KASPERSKY Anti-Spam 3.0 User Manual [ru]

ЛАБОРАТОРИЯ КАСПЕРСКОГО

Kaspersky® Anti-Spam 3.0

РУКОВОДСТВО АДМИНИСТРАТОРА

KASPERSKY® ANTI-SPAM 3.0

Руководство

администратора

Тел., факс: +7 (495) 797-87-00, +7 (495) 645-79-39

http://www.kaspersky.ru

Дата редакции: май 2007 года

Содержание

ГЛАВА 1. KASPERSKY® ANTI-SPAM 3.0.................................................................... 6

1.1. Что нового в версии 3.0 ...................................................................................... 7

1.2. Лицензионная политика...................................................................................... 9

1.3. Аппаратные и программные требования к системе....................................... 9

1.4. Комплект поставки............................................................................................. 10

1.4.1. Лицензионное соглашение........................................................................ 11

1.4.2. Регистрационная карточка........................................................................ 11

1.5. Сервис для зарегистрированных пользователей......................................... 12

ГЛАВА 2. АРХИТЕКТУРА KASPERSKY ANTI-SPAM И ПРИНЦИПЫ

ФИЛЬТРАЦИИ СПАМА............................................................................................ 13

2.1. Состав продукта ................................................................................................ 13

2.2. Технологии распознавания.............................................................................. 17

2.2.1. Анализ формальных признаков................................................................ 17

2.2.2. Контентная фильтрация............................................................................ 18

2.2.3. Проверки с помощью внешних сервисов ................................................ 19

2.2.4. Технология Urgent Detection System ........................................................ 20

2.3. Результаты распознавания и действия над сообщениями......................... 21

2.4. Базы Kaspersky Anti-Spam................................................................................ 22

2.5. Политики фильтрации ...................................................................................... 22

2.6. Центр управления ............................................................................................. 23

2.7. Мониторинг......................................................................................................... 24

ГЛАВА 3. УСТАНОВКА KASPERSKY ANTI-SPAM................................................... 25

3.1. Подготовка к установке..................................................................................... 25

3.2. Установка дистрибу тива Kaspersky Anti-Spam.............................................. 26

3.3. Настройка доступа к Центру управления....................................................... 27

3.4. Установка ключа................................................................................................ 28

3.5. Интеграция Kaspersky Anti-Spam c почтовым сервером ............................ 29

3.6. Настройка обновления баз Kaspersky Anti-Spam и использования

сервиса UDS..................................................................................................... 31

ГЛАВА 4. УПРАВЛЕНИЕ СЕРВЕРОМ ФИЛЬТРАЦИИ СПАМА ............................. 32

4 Kaspersky® Anti-Spam 3.0

4.1. Запуск и управление компонентами Kaspersky Anti-Spam .......................... 32

4.2. Центр управления Kaspersky Anti-Spam ........................................................ 33

4.3. Управление политикой фильтрации............................................................... 34

4.3.1. Общая политика фильтрации................................................................... 35

4.3.2. Управление «белым» и «черным» списками.......................................... 43

4.3.3. Управление списками используемых сервисов DNSBL........................ 45

4.3.4. Управление списком защищаемых до менов.......................................... 47

4.3.5. Управление группами ................................................................................ 49

4.3.6. Управление групповой политикой фильтрации ..................................... 51

4.3.7. Действия над сообщениями...................................................................... 53

4.4. Обновление баз Kaspersky Anti-Spam............................................................ 55

4.4.1. Настройка параметров обновления......................................................... 55

4.4.2. Запуск обновления..................................................................................... 58

4.5. Настройка сервера фильтрации спама.......................................................... 59

4.5.1. Общие параметры сервера фильтрации................................................ 60

4.5.2. Параметры работы мастер-процесса фильтрации............................... 61

4.5.3. Параметры работы фильтрующих процессов........................................ 62

4.5.4. Параметры распознавания спама............................................................ 64

4.5.5. Настройки клиентских м оду лей................................................................ 66

4.5.6. Сообщения об отказе приема письма..................................................... 67

4.6. Настройки Центра управления ........................................................................ 69

4.7. Управление ключами........................................................................................ 70

4.7.1. Просмотр информации о ключе ............................................................... 71

4.7.2. Установка нового ключа............................................................................. 72

4.7.3. Удаление ключа.......................................................................................... 73

4.8. Мониторинг работы сервера фильтрации..................................................... 73

4.8.1. Общие сведения о состоянии продукта .................................................. 73

4.8.2. Сообщения и отчеты системы мониторинга........................................... 79

4.9. Статистика работы Kaspersky Anti-Spam....................................................... 80

ГЛАВА 5. УДАЛЕНИЕ KASPERSKY ANTI-SPAM ..................................................... 82

ГЛАВА 6. ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ.......................................................... 84

ПРИЛОЖЕНИЕ A. ДОПОЛНИТЕЛЬНЫЕ СВЕДЕНИЯ О KASPERSKY ANTI-

SPAM.......................................................................................................................... 88

A.1. Расположение файлов продукта по каталогам ............................................ 88

A.2. Клиентские модули почтовых серверов ........................................................ 89

Содержание 5

A.2.1. Взаимодействие клиентских модулей с сервером фильтрации..........90

A.2.2. Общие параметры клиентских модулей ................................................. 90

A.2.3. kas-milter – клиентский моду ль для почтового сервера Sendmail ....... 92

A.2.4. kas-pipe – клиентский моду ль для почтовых серверов Postfix, Exim .. 94

A.2.5. kas-exim – клиентский мо дуль для почтового сервера Exim.............. 101

A.2.6. kas-qmail – клиентский моду ль для почтового сервера Qmail ........... 103

A.2.7. kas-cgpro – клиентский модуль для почтового сервера

Communigate Pro....................................................................................... 105

A.3. Конфигурационные файлы Kaspersky Anti-Spam....................................... 107

A.3.1. Основной конфигурационный файл filter.conf ......................................107

A.3.2. Конфигурационный файл kas-thttpd.conf .............................................. 113

A.4. Утилиты Kaspersky Anti-Spam ....................................................................... 113

A.4.1. kas-htpasswd ............................................................................................. 114

A.4.2. kas-show-license........................................................................................ 114

