Перейти к содержимому


Фото
- - - - -

Возможности Антиспама Dr.Web при обработке писем о «минировании»


  • Please log in to reply
2 ответов в этой теме

#1 News Robot

News Robot

    Creator of the News

  • Dr.Web Staff
  • 7 310 Сообщений:

Отправлено 03 Февраль 2020 - 17:58

3 февраля 2020 года

Компания «Доктор Веб» рассказывает о том, как дополнительные настройки Dr.Web для почтовых серверов UNIX могут помочь при получении ложных писем о минировании. Сообщения о якобы заложенных бомбах в последнее время появляются все чаще – и на них нужно реагировать, в чем компаниям и организациям (а также правоохранительным органам) может помочь Dr.Web для почтовых серверов Unix, который позволяет индивидуально обрабатывать подобные письма, тем самым снижая риск возникновения паники и повышая шансы на выявление отправителя.

Письма с сообщениями о минировании, несмотря на то, что в массе своей они являются ложными, нельзя классифицировать как спам – они требуют особой реакции, отличной от реакции на обычные письма фишеров.

Во-первых, уведомления о подобных письмах должны приходить не только системному администратору, но и сотруднику, ответственному за безопасность компании.

Во-вторых, во избежание паники такие письма не должны попадать простым сотрудникам.

В-третьих, по получении письма о минировании желательно собрать о нем полную информацию –она может пригодиться при расследовании.

Возможности Dr.Web для почтовых серверов UNIX позволяют обеспечить эти меры. Дело в том, что обработка сообщений электронной почты в этом продукте не задана жестко: при получении сообщения производится вызов специального скрипта, написанного на языке Lua. Содержимое этого скрипта системный администратор может изменять, добавляя нужный функционал.

В самом простейшем виде скрипт будет выглядеть так:

function spamd_report_hook(ctx)
return {
	score = 200,
	threshold = 100,
	report = "The message was recognized as spam"
}
End

Этот сценарий будет безусловно выносить вердикт о том, что письмо следует признать спамом (оценка баллов спама — 200, порог признания спамом — 100, уведомление отправителю — такое-то).

Антиспам Dr.Web можно настроить на реагирование по ключевым словам. Применительно к этой ситуации в качестве ключевых подходят слова «заминировано», «взрыв». Простейшая процедура обработки на ключевые слова будет выглядеть примерно так:

for _, pattern in ipairs(blacklist) do
  if regex.search(pattern, ctx.from, regex.ignore_case) then
      return {action = "reject", message = "Blacklist"}
  end
end

В данном случае содержимое сравнивается с ключевыми словами, взятыми из списка (можно использовать базу данных, но мы не стали усложнять простейший пример). Действие – отказать в приеме. Можно расширить процедуру, анализируя, к примеру, адрес отправителя или добавив отправку уведомления, которое придет на адрес определенного сотрудника.

Специалисты «Доктор Веб» готовы проконсультировать системных администраторов об упомянутых возможностях Dr.Web.

Для дополнительного изучения



Читать оригинал

#2 Dmitry Mikhirev

Dmitry Mikhirev

    Member

  • Dr.Web Staff
  • 424 Сообщений:

Отправлено 03 Февраль 2020 - 18:12

А что, слова «заминировано» и «взрыв» обычно пишут прямо в заголовке From?



#3 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 4 204 Сообщений:

Отправлено 03 Февраль 2020 - 20:18

А если и в теле, то только в плейн-тексте в utf8, никакого multipart, mixed, html, да и русский язык нормально поддаётся анализу регулярными выражениями.


Семь раз отрежь – один раз проверь


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых