Kaspersky lab ANTI-SPAM 2.0 ENTERPRISE EDITION User Manual

ЛАБОРАТОРИЯ КАСПЕРСКОГО

Kaspersky Anti-Spam 2.0

Enterprise Edition / ISP Edition

РУКОВОДСТВО АДМИНИСТРАТОРА

KASPERSKY ANTI-SPAM 2.0

ENTERPRISE EDITION / ISP EDITION

Руководство

администратора

© ЗАО "Лаборатория Касперского"

Тел., факс: +7 (095) 797-87-00

http://www.kaspersky.ru

© ЗАО "Ашманов и Партнеры"

Тел., факс: +7 (095) 422-71-98

http://www.ashmanov.com

Дата редакции: июнь 2004 года

Содержание

ГЛАВА 1. KASPERSKY ANTI-SPAM 2.0 ENTERPRISE EDITION / ISP EDITION .... 8

1.1. Что нового в версии 2.0 .................................................................................... 10

1.2. Лицензионная политика.................................................................................... 12

1.3. Аппаратные и программные требования к системе..................................... 12

1.4. Комплект поставки............................................................................................. 13

1.4.1. Лицензионное соглашение........................................................................ 13

1.4.2. Регистрационная карточка........................................................................ 14

1.5. Сервис для зарегистрированных пользователей......................................... 14

1.6. Принятые обозначения..................................................................................... 15

ГЛАВА 2. СОСТАВ И АРХИТЕКТУРА KASPERSKY ANTI-SPAM .......................... 17

ГЛАВА 3. УСТАНОВКА KASPERSKY ANTI-SPAM................................................... 21

3.1. Подготовка к установке..................................................................................... 21

3.2. Установка программ, входящих в состав Kaspersky Anti-Spam .................. 22

3.3. Установка лицензионного ключа..................................................................... 23

3.4. Интеграция Kaspersky Anti-Spam с почтовой системой............................... 24

ГЛАВА 4. РАБОТА С KASPERSKY ANTI-SPAM И ПРИНЦИПЫ

ФИЛЬТРАЦИИ .......................................................................................................... 26

4.1. Настройка параметров фильтрации............................................................... 26

4.2. Порядок обновления данных........................................................................... 27

4.3. Принципы фильтрации..................................................................................... 27

4.3.1. Анализ адресов, заголовков и размера письма..................................... 28

4.3.2. Анализ содержания письма – контентная фильтрация........................ 29

4.3.3. Действия над письмами............................................................................. 31

4.3.4. Порядок применения профилей и правил фильтрации........................ 34

4.3.4.1. Порядок применения профилей........................................................ 34

4.3.4.2. Модификация письма в процессе обработки .................................. 36

4.3.4.3. Результаты работы Фильтра.............................................................. 37

4.4. Профили фильтрации, поставляемые с Фильтром...................................... 38

4.4.1. Этапы работы предустановленных профилей фильтрации................ 39

4 Kaspersky Anti-spam 2.0 Enterprise Edition / ISP Edition

4.4.1.1. Выявление признаков спама: анализ заголовков письма.............. 39

4.4.1.2. Оценка письма ..................................................................................... 40

4.4.1.3. Реакция на спам................................................................................... 42

4.4.2. Настройка предустановленных профилей фильтрации....................... 43

4.4.2.1. Выбор реакции на спам "по умолчанию" .......................................... 44

4.4.2.2. Выбор реакции на спам для конкретных пользователей............... 46

4.4.2.3. Выбор степени строгости фильтрации ............................................. 48

4.4.3. Специальные заголовки, проставляемые Фильтром ............................ 48

ГЛАВА 5. НАСТРОЙКА ПАРАМЕТРОВ ФИЛЬТРАЦИИ.......................................... 52

5.1. Запуск программы веб-конфигуратор............................................................. 53

5.2. Работа с программой веб-конфигу ратор ....................................................... 53

5.2.1. Работа с общими профилями. Закладка common ................................. 54

5.2.1.1. Создание общего профиля ................................................................ 55

5.2.1.2. Активизация общего профиля ........................................................... 56

5.2.1.3. Удаление профиля.............................................................................. 57

5.2.2. Работа с персональными профилями. Закладка personal.................... 57

5.2.2.1. Создание персонального профиля ................................................... 58

5.2.2.2. Активизация персонального профиля.............................................. 59

5.2.3. Редактирование профиля фильтрации................................................... 60

5.2.3.1. Создание правила ............................................................................... 61

5.2.3.2. Переход к реда ктированию су ществующего правила.................... 62

5.2.3.3. Удаление существующего правила.................................................. 62

5.2.3.4. Управление порядком применения правил ..................................... 63

5.2.3.5. Редактирование названия, описания и сферы применения

профиля фильтрации........................................................................... 64

5.2.3.6. Сохранение профиля.......................................................................... 65

5.2.4. Редактирование правила филь трации.................................................... 66

5.2.4.1. Страница редактирования правила фильтрации............................ 66

5.2.4.2. Задание нового условия ..................................................................... 67

5.2.4.3. Редактирование условия .................................................................... 73

5.2.4.4. Удаление условия................................................................................ 74

5.2.4.5. Формирование нового действ ия........................................................ 74

5.2.4.6. Редактирование действия.................................................................. 78

5.2.4.7. Удаление действия.............................................................................. 79

5.2.4.8. Сохранение правила........................................................................... 79

5.2.5. Работа со списками. Закла дки e-mails, ip-addresses, dns blacklists..... 80

Содержание 5

5.2.5.1. Просмотр списка.................................................................................. 80

5.2.5.2. Создание нового списка...................................................................... 82

5.2.5.3. Редактирование списка....................................................................... 83

5.2.5.4. Удаление списка.................................................................................. 87

5.2.5.5. Сохранение списков............................................................................ 88

5.2.6. Работа с образцами спамерских писем .................................................. 89

5.2.6.1. Добавление письма-образца ............................................................. 89

