Обзор Dr.Web - антивируса и антиспама


Dr.Web стал очередным известным отечественным продуктом, который включил в состав своего основного набора модуль антиспамной защиты. Для этой защиты компанией "Доктор Веб" используется версия антиспам-модуля на основе технологии Vade Retro от французской компании GOTO Software, сотрудничество с которой началось с октября 2006 года. Взаимовыгодное сотрудничество подразумевает использование антивирусных движков Dr.Web в продуктах компании GOTO Software и использование антиспам-технологии Vade Retro в продуктах Dr.Web. Вот так и появился Dr.Web for Windows (антивирус + антиспам).

Вот и решили мы проверить, как будет работать французский антиспам с нашим великим и могучим. По ходу мы выяснили, что компания GOTO Software, разработчик этой технологии, далеко не новичок в антиспамерском деле (более чем пятилетний опыт борьбы со спамом) и чуть ли не все французы пользуются решениями этой компании по антиспамовой защите, что гамма этих решений широка и, главное, работает над всем этим команда профессионалов, которая моментально реагирует на свежайшие ухищрения спамеров. Значит, фильтр постоянно совершенствуется и регулярно обновляется в составе Dr.Web.

Настройки вызываются с панели задач
Настройки вызываются с панели задач

Первые впечатления после инсталляции оказались резко отрицательными. Сразу же после запуска The Bat! система стала жутко тормозить, а при попытке что-то сделать с почтой, например переместить сообщение, индикатор загрузки центрального процессора просто зашкаливало, а умная утилита регулировки скорости процессорного кулера давала команду на максимальные обороты, от чего закладывало уши.

Причина нашлась достаточно быстро: не следует менять настройки по умолчанию. Не стоит для Spider Guard устанавливать проверку почтовых файлов ("Настройки — Типы файлов — Форматы"). Именно это и может привести к зацикливанию работы системы, что и произошло в нашем случае и вполне объяснимо. Ведь почтовая база компьютера модулем Spider Guard воспринимается как файловый контейнер, и логично, что его проверка превращается в серьезную нагрузку для компьютера. Представьте себе, сколько информации может быть в почтовой базе — письма с вложениями, вложенными архивами, картинками, фотографиями и так далее.

Но вот что нужно сделать обязательно, так это ввести определенный текст в качестве префикса, который будет добавляться к полю Subject писем, содержащих спам. Введите любое понятное вам слово, ну, скажем, Spam, а в почтовом клиенте создайте специальную папку и правило для сбора писем с этой меткой в этой папке. Ключевые слова в Spider Mail Settings и в правиле почтового клиента должны, само собой, совпадать. Обращаем ваше внимание на это только потому, что в описании настроек почтовых программ на сайте компании это не оговорено.

И еще один момент: обязательно установите в настройках флажок в поле "Разрешать текст на кириллице". Французы специально эту опцию включили, чтобы письма на русском языке не отфильтровывались в спам без всякой проверки. Точно так же работает флаг "Разрешать текст на китайском/японском/корейском языках". Так что если у вас есть корреспонденция на этих языках — не забудьте про этот пунктик.

Флажок для кириллицы должен стоять
Флажок для кириллицы должен стоять

Теперь включаем в Spider Mail проверку на наличие спама и проверяем новую почту. Письма с указанной меткой благополучно сыпятся в папку для спама. И все! И не ищите встроенных в почтовик панелей, их нет ни в классическом Outlook, ни в других почтовых клиентах: антиспам-модуль этот никуда не встраивается, а работает независимо от почтовых клиентов по основным почтовым протоколам — POP3 и IMAP. Никакой предварительной дрессуры на спамерских письмах не требует, а начинает просеивать спам сразу после установки на компьютер. Настроек минимум, в общем, включил себе — и пользуйся.

Нужно сказать, что ни один спам-фильтр не выдавал у нас обещанного качества зачистки. В первые дни у движка Vade Retro примерно треть спама поначалу просачивалась через фильтр. Но надо заметить, что при этом ложь-негативных результатов было крайне мало. А ведь, как правило, письма с ответом на регистрацию на форумах и информация об активации аккаунта, а также подписка на рассылки попадали в папку "Спам" при работе с другими антиспамами. Что нас удивило: Spider Mail со встроенным Vade Retro такого не творил. Ложь-позитивные результаты встречались и после двухнедельного тестового периода с обучением. То есть что-то из огромного потока спамной реки все же попадало в наши ящики.

Как же обучать фильтр, если нет встроенных панелей? Механизм обучения таких программ довольно прост:

  • письма, ошибочно оцененные как спам, отправляйте на адрес vrnonspam@drweb.com;
  • письма, ошибочно не определенные как спам, отправляйте на адрес vrspam@drweb.com.

Сообщения следует пересылать в виде вложения (forward as attachment), но не как часть сообщения. Почти аналогичный вариант обучения встречается и у других программных антиспам-фильтров, например Agava Spamprotexx.

Диалог настроек фильтра
Диалог настроек фильтра

Сколько потребуется времени на обучение антиспам-фильтра, чтобы быть уверенным в стопроцентной работе, сказать трудно. Если хотя бы месяц работы пройдет без ложь-негативных результатов, то можно и изменить правило почтового клиента и стирать спамную почту на сервере. Правда, в классическом виде удалять спам на сервере французский фильтр не умеет. Зато можно без проблем бить спам на лету, всего лишь изменив действие в ранее созданном правиле для почтовика (удалять — вместо перемещения в папку для спама).

Пример фишингового письма
Пример фишингового письма

Для устойчивого, так называемого пользовательского, спама фильтр позволяет создавать черные списки. Да никто не мешает и фильтры в самом почтовике настроить, чтобы рубить стабильно повторяющийся спам прямо на сервере. А с неустойчивым спамом бороться — все равно что с ветряными мельницами сражаться. Прорвавшиеся сегодня спам-письма завтра придут в совершенно другом обличье — с новыми адресами, вложениями и картинками. Вот почему не дает никакого эффекта обучение спам-фильтров на этом прорвавшемся спаме, сколько ни нажимай кнопку "Это спам". И, вероятно, поэтому нет у рассматриваемого блокировщика спама встраиваемых панелей в почтовых клиентах.

Технология этого фильтра включает в себя несколько тысяч всяческих правил, которые укладываются в несколько групп: эвристический анализ, фильтрация противодействия, анализ на основе HTML-сигнатур, семантический анализ и антискамминг-технология. При этом восемьдесят процентов спама этот технологический комплекс определяет по заголовкам. За все время тестирования к нам попало только одно фишинговое сообщение о блокировке нашего кошелька на сервисе "Яндекс.Деньги", и сообщение это благополучно отправилось в спам. Единственное замечание в этом плане: хотелось бы для фишинга видеть в заголовках писем свои метки, а не те, что назначены для спама, но это все же не принципиально.

Сообщение о проверенных письмах
Сообщение о проверенных письмах

Вот только пользователи Gmail.com будут несколько разочарованы. Этот почтовик требует соединение по протоколу SSL, и адреса портов у него нестандартные. В результате в логах Spider Mail появляется сообщение, что это неизвестный протокол, и программа не выполняет проверку входящей и исходящей почты.

Для пользователей антивируса Dr.Web for Windows компанией объявлена акция по льготному переходу на Dr.Web for Windows (антивирус + антиспам).

Резюме

Антиспамная защита в одном из известнейших российских антивирусов работает не хуже, чем другие антиспам-фильтры. Более того, по показателям спам-негативных результатов он показал лучшие результаты из того, что нам встречалось ранее. Механизм обучения прост, в панелях почтовых клиентов ничего дополнительного не появляется — ничто не нарушает наши привычки и не отвлекает от работы.





Дополнительно

iXBT BRAND 2016

"iXBT Brand 2016" - Выбор читателей в номинации "Процессоры (CPU)":
Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.