Sieci neuronowe. Kreatywna adaptacja metod statystycznych, eliminująca konieczność instalowania oprogramowania po stronie klienckiej.

Sieci neuronowe, oparte na algorytmach sztucznej inteligencji, są podobne do filtrowania metodami statystycznymi (Bayesa) z tym, że oprogramowanie samo uczy się rozpoznawać nowy spam. Jednak oprogramowanie trenujące rezyduje w ośrodkach dostawców filtrów, a nie na klientach użytkownika. Wsad poczty elektronicznej, na której trenowane są sieci neuronowe, przychodzi z tysięcy fałszywych skrzynek pocztowych założonych przez dostawców w celu wychwytywania spamu.

Jednak, podobnie jak oprogramowanie antywirusowe, produkty używające sieci neuronowych wymagają, aby użytkownicy uaktualniali je w regularnych odstępach czasu, zazwyczaj raz dziennie.

Metoda sum kontrolnych. Polega na używaniu techniki stosowanej także w wykrywaniu wirusów. Z każdej wiadomości pocztowej tworzy się sumę kontrolną (swoisty odcisk palca), którą umieszcza się w bazie danych. W tej metodzie kluczowa jest powtarzalność. Jeżeli w bazie danych znajdują się w dużej liczbie takie same lub podobne "odciski palca", oznacza to, że reprezentują one spam. Jedynie spam, który jest wysyłany dużymi partiami, liczonymi czasami w milionach, będzie generował z dużą częstotliwością te same sumy kontrolne.

Przynęty to metoda klasyfikacji wiadomości przez firmę specjalizującą się w zwalczaniu spamu. Polega na zakładaniu w Internecie atrap skrzynek pocztowych. Jedynym ich przeznaczeniem jest przyciąganie spamu. Poczta, która przychodzi pod te adresy, jest rejestrowana w bazie danych. Firma używająca pułapek zapewnia następnie swoim klientom usługę, która porównuje całą pocztę wchodzącą klienta z bazą danych spamu przechwyconego przez pułapki.

Jest to metoda wyłącznie reaktywna - może wychwytywać i blokować tylko znany spam. Co więcej, wszystkie metody antyspamowe mają "okres ważności" lub co najmniej punkt szczytowy efektywności, od którego następuje jej obniżenie. Pułapki są stosowane od lat, toteż spamerzy już dawno odkryli sposoby zmniejszenia zdolności tej techniki do blokowania spamu.

Sieci peer-to-peer oferują interesująca metodę kontrolowania spamu. W uproszczeniu zapewniają one indywidualnym członkom możliwość (zazwyczaj przez odpowiedni konektor programowy klienta) ogłaszania w sieci rozpoznanych przypadków spamu. Za każdym razem, kiedy odbiorca uzna odebraną przesyłkę za spam, może ją usunąć, zwracając jednocześnie do sieci niezbędne do identyfikacji jej fragmenty. W ten sposób tworzy się "kolektywną" sieć do walki ze spamem.

Przewaga tej metody nad innymi rozwiązaniami polega na tym, że taka sieć działa w czasie rzeczywistym i jest z natury w pełni skalowalna (dzięki architekturze peer-to-peer). Przechwytuje coraz większy procent spamu w miarę, jak przybywa użytkowników sieci, wysyłających powiadomienia o spamie.

W zmodyfikowanej wersji tej metody użytkownicy mogą pisać skrypty przesiewcze i dzielić się nimi z innymi użytkownikami za pośrednictwem sieci. Wymaga to jednak od nich pewnej wiedzy technicznej.

Problemem w przypadku tej metody jest indywidualne podejście każdego uczestnika do tego, co należy uznać za spam.