5.2.6.2. Редактирование письма-образца...................................................... 90

5.2.6.3. Удаление письма-образца.................................................................. 91

5.2.7. Общие настройки Фильтра........................................................................ 91

5.2.7.1. Уведомления отправителю об отказе............................................... 92

5.2.7.2. Формирование списка лицензирова нных пользователей.............. 93

5.2.8. Сохранение конфигурации Фильтра........................................................ 94

ГЛАВА 6. ОБНОВЛЕНИЕ БАЗЫ КОНТЕНТНОЙ ФИЛЬТРАЦИИ........................... 96

6.1. Выбор источника обновления Базы контентной фильтрации .................... 97

6.2. Запуск обновления............................................................................................ 97

6.2.1. Запуск по расписанию................................................................................ 98

6.2.2. Запуск из командной строки...................................................................... 98

6.3. Просмотр результатов работы........................................................................ 99

ПРИЛОЖЕНИЕ A. ДОПОЛНИТЕЛЬНЫЕ СВЕДЕНИЯ О KASPERSKY ANTI-

SPAM........................................................................................................................100

A.1. Программа ap-process-server (мастер-процесс) ......................................... 100

A.1.1. Запуск и остановка мастер-процесса.................................................... 100

A.1.2. Конфигурационный файл программы ap-process-server.................... 101

A.1.3. Уровни детализации записи в системный журнал (syslog) ................ 102

A.2. Параметры командной строки программы ap-mailfilter (процесс

фильтрации) ................................................................................................... 103

A.3. Клиентские модули для почтовых систем................................................... 105

A.3.1. Схема взаимодействия клиентс ких модулей с фильтрующим

сервисом .................................................................................................... 106

A.3.2. kas-milter (клиентский модуль для Sendmail)........................................ 107

A.3.2.1. Схема работы kas-milter ................................................................... 107

A.3.2.2. Конфигурационный файл программы kas-milter........................... 107

A.3.2.3. Настройка Sendmail при работе с kas-milter ..................................109

A.3.3. kas-pipe (клиентский мо дуль для Postfix, Exim).................................... 109

A.3.3.1. Схема работы kas-pipe ..................................................................... 109

6 Kaspersky Anti-spam 2.0 Enterprise Edition / ISP Edition

A.3.3.2. Конфигурационный файл программы kas-pipe............................. 110

A.3.3.3. Настройка Postfix при работе с kas-pipe......................................... 112

A.3.3.4. Настройка Exim при работе с kas-pipe............................................ 113

A.3.4. kas-exim (клиентский моду ль для Exim)................................................ 114

A.3.4.1. Компиляция kas-exim........................................................................ 114

A.3.4.2. Параметры конфигурации kas-exim................................................ 115

A.3.5. kas-qmail (клиентский моду ль для Qmail).............................................. 116

A.3.5.1. Схема работы kas-qmail ...................................................................116

A.3.5.2. Конфигурационный файл программы kas-qmail ........................... 116

A.3.5.3. Настройка Qmail при работе с kas-qmail ........................................ 118

A.3.6. kas-cgpro (клиентский моду ль для Communigate Pro)......................... 118

A.3.6.1. Схема работы kas-cgpro................................................................... 118

A.3.6.2. Конфигурационный файл программы kas-cgpro........................... 119

A.3.6.3. Настройка Communigate Pro при работе с kas-cgpro ...................120

A.4. Конфигурационные файлы............................................................................ 121

A.4.1. Состав конфигурационных файлов и их местонахождение в

файловой системе.................................................................................... 121

A.4.2. Заголовки xml-файлов............................................................................. 122

A.4.3. Список профилей фильтрации (profiles.xml) ........................................122

A.4.4. Набор списков e-mail адресов (emails.xml) ........................................... 123

A.4.5. Набор списков IP-адресов (iplists.xml) ................................................... 124

A.4.6. Набор списков служб DNS-based RBL (dnsblacklists.xml) ................... 124

A.4.7. Профиль фильтрации ............................................................................. 125

A.4.8. Список адресов e-mail .............................................................................130

A.4.9. Список IP-адресов....................................................................................130

A.4.10. Список служб DNS-based RBL ............................................................. 131

A.4.11. Список пользовательских образцов спамерских писем

(samples.xml).............................................................................................. 131

A.4.12. Пользовательский образец спамерского письма.............................. 132

A.4.13. Файл дополнительных настроек Фильтра (settings.xml) ................... 132

A.4.14. Список предопределенных категорий (catlist.xml).............................133

A.5. Конфигурационный файл скрипта обновления.......................................... 133

A.6. Ключи командной строки скрипта обновления ........................................... 134

ПРИЛОЖЕНИЕ B. ЗАО "ЛАБОРАТОРИЯ КАСПЕРСКОГО " ................................ 135

B.1. Другие разработки "Лаборатории Касперского" ......................................... 136

B.2. Наши координаты ........................................................................................... 140

Содержание 7

ПРИЛОЖЕНИЕ C. ЗАО "АШМАНОВ И ПАРТНЕРЫ "........................................... 142

ПРИЛОЖЕНИЕ D. УКАЗАТЕЛЬ................................................................................ 143

ГЛАВА 1. KASPERSKY ANTI-

SPAM 2.0 ENTERPRISE
EDITION / ISP EDITION

Kaspersky Anti-Spam Enterprise Edition / ISP Edition версии 2.0 является
программным комплексом, который осуществляет фильтрацию электронной
почты с целью защиты пользователей почтовой системы от нежелательных
анонимных массовых рассылок – спама.

Kaspersky Anti-Spam осуществляет фильтрацию входящей электронной
почты в процессе ее приема по SMTP-протоколу, т. е. до того, как письма
попадут в почтовые ящики пользователей. На основании правил, заданных
администратором, Kaspersky Anti-Spam обрабатывает
именно: доставляет получателю в неизменном виде, блокирует, генерирует
сообщение о невозможности приема письма, добавляет или изменяет
заголовок, и т. п.