A.4.3. install-key.................................................................................................... 115

A.4.4. remove-key................................................................................................. 116

A.4.5. kas-restart...................................................................................................117

A.4.6. mkprofiles ................................................................................................... 118

A.4.7. sfmonitoring ................................................................................................ 119

A.4.8. sfupdates .................................................................................................... 119

A.5. Специальные заголовки модуля фильтрации............................................ 121

A.6. Настройки сервиса cron ................................................................................. 124

ПРИЛОЖЕНИЕ B. КАК ПЕРЕСЛАТЬ СПАМ ГРУППЕ СПАМ-АНАЛИТИКОВ.... 127

ПРИЛОЖЕНИЕ C. ЗАО «ЛАБОРАТОРИЯ КАСПЕРСКОГО» .............................. 129

C.1. Другие разработки «Лаборатории Касперского »........................................ 130

C.2. Наши координаты........................................................................................... 141

ПРИЛОЖЕНИЕ D. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ СТОРОННИХ

ПРОИЗВОДИТЕЛЕЙ.............................................................................................. 144

ГЛАВА 1. KASPERSKY® ANTI-

SPAM 3.0

Kaspersky® Anti-Spam 3.0 (далее также Kaspersky Anti-Spam, продукт) является программным комплексом, который осуществляет фильтрацию электронной почты с целью защиты пользователей почтовой системы от нежелательных массовых рассылок – спама.

На основании правил, заданных администратором, Kaspersky Anti-Spam обрабатывает сообщение, а именно: доставляет получателю в неизменном виде, блокирует, генерирует сообщение о невозможности приема письма, добавляет или изменяет заголовок, и выполняет другие действия, заданные администратором.

Каждое почтовое сообщение проверяется на присутствие в нем признаков, характерных для нежелательных массовых рассылок.

Во-первых, проверяются различные параметры письма: адреса отправителя и получателя (envelope), размер письма, а также различные заголовки письма (включая заголовки From и To). Кроме того, Kaspersky Anti-Spam выполняет следующие проверки в процессе анализа:

• проверка адреса помощью «черных» и «белых» списков;

• наличие IP-адреса отправителя в том или ином DNS-based real time black hole list (DNSBL);

отправителя письма (e-mail и / или IP-адрес) с

DNSBL (DNS based black hole list) – база данных IP-адресов почтовых серверов, с которых ведется

неконтролируемая рассылка. Такие почтовые сервера принимают почту от кого угодно и отправляют ее далее кому угодно. Использование DNSBL дает возможность автоматически прием почты с подобных серверов. Политика формирования списков различается у различных сервисов. Внимательно ознакомьтесь с политикой сервиса, прежде чем использовать его списки для фильтрации почты.

• наличие DNS-записи о сервере-отправителе (reverse DNS lookup);

• проверка IP-адреса отправителя на соответствие списку

разрешенных адресов для домена с помощью технологии Sender Policy Framework (SPF);

запрещать

Kaspersky® Anti-Spam 3.0 7

• проверка с помощью сервиса Spam URI Realtime Blocklists (SURBL) адресов и ссылок на сайты, присутствующих в тексте письма.

Во-вторых, используется контентная фильтрация, т. е. анализируется содержание самого письма (включая заголовок Subject) и файлов вложений

. При этом применяются лингвистические алгоритмы, основанные на сравнении с письмами-образцами и на поиске характерных терминов (слов и словосочетаний).

Также Kaspersky Anti-Spam проводит проверку графических вложений, сравнивая их с сигнатурами известных спам-сообщений. Результаты этого сравнения также учитываются при принятии решения о принадлежности письма к спаму.

Над письмами, в которых обнаружены те или иные признаки нежелательной корреспонденции, выполняются действия, заданные политикой фильтрации (см. п. 2.3 на стр. 21).

Настройка политики фильтрации выполняется администратором при помощи Центра управления (см. п. 2.6 на стр. 23).

1.1. Что нового в версии 3.0

Kaspersky Anti-Spam 3.0 сохраняет все преимущества предыдущей версии, а также содержит ряд следующих улучшений и дополнений:

1. Новая версия фильтрующего ядра Спамтест.

Новое фильтрующее ядро, входящее в состав Kaspersky Anti-Spam 3.0, обладает следующими свойствами:

• повышенная производительность и стабильность работы;

• низкие требования к объему оперативной памяти;

• низкий уровень трафика, передаваемого через интернет

(обновления баз

2. Усовершенствованные методы фильтрации.

Практически все методы определения спама, использовавшиеся в предыдущих версиях, были улучшены, в том числе:

• улучшены алгоритмы разбора HTML-объектов почтовых сообщений (увеличивает эффективность борьбы с

Kaspersky Anti-Spam).

Проверяются вложения форматов Plain text, HTML, Microsoft Word, RTF

(подробнее см. п. 2.2.2 на стр. 18).

8 Kaspersky® Anti-Spam 3.0

различными трюками спамеров, направленными на обход систем фильтрации);

• расширена и улучшена система анализа заголовков почтовых сообщений;

• усовершенствована система анализа графических вложений (GSG);

• добавлено использование сервисов Sender Policy Framework (SPF) и Spam URL Realtime Blocklists (SURBL);

• включено использование собственного сервиса Urgent Detection System (UDS), позволяющего получать данные о

некоторых видах спам-рассылок в режиме реального времени.

3. Принципиально

новый пользовательский интерфейс.

Kaspersky Anti-Spam 3.0 использует Центр управления, который позволяет:

• выполнять настройку продукта: правила фильтрации, действия над сообщениями, параметры производительности и т.д.;

• управлять ключами на использование продукта: выполнять установку ключей, просматривать сведения о текущем ключе;

• производить мониторинг работы продукта и просматривать статистические данные.

4. Удобная настройка политик фильтрации.

версии 3.0 настройка политик фильтрации осуществляется с

В помощью интуитивно понятного интерфейса Центра управления, что дает следующие преимущества:

• простота администрирования: удобный интерфейс обеспечивает минимальный набор инструментов, необходимых для администрирования системы, предоставляя при этом широкие возможности для адаптации системы под конкретные условия эксплуатации;

• отдельные настройки для групп пользователей: для каждой группы имеется возможность независимо включить / отключить использование определенных методов проверки, а также определить действия, выполняемые над сообщениями.

