2 фильтр байеса, 3 «белый» список, 4 «черный» список – Инструкция по эксплуатации ESET NOD32 Smart Security 4.2

51

2. действие (например, удаление сообщения или перемещение

егов указанную папку).

Количество и комбинация правил зависит от конкретного
решения по защите от нежелательной почты. Правила

предназначены для борьбы с нежелательнойпочтой. Ниже
приведены типичные примеры.

•

1. Условие: принимаемое сообщение содержит слова,
типичные для нежелательной почты.

2. Действие: удалить сообщение.

•

1. Условие: принимаемое сообщение содержит вложение

с расширениемexe.

2. Действие: удалить вложение и доставить сообщение

в почтовый ящик.

•

1. Условие: принимаемое сообщение отправлено начальником.

2. Действие: переместить сообщение в папку «Работа».

В программах защиты от нежелательной почты рекомендуется

использовать комбинацию правил, чтобы упростить

администрирование и более эффективно отфильтровывать

нежелательные сообщения.

6.3.4.2

Фильтр Байеса

Фильтрация сообщений по Байесу является очень эффективным
методом, который применяется в большинстве приложений для
защиты от нежелательной почты. Он помогает идентифицировать
нежелательную почту с высокой степенью достоверности.
Байесовский фильтр настраивается для каждогопользователя
отдельно.

Метод основан на принципе, описанном ниже. В первой фазе
происходит процесс обучения. Пользователь вручную отмечает
некоторое количество сообщений, сортируя нежелательную
и полезную почту (обычно 200/200). Фильтр анализирует обе
категории и обучается тому, что, например, нежелательные
сообщения содержат такие слова, как «Ролекс» или «Виагра»,
в то время как полезная почта отправляется членами семьи
или корреспондентами из адресной книги. После анализа
достаточно большого количества писем байесовский фильтр
способен присваивать каждому из сообщений определенный
«индекс спама», который позволяет установить, является
сообщение нежелательным или нет.

Основным преимуществом метода является гибкость. Например,

если получатель по профессии биолог, сообщения, содержимое
которых может быть отнесено к биологии и другим близким
сферам знаний, будут расцениваться как полезные. Если
сообщение содержит слова, которые в общем случае могут быть
отнесены к нежелательному содержимому, но письмо было
отправлено корреспондентом из адресной книги, оно может
быть классифицировано как полезное. Это происходит потому,
что письмо от корреспондента из адресной книги с малой

вероятностью является нежелательным.

6.3.4.3

«Белый» список

В общем случае «белый» список содержит объекты или имена
лиц, для которых разрешен доступ. Термин «„белый“ список
электронной почты» означает список адресов пользователей,
от которых можно получать сообщения. Такого рода списки
создаются на основе поиска по ключевым словам в адресах
электронной почты, доменных именах или IP-адресах.

Если «белый» список работает в «исключительном» режиме,
сообщения с других адресов, доменов или IP-адресов
блокируются. С другой стороны, можно не блокировать такие
сообщения, а обрабатывать их каким-либо другим способом.

«Белый» список имеет назначение, противоположное «черному»

списку. «Белыми» списками сравнительно просто управлять,
значительно проще, чем «черными». Для большей эффективности

рекомендуется совмещать оба метода («белый» и «черный»
список).

6.3.4.4

«Черный» список

В общем случае «черный» список является списком неприемлемых
или запрещенных объектов или лиц. В виртуальном мире

этот метод позволяет оградиться от сообщений, приходящих
с нежелательных адресов электронной почты.

Существует два типа «черных» списков. Пользователь может

составить собственный «черный» список с помощью модуля

защиты от нежелательной почты. С другой стороны, многие
профессионалы пользуются регулярно обновляемыми списками,

которые распространяются в Интернете специализирующимися

на этом организациями.

«Черный» список основан на принципах, противоположных

принципам «белого» списка. Использование «черного» списка

является важным элементом процесса фильтрации электронной

почты. При этом ведение списка представляет собой трудоемкий

процесс, так как новые объекты блокирования появляются
ежедневно. Для большей эффективности рекомендуется
использование «белого» списка совместно с «черным».

6.3.4.5

Контроль на серверной стороне

Контроль на серверной стороне используется для
идентификации массовых рассылок нежелательной почты на
основе количества полученных сообщений и информации,
полученной от пользователей. Каждое сообщение оставляет
на сервере уникальный цифровой отпечаток, который
основан на содержимом письма. Фактически этот уникальный
идентификатор ничего не сообщает о содержимом самого
письма.- Однако два одинаковых сообщения имеют одинаковые
отпечатки, а два различных — разные.

Если сообщение классифицировано как нежелательное, его
отпечаток отправляется на сервер. Если сервер получает большое
количество идентичных отпечатков (соответствующиходному
и тому же сообщению), он сохраняет отпечаток нежелательной
почты в базе данных. При проверке входящих сообщений
программа отправляет отпечатки сообщений на сервер. Сервер

возвращает данные о тех отпечатках, которые соответствуют
сообщениям нежелательной почты и которые уже были

классифицированы пользователями.