Poczta uwierzytelniana. Ta metoda kontrolowania spamu jest zmodyfikowaną i znacznie poszerzoną metodą białych list adresowych. Podobnie jak w przypadku tradycyjnych białych list, jedynie przesyłki od nadawców umieszczonych na specjalnej liście są dopuszczane do skrzynki odbiorczej. Tutaj jednak, aby dopisać nowego nadawcę do listy, musi on być pozytywnie uwierzytelniony. Istnieje sporo sposobów uwierzytelniania, jednak w tym przypadku najbardziej popularnym jest procedura wezwania. Gdy wiadomość przychodzi spod adresu niewidniejącego na liście, do nadawcy jest wysyłane wezwanie informujące, że wiadomość zostanie doręczona jedynie wtedy, gdy nadawca uwierzytelni się, potwierdzając odbiór tego wezwania. Wezwania takie są zazwyczaj bardzo proste w rodzaju: "Przepisz tekst z załączonego obrazka" albo "Podaj liczbę elementów zamieszczonych na obrazku". Jednak ich forma musi gwarantować, że czynności te mogą być wykonane tylko przez człowieka, a nie maszynę. Jeżeli nadawca potwierdzi wezwanie w sposób prawidłowy, jest wpisywany na listę.

Metoda ta jest szczególnie efektywna w blokowaniu spamu wysyłanego automatycznie. Jednak stwarza możliwość odrzucenia legalnej przesyłki tylko z tego powodu, że była wysyłana przez osobę, która nie mogła bezpośrednio odpowiedzieć na wezwanie.

Profilowanie źródeł spamu - usługi (np. Brightmail Reputation Service) polegające na identyfikowaniu adresów IP, spod których jest wysyłana masowa poczta elektroniczna.

Usługa zawiera mechanizm monitorujący setki tysięcy źródeł poczty elektronicznej w celu określenia, jaki wolumen poczty wysyłanej spod poszczególnych adresów jest legalny, a jaki można uznać za spam. Firma świadcząca usługę gromadzi informacje uzyskane z raportów użytkowników oraz zestawu przynęt i skrzynek odbiorczych poczty, przeznaczonych do przechwytywania spamu.

Tworzy profile monitorowanych źródeł poczty elektronicznej, na których podstawie administrator może decydować o zablokowaniu lub dopuszczeniu poczty z nich pochodzącej. Udostępnia także listę bezpiecznych źródeł, spod których nigdy nie wychodzi spam.

Usługa pozwala na zachowanie odpowiednich proporcji pomiędzy blokowaniem adresów, spod których pochodzi spam, a legalną pocztą przychodzącą do odbiorcy. Aby zapobiec zbyt restrykcyjnemu blokowaniu źródeł poczty, w sposób ciągły monitoruje te źródła i uaktualnia profil adresów IP. I tak, jeżeli adres uważany za źródło spamu nie wysyła niechcianej poczty przez określony czas, to jego profil może zostać zmieniony. Usługa może uaktualniać status adresów IP w regularnych odstępach czasu.

Postępowanie ze spamem

Postępowanie ze spamem po jego identyfikacji jest kolejnym ważnym mechanizmem filtrów antyspamowych. Podstawowe akcje mogą polegać na etykietowaniu spamu poprzez dodawanie ciągu znaków do wiersza "TEMAT" (np. SPAM) lub nagłówka do wiadomości (np. "X-SPAM: yes"). Klient pocztowy może przechwytywać i usuwać etykietowane wiadomości lub segregować do odpowiednich folderów.

Metoda ta dotyczy najniższego poziomu przechwytywania spamu. Wiadomość dostaje się na korporacyjny serwer pocztowy, jest identyfikowana i obsługiwana przez użytkownika końcowego. Chociaż wszystkie dzisiejsze klienty pocztowe mogą przechwytywać i segregować etykietowane wiadomości do odpowiednich folderów (lub usuwać), to duże znaczenie w większych sieciach ma to, aby spam nie wychodził poza serwery pocztowe i nie obciążał użytkownika końcowego.

Blokowanie wiadomości na bramie antyspamowej oznacza w praktyce istnienie mechanizmu kwarantanny. Z chwilą, gdy filtr zidentyfikuje spam, jest on przesyłany do kwarantanny zamiast do skrzynki odbiorcy. Kwarantanna może być personalizowana i każdy użytkownik może zarządzać swoją pulą spamu - często za pośrednictwem portalu webowego.

Stosuje się też kwarantannę z powiadamianiem. Użytkownicy otrzymują pocztą elektroniczną okresowe powiadomienia o spamie do nich kierowanym i wtedy mogą decydować, czy ma być on im przekazany.