Kaspersky® Anti-Spam 3.0 9

5. Усовершенствованные средства интеграции и инфраструктуры продукта:

• переработаны и улучшены модули взаимодействия с такими почтовыми серверами как Sendmail и

Communigate Pro;

• разработана новая система доставки обновлений баз Kaspersky Anti-Spam;

• все настройки сведены в единый конфигурационный файл, что упрощает настройку и администрирование системы.

1.2. Лицензионная политика

Политика лицензирования Kaspersky Anti-Spam 3.0 предполагает систему ограничений на использование продукта по следующим критериям:

• объем почтового трафика;

• количество защищаемых почтовых адресов.

Указанные ограничения учитываются только для сообщений, адресованных пользователям защищаемых доменов. Список защищаемых доменов, почтовый трафик которых фильтруется продуктом, настраивается при помощи Центра управления (см. п. 4.3.4 на стр. 47). Почта, адресованная пользователям доменов фильтрации.

, не включенных в список, не подвергается

Задайте список защищаемых доменов прежде, чем приступить к использованию Kaspersky Anti-Spam.

1.3. Аппаратные и программные требования к системе

Для корректной работы Kaspersky Anti-Spam необходимо соответствие системы следующим аппаратным и программным требованиям:

• Процессор Intel Pentium III с частотой не менее 500 МГц.

• Объем свободной оперативной памяти не менее 512 MБ.

• Одна из следующих операционных систем:

• RedHat Linux 9.0.

10 Kaspersky® Anti-Spam 3.0

• Fedora Core 3.

• RedHat Enterprise Linux Advanced Server 3.

• SuSe Linux Enterprise Server 9.0.

• SuSe Linux Professional 9.2.

• Mandrakelinux version 10.1.

• Debian GNU/Linux 3.1.

• FreeBSD 5.4.

• FreeBSD 6.2.

• Один из следующих почтовых серверов:

• Sendmail 8.13.5 с поддержкой Milter API.

• Postfix 2.2.2.

• Qmail 1.03.

• Exim 4.50.

• Communigate Pro 4.3.7.

• Установленные утилиты bzip2 и which.

• Интерпретатор языка Perl.

1.4. Комплект поставки

Kaspersky Anti-Spam вы можете приобрести у наших дистрибьюторов (коробочный вариант), а также в одном из интернет-магазинов (например,

www.kaspersky.ru

Если вы приобретаете продукт в коробке, то в комплект поставки программного продукта входят:

• Запечатанный конверт с установочным компакт-диском, на котором записаны файлы программного продукта.

• Руководство пользователя.

• Ключ, записанный на специальную дискету.

• Регистрационная карточка (с указанием серийного номера продукта).

• Лицензионное cоглашение.

, раздел Электронный магазин).

Kaspersky® Anti-Spam 3.0 11

Перед тем как распечатать конверт с компакт-диском (или с дискетами), внимательно ознакомьтесь с Лицензионным соглашением.

При покупке Kaspersky Anti-Spam в интернет-магазине вы копируете продукт с веб-сайта «Лаборатории Касперского», в дистрибутив которого помимо самого продукта включено также данное Руководство. Ключ будет вам отправлен по электронной почте по факту оплаты.

1.4.1. Лицензионное соглашение

Лицензионное соглашение – это юридическое соглашение между вами и ЗАО «Лаборатория Касперского», в котором указано, на каких условиях вы можете пользоваться приобретенным вами программным продуктом.

Внимательно прочитайте Лицензионное соглашение!

Если вы не согласны с условиями Лицензионного соглашения, вы можете вернуть коробку с продуктом дистрибьютору, у которого она была приобретена, и получить назад конверт с установочным компакт-диском (или с дискетами) должен оставаться запечатанным.

Открывая запечатанный пакет с установочным компакт-диском (или с дискетами), вы тем самым принимаете все условия Лицензионного

cоглашения.

сумму, уплаченную за продукт. При этом

1.4.2. Регистрационная карточка

Пожалуйста, заполните отрывной корешок регистрационной карточки, по возможности наиболее полно указав свои координаты: фамилию, имя, отчество (полностью), телефон, адрес электронной почты (если она есть), и отправьте ее дистрибьютору, у которого вы приобрели программный продукт.

Если впоследствии у вас изменится почтовый / электронный адрес или телефон, пожалуйста, сообщите об этом в организацию, куда отправлен отрывной корешок регистрационной карточки.

Регистрационная карточка является документом, на основании которого вы приобретаете статус зарегистрированного пользователя нашей компании. Это дает вам право на техническую поддержку в течение срока действия ключа. Кроме того, зарегистрированным пользователям, подписавшимся на рассылку новостей ЗАО «Лаборатория Касперского», высылается информация о выходе новых программных продуктов.

был

12 Kaspersky® Anti-Spam 3.0

1.5. Сервис для зарегистрированных пользователей

ЗАО «Лаборатория Касперского» предлагает своим легальным пользователям большой комплекс услуг, позволяющих увеличить эффективность использования Kaspersky Anti-Spam.

Приобретая ключ, вы становитесь зарегистрированным пользователем и в течение срока действия ключа можете получать следующие услуги:

• предоставление новых версий данного программного продукта;

• консультации по вопросам, связанным с установкой, настройкой и

эксплуатацией данного программного продукта. Получить консультацию вы можете одним из следующих способов:

• позвонить по телефону в Службу технической поддержки;

• создать и отправить запрос на веб-сайте Службы технической поддержки (http://www.kaspersky.ru/

helpdesk) или из своего персонального кабинета.

• оповещение о выходе новых программных продуктов «Лаборатории Касперского» и о новых угрозах информационной безопасности, появляющихся в мире (данная услуга предоставляется пользователям, подписавшимся на рассылку новостей ЗАО «Лаборатория Касперского»).

Консультации по вопросам функционирования и использования операционных систем, а также работы различных технологий не проводятся.

ГЛАВА 2. АРХИТЕКТУРА

KASPERSKY ANTI-SPAM И

ПРИНЦИПЫ ФИЛЬТРАЦИИ СПАМА

Данный раздел содержит описание основных компонентов продукта и принципов фильтрации, а также описание основного инструмента управления и настройки Kaspersky Anti-Spam – Центра управления.

