет собой почтовый брандмауэр SMTP, который можно развернуть на сервере Exchange или на другом сервере в шлюзовой конфигурации. Факультативный модуль, XWALLFilter, подключается к Exchange 2003 и направляет спам прямо в папку Junk Mail пользователя. XWall располагает функциями, не имеющими отношения к контролю рассылки спама, в том числе сжатия, шифрования и поиска вирусов вкупе с совместимыми антивирусными программами независимых поставщиков.
XWall работает как служба или в режиме консоли. В любом случае административный интерфейс регистрирует действия программы в окне консоли и обеспечивает доступ к множеству настраиваемых функций через меню.
XWall располагает полным набором фильтров и совместим со Spam Lookup Service (SLS), SPF, SURBL и другими списками блокировки. В программе реализован также «серый» список — метод временного блокирования сообщений с неизвестными комбинациями почтового адреса и IP-адреса сервера-отправителя. В основе метода лежит функция автоматического повтора стандартных SMTP-серверов, используемая для рассылки законных сообщений; большинство авторов спама функцию автоматического повтора не используют.
В XWall принят эвристический подход к семантической фильтрации, применяются разнообразные проверки как к заголовкам, так и к тексту сообщений. Для каждого сообщения подсчитывается вероятность того, что оно относится к спаму. Стандартное значение — 50 по 100-балльной шкале: значение 30 увеличивает число сообщений, классифицируемых как спам; значение 70 снижает число таких сообщений.
XWall предоставляет множество вариантов обработки сообщений, принятых как спам, включая передачу сообщения администратору почты и несколько методов маркировки сообщений перед доставкой получателю. Пользователи Outlook могут выбрать метод доставки сообщений, отмеченных как спам, в папку Junk Email.
Копии всех обработанных сообщений можно сохранять в папке предыстории, а также проверять и блокировать как входящие, так и исходящие вложенные файлы с подозрительным содержимым, в том числе известные опасные компоненты и файлы с двумя расширениями (например, .exe.jpg). При активизации этой функции программа регистрирует действия в файлах CSV-формата для последующего анализа и выводит статистические сводки в окне консоли. Модуля подготовки отчетов в XWall нет.
Я установил и настроил конфигурацию XWall на тестовом сервере Exchange 2003 за несколько минут с помощью указаний с Web-узла XWall. Согласно рекомендациям, я настроил XWall на пересылку почтовых сообщений в порт 24 Exchange Server и использовал Exchange System Manager, чтобы настроить Exchange Server на получение электронной почты через порт 24 в соответствии со шлюзовой архитектурой XWall.
В целом XWall прост в установке, отличается гибкостью и располагает широким набором функций для борьбы со спамом.
Power Tools for Exchange-Internet Edition
Power Tools for Exchange компании Nemx Software — многофункциональный продукт; некоторые реализованные в нем функции антиспама в других программах отсутствуют. В дополнение к рассматриваемым в данной статье функциям борьбы со спамом Power Tools обнаруживает вирусы и использует технологию Norman SandBox для выявления опасных программ. Выпущены две редакции Power Tools. Испытанная Internet Edition сканирует почтовые сообщения, проходящие через internet-коннектор SMTP. Редакция Advanced Edition дополнительно контролирует почтовые ящики, общедоступные папки и сканирует содержимое.
Наряду со списком адресов и правилами, в Power Tools используется фирменный метод под названием Concept Manager. В Concept Manager применяются нечеткая логика для обнаружения характерных для спама слов и фраз и приемы распознавания естественного языка, чтобы идентифицировать общий контекст сообщения. Как считают специалисты Nemx Software, данный подход эффективнее, чем байесовский; помимо прочего, он не делает ошибок из-за наличия распространенных слов. Компания Nemx Software ежемесячно обновляет определения Concept Manager Policy. В протестированной версии имеется 64 уровня спама, 14 из которых относятся к порнографии. Активизировать уровни можно выборочно.