Каждое входящее электронное письмо проверяется на присутствие в нем
признаков нежелательного сообщения (спама).

Во-первых, проверяются всевозможные атрибуты письма: адреса
отправителя и получателя (envelope), размер письма, его заголовки
(включая
следующие "подозрительные" ситуации:

заголовки From и To). В частности, фильтр обнаруживает

• наличие e-mail отправителя и получателей в "черных" списках; их
отсутствие в "белых" списках;

• наличие IP-адреса отправителя в "черных" списках; его отсутствие в
"белых" списках;

• наличие IP-адреса отправителя в том или ином DNS-based real time
black hole list (RBL);

сообщение, а

RBL (real time black hole list) – база данных IP-адресов
почтовых серверов с неконтролируемыми рассылками.
Такие почтовые сервера принимают почту от кого угодно и
отправляют ее далее кому угодно.

Если с какого-либо адреса постоянно рассылается спам, и
администрация сервера, через который идет рассылка, не
принимает никаких мер, можно сообщить о спамере в RBL.
Спамера занесут
автоматически запрещать прием почты с этого почтового

в базу данных, что дает возможность

Kaspersky Anti-spam 2.0 Enterprise Edition / ISP Edition 9

сервера.
Некоторые из служб RBL заносят в базу данных бесплатные

почтовые сервисы и другие "добропорядочные" сервера;
поэтому во избежание ложных срабатываний фильтра их
данными необходимо пользоваться с осторожностью.

• отсутствие сервера отправителя в DNS;

• соответствие одного из заголовков письма заданному шаблону

(regular expression);

• слишком большой размер письма.

Подробнее об анализе почтовых сообщений см. в п. 4.3.1 на стр. 28.

Во-вторых, используется контентная фильтрация, т. е. анализируется
содержание самого письма (включая заголовок Subject) и файлов
вложений

1

. Применяются лингвистические алгоритмы, основанные на

сравнении с письмами-образцами и на поиске характерных терминов (слов
и словосочетаний).

Письма, не подпадающие под параметры какого-либо правила и алгоритма
контентной фильтрации, отправляются адресатам в неизменном виде.

Над письмами, в которых обнаружены те или иные признаки
нежелательной корреспонденции, выполняются действия, указанные в

правилах

фильтрации (см. п. 4.3 на стр. 27).

Профили (наборы правил) фильтрации, а также списки адресов, на которые
они ссылаются, и другие настройки Kaspersky Anti-Spam редактируются
администратором почтового сервиса при помощи программы веб­конфигуратор.

1

Проверяются вложения форматов Plain text, HTML, Microsoft Word, RTF;

подробнее см. п. 4.3.2 на стр. 29.

10 Kaspersky Anti-spam 2.0 Enterprise Edition / ISP Edition

Kaspersky Anti-Spam поставляется вместе с предустановленными
профилями (наборами правил) фильтрации, обеспечивающими
эффективное обнаружени е спама и несколько вариантов его
обработки. Прежде, чем приступить к использованию Фильтра,
ознакомьтесь с предлагаемыми схемами фильтрации (см. п. 4.4 на
стр. 38) и выберите оптимальные для вас.

Если вы хотите отредактировать предустановленные профили
фильтрации или создать новые, внимательно прочитайте главы
данного Руководства, посвященные логике работы Фильтра (см.
п. 4.3 на стр. 27) и его настройке с помощью программы веб­конфигуратор (Глава 5 на стр. 52).

Отнеситесь к настройке Фильтра с максимальным вниманием.
Неправильная настройка может привести:

• к неэффективности работы Фильтра (большинство
нежелательных сообщений пропускается);

• к потере "нормальной" (желательной) почты.

Компания "Ашманов и Партнеры"
совершенствованию и пополнению лингвистических данных, используемых
для обнаружения спама. Для эффективной борьбы со спамом необходимо
регулярно получать последнюю версию таких данных с помощью скрипта
получения обновлений (см. Глава 6 на стр. 96).

постоянно ведет работу по

Мы настоятельно рекомендуем настроить автоматический запуск
обновления данных из cron с частотой не менее 4-6 раз в день.

Мы желаем вам успешной работы с Kaspersky Anti-Spam и надеемся, что
вы оцените его важные преимущества:

• использование методов искусственного интеллекта для анализа
содержания почтовых сообщений (контентной фильтрации);

• объединение всех методов фильтрации в едином модуле,
возможность

• централизованное управление всеми правилами фильтрации через
единый веб-интерфейс.

их комбинирования;

1.1. Что нового в версии 2.0

В версии 2.0 Kaspersky Anti-Spam по сравнению с предыдущей версией
существенно доработаны и расширены следующие возможности:

Kaspersky Anti-spam 2.0 Enterprise Edition / ISP Edition 11

• Интеграция в почтовые системы. При стандартной установке
Kaspersky Anti-Spam 2.0 интегрируется в почтовую систему, уже

установленную у пользователя, в качестве фильтрующего модуля.
Поддерживаются почтовые системы: Postfix, Sendmail, Qmail, Exim,

Communigate Pro

• Реализован новый инсталлятор. Kaspersky Anti-Spam 2.0

распространяется в виде стандартных пакетов: rpm, deb для Linux и
tgz для FreeBSD, которые устанавливаются при помощи штатных

инсталляторов, входящих в состав операционных систем Linux и
FreeBSD.

• Улучшены пользовательские свойства:

• Улучшена система записи в журнал системных событий

(syslog), появилась возможность собирать статистические
данные о количестве обработанных писем и о процентном
соотношении спама и не спама стандартными для unix­систем средствами анализа отчетов.

• Разметка писем, признанных спамом, стала более удобной:
метка ставится в начало темы письма.

• Повышена стабильность работы приложения:

• Решены проблемы функционирования приложения на

операционных системах Linux Red Hat 9, Suse 9, Red Hat
Enterprise Edition и пр.