2.1. Состав продукта

Kaspersky Anti-Spam 3.0 представляет собой систему распознавания и фильтрации спама, работающую в интеграции с почтовым сервером. Kaspersky Anti-Spam 3.0 не является полнофункциональным почтовым

сервером, способным принимать почту, пересылать ее или доставлять электронные сообщения в почтовые ящики конечных пользователей. Внутренняя архитектура Kaspersky Anti-Spam представлена на рис. 1.

Рисунок 1. Архитектура Kaspersky Anti-Spam

14 Kaspersky® Anti-Spam 3.0

Kaspersky Anti-Spam включает в себя следующие компоненты:

• Клиентские модули – предназначены для интеграции продукта с почтовым сервером.

• Сервер фильтрации – компонент, осуществляющий анализ почтовых сообщений, их классификацию и обработку. В состав сервера фильтрации входит также ряд вспомогательных модулей, обеспечивающих его работу и интеграцию с почтовыми серверами:

• Модуль фильтрации – модуль, выполняющий

фильтрацию

спама.

• Модуль лицензирования – модуль управления ключами, а также списком защищаемых доменов.

• Базы Kaspersky Anti-Spam – набор данных, используемых сервером фильтрации для классификации сообщений; обновления баз публикуются на серверах «Лаборатории Касперского» каждые двадцать минут.

• Модуль обновления баз Kaspersky Anti-Spam – система, обеспечивающая автоматическую загрузку баз с серверов обновлений и ее установку для использования

сервером

фильтрации спама.

• Центр управления – веб-интерфейс, с помощью которого администратор системы может осуществлять настройку продукта, а также анализировать его состояние и работоспособность.

• Система мониторинга – система, осуществляющая контроль состояния Kaspersky Anti-Spam и отдельных его компонентов, и сигнализирующая администратору системы о различных неполадках в работе продукта.

Клиентские модули предназначены для

интеграции Kaspersky Anti-Spam с различными почтовыми серверами. Каждый клиентский модуль учитывает особенности конкретного почтового сервера и выбранного способа интеграции.

В поставку Kaspersky Anti-Spam включены клиентские модули для почтовых серверов Sendmail, Postfix, Exim, Qmail и Communigate Pro.

Как правило, клиентский модуль устанавливается в качестве фильтра и обеспечивает прием от почтового сервера писем, подлежащих фильтрации, и последующий возврат модифицированных писем.

Запуск клиентских

модулей осуществляется почтовым сервером. Исключение составляет лишь Sendmail, не выполняющий запуск клиентского модуля. Почтовый сервер может запустить несколько

Архитектура Kaspersky Anti-Spam 15

клиентских модулей для параллельной обработки нескольких писем. Подробнее о клиентских модулях и способах их интеграции с почтовыми серверами см. п. A.2 на стр. 89.

Независимо от особенностей того или иного клиентского модуля его взаимодействие с сервером фильтрации осуществляется через сетевой или локальный сокет с использованием внутреннего протокола обмена данными.

Сервер фильтрации отвечает на

запросы обращающихся к нему клиентов,

принимает от них письма для проверки и возвращает им результаты.

При использовании стандартной процедуры инсталляции почтовый сервер с интегрированным в нее клиентским модулем и сервер фильтрации устанавливаются на одной и той же машине.

Однако существует возможность установить сервер фильтрации Kaspersky Anti-Spam на отдельном сервере: в этом случае клиентские модули, работающие на другом компьютере (сервере), будут обмениваться данными с сервером фильтрации через локальную сеть по протоколу TCP.

Работая на выделенном компьютере, сервер фильтрации может обслуживать сразу несколько почтовых серверов при условии, что мощности используемого компьютера достаточно для обработки суммарного почтового трафика.

В состав сервера фильтрации входят:

• Модуль фильтрации

, осуществляющий проверку писем.

• Модуль лицензирования, проверяющий наличие файла действующего ключа, а также проверяющий cоблюдение ограничений, определенных приобретенным ключом.

• Демон обработки SPF-запросов.

• Скрипт автоматической загрузки и компиляции обновлений баз

Kaspersky Anti-Spam.

• Центр управления.

• Вспомогательные программы и скрипты.

Основным компонентом модуля фильтрации является мастер-процесс фильтрации (ap-process-server), выполняющий следующие функции:

• отслеживание запросов на соединение с фильтрующим процессом, поступающих от клиентских модулей;

• запуск новых фильтрующих процессов при отсутствии свободных;

• контроль статуса запущенных процессов;

16 Kaspersky® Anti-Spam 3.0

• завершение дочерних процессов при получении соответствующего сигнала (например, SIGHUP).

При значительном объеме почтового трафика количество запущенных фильтрующих процессов может доходить до нескольких десятков. При снижении нагрузки на почтовый сервер свободные фильтрующие процессы прекращают работу. Максимальное и минимальное количество запущенных фильтрующих процессов определяется настройками сервера фильтрации (см. п. A.3.1 на стр. 107).

Фильтрующий

процесс (ap-mailfilter) при запуске загружает используемые политики фильтрации, а также базы Kaspersky Anti-Spam. После установления соединения с клиентским модулем фильтрующий процесс получает от него заголовки и тело письма, выполняет их анализ и возвращает клиентскому модулю полученные результаты.

Если необходимо выполнить проверку отправителя письма на соответствие политике SPF, фильтрующий процесс передает запрос SPF-демону

(ap-spfd

), который выполняет необходимые запросы к DNS-серверу и

возвращает фильтрующему процессу результаты проверки.

Анализ письма и применение к нему правил, определенных политиками фильтрации, производится только при наличии действующего ключа.

Все проверки, связанные с лицензированием, осуществляются модулем лицензирования (kas-license) по запросу от фильтрующего процесса.

Закончив обработку письма, фильтрующий процесс не прекращает работу а ждет поступления нового запроса. Выполнение фильтрующего процесса завершается после того, как он обработал максимальное для одного процесса количество писем (обычно 300) или долгое время находится в состоянии ожидания.