В состав Power Tools входят расширения для Microsoft Intelligent Message Filter (IMF), фильтра спама для Exchange 2003. Более подробная информация об IMF приведена во врезке Intelligent Message Filter от Microsoft. IMF позволяет настраивать действия для серверов, групп или почтовых ящиков. IMF Manager можно приобрести как автономный компонент.
В дополнение к стандартным действиям Delete и Quarantine, пользователи Power Tools могут настроить особые группы операций. Специальные правила запускают действия и применяются к входящим и исходящим сообщениям. Системные и специальные операции можно протоколировать в CSV-файлах для последующего анализа.
Развернуть Power Tools, как и другие продукты, просто. Программа поставляется с одним выполняемым файлом, который размещается в каталоге BIN сервера Exchange. Административный интерфейс Power Tools стыкуется с Exchange Administrator или System Manager и отображается как элемент раздела. В Exchange Server 2003 все параметры настройки Power Tools доступны из страницы Power Tools Properties.
Цена Power Tools немного выше, чем у других продуктов, но продукт располагает рядом уникальных возможностей, может быть дополнен разнообразными функциями и объединен гибким и простым в использовании административным интерфейсом.
Рекомендации
Лучшими инструментами для борьбы со спамом можно считать продукты GFI Mail Essentials for Microsoft Exchange и Nemx Power Tools for Exchange. И тот и другой располагают широким набором технологий фильтрации. Мощные параметры обоих продуктов позволяют настраивать их в соответствии с бизнес-моделью предприятия. В обоих случаях эти настройки можно без труда изменить. Каждый продукт обладает своими достоинствами как фильтр спама. MailEssentials обеспечивает байесову фильтрацию и подготовку отчетов. Power Tools располагает фирменной технологией обнаружения спама Concept Filtering компании Nemx и интерфейсом управления, доступным через Exchange System Manager. В административном интерфейсе обоих продуктов предусмотрены дополнительные функции, не связанные с фильтрацией спама, и это тоже говорит в их пользу.
Intelligent Message Filter компании Microsoft
Intelligent Message Filter (IMF) от Microsoft — загружаемый из сети модуль расширения для серверов Exchange 2003, не объединенных в кластеры. Чтобы можно было отличить спам от полезных почтовых сообщений, в нем используются адаптивные алгоритмы, аналогичные байесовым фильтрам. В процессе проектирования IMF разработчики Microsoft использовали почтовые сообщения, классифицированные деловыми партнерами компании как спам. Эти сообщения составили базу данных, с помощью которой IMF различает нежелательные и полезные сообщения.
IMF анализирует сообщения, когда они поступают на сервер Exchange, но только если сообщение не было отфильтровано какими-либо фильтрами активного соединения, получателя или отправителя. IMF не ведет поиска в хранилищах сообщений. Он назначает каждому сообщению электронной почты число, характеризующее вероятность того, что данное сообщение относится к спаму. Так вычисляется уровень вероятности спама (Spam Confidence Level, SCL). При развертывании IMF администраторы указывают значение Gateway Threshold SCL и действия, в соответствии с которыми сообщения удаляются, отвергаются, архивируются или пересылаются получателям. Используя порог Mailbox Store SCL, программы Outlook Web Access for Exchange Server 2003 и Outlook 2003 определяют, следует ли доставить сообщение в папку Junk Email и входной почтовый ящик пользователя. Действия, предпринимаемые в соответствии со списками блокирования и законных сообщений Outlook 2003, имеют приоритет перед действиями, инициированными на основании SCL.
Администраторы настраивают IMF через страницы Properties в Exchange System Manager. Эти компоненты можно развернуть на рабочей станции для удаленного администрирования.
По умолчанию IMF не проверяет сообщения от аутентифицированных отправителей или архивные сообщения, которые не доставлены пользователю, а направлены на рассмотрение администратора. Оба стандартных параметра можно отменить, отредактировав реестр.
