Защита от спама и фишинга

Одной из главных задач Kaspersky Security является фильтрация спама в почтовом потоке, проходящем через сервер Microsoft Exchange. Модуль Анти-Спам фильтрует входящую почту до того, как сообщения попадут в почтовые ящики пользователей.

Анти-Спам проверяет следующие типы данных:

• Внутренний и внешний почтовый поток, следующий по протоколу SMTP с анонимной проверкой подлинности на сервере.
• Сообщения, попадающие на сервер через анонимные внешние подключения (edge-сервер).
• Исходящие сообщения электронной почты.

Анти-Спам не проверяет следующие типы данных:

• Внутренний почтовый поток организации.
• Внешний почтовый поток, поступающий на сервер через аутентифицируемые сессии. Проверку такого почтового потока можно включить вручную, при помощи параметра Проверять на спам сообщения, поступающие через доверительные соединения.
• Сообщения, поступающие от других серверов почтовой инфраструктуры Microsoft Exchange, поскольку соединения между серверами одной инфраструктуры Microsoft Exchange считаются доверительными. При этом если сообщения поступили в инфраструктуру через сервер, на котором отсутствует или неактивен Анти-Спам, они не будут проверены на спам и на всех последующих серверах данной инфраструктуры по пути следования сообщений. Включить проверку таких сообщений можно вручную, при помощи параметра Проверять на спам сообщения, поступающие через доверительные соединения.

Анти-Спам проверяет заголовок сообщения, содержимое сообщения, вложенные файлы, элементы оформления и другие атрибуты сообщения. При проверке Анти-Спам использует лингвистические и эвристические алгоритмы, основанные на сравнении проверяемого сообщения с сообщениями-образцами, а также дополнительные и облачные службы, такие как Kaspersky Security Network.

По результатам фильтрации Анти-Спам присваивает сообщениям один из следующих статусов:

• Спам. Сообщение имеет признаки, характерные для спама.
• Возможный спам. Сообщение имеет признаки, характерные для спама, но значение спам-рейтинга сообщения не позволяет классифицировать его как спам.
• Массовые рассылки. Сообщение относится к рассылке (как правило, новостного или рекламного характера), но не имеет признаков, достаточных, чтобы считать его спамом.
• Формальное оповещение. Техническое сообщение, например о доставке сообщения адресату.
• Чистое. Сообщение не имеет признаков, характерных для спама.
• Внесено в список запрещенных адресов. IP-адрес отправителя сообщения или адрес его электронной почты входит в список запрещенных адресов.

  При проверке внутреннего почтового потока, следующего по протоколу SMTP, и при включении проверки на спам сообщений, поступающих через доверительные соединения, Анти-Спам присваивает статус Чистое следующим сообщениям: сообщения рассылок, технические сообщения и сообщения, значение спам-рейтинга которых не позволяет классифицировать их как спам.

Вы можете выбирать действия, которые программа должна выполнять над сообщениями с определенным статусом. Для выбора доступны следующие действия:

• Пропускать. Сообщение будет доставлено адресату без изменений.
• Отклонять. Сервер-отправитель получит сообщение об ошибке при отправке сообщения (код ошибки 500), сообщение не будет доставлено адресату.
• Удалять. Сервер-отправитель сообщения получит уведомление об отправке сообщения (код 250), но сообщение не будет доставлено адресату.
• Добавлять SCL-оценку. Сообщениям будет даваться оценка вероятности нежелательной почты (SCL). Оценка SCL представляет собой число в диапазоне от 1 до 9. Высокая оценка SCL означает, что сообщение с большой вероятностью является спамом. SCL-оценка рассчитывается путем деления спам-рейтинга сообщения на 10. Если в результате вычисления получается цифра больше 9, то SCL-оценка принимается равной 9. SCL-оценка, присвоенная сообщениям, учитывается при дальнейшей обработке сообщений инфраструктурой Microsoft Exchange.
• Добавлять метку в тему сообщения. Сообщения, которым присвоены статусы Спам, Возможный спам, Массовые рассылки или Внесен в список запрещенных адресов, отмечаются в теме сообщения специальными метками [!!SPAM], [!!Probable Spam], [!!Mass Mail] или [!!Blacklisted] соответственно. Вы можете изменять текст этих меток.

Программа поддерживает четыре уровня чувствительности проверки на спам:

• Максимальный. Этот уровень чувствительности следует использовать, если вы получаете спам очень часто. При выборе этого уровня чувствительности может возрасти частота распознавания полезной почты как спама.
• Высокий. При выборе этого уровня чувствительности сокращается (по сравнению с уровнем Максимальный) частота распознавания полезной почты как спама и увеличивается скорость проверки. Уровень чувствительности Высокий следует использовать, если вы часто получаете спам.
• Низкий. При выборе этого уровня чувствительности сокращается (по сравнению с уровнем Высокий) частота распознавания полезной почты как спама и увеличивается скорость проверки. Уровень чувствительности Низкий обеспечивает оптимальное сочетание скорости и качества проверки.
• Минимальный. Этот уровень чувствительности следует использовать, если вы редко получаете спам.

По умолчанию защита от спама осуществляется на уровне чувствительности Низкий. Вы можете повысить или понизить уровень чувствительности. В зависимости от уровня чувствительности и в соответствии со спам-рейтингом, полученным в результате проверки, сообщению может быть присвоен статус Спам или Возможный спам (см. таблицу ниже).

Пороговые значения спам-рейтинга на разных уровнях чувствительности проверки на спам

В исключительных случаях при сбое в работе ядра Анти-Спама время проверки сообщений на спам может значительно увеличиваться. В таких случаях для предотвращения задержки сообщений Анти-Спам временно переходит в режим ограниченной проверки. В этом режиме некоторые сообщения могут быть пропущены без проверки на спам.