Скрипт автоматической загрузки обновлений (sfupdates) запускается по расписанию (с помощью сервиса cron) и обеспечивает загрузку последней версии баз Kaspersky Anti-Spam с серверов обновлений, сборку рабочей версии базы и установку ее для использования сервером фильтрации.

Центр управления представляет собой веб-интерфейс, с помощью которого администратор системы осуществляет настройку продукта и политик фильтрации спама.

Система мониторинга осуществляет контроль за состоянием компонентов Kaspersky Anti-Spam и сигнализирует администратору системы о

возникающих в работе сервера фильтрации и других компонентов программного продукта

неполадках.

Архитектура Kaspersky Anti-Spam 17

Обработка почтового трафика выполняется Kaspersky Anti-Spam 3.0 согласно следующему алгоритму:

1. Клиентский модуль продукта интегрируется с установленным почтовым сервером.

2. Почтовый сервер передает сообщения клиентскому модулю для дальнейшей проверки сервером фильтрации.

3. Сервер фильтрации производит проверку писем на наличие в них признаков спама и, в зависимости от полученного результата, производит модификацию писем согласно указанным правилам.

4. Обработанные почтовые сообщения возвращаются клиентским модулем почтовому серверу для дальнейшей доставки.

2.2. Технологии распознавания

Kaspersky Anti-Spam предоставляет мощный инструментарий для

обнаружения спама в потоке электронной почты. В данном разделе приводится краткий обзор реализованных в продукте технологий обнаружения спама.

2.2.1. Анализ формальных признаков

Этот метод использует набор правил, основанных на проверке наличия определенных заголовков в письме и сравнении их с наборами заголовков, характерных для спам-сообщений. Помимо анализа заголовков при обнаружении спама учитывается структура электронного сообщения, его размер, наличие вложений и другие сходные признаки.

Метод также обеспечивает анализ данных, передаваемых отправителем в процессе SMTP-сессии информация:

• IP-адрес сервера, с которого получено письмо, и принадлежность его к «белому» или «черному» спискам отправителей;

• IP-адрес промежуточных серверов пересылки, полученных из заголовков Received;

• почтовые адреса отправителя и получателей, переданные в командах SMTP-сессии;

• принадлежность почтовых адресов отправителя и получателей к «белому» или

• соответствие адресов, переданных в SMTP-сессии, набору адресов, указанных в заголовках письма, а также ряд других проверок.

. В частности анализируется следующая

«черному» спискам адресов;

18 Kaspersky® Anti-Spam 3.0

2.2.2. Контентная фильтрация

Контентная фильтрация используется Kaspersky Anti-Spam при анализе содержимого почтовых сообщений. При этом с использованием технологий искусственного интеллекта анализируется содержание самого письма (включая заголовок Subject), а также вложений (прикрепленных файлов) в следующих форматах:

• текстовый: plain text (ASCII, не multibyte);

• HTML (2.0, 3.0, 3.2, 4.0, XHTML 1.0);

• Microsoft Word (версии 6.0, 95/97/2000/XP);

• RTF.

Задача фильтрации спама состоит в том, чтобы снизить количество нежелательной корреспонденции в почтовых Стопроцентное обнаружение нежелательной корреспонденции не может быть гарантировано в частности и потому, что слишком жесткие критерии неизбежно привели бы к отфильтровыванию части полезной корреспонденции.

Для обнаружения спам-писем используются три группы методов:

• Сравнение текста сообщения с семантическими образами

различных категорий (на основе поиска в теле письма ключевых терминов (слов и словосочетаний) и их последующего вероятностного анализа). Этот метод обеспечивает эвристический поиск характерных фраз и оборотов в тексте.

• Нечеткое сравнение анализируемого сообщения с набором сообщений-образцов путем сопоставления их cигнатур. Этот метод

позволяет выявлять модифицированные спам-сообщения.

• Анализ графических вложений.

Все данные, используемые Kaspersky Anti-Spam для контентной фильтрации, – рубрикатор (иерархический список категорий), образцы писем, характерные термины и т. п. – хранятся в базах Kaspersky Anti-

Spam.

ящиках пользователей.

Архитектура Kaspersky Anti-Spam 19

Группа спам-аналитиков «Лаборатории Касперского» ведет постоянную работу по пополнению и совершенствованию баз Kaspersky Anti-Spam, поэтому рекомендуется регулярно обновлять базы (см. п. 4.4 на стр. 55).

Также вы можете пересылать в «Лабораторию Касперского» образцы спамсообщений, которые не были распознаны Kaspersky Anti-Spam, а также образцы писем, которые были ошибочно классифицированы как спам. Ваши данные помогут нам совершенствовать оперативно реагировать на новые виды рассылок спама. Подробнее о пересылке образцов писем см. Приложение B на стр. 127.

базы Kaspersky Anti-Spam и

2.2.3. Проверки с помощью внешних сервисов

Помимо анализа текста и заголовков письма Kaspersky Anti-Spam позволяет выполнить ряд следующих проверок с помощью внешних сетевых сервисов:

• проверка наличия IP-адреса отправителя письма в DNS (reverse DNS

lookup);

• проверка наличия IP-адреса отправителя в одном или нескольких сервисах DNSBL (DNS-based black hole list);

• проверка отправителя письма на предмет соответствия его адреса политике SPF (Sender Police Framework) для домена, с почтового сервера которого отправлено

• проверка ссылок, содержащихся в почтовом сообщении, на наличие в базе спам-адресов с помощью сервиса SURBL (Spam URL Realtime

Blocklists – www.surbl.org);

• распознавание электронных сообщений с помощью технологии UDS (Urgent Detection System).

Все перечисленные выше проверки, за исключением UDS-проверок, основаны на использовании протокола DNS и, как правило, не требуют дополнительных настроек сети.

данное письмо;

20 Kaspersky® Anti-Spam 3.0

2.2.4. Технология Urgent Detection

System

Технология Urgent Detection System представляет собой оригинальную технологию обнаружения рассылок спама, разработанную и поддерживаемую «Лабораторией Касперского». Принципы действия данной технологии следующие:

• Из анализируемого письма выделяется набор признаков, при

помощи которых выполняется идентификация сообщения. В набор признаков может быть включена информация из заголовков, фрагменты текста и другая информация об обрабатываемом письме.

