Spam és vírusszűrés

gmail_spam_virus_szures


Az email vírusszűrés viszonylag egyszerű dolog, minden mellékletet kézbesítés nélkül ellenőrizni kell valamilyen víruskeresővel. Azért itt is merülnek fel…

Kérdések, amelyeket néha nem is egyszerű megválaszolni:

  • mit tegyünk ha jelszóval védett melléklet érkezik? Ha beengedjük ellenőrzés nélkül, vírust tartalmazhat. Ha kitiltjuk, a címzettnek nem lehet titkosított állományt küldeni.
  • mit tegyünk, ha egy címről vírusos email érkezik? A feladót értesítsük? Vagy a címzettet? Volt idő, amikor százasával potyogtak be az ilyen levelek, ilyenkor ez sem volt megoldás. De ha nem kap értesítést a címzett, esetleg egy kolléga fertőzött gépéről küldött levél sem jön át, és ennek tényéről sem szerzünk tudomást.

A spamszűrés már egy komolyabb történet, itt sokszor nem lehet feketén-fehéren eldönteni egy levélről hogy spam-e vagy sem. Általában elemzés után egy skálán értékelik a spamszűrők a beérkező leveleket, és beállítás kérdése, hogy milyen érték felett mit tesz vele: nem kézbesíti, vagy pedig megjelölve kézbesíti. A megjelölés is történhet háromféleképpen:

  • a levél címsorába beilleszt egy megjegyzést, pl. [SPAM]. Véleményem szerint ez egyenesen emberiség elleni bűntett, főleg mert általában olyan levelekbe illeszti bele, amelyek a határmesgyén mozognak spam és legitim levél között. Az eredmény tárgya néhány levélváltás után: “Re: [SPAM] Vá: Re: Fwd: [SPAM?] Re: [Possible SPAM] Meghívó”
  • rátesz egy flag-et (jelzőt) a levél forrásába. Ezt az üzenetben normál esetben nem látjuk, viszont a levelezőkliensek már tudnak fele mit kezdeni, például általunk meghatározott szabályok alapján tudják az üzenetet törölni, mappába helyezni, vagy adott esetben címkézni, ha valakinek mégis ez tetszene.
    Például az általunk eddig használt McAfee spamszűrő szerver az alábbi megjegyzést tette egy levélhez, láthatjuk benne a spam minősítés értékét, és azokat a szabályokat, amelyek ezt az értéket összehozták.
X-NAI-Spam-Level: *
X-NAI-Spam-Score: 1
X-NAI-Spam-Rules: 3 Rules triggered
HTML_TAG_BALANCE_BODY=0.5, MIME_BASE64_LATIN=0.5, HTML_MESSAGE=0
  • beledobja egy mappába

És persze mit sem ér az egész szűrőrendszer, ha a szabályok nem naprakészek. Ezért is használtunk eddig egy valódinak látszó, hardveres vírus- és spamszűrő tárgyat. Azért a “valódinak látszó” csalódott megnevezés, mert igazából ez sem más mint egy Linux, rajta egy ingyenes SpamAssassin spamszűrő, és egy folyamatosan frissülő spamszabály adatbázis. Ha jól meggondoljuk, ez utóbbiért fizettünk 2 évvel ezelőtt néhány millió forintot. :(

A Google abszolút elvitathatlanul a ma létező legmagasabb szintű technológiát birtokolja a szövegelemzés terén. Kérdés: vajon mennyire volt nehéz ebből a bizonyított tudásból egy fantasztikus spamszűrőt alkotni?

Tanítás: ez spam, ez nem spam, avagy a fals pozitívok és fals negatívok

Minden rendszer tévedhet: sokszor egy normális levél spamnek nézhet ki, és egy spam is nézhet ki teljesen közönséges levélnek. Egy tisztességes levelezőrendszernek lehetőséget kell biztosítania arra, hogy egy-egy esetben minősíthessünk egy üzenetet spamnek vagy éppen “rendes” levélnek. És persze elvárjuk azt is, hogy a rendszer ebből tanuljon.

A Gmail szépen bedobálja a spameket egy mappába, ami “rendes” levelezőkliensen (pl. Outlook, Thunderbird) is látható és tanítható egyszerűen üzenetek mappák közötti átmozgatásával. Tapasztalatunk szerint (napi átlag 15.000 beérkező email) a Gmail spamszűrője legalább 99.9% pontossággal dolgozik. Ezzel lehet vitatkozni, de csak kipróbálás után érdemes.

Szerver- vagy kliensoldai spamszűrés

Sokan rendkívül elégedetten nyugtázzák magukban, hogy a spam mint probléma kipipálva, hiszen az Outlook / Thunderbird / Apple Mail beépített spamszűrője milyen remekül működik. Ez alapvetően még igaz is lehet, azonban…

  • a spamek már letöltődtek a helyi gépre, ezzel egy kicsit foglalva a sávszélességet
  • mi van akkor, ha én a leveleimet mondjuk mobilklienssel (iPhone vagy bármilyen okostelefon) akarom megnézni? Ott még nem járt a gépre telepített spamszűrő…
  • vagy mondjuk át szeretnék költözni egy másik gépre, ne adj’ Isten több gépet is használok egyszerre, egy közös IMAP postafiókot használva (ez teljesen normális eset). Ilyenkor mi lesz az összeszedett spam tanulási információkkal?
  • egy kicsit mások a nagyságrendek a tanítás terén. Én amíg egyedül tanítgatom a magányos levelezőprogramot a gépemen, addig…

a Google ugyanazt a spamet megkapja egyszerre mondjuk 10 millió példányban. Vajon ki fog hamarabb rájönni, hogy a levél spam?

Vannak dolgok, amelyekkel nem érdemes vitatkozni, és ez a tény is ilyen: a Gmail spamszűrője egészen kivételesen jól működik.

Egy kis demo:

Címkék: , , ,

34 Comments

Komment írása