[Информационная безопасность, Системное администрирование, Сетевые технологии] Как устроена фильтрация спама в Zimbra
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
Спам и нежелательные рассылки — настоящая головная боль для специалиста, администрирующего почтовый сервер в организации. Помимо прямых угроз для информационной безопасности, большое количество спама нагружает сервер и создает неудобства для сотрудников предприятия. Защитить Zimbra OSE от спама позволяет его фильтрация — распознавание нежелательных писем еще до того, как они попадут в папку «Входящие» получателя. Разберемся в том, как фильтруется спам в Zimbra.
За фильтрацию спама в Zimbra OSE отвечает целая система безопасности, включающая в себя антивирус ClamAV, спам-фильтр SpamAssassin и интерфейс для их подключения к Postfix: new-amavisd. Каждый из этих компонентов решает свою задачу, а в совокупности они позволяют обеспечить защиту от нежелательных писем. Работает данная система безопасности следующим образом:
- В Postfix поступает новое входящее письмо
- Postfix передает письмо в new-amavisd
- new-amavisd передает письмо в ClamAV и SpamAssassin
- ClamAV проверяет письмо на вирусы и выносит вердикт о том, заражено данное письмо или нет
- SpamAssassin проверяет письмо на спам и выставляет ему оценку на основе самообучающихся алгоритмов
- new-amavisd принимает данные от ClamAV и SpamAssassin, и сообщает Postfix итоговый вердикт по поводу данного письма
- На основании этого вердикта письмо может быть доставлено пользователю, может отправиться в папку «Спам», может отправиться в карантинный почтовый ящик антивируса, либо может быть полностью удалено.
При кажущейся простоте устройства системы безопасности, в ней таится очень много нюансов, которые в основном связаны с работой антиспама. Встроенный антивирус ClamAV в автоматическом режиме регулярно обновляет базу данных с сигнатурами вирусов и отлично работает сразу после установки. Письма, которые ClamAV распознал как зараженные, попадают в специальный карантинный почтовый ящик. В нашем случае это virus-quarantine.1js1jqtmkn@madegirah.ru. В этот почтовый ящик можно зайти и ознакомиться с содержимым заблокированных писем.
В консоли администратора можно настроить периодичность обновления баз данных антивируса, блокировку писем с зашифрованными архивами, а также отправку уведомлений пользователям о том, что предназначенные им письма были заблокированы. Настройки по умолчанию видны на скриншоте.
SpamAssassin же устанавливается без каких-либо баз данных и для того, чтобы он начал распознавать спам, его необходимо обучить или вручную установить уже готовый набор правил. Это связано с тем, что обучение антиспам-системы подразумевает прямой доступ к содержимому переписки и публикация результатов обучения спам-фильтра может привести к утечке конфиденциальных данных. Для того, чтобы установить готовый набор правил для SpamAssassin, необходимо скопировать файл с ними в папку /opt/zimbra/data/spamassassin/rules/ и перезапустить SpamAssassin. Рекомендуем использовать русскоязычные правила для фильтрации спама от Ru_Wentor. Для самостоятельного обучения SpamAssassin Байесовской фильтрации спама рекомендуется использовать не менее 200 писем со спамом и не менее 200 писем без спама.
Для обучения Байесовской фильтрации спама SpamAssassin на этапе установки Zimbra OSE создается два системных почтовых ящика с обфусцированными именами. В нашем случае это ham.iuu9hzkmsj@madegirah.ru и spam.nao0yu9s@madegirah.ru. В системный почтовый ящик spam попадают все письма, которые пользователи сервера помечают как спам. Это работает как с веб-клиентом Zimbra OSE, так и при использовании протокола IMAP. Анализируя письма содержащиеся в этом ящике, SpamAssassin обучается и в дальнейшем эффективнее выявляет письма, содержащие спам.
Системный почтовый ящик ham содержит письма, которые были распознаны SpamAssassin как спам, но на самом деле им не являются. Письма оказываются в почтовом ящике ham тогда, когда пользователи вручную перемещают их из папки «Спам» в другую почтовую папку. Это работает как с веб-клиентом Zimbra OSE, так и при использовании протокола IMAP. Анализируя содержимое писем в этом ящике, SpamAssassin также обучается и в дальнейшем эффективнее выявляет письма, не содержащие спам. Для обоих этих ящиков отключена квота. Сделано это для того, чтобы все письма, которые отмечают пользователи гарантированно в них попали.