• Используя полученные признаки, сервер фильтрации формирует

компактный UDS-запрос и пересылает его на один из UDS-серверов «Лаборатории Касперского».

Поскольку на внешние серверы не передается никаких данных, позволяющих восстановить адресатов или текст обрабатываемого письма, использование данного метода не несет никакой угрозы безопасности и конфиденциальности ваших данных.

• На UDS-сервере производится проверка полученного запроса по

базе известных спам-рассылок. В случае если запрос соответствует одной из известных рассылок, на сервер фильтрации отправляется сообщение о том, что данное письмо с большой вероятностью является спамом. Данная информация учитывается при присвоении статуса сообщению.

Технология UDS позволяет фильтровать известные спам-рассылки, не дожидаясь

Spam.

Взаимодействие сервера фильтрации с UDS-серверами «Лаборатории Касперского» выполняется по проколу UDP, для связи используется порт

7060. Для использования UDS сервер фильтрации должен иметь возможность устанавливать исходящие соединения на данный порт.

Информация о дост упных UDS-серверах содержится в базах Kaspersky Anti-Spam. Выбор конкретного UDS-сервера, с помощью которого будет производиться анализ писем, производится автоматически на основе анализа времени

ответа доступных UDS-серверов.

обновления баз Kaspersky Anti-

Архитектура Kaspersky Anti-Spam 21

2.3. Результаты распознавания и действия над сообщениями

Результатом анализа является присвоение почтовому сообщению одного из следующих статусов:

• Spam – письмо распознано как спам с высокой степенью достоверности.

• Probable Spam – письмо содержит некоторые признаки спамсообщения, однако не может быть однозначно классифицировано как спам.

• Formal – письмо является формальным сообщением, например, уведомлением почтового сервера о доставке или невозможности доставки категории относятся сообщения, автоматически рассылаемые почтовыми программами. Такие сообщения, как правило, не считаются спамом.

• Trusted – письмо получено из доверенных источников, например, с внутренних почтовых серверов. Список доверенных источников («белый» список отправителей) создается администратором. Также статус Trusted присваивается сообщениям, адресованным пользователям, для почтовых сообщений на спам отключена.

• Blacklisted – письмо получено с почтового адреса, содержащегося в «черном» списке отправителей. «Черный» список отправителей создается администратором.

• Not detected – письмо не распознано как спам-сообщение.

Каждому почтовому сообщению может быть присвоен лишь один из перечисленных статусов. Статус, присвоенный письму в результате проверки, записывается в специальный заголовок X-Spamtest-Status- Extended. Подробнее о заголовках, добавляемых к сообщению в результате фильтрации, см. п. A.5 на стр. 121.

После распознавания к почтовому сообщению может быть применено одно из следующих действий:

• принять сообщение;

• перенаправить сообщение или его копию на другой адрес;

• поставить текстовую метку в поле

почты, или о зараженности письма вирусом. К данной

которых в групповой политике проверка

темы сообщения;

22 Kaspersky® Anti-Spam 3.0

• добавить специальный заголовок в сообщение;

• удалить сообщение;

• отклонить прием сообщения.

Администратор системы может определить, какое из перечисленных действий будет выполняться над сообщениями с определенным статусом.

Безусловным приоритетом системного администратора при настройке продукта должно быть сохранение всей полезной корреспонденции, поскольку потеря одного важного письма может принести конечному пользователю значительно несанкционированных писем. Во избежание потери нужной корреспонденции рекомендуется применять к письмам, охарактеризованным по результатам контентного анализа как спам или возможный спам, только мягкие способы обработки. Например, дописывать в поле темы письма текстовую метку [!! SPAM].

больший вред, чем получение десятков

2.4. Базы Kaspersky Anti-Spam

Распознавание сообщений, содержащих спам, производится на основании данных регулярно обновляемых баз Kaspersky Anti-Spam. Базы Kaspersky Anti-Spam включают в себя наборы правил, термины и сигнатуры сообщений, используемые в процессе фильтрации.

Базы Kaspersky Anti-Spam загружаются с серверов обновлений «Лаборатории Касперского» с помощью модуля обновления. При этом для сокращения объема загружаемой информации, при каждом обращении к серверу система обновлений файлов.

Поскольку каждый день появляются новые образцы спам-сообщений, для нормальной работы продукта необходимо постоянно поддерживать базы Kaspersky Anti-Spam в актуальном состоянии. Рекомендуемый период обновления: каждые двадцать минут.

выполняет загрузку только обновившихся

Не забудьте обновить базы Kaspersky Anti-Spam сразу после установки продукта на ваш компьютер!

2.5. Политики фильтрации

Политики фильтрации применяются Kaspersky Anti-Spam для определения используемых методов распознавания спама, выполняемых над

Архитектура Kaspersky Anti-Spam 23

сообщениями действий, а также «черного» и «белого» списков отправителей.

Продукт использует двухуровневую систему политик фильтрации, состоящую из общей политики фильтрации и групповых политик фильтрации. Общая политика фильтрации содержит общие для всех групп настройки: методы, применяемые при распознавании сообщений, «черный» и «белый» списки отправителей. Групповые политики, помимо перечисленных настроек, определяют также действия сообщениями в зависимости от их статуса.

Прежде чем переходить к настройке групповых политик, администратору необходимо создать группы, характеризующиеся списком адресов получателей сообщений.

Применение политик продуктом осуществляется согласно следующему правилу: общая политика фильтрации определяет значение настроек по умолчанию для всех групп, в то время как настройки групповых политик могут

либо наследовать эти значения, либо переопределять их. Так, например, для группы пользователей, требующих более жесткую фильтрацию почтовых сообщений, могут быть усилены методы распознавания спама и выставлены более жесткие действия.

Набор настроек параметров распознавания тесно связан со свойствами баз Kaspersky Anti-Spam и может расширяться и изменяться по мере возникновения новых видов рассылок спама мере обновления баз Kaspersky Anti-Spam соответствующие настройки будут добавляться в интерфейс Центра управления Kaspersky Anti-Spam.

и правил их распознавания. По

, выполняемые над

2.6. Центр управления

Центр управления (Control center) представляет собой веб-приложение, позволяющее администратору контролировать работу и настраивать

Kaspersky Anti-Spam.