• Из состава приложения сключена устаревшая утилита
проверки лицензий (kavuccsf). Новый лицензионный модуль
стабильно работает на различных версиях Linux и FreeBSD.

• Из состава приложения исключен устаревший http-сервер
(_httpd). Для работы с веб-конфигуратором используется

стандартный сервер thttpd (возможно также использование
сервера apache).

• Повышена производительность работы приложения в два раза, а
также оптимизирована работа со службами RBL: повышена
скорость выполнения запросов.

• Повышено качество распознавания спама:

• Улучшено качество распознавания спама со вложенными

картинками; внедрена технология GSG-2.

• Добавлена возможность проверки IP-адресов не только
последнего транспортного агента (relay), но и всех
предыдущих (на основе разбора заголовков

Received).

12 Kaspersky Anti-spam 2.0 Enterprise Edition / ISP Edition

• Улучшено качество разбора писем в формате HTML:
алгоритмы фильтрации "невидимого" текста, случайных
последовательностей и пр.

• Добавлен анализ писем в формате UUE-Encoded.

• Разработана OEM-версия приложения. Наряду с готовыми

решениями (Kaspersky Anti-Spam 2.0 Enterprise и Kaspersky Anti­Spam 2.0 ISP) сформирован SDK для интеграции механизмов
фильтрации спама в OEM-решения.

1.2. Лицензионная политика

Kaspersky Anti-Spam 2.0 имеет два вида лицензирования:

• лицензирование по трафику (объему почты, прошедшему через
фильтр) за определенный период времени;

• по почтовым адресам.

Во втором случае контроль за использованием Kaspersky Anti-Spam
ведется по количеству и именам обрабатываемых почтовых адресов в
течение периода действия лицензии.

В программе веб-конфигуратор на закладке settings в соответствии с
ключевым файлом формируется список лицензированных почтовых
адресов (см. п. 5.2.7.2 на стр. 93). Общее количество адресов не должно
превышать число, оговоренное лицензией. Почтовые сообщения,
содержащие адреса, заведенные сверх лицензированного объема или не
указанные вообще, фильтроваться не будут (почтовые сообщения будут
доставляться в неизменном виде).

Не забудьте перед началом использования Фильтра
отредактировать список лицензированных получателей!

1.3. Аппаратные и программные
требования к системе

Для корректной работы Kaspersky Anti-Spam необходимо соответствие
системы следующим аппаратным и программным требованиям:

• Операционная система Linux или FreeBSD 4.x, работающая на
платформе Intel x86.

Kaspersky Anti-spam 2.0 Enterprise Edition / ISP Edition 13

• Процессор Intel Pentium III с частотой не менее 500 MHz.

• Оперативная память не менее 256 MБ.

• Наличие установленных программ wget, bzip2.

• Наличие одной из почтовых систем: Sendmail, Postfix, Exim, Qmail,

Communigate Pro.

1.4. Комплект поставки

Программный продукт вы можете приобрести у наших дистрибьюторов
(коробочный вариант), а также в одном из интернет-магазинов (например,

www.kaspersky.ru

Если вы приобретаете продукт в коробке, то в комплект поставки
программного продукта входят:

• запечатанный конверт с установочным компакт-диском, на котором
записаны файлы программного продукта;

• руководство пользователя;

• лицензионный ключ, записанный на установочный компакт-диск;

• регистрационная карточка (с указанием серийного номера продукта);

• лицензионное соглашение.

, раздел Электронный магазин).

Перед тем как распечатать конверт с компакт-диском, внимательно
ознакомьтесь с лицензионным соглашением.

При покупке продукта в интернет-магазине вы копируете продукт с веб­сайта "Лаборатории Касперского", в дистрибутив которого помимо самого
продукта включено также данное руководство. Лицензионный ключ либо
включен в дистрибутив, либо отправляется вам по электронной почте по
факту оплаты.

1.4.1. Лицензионное соглашение

Лицензионное соглашение – это юридическое соглашение между вами и
ЗАО "Лаборатория Касперского", в котором указано, на каких условиях вы
можете пользоваться приобретенным вами программным продуктом.

Внимательно прочитайте лицензионное соглашение!

14 Kaspersky Anti-spam 2.0 Enterprise Edition / ISP Edition

Если вы не согласны с условиями лицензионного соглашения, вы можете
вернуть коробку с Антивирусом Касперского дистрибьютору, у которого она
была приобретена, и получить назад сумму, уплаченную за подписку. При
этом конверт с установочным компакт-диском должен оставаться
запечатанным.

Открывая запечатанный пакет с установочным компакт-диском или
устанавливая продукт на компьютер, вы
условия лицензионного соглашения.

тем самым принимаете все

1.4.2. Регистрационная карточка

Пожалуйста, заполните отрывной корешок регистрационной карточки, по
возможности наиболее полно указав свои координаты: фамилию, имя,
отчество (полностью), телефон, адрес электронной почты (если она есть), и
отправьте ее дистрибьютору, у которого вы приобрели программный
продукт.

Если впоследствии у вас изменится почтовый/электронный адрес или
телефон, пожалуйста, сообщите об этом в организацию, куда
отправлен корешок регистрационной карточки.

Регистрационная карточка является документом, на основании которого вы
приобретаете статус зарегистрированного пользователя нашей компании.
Это дает вам право на техническую поддержку в течение срока подписки.
Кроме того, зарегистрированным пользователям, подписавшимся на
рассылку новостей ЗАО "Лаборатория Касперского", высылается
информация о выходе новых программных продуктов.

был

1.5. Сервис для
зарегистрированных
пользователей

ЗАО "Лаборатория Касперского" предлагает своим легальным
пользователям большой комплекс услуг, позволяющих увеличить
эффективность использования Антивируса Касперского.