IMF записывает события в журнал Windows Server Application Event и открывает доступ к счетчикам производительности System Monitor. Пользователи Microsoft Operations Manager (MOM) могут загрузить пакет Exchange Intelligent Message Filter Management Pack и дополнить MOM функциями мониторинга IMF. Для наиболее эффективного использования IMF Microsoft рекомендует отслеживать распределение рейтингов SCL, назначаемых почтовым сообщениям в организации, чтобы установить оптимальные пороговые величины для шлюза и хранилища почтовых ящиков.
iHateSpam for Exchange, Server Edition
Контактная информация:Sunbelt Software,http://www.sunbeltsoftware.com.
Цена: от 395 долл. для 25 почтовых ящиков.
Краткая характеристика
Достоинства: недорогое решение для фильтрации спама на сервере; простой в использовании административный интерфейс.
Недостатки: администратору сложно настроить фильтр на максимально эффективное обнаружение спама; отсутствует возможность прямого дистанционного администрирования.
Рейтинг: 4,5 из 5.
Рекомендации: iHateSpam for Exchange, Server Edition обеспечивает базовую фильтрацию спама на сервере при приемлемой цене.
GFI Mail Essentials for Exchange/SMT
Контактная информация:GFI Software,http://www.gfi.com.
Цена: 295 долл. для 10 почтовых ящиков; 315 долл. для 25 почтовых ящиков.
Краткая характеристика
Достоинства: байесова фильтрация, сбор данных о каталогах и фильтры Sender Policy Framework (SPF).
Недостатки: использование набора команд на базе электронной почты для дистанционного администрирования.
Рейтинг: 4,5 из 5.
Рекомендации: удачная покупка, даже если используются только функции фильтрации спама. Дополнительные возможности также заставляют обратить внимание на этот продукт.
Policy Patrol Enterprise
Контактная информация: Red Earth Software,
http://www.redearthsoftware.com.
Цена: 395 долл. для 10 пользователей плюс 79 долл./год за обслуживание после 30-дневного гарантийного периода. Policy Patrol Spam Filter — начальная цена от 325 долл. для 10 пользователей плюс 65 долл./год за обслуживание.
Краткая характеристика
Достоинства: гибкие функции назначения правил; административный интерфейс функционирует и на рабочих станциях.
Недостатки: гибкость продукта усложняет его и затрудняет освоение; все отчеты генерируются из архивов сообщений в базе данных SQL, поэтому необходимо активизировать режим архивирования в формате SQL.
Рейтинг: 4,5 из 5.
Рекомендации: в целом по глубине конфигурирования Policy Patrol существенно превосходит другие продукты. Однако оборотная сторона гибкости — сложность освоения на этапе внедрения продукта и дополнительные затраты усилий на администрирование во время эксплуатации.
XWall for Microsoft Exchange with XWALLFilter
Контактная информация: DataEnter(Австрия),
http://www.dataenter.com, Lakewood Communications,
http://www.lakecomm.com.
Цена: 679 долл. за пакет XWall/XWALLFilter; 398 долл. за Xwall; 299 долл. за XWALLFilter.
Краткая характеристика
Достоинства: гибкая конфигурация, большое число разнообразных фильтров спама.
Недостатки: нет модуля подготовки отчетов.
Рейтинг: 4 из 5.
Рекомендации: в целом XWall прост в установке и гибок, располагает широким набором функций для борьбы со спамом.
Power Tools for Exchange-Internet Edition
Контактная информация: Nemx Software,
http://www.nemx.com.
Цена: 795 долл. за модули Spam, Content и коннектор; 795 долл. за годовую подписку на антивирусную программу, 1095 долл. за два года.
Краткая характеристика
Достоинства: уникальные функции; модульная структура позволяет приобрести только нужные функции; очень гибкая конфигурация, при этом продукт удобен в эксплуатации.
Недостатки: нет модуля подготовки отчетов.
Рейтинг: 4,5 из 5.
Рекомендации: Power Tools несколько дороже других продуктов, зато располагает рядом уникальных функций.
Президент компании Nereus Computer Consulting. john@nereus.cc