Antivirov² a antispamov² systΘm

Statistika zkontrolovanΘ poÜty za 1. Φtvrtletφ 2004

Antivirov² Ütφt

VeÜkerß p°φchozφ i odchozφ poÜta, kterß projde p°es poÜtovnφ servery Web4U, je nejprve p°edßna antivirovΘmu programu ClamAV (aktußlnφ verzi naleznete zde). Ka₧d² dopis vΦetn∞ p°φlohy se otestuje na p°φtomnost znßm²ch vir∙. Pokud je ve zprßv∞ nalezen vir, je zprßva zadr₧ena a uschovßna ve zvlßÜtnφ sekci serveru. Adresßt ani odesφlatel infikovanΘho emailu nenφ o zadr₧enφ emailu informovßn, nebo¥ v∞tÜina emailov²ch vir∙ falÜuje hlaviΦku odesφlatele a informaΦnφ email o p°φtomnosti viru by tak nem∞l ₧ßdnou vypovφdacφ hodnotu.
Virovß databßze je aktualizovßna ka₧dou hodinu.

Antispamov² filtr

Co je to spam?

V²razem spam se oznaΦuje nevy₧ßdan², obt∞₧ujφcφ, hromadn∞ rozesφlan², zpravidla reklamnφ email. Mezi typick² spam pat°φ reklama na viagru, levnΘ mobily, pornostrßnky, recepty na hubnutφ, nabφdky 10% provize za p°evod 25.000.000 USD, °et∞zovΘ dopisy atd. V∞tÜina p°φjemc∙ nemß o tyto zprßvy sebemenÜφ zßjem a proto je jednak obt∞₧ujφ, jednak doslova okrßdajφ - o Φas i penφze.

Metody zjiÜ¥ovßnφ spamu

K rozpoznßvßnφ spamu je na server Web4U nasazen program SpamAssassin (aktußlnφ verzi naleznete zde), kter² provßdφ dva druhy test∙: test zalo₧en² na pravidlech a tzv. Bayesovsk² test.

Test zalo₧en² na pravidlech hledß v dopise p°φznaky, kterΘ jsou pro spam typickΘ. Jde nap°. o n∞kterß slova a slovnφ spojenφ (viagra, penis, loan, university diploma), chybn∞ napsanΘ datum, datum v budoucnosti, chybn∞ k≤dovanΘ diakritickΘ znaky v hlaviΦce, rozpor v adrese odesφlatele apod. Za ka₧d² takov² p°φznak dopis dostane urΦit² poΦet "trestn²ch bod∙", tyto body se seΦtou a podle v²sledku se s dopisem dßle zachßzφ.

Bayesovsk² test rozlo₧φ dopis na jednotlivß slova. P°edpoklßdß se, ₧e o jednotliv²ch slovech jsou p°edem znßmy pravd∞podobnosti, ₧e dopis, kter² toto slovo obsahuje, je spam. Z testovanΘho dopisu se pak vybere 15 slov s nejvyÜÜφ a 15 slov s nejni₧Üφ pravd∞podobnostφ, tyto pravd∞podobnosti se dosadφ do vzorce p°ipisovanΘho panu Bayesovi a v²sledkem je pravd∞podobnost, ₧e testovan² dopis je spam. V zßvislosti na tΘto pravd∞podobnosti se dopisu p°i°adφ dalÜφ "trestnΘ body" a ty se p°iΦtou k trestn²m bod∙m z testu zalo₧enΘho na pravidlech.

RozesφlatelΘ spamu neustßle vym²Ülejφ novΘ a novΘ triky, kter²mi se sna₧φ proniknout p°es antispamovΘ filtry. ┌Φinnost test∙ zalo₧en²ch na pravidlech postupn∞ klesß, proto₧e zastarßvajφ a jejich p°izp∙sobovßnφ nov²m praktikßm znamenß zßsah do programu. Na v²znamu proto nab²vajφ testy bayesovskΘ, kterΘ majφ schopnost automatickΘho uΦenφ.

Exaktnφ metoda, kterß by spolehliv∞ odliÜila spam od ostatnφ poÜty neexistuje, proto je nutnΘ poΦφtat s urΦit²m mno₧stvφm chybn²ch rozhodnutφ antispamovΘho filtru.

FaleÜnΘ negativnφ rozhodnutφ (FN) provedl systΘm v p°φpad∞, ₧e propustil p°es antispamov² filtr email, kter² je evidentn∞ spam a doruΦil ho adresßtovi. Tφmto zp∙sobem se do schrßnky u₧ivatele obΦas dostane spam, jejich₧ poΦet je vÜak oproti mno₧stvφ doruΦovanΘho spamu bez zapnutΘho filtrovßnφ zanedbatelnΘ.

FaleÜn∞ pozitivnφ rozhodnutφ (FP) je naopak velmi zßva₧nΘ, nebo¥ jeho d∙sledkem je zadr₧enφ korektnφho dopisu jako spamu a tφm i jeho doruΦenφ adresßtovi. TΘto chyb∞ je t°eba se v maximßlnφ mφ°e vyvarovat, co₧ se Web4U da°φ ve 100% p°φpad∙ (viz dßle).

OznaΦovßnφ spamu v emailech

Po pr∙chodu antispamov²m filtrem obdr₧φ ka₧d² email urΦit² poΦet "trestn²ch bod∙" (viz v²Üe), toto Φφslo se ulo₧φ do hlaviΦky X-Spam-Status. Podle poΦtu bod∙ je potΘ emailem provedena n∞kterß z nφ₧e uveden²ch operacφ:

Hranice 10 bod∙ pro zadr₧enφ dopisu byla vybrßna na zßklad∞ anal²zy poÜtovnφho provozu na serverech Web4U. Nφ₧e uvßdφme statistickΘ ·daje testu, v n∞m₧ byl antivirov² filtr testovßn na sadu cca 55.000 email∙ obsahujφcφ jak spam, tak korektnφ poÜtu:

P°i vklßdßnφ textu SPAM do p°edm∞tu emailu platφ, ₧e Φφm vφce hv∞zdiΦek obsahuje, tφm je v∞tÜφ pravd∞podobnost, ₧e se jednß o spam. Dßvßme tak zßkaznφkovi mo₧nost, aby si pomocφ filtr∙ ve svΘm poÜtovnφm klientovi sßm nastavil t°φd∞nφ spamu dle svΘho uvß₧enφ (nap°. dopisy s p∞ti hv∞zdiΦkami p°φmo smazat, dopisy se Φty°mi hv∞zdiΦkami p°esunout do slo₧ky Spam a dopisy se t°emi hv∞zdiΦkami nechat ve slo₧ce DoruΦenß poÜta ap.).