Приобретя подписку, вы становитесь зарегистрированным пользователем
программы и в течение срока действия подписки получаете следующие
услуги:

• предоставление новых версий данного программного продукта;

Kaspersky Anti-spam 2.0 Enterprise Edition / ISP Edition 15

• консультации по вопросам, связанным с установкой, настройкой и
эксплуатацией данного программного продукта, оказываемые по
телефону и электронной почте;

• оповещение о выходе новых программных продуктов Лаборатории
Касперского и о новых вирусах, появляющихся в мире (данная услуга
предоставляется пользователям, подписавшимся на рассылку
новостей ЗАО "Лаборатория Касперского").

Консультации по вопросам функционирования и использования
операционных систем, а также работы различных технологий не
проводятся.

1.6. Принятые обозначения

Текст документации выделяется различными элементами оформления в
зависимости от его смыслового назначения. В расположенной ниже
таблице приведены используемые условные обозначения.

Оформление Смысловое назначение

Жирный шрифт

Примечание.

Внимание!

Чтобы выполнить
действие,

1. Шаг 1.

2. …

Задача, пример

Названия меню, пунктов меню, окон,
элементов диалоговых окон и т. п.

Дополнительная информация,
примечания.

Информация, на которую следует
обратить особое внимание.

Описание последовательности
выполняемых пользователем шагов и
возможных действий.

Постановка задачи, примера для
реализации возможностей
программного продукта

16 Kaspersky Anti-spam 2.0 Enterprise Edition / ISP Edition

Оформление Смысловое назначение

Решение

[ключ] – назначение ключа.

Текст информационных
сообщений и командной
строки

Реализация поставленной задачи

Ключи командной строки.

Текст конфигурационных фай,
информационных сообщений
программы и командной строки.

ГЛАВА 2. СОСТАВ И

АРХИТЕКТУРА KASPERSKY

ANTI-SPAM

Начиная с версии 2.0, Kaspersky Anti-Spam не является
полнофункциональным почтовым агентом (MTA), способным принимать
почту, пересылать ее или доставлять сообщения в почтовые ящики
конечных пользователей. Эти функции выполняет почтовая система (MTA),
установленная на сервере.

Kaspersky Anti-Spam 2.0:

1. интегрируется в почтовую систему;

2. получает от нее письма;

3. производит проверку на наличие в них признаков спама;

4. в зависимости от

модификацию писем (проставляет и модифицирует заголовки,
меняет список получателей);

5. возвращает письма почтовой системе для дальнейшей доставки.

Внутренняя архитектура Kaspersky Anti-Spam представлена на рис. 1.

Клиентские модули предназначены для интеграции Kaspersky Anti-Spam в
различные почтовые системы. Каждый клиентский мод уль учитывает
особенности конкретной почтовой системы и выбранного способа
интеграции.

В поставку Kaspersky Anti-Spam включены клиентские модули
систем Sendmail, Postfix, Exim, Qmail и Communigate Pro.

Как правило, клиентский модуль устанавливается в MTA в качестве
фильтра и обеспечивает прием от почтовой системы писем, подлежащих
фильтрации, и возврат в нее модифицированных писем.

Запуск клиентских модулей осуществляется почтовой системой. MTA может
запустить несколько клиентских процессов для параллельной обработки
нескольких писем. Подробнее о клиентских модулях и способах их
интеграции в почтовые системы см. раздел A.3 на стр. 105.

полученного результата производит

для почтовых

18 Kaspersky Anti-spam 2.0 Enterprise Edition / ISP Edition

ф

др

у

почтовые ящики
конечных

чателей

пол

ИНТЕРНЕТ

K

ASPERSKY ANTI-SPAM

ПОЧТОВАЯ СИСТЕМА

(MTA)

Клиентский

модуль

С

ЕРВЕР ФИЛЬТРАЦИИ

Фильтрующий сервис

Автоматическое
обновление базы
фильтрации через

Мастер-процесс

Интернет (sfupdates)

(ap-process-server)

Данные

Лицензионный

сервис

(kas-license)

Процесс

фильтрации

(ap-mailfilter)

ключевой

айл

список лицен­зированных
почтовых

есов

а

Рисунок 1. Внутренняя архитектура Kaspersky Anti-Spam

база фильтрации

профили

фильтрации и

локальные

списки

web-конфигуратор

Скрипт

кофигурации

(ap-mft-config.cgi)

http-сервер
(kas-thttpd)

Состав и архитектура Kaspersky Anti-Spam 19

Вне зависимости от особенностей того или иного клиентского модуля,
взаимодействие клиента и основной части Kaspersky Anti-Spam – сервера
фильтрации – осуществляется единообразно с использованием
внутреннего протокола обмена данными через сетевой или локальный
сокет.

Сервер фильтрации отвечает на запросы обращающихся к нему клиентов,
принимает от них письма для проверки и возвращает им результаты.

При использовании стандартной

процедуры инсталляции почтовая система
с интегрированным в нее клиентским модулем и сервер фильтрации
устанавливаются на одной и той же машине.

Однако существует возможность установить сервер фильтрации Kaspersky
Anti-Spam на отдельном сервере: в этом случае клиенты, работающие на
другом компьютере (сервере), будут обмениваться данными с сервером
фильтрации через локальную сеть по протоколу TCP.

Работая

на выделенном компьютере, сервер фильтрации может
обслуживать сразу несколько почтовых серверов при условии, что
мощности используемого компьютера достаточно для обработки
суммарного почтового трафика.

В состав сервера фильтрации входят:

• фильтрующий сервис, который, собственно, и осуществляет
проверку писем;

• лицензионный сервис, проверяющий наличие действительного
ключевого файла и работающий со списком лицензированных
почтовых адресов;

• скрипт автоматической загрузки и компиляции обновлений базы
фильтрации;

• веб-конфигуратор;

• вспомогательные программы и скрипты.

Работа фильтрующего сервиса осуществляется под управлением
мастер-процесса (ap-process-server), который:

• отслеживает запросы на соединение с процессом фильтрации,
поступающие от клиентов;

• при отсутствии свободных процессов фильтрации запускает новые;

• отслеживает статус запущенных процессов (свободен/занят

);

• при поступлении сигналов (например, SIGHUP) передает их
дочерним процессам.