На основе имеющихся правил производится оценка писем. Совпадения с имеющимися spam-фильтрами повышают оценку письма, а совпадения с имеющимися ham-фильтрами её понижают. Оценка письма может варьироваться от -20 до 20. Чем выше оценка, тем вероятнее, что письмо действительно окажется спамом. В консоли администрирования можно настроить действия для писем с различными оценками. По умолчанию письма, набравшие 75% (соответствует 15 баллам) и более автоматически удаляются, а набравшие 33% (соответствует 6,6 баллам) и более — помечаются как спам и попадают в соответствующую почтовую папку пользователя. Также в консоли администратора можно указать префикс, который будет появляться в заголовках писем со спамом.
Оценку, которую получило от SpamAssassin то или иное письмо, можно увидеть, кликнув по нему правой кнопкой мыши в веб-клиенте и выбрав в контекстном меню «Показать оригинал». В полях с заголовками X-SPAM, например:
X-Spam-Flag: NO
X-Spam-Score: -0.8
X-Spam-Level:
X-Spam-Status: No, score=-0.8 required=6.6 tests=[ALL_TRUSTED=-1, DKIM_INVALID=0.1, DKIM_SIGNED=0.1] autolearn=no autolearn_force=no
Также в исходниках письма можно увидеть отметку о прохождении проверки на вирусы:
X-Virus-Scanned: amavisd-new at madegirah.ru
New-amavisd поддерживает создание черных и белых списков. Письмо, которое попало в белый список new-amavisd не будет проверяться ни на вирусы, ни на спам, а сразу будет отправлено в папку «Входящие» его адресата. Письмо добавленное в черный список также не будет проверяться и сразу будет удалено. Процесс создания таких списков подробно описан в одной из наших прошлых статей.
Таким образом администратору Zimbra OSE на уровне сервера доступны три способа блокирования спама:
- Формирование черных списков
- Обучение SpamAssassin
- Регулирование оценок электронных писем
В настоящее время спамеры научились использовать авторитетные домены для своих рассылок, что делает создание черных списков бесполезным, а использование строгих фильтров, основанных на оценках сообщений, связано с рисками того, что до адресата не дойдет важное деловое письмо. Именно поэтому наиболее надежным, но при этом наиболее трудозатратным способом является обучение SpamAssassin.
Чтобы каждый раз при развертывании нового сервера Zimbra OSE не запускать обучение SpamAssassin заново, необходимо регулярно создавать резервные копии выработанных в процессе обучения алгоритмов. Делается это при помощи команды вида /opt/zimbra/common/bin/sa-learn --dbpath /opt/zimbra/data/amavisd/.spamassassin --backup >> /tmp/sa.db. Восстановить базу данных из резервной копии затем можно с помощью команды вида /opt/zimbra/common/bin/sa-learn --dbpath /opt/zimbra/data/amavisd/.spamassassin --restore /tmp/sa.db. Не забудьте после восстановления резервной копии перезапустить new-amavisd или весь почтовый сервер с помощью команд zmamavisdctl restart или zmcontrol restart соответственно.
Блокировать спамеров могут и сами пользователи Zimbra OSE. Для этого в разделе «Почта» в настройках веб-клиента Zimbra OSE можно добавить до 100 адресов и доменов в черный список. Также существует зимлет, который позволяет блокировать отправителей нежелательных писем прямо в контекстном меню письма. Данное расширение совместимо с версиями Zimbra OSE 8.8.15 и 9, но разрабатывается и поддерживается сообществом, и поэтому его работоспособность в будущих версиях Zimbra не гарантируется.
Для того, чтобы его установить, необходимо скачать дистрибутив зимлета в виде .zip-файла, перейти в папку с расположением скачанного файла и установить его с помощью команды zmzimletctl deploy com_cloudtemple_senderblocker.zip. После этого останется лишь выполнить команду zmprov fc zimlet, чтобы перезагрузить настройки зимлетов, чтобы приступить к использованию данного зимлета.
