Trójwartościowa klasyfikacja spamu

Próby poszukiwania skutecznych metod blokowania spamu i phishingu często kończą się gubieniem legalnych wiadomości. Restrykcyjne filtry antyspamowe znacznie redukują spam, ale często jest to czynione kosztem zwiększonej liczby fałszywych rozpoznań.

Próby poszukiwania skutecznych metod blokowania spamu i phishingu często kończą się gubieniem legalnych wiadomości. Restrykcyjne filtry antyspamowe znacznie redukują spam, ale często jest to czynione kosztem zwiększonej liczby fałszywych rozpoznań.

Trójwartościowa klasyfikacja spamu

Trójwartościowe filtrowanie poczty elektronicznej

Zbyt łagodne filtry mogą zaś odbierać nadmierną liczbę spamu, a także wiadomości związane z phishingiem i inną szkodliwą zawartością. Jedną z alternatyw rozwiązania tego problemu jest przejście z dwuwartościowej klasyfikacji wiadomości (zła - nierozpoznana) na klasyfikację trójwartościową: "zła", "nierozpoznana", "rozpoznana - dobra". Przy sortowaniu trójwartościowym, szkodliwe wiadomości, takie jak spam czy phishing, nadal są blokowane lub poddawane kwarantannie, ale pozostałe szkodliwe przesyłki wchodzą do skrzynek i następnie są klasyfikowane zgodnie z ich pochodzeniem.

Część dużych usługodawców już segreguje wiadomości w skrzynkach wejściowych na "rozpoznane - dobre" i "nierozpoznane". Messaging Anti Abuse Working Group rekomenduje zapewnianie użytkownikom, w takich wypadkach, wizualnych wyróżników: wiadomości obsługiwane przez usługi uwierzytelniania, akredytacji, reputacji i monitorowania powinny być wyróżniane w skrzynkach wejściowych w celu wskazania, które z nich są prawdziwe i bezpieczne.

Takie dobre praktyki, stosowane przez ISP obsługujących indywidualnych użytkowników, mogą być stosowane także w przedsiębiorstwach.

Wyróżnianie wiadomości wymaga powiązania systemu pocztowego z usługą reputacji i akredytacji poczty elektronicznej. Z usługami tymi związanych jest kilka terminów.

Uwierzytelnianie. Akt potwierdzania, że wiadomość pochodzi z deklarowanego źródła. Domena nadawcy często jest uwierzytelniana za pomocą takich standardów, jak Sender ID czy DKIM (DomainKeys Identified Mail).

Akredytacja. Zanim usługa reputacji zacznie śledzić opinię o nadawcy, akredytuje kandydata sprawdzając: czy jest to realna firma, która może być uznana za odpowiedzialną? Czy ma już ustaloną reputację w zakresie wysyłania poczty elektronicznej? Niektóre usługi tworzą wstępną punktację reputacji na podstawie procesu akredytacji, inne stosują bardziej wyszukane technologie i mogą przyznawać nadawcom współmierne z rezultatami akredytacji przywileje w zakresie nadawania poczty.

Reputacja. Z chwilą akredytowania ustalana jest wstępna reputacja nadawcy. Zmienia się ona na podstawie obserwacji zachowań nadawcy i przystawania tych zachowań do zdefiniowanej przez usługę reputacji polityki używania poczty.

Monitorowanie. Usługa reputacji monitoruje swoich akredytowanych nadawców. Najlepsze usługi monitorują wzorce wysyłania wiadomości i skargi w czasie rzeczywistym, mają także możliwość ustanawianie bardzo dokładnej punktacji renomy nadawców, których monitorują.

W procesie uwierzytelniania, wchodzącego w skład DKIM lub CertifiedEmail, używane są metody kryptografii kluczy publicznych wykorzystujące algorytmy haszujące SHA-1 lub SHA 256 i sygnatury kryptograficzne RSA-512 do RSA-2048. Dane o reputacji mogą być zagnieżdżane w podpisywanych segmentach uwierzytelniania (jak w wypadku CertifiedEmail) lub przekazywane pozapasmowo, jako dodatek do protokółów uwierzytelniania (DKIM, Sender ID). Dla takiej pozapasmowej kontroli reputacji brak jest na dziś standardów, jednak większość propozycji wykorzystuje rekordy TXT zapytań DNS.

Implementacja rzeczywistego interfejsu użytkownika w takim systemie zależy od agenta czy klienta poczty elektronicznej i może polegać na zmianie kodu lub zastosowaniu wtyczki programowej po stronie klienckiej.

Wdrażając trójwartościowe sortowanie, można uzyskać omijanie filtra antyspamowego przez wiadomości uwierzytelnione - jedynie wiadomości nieprzygotowane przez usługi reputacji są przedmiotem automatycznej obróbki filtracyjnej. Wiadomości, które przejdą przez taki filtr, nie powinny być wyróżniane w skrzynce pocztowej. Ikona zaufania zarezerwowana jest dla wiadomości "rozpoznane - dobre", popartych przez system reputacji, które zawsze omijają filtr.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200