20 Kaspersky Anti-spam 2.0 Enterprise Edition / ISP Edition

При значительном объеме почтового трафика количество запущенных
процессов фильтрации может доходить до нескольких десятков. При
снижении нагрузки на почтовую систему свободные фильтрующие
процессы прекращают работу. Максимальное и минимальное количество
запущенных фильтрующих процессов определяется настройками в
конфигурационном файле мастер-процесса (см. п. A.1.2 на стр. 101).

Процесс фильтрации при старте загружает профили (наборы правил)
фильтрации и открывает базу фильтрации (набор данных для контентного
анализа). После установления соединения с клиентом процесс фильтрации
получает от него заголовки и тело письма, проводит анализ и возвращает
клиенту полученные результаты.

Анализ письма и применение к нему правил и профилей фильтрации
производится только при наличии действующего лицензионного ключа. В
случае,

когда действует лицензия по почтовым адресам, проверка письма
осуществляется только при наличии адреса получателя письма в списке
лицензированных почтовых адресов.

Все проверки, связанные с лицензированием, осуществляются
лицензионным сервисом (kas-license) по запросу от процесса
фильтрации.

Закончив обработку письма, процесс фильтрации не прекращает работу, а
ждет поступления нового запроса. Выполнение процесса фильтрации
завершается

после того, как он обработал максимальное для одного
процесса количество писем (обычно 300) или долгое время находится в
состоянии ожидания (idle).

Скрипт автоматической загрузки обновлений (sfupdates) запускается по
расписанию (через crontab) и обеспечивает скачивание через интернет и
компиляцию актуальной версии базы контентной фильтрации.

Веб-конфигуратор предоставляет администратору веб-интерфейс для
редактирования профилей и

правил фильтрации, ведения локальных
белых и черных списков, а также списка лицензированных почтовых
адресов.

ГЛАВА 3. УСТАНОВКА

KASPERSKY ANTI-SPAM

Внимательно прочитайте данную главу, а также файл readme­install, в котором могут содержаться наиболее свежие

рекомендации по установке программы.

3.1. Подготовка к установке

Прежде чем приступить к установке Kaspersky Anti-Spam:

• убедитесь, что система соответствует аппаратным и программным
требованиям для установки Kaspersky Anti-Spam (см. п. 1.3 на
стр. 12);

• убедитесь, что в вашем распоряжении имеется лицензионный ключ
для продукта Kaspersky Anti-Spam 2.0 (Enterprise или ISP Edition);

• убедитесь, что установлены программы wget, bzip2, perl;

• убедитесь, что почтовая система, установленная на вашем сервере,

функционирует корректно;

• сохраните
системы.

резервные копии конфигурационных файлов почтовой

Рекомендуем вам выполнять инсталляцию продукта в нерабочее
время или тогда, когда поток почтовых сообщений наименьший!

Установка Kaspersky Anti-Spam производится в три этапа:

1. установка программ, входящих в состав Kaspersky Anti-Spam;

2. установка лицензионного ключа;

3. интеграция с почтовой системой.

22 Kaspersky Anti-spam 2.0 Enterprise Edition / ISP Edition

3.2. Установка программ,

входящих в состав Kaspersky

Anti-Spam

Установка Kaspersky Anti-Spam должна осуществляться
пользователем root.

Дистрибутив Kaspersky Anti-Spam 2.0 распространяется в нескольких
вариантах:

• rpm-пакет для большинства версий операционной системы Linux
(RedHat, SuSe, Mandrake, Fedora, ASP Linux, Alt Linux и др.);

• deb-пакет для Debian Linux;

• tgz-пакет для операционной системы FreeBSD;

• архив tar.gz с shell-инсталлятором для операционных систем без

менеджера пакетов (например, Slackware).

Для установки Kaspersky Anti-Spam из rpm-пакета выполните
команду:

rpm –i

<имя_пакета>

Для установки Kaspersky Anti-Spam из deb-пакета выполните
команду:

dpkg –i

Для установки Kaspersky Anti-Spam из tgz-пакета выполните
команду:

pkg_add

Для установки Kaspersky Anti-Spam из архива tar.gz выполните
команды:

tar xzvf <имя_архива>

cd <имя_распакованного_дистрибутива>

./install.sh

<имя_пакета>

<имя_пакета>

Установка Kaspersky Anti-Spam 23

В процессе инсталляции будут выполнены следующие действия:

• создание пользователя и группы mailflt, необходимых для работы
Kaspersky Anti-Spam;

• установка всех программ, входящих в состав Kaspersky Anti-Spam,
в каталог /usr/local/ap-mailfilter;

• создание и установка скрипта запуска фильтрующего сервиса (ap­process-server), лицензионного сервиса (kas-license) и http-сервера

(kas-thttpd), который выполняется при перезапуске операционной
системы;

• запуск необходимых программ

• создание записи в crontab пользователя mailflt для

автоматического запуска скрипта загрузки обновлений базы
контентной фильтрации.

В результате сервис фильтрации Kaspersky Anti-Spam будет установлен и
запущен на вашем сервере, однако для того, чтобы осуществлялась
фильтрация почтовых сообщений, необходимо выполнить установку
лицензионного ключа и интеграцию Kaspersky Anti-Spam с почтовой
системой.

и сервисов;

3.3. Установка лицензионного
ключа

Лицензионный ключ в соответствии с приобретенной лицензией
поставляется вместе дистрибутивом Kaspersky Anti-Spam.

Если по каким-либо причинам в вашем распоряжении нет
лицензионного ключа, обратитесь в службу поддержки
Лаборатории Касперского (support@kaspersky.com).

Установка лицензионного ключа производится командой:

/usr/local/ap-mailfilter/bin/install-key
<имя_ключевого_файла>

В случае если лицензионный ключ не установлен или не действителен,
Kaspersky Anti-Spam не осуществляет фильтрацию почты, однако

работоспособность почтовой системы не нарушается: все письма
доставляются получателям без проверки и соответствующей разметки.

