Предисловие
Все знают, что такое электронная почта. Также все знают что же такое спам. Мировые объемы спама достигают 140 миллиардов сообщений ежедневно и такое огромное количество спама просто не позволяет более-менее эффективно использовать почту без какой-либо системы фильтрации нежелательной почты. При том один из самых важных факторов остается недопущение ошибок.
За долгое время было перелопачено много систем антиспама и как-то все не удовлетворяли в полной мере потребность. Но однажды предложили рассмотреть ironport от компании Cisco. Изначально я отнесся скептически, посчитал, что западная железка, да ещё и без байесового фильтра не сможет эффективно отсеивать русский спам, к тому же не допуская ошибок. Ну и цена! По расспросам людей в дружеской беседе, мне называли совершенно разные цифры, которые доходили до миллионов рублей. Это пугало, мало кто захочет отдавать такие деньги за фильтрацию всего лишь нежелательного контента. К тому же в интернете, к моему удивлению, совсем мало информации по этой системе. Даже в википедии только скудная статья на английском, а на русском совсем и нет ничего. И так, что же из себя представляет ironport и почему я его буду рекомендовать для почтовых систем среднего бизнеса и выше, я попробую ответить здесь.Типичная картина:
Менее 60 писем из 10000 достигают адресата.
IronPort C170
IronPort это железка. В самом простом исполнении это одноюнитовый сервер, вроде бы на железе DELL. Детальную конфигурацию cisco не раскрывает и, впрочем, это и не требуется. В этой конфигурации используется 2 диска в программном зеркале по 250GB. Диски используются в основном для карантина и логов.
Интерфейсов подключения не много, но много их и не требуется. 2 гигабитных интерфейса, один RS232. Также есть 2 порта USB, назначение которых я не понял. Присутствуют только в младшей модели, C170. В старших моделях USB портов нет.
Лицензирование
Используется интересная модель лицензирования. Минимальное количество для конфигурации ESA (Email Security Appliance) – 100 лицензий. Минимальный срок – 1 год. Самая невыгодная лицензия на антиспам получится около 30$ за штуку из расчета на 1 год. Есть лицензии на 3 и 5 лет, которые выгоднее где-то до 60% и продление, которое продается ещё дешевле. Плюс стоимость лицензии при покупке от 250 штук меньше ещё где-то на треть. В итоге, для примера, 3-х летняя лицензия на 250 пользователей может стоить 30-35$ за штуку и 20-25$ за её продление, эти цены мне озвучивал наш поставщик, есть шанс, что цены можно найти и ниже. Но очень интересно получается с самим железом, за сам сервер вы ничего не платите, он идет вместе с любым количеством лицензий и остается у вас даже после окончания лицензий, если вдруг вам расхотелось фильтровать спам с помощью айронпорта. В зависимости от количества лицензий вам выдается C170 до 1000 пользователей, более мощный C370 – от 2000 до 10000 пользователей и т.д. Вряд ли сервер эффективно можно применить в каких-то других целях, но сам подход мне нравится.
Технологии фильтрации
Основная система защиты от спама – так называемый фильтр по репутации. Ironport сверяет источник писем с базой данный SenderBase и расставляет так называемый SenderBase Reputation Score, который измеряется в пределах от -10 до 10. Сама база SenderBase пополняется в соответствии с какими-то хитрыми условиями и гарантируют не только исключение попадания в нее добросовестных отправителей, но и высокий уровень фильтрации спама ещё на этапе установки SMTP сессии. Обещают фильтрацию спама на основе репутации не ниже 80% от трафика писем. На деле это значение находится на уровне 98%.
Однако это не все. Далее письма, особенно которые имели низкую репутацию, но все же были пропущены, проверяются непосредственно антиспам модулем. Используется специальная система анализа контекста, анализируя по множеству параметров, в том числе на предмет признаков обхода антиспам защиты, ссылок, которые присутствуют в письме и картинок во вложении. Обычно на этой защите режется примерно половина писем, которые прошли ��ильтр репутации. Ошибок пока замечено не было.
Ironport работает на собственной ОС AsyncOS, которая разработана специально для этого устройства, имеет специальную файловую систему и безстэковую модель подключения, гарантируя до 10000 одновременных подключений.
Как все выглядит на самом деле?
IronPort можно настроить даже в конфигурации, когда сообщения на него будут ретранслироваться с другого почтового сервера. Часто такая настройка может потребоваться, напирмер, если в качестве вторичных mx серверов у вас установлены почтовые сервера провайдера. Ironport найдет в заголовке письма адрес исходного сервера и проверит его на присутствие в SenderBase. Если настройку не выполнять, то ironport будет пытаться найти не исходный сервер, а ретранслятор. Не найдя его в базе, пропустит спам письмо. А это прилично, учитывая, что при нормальной работе фильтруется до 99% спама и даже минута пропуска спама может вылиться в сотни и тысячи писем.
По сути все сводится к тому, что айронпорт открывает порт для ожидания smtp сессии.
Если ip адрес отправителя содержится в базе как не добропорядочный, то сессия разрывается, сообщив при этом, что он не доверяет этому отправителю.
В лог пишется короткое сообщение:
Лог ошибки, если пользователь не найден в каталоге ldap. В случае недоступности ldap сервера можно указать что делать: пропустить письмо или отказать в доставке. Поддерживаются составные запросы и если ironport обслуживает несколько доменов с разными ldap каталогами, то можно объединять запрос и п��оверка будет осуществляться последовательно по доступным каталогам, пока не найдет совпадение, либо отказывает в доставке адресату, если такого адреса в каталогах нет.
После проверки в каталоге ldap, текст письмо анализируется на наличие подозрительной информации. Это письмо — неудачник. К его сожалению, оно достойно только карантина.
По поводу карантина, кстати, тоже очень неплохо. Можно выделить до 5Гб под карантин и установить любой срок хранения. Но самое интересное в персональном карантине. При должных настройках запроса ldap и карантина, рядовой пользователь может зайти на ironport и просмотреть какие письма были отсеяны антиспамом, разлочить их или удалить навсегда. С указанной периодичностью может рассылаться уведомление на почту, сообщая сколько и какие письма находятся в карантине спама. По-моему прекрасная штука.
Рассылки не попадают под антиспам. Сервера рассылок имеют приличный рейтинг и не режутся.
В целом, система имеет довольно гибкий функционал. Практически нет конфигурации, где нельзя было бы использовать ironport. Есть также отказоустойчивые конфигурации.
Альтернативы
Из альтернатив я бы выделил Microsoft Forefront. По стоимости получается примерно также. Но по эффективности могу только сравнить с положительными отзывами и своим личным аккаунтом на office365, где спама стало… чуть меньше, чем ноль после перевода своего ящика с яндекса на 365.
В итоге в айронпорте я могу особенно выделить работу устройства в качестве шлюза вместе с SenderBase фильтром. Использовать его как антиспам фильтр не очень эффективно. И если запустить весь поток писем без фильтрации по SenderBase, то качество фильтрации будет удручать.