Центр управления обеспечивает выполнение следующих задач:

• мониторинг тек ущего состояния продукта и его отдельных компонентов;

• установка ключей и управление списком защищаемых доменов;

• отображение и экспорт статистики по обработанным сообщениям;

• управление общей и групповыми политиками

• настройка сервера фильтрации и других компонентов продукта.

фильтрации спама;

24 Kaspersky® Anti-Spam 3.0

2.7. Мониторинг

Для контроля состояния сервера фильтрации спама в Kaspersky Anti-Spam входит модуль мониторинга.

Информация о состоянии системы выводится в разделе Monitoring Центра управления.

Рисунок 2. Раздел Monitoring Центра управления

Данный раздел содержит параметры, контролируемые системой мониторинга, а также сообщения модулей продукта, на основе которых вы можете анализировать текущее состояние компонентов Kaspersky

Anti-Spam.

Также в процессе работы система мониторинга создает уведомления и отчеты. Скрипт мониторинга запускается периодически и, в случае обнаружения неполадок в работе системы, отправляет администратору системы сообщение с данными о отправляются однократно в момент обнаружения проблемы, за счет чего выполняется оперативное оповещение о ситуациях, требующих вмешательства администратора.

В дальнейшем, если неполадка не будет устранена, система мониторинга будет присылать ежедневные отчеты со сводкой всех выявленных, но не устраненных проблем.

Адрес электронной почты, на который система мониторинга будет отправлять сообщения, настраивается с помощью Центра управления.

выявленных проблемах. Сообщения

ГЛАВА 3. УСТАНОВКА

KASPERSKY ANTI-SPAM

Данный раздел содержит сведения о процессе установки программы, интеграции клиентских модулей с почтовым сервером, а также настройке доступа к основному инструменту управления программой – Центру управления.

3.1. Подготовка к установке

Прежде чем приступить к установке Kaspersky Anti-Spam:

• убедитесь, что система соответствует аппаратным и программным требованиям для установки Kaspersky Anti-Spam (см. п. 1.3 на стр. 9);

• убедитесь, что в вашем распоряжении имеется ключ для продукта Kaspersky Anti-Spam 3.0;

• убедитесь, что установлены программы bzip2, perl, which;

• убедитесь, что установленный у вас почтовый сервер функционирует

корректно;

• сохраните резервные сервера;

• зарегистрируйтесь в системе с правами пользователя root.

копии конфигурационных файлов почтового

Рекомендуется выполнять инсталляцию продукта в период наименьшей загрузки почтового сервера.

Установка Kaspersky Anti-Spam производится в пять этапов:

1. Установка дистрибутива Kaspersky Anti-Spam.

2. Установка ключа.

3. Интеграция клиентских модулей с почтовым сервером.

4. Настройка HTTP-сервера для доступа к Центру управления.

5. Настройка обновления баз Kaspersky Anti-Spam и использования

сервиса UDS.

В последующих разделах подробно описаны детали каждого из перечисленных этапов.

26 Kaspersky® Anti-Spam 3.0

3.2. Установка дистрибутива

Kaspersky Anti-Spam

Дистрибутив Kaspersky Anti-Spam 3.0 распространяется в нескольких вариантах:

• rpm-пакет для большинства дистрибутивов операционной системы Linux (RedHat, SuSe, Mandrake, Fedora и др.);

• deb-пакет для дистрибутива Debian;

• tbz-пакеты для разных версий операционной системы FreeBSD.

Использование того или иного инсталляционного пакета связано с установленной операционной системой.

Для запуска установки Kaspersky Anti-Spam из rpm-пакета в командной строке введите:

# rpm –i kas-3-<версия дистрибутива>.i386.rpm

Для запуска установки строке введите:

# dpkg –i kas-3-<версия дистрибутива>.i386.deb

Для запуска установки Kaspersky Anti-Spam из tbz-пакета в командной строке введите:

# pkg_add kas-3-<версия дистрибутива>.tbz

В процессе установки выполняются следующие действия:

• создание пользователя и группы mailflt3, с правами которых будет запускаться Kaspersky Anti-Spam;

• установка всех программ, входящих в состав Kaspersky Anti-Spam, в каталог /usr/local/ap-mailfilter3;

• создание и мастер-процесса фильтрации (ap-process-server), SPF-демона

(ap-spfd), модуля лицензирования (kas-license) и HTTP-сервера (kas-thttpd) при загрузке операционной системы;

• запуск необходимых программ и сервисов;

• создание сron-задачи пользователя mailflt3 для автоматического

запуска скрипта загрузки обновлений баз Kaspersky Anti-Spam, а также скрипта мониторинга работы сервера фильтрации.

Kaspersky Anti-Spam из deb-пакета в командной

установка скрипта, выполняющего автоматический запуск

Установка Kaspersky Anti-Spam 27

Завершив установку сервера фильтрации, установите ключ и выполните интеграцию почтового сервера с Kaspersky Anti-Spam.

3.3. Настройка доступа к Центру управления

По завершении процесса установки производится запуск сервиса kas-thttpd, открывающего локальный доступ к Центру управления. По умолчанию использутся следующие настройки Центра управления:

• адрес: http://127.0.0.1:3080/

• имя пользователя: admin.

• пароль: admin.

Обязательно измените имя пользователя и пароль для доступа к Центру управления после установки Kaspersky Anti-Spam. Использование стандартных значений создает угрозу безопасности вашей системы.

Также рекомендуется сменить порт подключения к Центру управления.

Имя пользователя и пароль сохраняются в каталоге cgi-скриптов Центра управления /usr/local/ap-mailfilter3/control/www/ в файле .htpasswd.

Создание нового пользователя или изменение уже существующего пароля производится с помощью утилиты kas-htpasswd, входящей в состав Kaspersky Anti-Spam. При запуске данной утилиты необходимо указать путь к файлу, содержащему пароли, а также имя создаваемого пользователя или пользователя, чей пароль

# /usr/local/ap-mailfilter3/bin/kas-htpasswd /usr/local/\ ap-mailfilter3/control/www/.htpasswd <имя пользователя>

После ввода указанной команды вам будет предложено ввести пароль для указанного пользователя.