По всем вопросам, связанными c Zextras Suite Pro и Team Pro вы можете обратиться к Представителю компании «Zextras Technology» Екатерине Триандафилиди по электронной почте ekaterina.triandafilidi@zextras.com
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Профессиональная литература, Машинное обучение, Искусственный интеллект] Книга «Надежность нейронных сетей: укрепляем устойчивость ИИ к обману»
- [Firefox, Информационная безопасность, Браузеры] Вышел Firefox 86 с блокировкой межсайтовых куки
- [Системное администрирование, Системное программирование, DevOps] Создание пайплайнов CI с помощью Tekton (внутри Kubernetes). Часть 2/2 (перевод)
- [Информационная безопасность, Законодательство в IT, IT-компании] Глава Microsoft заявил об имеющихся доказательствах причастности России к хакерской атаке на SolarWinds
- [Информационная безопасность] Аудит паролей Активной Директории Windows
- [Информационная безопасность, Разработка под iOS, Монетизация мобильных приложений] Google ввела ярлыки конфиденциальности в сервис Gmail для iOS
- [Информационная безопасность, Big Data, Браузеры, Социальные сети и сообщества] Brave new world
- [IT-инфраструктура, Сетевые технологии, Asterisk, Сетевое оборудование] Конференц-связь Snom C520-WiMi и C52-SP: Сценарии использования
- [Информационная безопасность, Антивирусная защита, Разработка под MacOS] На 30 тысячах компьютеров с macOS нашли странный зловред, который ждёт команду
- [Сетевые технологии, Разработка под Linux] Часто встречающиеся ошибки
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_sistemnoe_administrirovanie (Системное администрирование), #_setevye_tehnologii (Сетевые технологии), #_filtratsija_spama (фильтрация спама), #_informatsionnaja_bezopasnost (информационная безопасность), #_elektronnaja_pochta (электронная почта), #_zimbra, #_zextras, #_blog_kompanii_zextras_technology (
Блог компании Zextras Technology
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_sistemnoe_administrirovanie (
Системное администрирование
), #_setevye_tehnologii (
Сетевые технологии
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 18-Май 05:14
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
|
Спам и нежелательные рассылки — настоящая головная боль для специалиста, администрирующего почтовый сервер в организации. Помимо прямых угроз для информационной безопасности, большое количество спама нагружает сервер и создает неудобства для сотрудников предприятия. Защитить Zimbra OSE от спама позволяет его фильтрация — распознавание нежелательных писем еще до того, как они попадут в папку «Входящие» получателя. Разберемся в том, как фильтруется спам в Zimbra.  За фильтрацию спама в Zimbra OSE отвечает целая система безопасности, включающая в себя антивирус ClamAV, спам-фильтр SpamAssassin и интерфейс для их подключения к Postfix: new-amavisd. Каждый из этих компонентов решает свою задачу, а в совокупности они позволяют обеспечить защиту от нежелательных писем. Работает данная система безопасности следующим образом:
При кажущейся простоте устройства системы безопасности, в ней таится очень много нюансов, которые в основном связаны с работой антиспама. Встроенный антивирус ClamAV в автоматическом режиме регулярно обновляет базу данных с сигнатурами вирусов и отлично работает сразу после установки. Письма, которые ClamAV распознал как зараженные, попадают в специальный карантинный почтовый ящик. В нашем случае это virus-quarantine.1js1jqtmkn@madegirah.ru. В этот почтовый ящик можно зайти и ознакомиться с содержимым заблокированных писем. В консоли администратора можно настроить периодичность обновления баз данных антивируса, блокировку писем с зашифрованными архивами, а также отправку уведомлений пользователям о том, что предназначенные им письма были заблокированы. Настройки по умолчанию видны на скриншоте.  SpamAssassin же устанавливается без каких-либо баз данных и для того, чтобы он начал распознавать спам, его необходимо обучить или вручную установить уже готовый набор правил. Это связано с тем, что обучение антиспам-системы подразумевает прямой доступ к содержимому переписки и публикация результатов обучения спам-фильтра может привести к утечке конфиденциальных данных. Для того, чтобы установить готовый набор правил для SpamAssassin, необходимо скопировать файл с ними в папку /opt/zimbra/data/spamassassin/rules/ и перезапустить SpamAssassin. Рекомендуем использовать русскоязычные правила для фильтрации спама от Ru_Wentor. Для самостоятельного обучения SpamAssassin Байесовской фильтрации спама рекомендуется использовать не менее 200 писем со спамом и не менее 200 писем без спама. Для обучения Байесовской фильтрации спама SpamAssassin на этапе установки Zimbra OSE создается два системных почтовых ящика с обфусцированными именами. В нашем случае это ham.iuu9hzkmsj@madegirah.ru и spam.nao0yu9s@madegirah.ru. В системный почтовый ящик spam попадают все письма, которые пользователи сервера помечают как спам. Это работает как с веб-клиентом Zimbra OSE, так и при использовании протокола IMAP. Анализируя письма содержащиеся в этом ящике, SpamAssassin обучается и в дальнейшем эффективнее выявляет письма, содержащие спам.  