24 Kaspersky Anti-spam 2.0 Enterprise Edition / ISP Edition

Необходимо также учитывать, что в случае использования лицензии по
почтовым адресам проверка осуществляется только для получателей,
адреса которых входят в список лицензированных почтовых адресов (в
пределах количества, оговоренного лицензией).

Не забудьте перед началом использования Фильтра ввести список
лицензированных почтовых адресов!

3.4. Интеграция Kaspersky Anti­Spam с почтовой системой

Интеграция Kaspersky Anti-Spam с почтовой системой заключается в
установке в почтовую систему клиентского модуля и внесении
соответствующих изменений в ее конфигурационные файлы.

Эти действия выполняются автоматически при помощи универсального
скрипта настройки MTA или при помощи скриптов настройки конкретной
почтовой системы.

Подробная информация о способах интеграции клиентских модулей и об
изменениях, которые вносятся в конфигурационные
систем, приведена в разделе A.3 на стр. 105.

файлы почтовых

Для интеграции Kaspersky Anti-Spam с почтовой системой,
установленной на вашем сервере, запустите универсальный
скрипт настройки MTA:

/usr/local/ap-mailfilter/bin/MTA-config.pl

В большинстве случаев этот скрипт определит тип используемого MTA и
внесет необходимые изменения в его конфигурационные файлы.

Однако, если ваш MTA установлен или настроен нестандартно, то скрипт
MTA-config.pl может не найти конфигурационных файлов. В этом случае
нужно воспользоваться
программы:

Для интеграции Kaspersky Anti-Spam с почтовой системой
Sendmail выполните команду:

/usr/local/ap-mailfilter/bin/sendmail-config.pl

скриптом настройки конкретной почтовой

Установка Kaspersky Anti-Spam 25

Для интеграции Kaspersky Anti-Spam с почтовой системой Postfix
выполните команду:

/usr/local/ap-mailfilter/bin/postfix-config.pl

Для интеграции Kaspersky Anti-Spam с почтовой системой Exim
выполните команду:

/usr/local/ap-mailfilter/bin/exim-config.pl

Для интеграции Kaspersky Anti-Spam с почтовой системой Qmail
выполните команду:

/usr/local/ap-mailfilter/bin/qmail-config.pl

Интеграция Kaspersky Anti-Spam с почтовой системой Communigate Pro
осуществляется через веб-интерфейс почтовой системы (см. п. A.3.6.3 на
стр. 120.

ГЛАВА 4. РАБОТА С

KASPERSKY ANTI-SPAM И
ПРИНЦИПЫ ФИЛЬТРАЦИИ

4.1. Настройка параметров
фильтрации

Kaspersky Anti-Spam предоставляет вам мощный инструментарий для
обнаружения спама в потоке входящей электронной почты. Действия с
подозрительными письмами могут быть как самыми жесткими (отказ
принять сообщение), так и достаточно мягкими (например, приписать
сообщению дополнительный заголовок-"ярлык" для последующей
обработки в почтовой программе получателя почты). Применение
различных действий к различным типам спама – прерогатива
администратора почтового сервиса.

Дистрибутив Kaspersky Anti-Spam включает набор предустановленных
профилей фильтрации, обеспечивающих эффективную фильтрацию спама
и альтернативные способы обработки распознанных спамерских писем
(подробнее см. п. 4.4 на стр. 38).

Правила и профили фильтрации и порядок их применения могут быть
отредактированы системным администратором через программу веб­конфигуратор (см. Глава 5 на стр. 52). Кроме того, при помощи
конфигуратора администратор имеет возможность включать и выключать
использование тех или иных профилей.

веб-

Редактирование профилей фильтрации должно осуществляться с
большой осторожностью, поскольку даже небольшие изменения
могут привести к серьезным нежелательным последствиям:
ложным срабатываниям Фильтра или снижению качества
распознавания спама.

Настройка всех параметров работы Фильтра осуществляется через
удобный веб-интерфейс, предоставляемый программой веб-конфигуратор.

Порядок работы с программой веб-конфигуратор и настройки параметров
фильтрации

описаны в Глава 5 на стр. 52.

Работа с Kaspersky Anti-Spam и принципы фильтрации 27

Настоятельно рекомендуем вам прежде, чем приступать к
настройке правил фильтрации, ознакомиться с принципами их
применения, которые описаны в п. 4.3 на стр. 27.

4.2. Порядок обновления данных

Для анализа содержания писем Kaspersky Anti-Spam использует Базу
контентной фильтрации, включающую образцы спамерских писем,

характерные термины и другие данные. База постоянно обновляется и
расширяется лингвистической лабораторией компании "Ашманов и
Партнеры", поэтому для максимально эффективной борьбы со спамом вам
необходимо регулярно скачивать ее обновление.

Доставка обновлений осуществляется через интернет Скриптом получения
обновлений. Мы настоятельно
обновлений в crontab. Периодичность его запуска желательно установить
на уровне один раз в час.

По умолчанию обновления данных Фильтра скачиваются со следующего
адреса: ftp://downloads1.kaspersky-labs.com/sfupdates
необходимости этот адрес может быть заменен на альтернативный.

Обновления могут быть инкрементальными (добавление в базу новых
записей) или полными (новая версия базы полностью заменяет старую);
выбор и доставка необходимых для обновления файлов, компиляция Базы
контентной фильтрации и перезапуск фильтрующего сервиса
осуществляются автоматически.

Подробнее об обновлении Базы контентной фильтрации
стр. 96.

рекомендуем включить скрипт получения

; в случае

см. Глава 6 на

4.3. Принципы фильтрации

Обработка почтового сообщения заключается в последовательном
применении к нему правил фильтрации.

