Предисловие
Все знают, что такое электронная почта. Также все знают что же такое спам. Мировые объемы спама достигают 140 миллиардов сообщений ежедневно и такое огромное количество спама просто не позволяет более-менее эффективно использовать почту без какой-либо системы фильтрации нежелательной почты. При том один из самых важных факторов остается недопущение ошибок.
За долгое время было перелопачено много систем антиспама и как-то все не удовлетворяли в полной мере потребность. Но однажды предложили рассмотреть ironport от компании Cisco. Изначально я отнесся скептически, посчитал, что западная железка, да ещё и без байесового фильтра не сможет эффективно отсеивать русский спам, к тому же не допуская ошибок. Ну и цена! По расспросам людей в дружеской беседе, мне называли совершенно разные цифры, которые доходили до миллионов рублей. Это пугало, мало кто захочет отдавать такие деньги за фильтрацию всего лишь нежелательного контента. К тому же в интернете, к моему удивлению, совсем мало информации по этой системе. Даже в википедии только скудная статья на английском, а на русском совсем и нет ничего. И так, что же из себя представляет ironport и почему я его буду рекомендовать для почтовых систем среднего бизнеса и выше, я попробую ответить здесь.Типичная картина:
Менее 60 писем из 10000 достигают адресата.
IronPort C170
IronPort это железка. В самом простом исполнении это одноюнитовый сервер, вроде бы на железе DELL. Детальную конфигурацию cisco не раскрывает и, впрочем, это и не требуется. В этой конфигурации используется 2 диска в программном зеркале по 250GB. Диски используются в основном для карантина и логов.
Интерфейсов подключения не много, но много их и не требуется. 2 гигабитных интерфейса, один RS232. Также есть 2 порта USB, назначение которых я не понял. Присутствуют только в младшей модели, C170. В старших моделях USB портов нет.
Лицензирование
Используется интересная модель лицензирования. Минимальное количество для конфигурации ESA (Email Security Appliance) – 100 лицензий. Минимальный срок – 1 год. Самая невыгодная лицензия на антиспам получится около 30$ за штуку из расчета на 1 год. Есть лицензии на 3 и 5 лет, которые выгоднее где-то до 60% и продление, которое продается ещё дешевле. Плюс стоимость лицензии при покупке от 250 штук меньше ещё где-то на треть. В итоге, для примера, 3-х летняя лицензия на 250 пользователей может стоить 30-35$ за штуку и 20-25$ за её продление, эти цены мне озвучивал наш поставщик, есть шанс, что цены можно найти и ниже. Но очень интересно получается с самим железом, за сам сервер вы ничего не платите, он идет вместе с любым количеством лицензий и остается у вас даже после окончания лицензий, если вдруг вам расхотелось фильтровать спам с помощью айронпорта. В зависимости от количества лицензий вам выдается C170 до 1000 пользователей, более мощный C370 – от 2000 до 10000 пользователей и т.д. Вряд ли сервер эффективно можно применить в каких-то других целях, но сам подход мне нравится.
Технологии фильтрации
Основная система защиты от спама – так называемый фильтр по репутации. Ironport сверяет источник писем с базой данный SenderBase и расставляет так называемый SenderBase Reputation Score, который измеряется в пределах от -10 до 10. Сама база SenderBase пополняется в соответствии с какими-то хитрыми условиями и гарантируют не только исключение попадания в нее добросовестных отправителей, но и высокий уровень фильтрации спама ещё на этапе установки SMTP сессии. Обещают фильтрацию спама на основе репутации не ниже 80% от трафика писем. На деле это значение находится на уровне 98%.
Однако это не все. Далее письма, особенно которые имели низкую репутацию, но все же были пропущены, проверяются непосредственно антиспам модулем. Используется специальная система анализа контекста, анализируя по множеству параметров, в том числе на предмет признаков обхода антиспам защиты, ссылок, которые присутствуют в письме и картинок во вложении. Обычно на этой защите режется примерно половина писем, которые прошли фильтр репутации. Ошибок пока замечено не было.
Ironport работает на собственной ОС AsyncOS, которая разработана специально для этого устройства, имеет специальную файловую систему и безстэковую модель подключения, гарантируя до 10000 одновременных подключений.
Как все выглядит на самом деле?
IronPort можно настроить даже в конфигурации, когда сообщения на него будут ретранслироваться с другого почтового сервера. Часто такая настройка может потребоваться, напирмер, если в качестве вторичных mx серверов у вас установлены почтовые сервера провайдера. Ironport найдет в заголовке письма адрес исходного сервера и проверит его на присутствие в SenderBase. Если настройку не выполнять, то ironport будет пытаться найти не исходный сервер, а ретранслятор. Не найдя его в базе, пропустит спам письмо. А это прилично, учитывая, что при нормальной работе фильтруется до 99% спама и даже минута пропуска спама может вылиться в сотни и тысячи писем.
По сути все сводится к тому, что айронпорт открывает порт для ожидания smtp сессии.
Если ip адрес отправителя содержится в базе как не добропорядочный, то сессия разрывается, сообщив при этом, что он не доверяет этому отправителю.
В лог пишется короткое сообщение:
Лог ошибки, если пользователь не найден в каталоге ldap. В случае недоступности ldap сервера можно указать что делать: пропустить письмо или отказать в доставке. Поддерживаются составные запросы и если ironport обслуживает несколько доменов с разными ldap каталогами, то можно объединять запрос и проверка будет осуществляться последовательно по доступным каталогам, пока не найдет совпадение, либо отказывает в доставке адресату, если такого адреса в каталогах нет.
После проверки в каталоге ldap, текст письмо анализируется на наличие подозрительной информации. Это письмо — неудачник. К его сожалению, оно достойно только карантина.
По поводу карантина, кстати, тоже очень неплохо. Можно выделить до 5Гб под карантин и установить любой срок хранения. Но самое интересное в персональном карантине. При должных настройках запроса ldap и карантина, рядовой пользователь может зайти на ironport и просмотреть какие письма были отсеяны антиспамом, разлочить их или удалить навсегда. С указанной периодичностью может рассылаться уведомление на почту, сообщая сколько и какие письма находятся в карантине спама. По-моему прекрасная штука.
Рассылки не попадают под антиспам. Сервера рассылок имеют приличный рейтинг и не режутся.
В целом, система имеет довольно гибкий функционал. Практически нет конфигурации, где нельзя было бы использовать ironport. Есть также отказоустойчивые конфигурации.
Альтернативы
Из альтернатив я бы выделил Microsoft Forefront. По стоимости получается примерно также. Но по эффективности могу только сравнить с положительными отзывами и своим личным аккаунтом на office365, где спама стало… чуть меньше, чем ноль после перевода своего ящика с яндекса на 365.
В итоге в айронпорте я могу особенно выделить работу устройства в качестве шлюза вместе с SenderBase фильтром. Использовать его как антиспам фильтр не очень эффективно. И если запустить весь поток писем без фильтрации по SenderBase, то качество фильтрации будет удручать.