Системный почтовый ящик ham содержит письма, которые были распознаны SpamAssassin как спам, но на самом деле им не являются. Письма оказываются в почтовом ящике ham тогда, когда пользователи вручную перемещают их из папки «Спам» в другую почтовую папку. Это работает как с веб-клиентом Zimbra OSE, так и при использовании протокола IMAP. Анализируя содержимое писем в этом ящике, SpamAssassin также обучается и в дальнейшем эффективнее выявляет письма, не содержащие спам. Для обоих этих ящиков отключена квота. Сделано это для того, чтобы все письма, которые отмечают пользователи гарантированно в них попали. На основе имеющихся правил производится оценка писем. Совпадения с имеющимися spam-фильтрами повышают оценку письма, а совпадения с имеющимися ham-фильтрами её понижают. Оценка письма может варьироваться от -20 до 20. Чем выше оценка, тем вероятнее, что письмо действительно окажется спамом. В консоли администрирования можно настроить действия для писем с различными оценками. По умолчанию письма, набравшие 75% (соответствует 15 баллам) и более автоматически удаляются, а набравшие 33% (соответствует 6,6 баллам) и более — помечаются как спам и попадают в соответствующую почтовую папку пользователя. Также в консоли администратора можно указать префикс, который будет появляться в заголовках писем со спамом. Оценку, которую получило от SpamAssassin то или иное письмо, можно увидеть, кликнув по нему правой кнопкой мыши в веб-клиенте и выбрав в контекстном меню «Показать оригинал». В полях с заголовками X-SPAM, например: X-Spam-Flag: NO
X-Spam-Score: -0.8 X-Spam-Level: X-Spam-Status: No, score=-0.8 required=6.6 tests=[ALL_TRUSTED=-1, DKIM_INVALID=0.1, DKIM_SIGNED=0.1] autolearn=no autolearn_force=no Также в исходниках письма можно увидеть отметку о прохождении проверки на вирусы: X-Virus-Scanned: amavisd-new at madegirah.ru
 New-amavisd поддерживает создание черных и белых списков. Письмо, которое попало в белый список new-amavisd не будет проверяться ни на вирусы, ни на спам, а сразу будет отправлено в папку «Входящие» его адресата. Письмо добавленное в черный список также не будет проверяться и сразу будет удалено. Процесс создания таких списков подробно описан в одной из наших прошлых статей. Таким образом администратору Zimbra OSE на уровне сервера доступны три способа блокирования спама:
В настоящее время спамеры научились использовать авторитетные домены для своих рассылок, что делает создание черных списков бесполезным, а использование строгих фильтров, основанных на оценках сообщений, связано с рисками того, что до адресата не дойдет важное деловое письмо. Именно поэтому наиболее надежным, но при этом наиболее трудозатратным способом является обучение SpamAssassin. Чтобы каждый раз при развертывании нового сервера Zimbra OSE не запускать обучение SpamAssassin заново, необходимо регулярно создавать резервные копии выработанных в процессе обучения алгоритмов. Делается это при помощи команды вида /opt/zimbra/common/bin/sa-learn --dbpath /opt/zimbra/data/amavisd/.spamassassin --backup >> /tmp/sa.db. Восстановить базу данных из резервной копии затем можно с помощью команды вида /opt/zimbra/common/bin/sa-learn --dbpath /opt/zimbra/data/amavisd/.spamassassin --restore /tmp/sa.db. Не забудьте после восстановления резервной копии перезапустить new-amavisd или весь почтовый сервер с помощью команд zmamavisdctl restart или zmcontrol restart соответственно. Блокировать спамеров могут и сами пользователи Zimbra OSE. Для этого в разделе «Почта» в настройках веб-клиента Zimbra OSE можно добавить до 100 адресов и доменов в черный список. Также существует зимлет, который позволяет блокировать отправителей нежелательных писем прямо в контекстном меню письма. Данное расширение совместимо с версиями Zimbra OSE 8.8.15 и 9, но разрабатывается и поддерживается сообществом, и поэтому его работоспособность в будущих версиях Zimbra не гарантируется.   Для того, чтобы его установить, необходимо скачать дистрибутив зимлета в виде .zip-файла, перейти в папку с расположением скачанного файла и установить его с помощью команды zmzimletctl deploy com_cloudtemple_senderblocker.zip. После этого останется лишь выполнить команду zmprov fc zimlet, чтобы перезагрузить настройки зимлетов, чтобы приступить к использованию данного зимлета. По всем вопросам, связанными c Zextras Suite Pro и Team Pro вы можете обратиться к Представителю компании «Zextras Technology» Екатерине Триандафилиди по электронной почте ekaterina.triandafilidi@zextras.com =========== Источник: habr.com =========== Похожие новости:
Блог компании Zextras Technology ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_sistemnoe_administrirovanie ( Системное администрирование ), #_setevye_tehnologii ( Сетевые технологии ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 18-Май 05:14
Часовой пояс: UTC + 5