Каждое правило фильтрации состоит из неупорядоченного множества
условий и упорядоченного набора действий:

• обработка почтового сообщения начинается с анализа: проверяется
выполнение условий, описанных в правиле;

• если хотя бы одно из условий не выполнено, обработка сообщения
данным правилом прекращается без выполнения
действий;

каких-либо

28 Kaspersky Anti-spam 2.0 Enterprise Edition / ISP Edition

• если все условия выполнены, над сообщением последовательно
производятся действия, описанные в правиле (в том порядке, в
котором они заданы).

Правила объединяются в группы – профили фильтрации. Профили
фильтрации бывают двух типов:

• общие – для всех сообщений, независимо от их адресата;

• персональные – для сообщений, направленных отдельным

адресатам.

4.3.1. Анализ адресов, заголовков и
размера письма

В правилах фильтрации могут быть описаны условия следующих типов (а
также их отрицания):

• IP-адрес сервера, с которого получено сообщение, (т. е.
посылающего почтового relay'я) совпадает с указанным;

• IP-адрес сервера, с которого получено сообщение, входит в
указанный список;

• какой-либо из сервисов DNS-based RBL, входящих в указанный
список, выдает сообщение о "
которого получено сообщение;

• IP-адрес отправителя отсутствует в DNS;

• e-mail отправителя совпадает с указанным;

• e-mail отправителя входит в указанный список;

• e-mail получателя (одного из получателей, если их несколько)

совпадает с указанным;

• e-mail получателя (одного из получателей, если их несколько) входит
в указанный список;

• сообщение имеет какой-либо заголовок
указанным именем);

• сообщение имеет заголовок с указанным именем (например, From
или To), соответствующий указанному шаблону (regular expression);

• общий размер письма превышает указанный предел;

• содержимое письма отнесено к определенной категории спама (см.

п. 4.3.2 на стр. 29).

неблагонадежности" сервера, с

указанного типа (т. е. с

Работа с Kaspersky Anti-Spam и принципы фильтрации 29

Списки, на которые ссылаются правила фильтрации, бывают следующих
типов:

• списки IP-адресов – содержат IP-адреса в формате aaa.bbb.ccc.ddd
или aaa.bbb.ccc.ddd/nn;

• списки e-mail – содержат адреса e-mail в формате
user@hostname.domain или @hostname.domain, во втором случае
подразумевается любой пользователь указанного домена;

• списки служб DNS-based RBL – содержат названия зон, которые
используются для формирования запроса к DNS с целью проверки
IP-адреса на его присутст вие в "черном" списке (например, для
проверки IP=202.103.129.8 через zone="blackholes.mail-abuse.org"
формируется запрос к DNS с именем домена

8.129.103.202.blackholes.mail-abuse.org).

Проверка e-mail получателя производится:

• в общих профилях – по полному списку получателей;

• в персональных профилях – по списку тех из получателей исходного

сообщения, для которых данный профиль применяется.

Правило фильтрации может
различных типов. Например, могут блокироваться письма, у которых
получатель принадлежит к списку А, а отправитель – списку В (В – "черный
список" для получателей из списка А).

содержать одновременно несколько условий

4.3.2. Анализ содержания письма –
контентная фильтрация

Электронное письмо может не иметь никаких формальных признаков спама
– быть направленным конкретному получателю с адреса, еще не попавшего

ни в какие черные списки – и при этом содержать "сомнительную"
информацию. Для того чтобы распознать и обработать такие письма (на
русском и английском языках), используются алгоритмы контентной

фильтрации.

С использованием технологий искусственного
содержание самого письма (включая заголовок Subject), а также вложений
(прикрепленных файлов) в следующих форматах:

• текстовый: plain text (ASCII, не multibyte);

• HTML (2.0, 3.0, 3.2, 4.0, XHTML 1.0);

• Microsoft Word (версии 6.0, 95/97/2000/XP);

интеллекта анализируется

30 Kaspersky Anti-spam 2.0 Enterprise Edition / ISP Edition

• RTF.

Задача Kaspersky Anti-Spam состоит в том, чтобы уменьшить поток
нежелательной корреспонденции, засоряющей почтовые ящики
пользователей. Стопроцентное обнаружение нежелательной
корреспонденции не может быть гарантировано – в частности и
потому, что слишком жесткие критерии неизбежно привели бы к
"отфильтровыванию" части полезной корреспонденции.

Для обнаружения писем с "сомнительным" содержанием используются два
основных метода:

• сравнение с

письмами-образцами (путем сопоставления их

лексических составов);

• обнаружение характерных терминов – слов и словосочетаний.

Все данные, используемые Kaspersky Anti-Spam для контентной
фильтрации – рубрикатор (иерархический список категорий), образцы
писем, характерные термины и т. п. – хранятся в Базе контентной

фильтрации.

Лингвистическая лаборатория компании "Ашманов и Партнеры"
ведет постоянную работу по пополнению и совершенствованию
Базы контентной фильтрации. Поэтому рекомендуется регулярно
обновлять данные Базы (см. Глава 6 на стр. 96). Системный
администратор может также добавлять в Базу новые образцы
спамерских писем (см. п. 5.2.6 на стр. 89).

По результатам контентного анализа почтовое сообщение может быть
отнесено

к одной или нескольким категориям рубрикатора Базы контентной

фильтрации.

Устанавливая правила фильтрации с помощью программы веб­конфигуратор (см. Глава 5 на стр. 52), системный администратор должен
задавать и правила обработки почтовых сообщений, отнесенных к
различным категориям рубрикатора

2

.

Безусловным приоритетом системного администратора при
настройке Фильтра должно быть сохранение всей "полезной"
корреспонденции, поскольку потеря одного важного письма может
принести конечному пользователю значительно больший вред, чем
получение десятков несанкционированных писем. Во избежание

2

Отнесение письма к одной из категории рубрикатора необязательно означает, что

письмо содержит спам. Например, письмо, содержащее нецензурную лексику,
будет отнесено к категории Obscene. Эту категорию системный администратор при
желании может просто игнорировать (не упоминать ее в условиях правил).