Для того чтобы создать новый файл для хранения пароля указанного пользователя, используйте ключ командной строки –c:

# /usr/local/ap-mailfilter3/bin/kas-htpasswd –с \ /usr/local/ap-mailfilter3/control/www/.htpasswd \ <имя пользователя>

Изменения пароля вступают в силу сразу же после модификации файла

.htpasswd.

необходимо изменить:

28 Kaspersky® Anti-Spam 3.0

Пароли доступа к Центру управления хранятся в файле .htpasswd в зашифрованном виде.

Интерфейс и номер порта подключения к Центру управления задаются в конфигурационном файле /usr/local/ap-mailfilter3/etc/kas-thttpd.conf с помощью параметров host и port соответственно. Например, значения:

host=0.0.0.0

port=3080

определяют, что Центр управления ожидает подключение на порт 3080 на всех интерфейсах сервера. По умолчанию доступ к Центру управления возможен лишь с сервера, на котором установлен Kaspersky Anti-Spam (параметру host

После изменения номера порта выполните перезагрузку конфигурации Центра управления. Для дистрибутивов операционной системы Linux выполните команду:

# /etc/init.d/kas3-control-center restart

Для операционной системы FreeBSD выполните команду:

# /usr/local/etc/rc.d/kas3-control-center.sh restart

присвоено значение 127.0.0.1).

3.4. Установка ключа

Ключ поставляется вместе с дистрибутивом Kaspersky Anti-Spam.

Если по каким-либо причинам в вашем распоряжении нет ключа, обратитесь в Службу технической поддержки «Лаборатории Касперского» (раздел Сервис / Сайт технической поддержки на сайте компании).

Для того чтобы установить новый ключ с помощью Центра управления, выполните следующие действия:

1. При помощи веб-браузера подключитесь к Центру управления, набрав в адресной строке http://localhost:3080/. В качестве имени пользователя для подключения укажите admin, в качестве пароля – admin.

2. Перейдите на страницу управления ключами License → License Keys.

3. В поле, расположенном в Install a New License Key, укажите путь к файлу ключа или

нижней части страницы в разделе

Установка Kaspersky Anti-Spam 29

воспользуйтесь кнопкой Choose для выбора необходимого файла.

4. Нажмите на кнопку Apply.

Для того чтобы установить новый ключ локально с помощью командной строки, выполните следующую команду:

# /usr/local/ap-mailfilter3/bin/install-key <key>

где key – путь к файлу, содержащему ключ.

Если ключ не установлен или не действителен, Kaspersky Anti-Spam не выполняет фильтрацию почты. Работоспособность почтового сервера при этом не

Необходимо также учитывать то, что фильтрация почты осуществляется только для пользователей защищаемых доменов.

нарушается, почтовый трафик пропускается без проверки.

Не забудьте перед началом использования Kaspersky Anti-Spam заполнить список защищаемых доменов. Подробнее см. п. 4.3.4 на стр. 47.

3.5. Интеграция Kaspersky Anti-Spam c почтовым сервером

Интеграция Kaspersky Anti-Spam с почтовым сервером заключается в установке клиентского модуля и внесении соответствующих изменений в конфигурационные файлы.

Эти действия выполняются автоматически при помощи универсального скрипта настройки или, если интеграция при помощи универсального скрипта невозможна (например, в случае использования нестрандартной конфигурации почтового сервера), при помощи скриптов настройки конкретного почтового сервера.

Подробная информация о каждого из поддерживаемых почтовых серверов и об изменениях, которые вносятся в конфигурационные файлы, приведена в Приложении A.2 на стр. 89.

Для выполнения интеграции Kaspersky Anti-Spam с почтовым сервером, установленным на вашем сервере, запустите универсальный скрипт настройки:

# /usr/local/ap-mailfilter3/bin/MTA-config.pl

способах интеграции клиентских модулей для

30 Kaspersky® Anti-Spam 3.0

Указанный скрипт определяет тип используемого почтового сервера и вносит необходимые изменения в его конфигурационные файлы.

Однако, если ваш почтовый сервер установлен или настроен нестандартно, то скрипт MTA-config.pl может не найти его конфигурационных файлов. В этом случае воспользуйтесь скриптом настройки конкретного почтового сервера:

• Для интеграции Kaspersky Anti-Spam с почтовым сервером Sendmail выполните следующую команду

от имени пользователя root:

# /usr/local/ap-mailfilter3/bin/config-sendmail.pl <path>

где path – путь к конфигурационному файлу Sendmail.

• Для интеграции Kaspersky Anti-Spam с почтовым сервером Postfix выполните следующую команду от имени пользователя root:

# /usr/local/ap-mailfilter3/bin/config-postfix.pl <path>

где path – путь к конфигурационному файлу Postfix master.cf.

• Для интеграции Kaspersky Anti-Spam с почтовым сервером Exim выполните следующую команду от имени пользователя root:

# /usr/local/ap-mailfilter3/bin/config-exim.pl <path>

где path –

путь к конфигурационному файлу Exim.

Для дистрибутива Debian существует ряд особенностей интеграции Kaspersky Anti-Spam с почтовым сервером Exim. Для корректной интеграции используйте скрипт /usr/local/ap-mailfilter3/bin/config-exim- debian.pl. Подробнее см. п. A.2.4.2 на стр. 99.

• Для интеграции Kaspersky Anti-Spam с почтовым сервером Qmail выполните следующую команду от имени пользователя root:

# /usr/local/ap-mailfilter3/bin/config-qmail.pl <path>

где path – путь к каталогу Qmail.

Корректная интеграция с почтовым сервером Qmail при помощи скрипта config-qmail.pl возможна только тогда, когда Qmail использует учетную запись qmailq и группу qmail (используется по умолчанию).

Интеграция Kaspersky Anti-Spam с почтовым сервером Exim при помощи клиентского модуля kas-exim, а также с почтовым сервером Communigate Pro осуществляется администратором вручную.

+ 129 hidden pages

KASPERSKY Anti-Spam 3.0 User Manual [ru]

Specifications and Main Features

Frequently Asked Questions

User Manual

1.2. Лицензионная политика

2.7. Мониторинг