13 ответов в этой теме

[News Robot]

29 января 2025 года

«Доктор Веб» продолжает совершенствовать модуль антиспама в своих продуктах, повышая эффективность фильтрации нежелательных писем.

Антиспам Dr.Web отфильтровывает почтовые сообщения в режиме реального времени, анализируя множество признаков электронного письма. Проверку проходят не только заголовок и «тело» письма, но и вложения, причем работа компонента никак не сказывается на скорости приема почты. Таким образом пользователя не беспокоит ни почтовый «мусор», ни замедление работы почтового клиента.

Постоянное добавление новых правил позволяет своевременно защитить пользователей от действий спамеров, которые стремятся обойти технологии антиспама, изобретая для этого все новые уловки.

Игорь Здобнов, руководитель антивирусной лаборатории «Доктор Веб»:

«В феврале будет выпущено самое крупное обновление данного компонента за всю его историю, в рамках которого будут существенно изменены и обновлены все используемые технологии. Каждый день спамеры придумывают новые способы обойти антиспам алгоритмы, именно поэтому мы сделали его новую версию максимально адаптируемой ко всем видам спам рассылок, в том числе и к фишингу.»

Марина Рыбкина, руководитель отдела спам-аналитики «Доктор Веб»:

«Значительную часть работы аналитиков составляет выделение признаков спама и создание таких правил, которые способны превентивно защитить пользователей от спамеров, желающих обойти фильтрацию, а также своевременная корректировка и оптимизация существующих техник для адаптации к новым методам обхода детектирования.

Фильтрация спама позволяет в некоторой степени оградить пользователей и от фишинга. Большинство фишинговых семплов имеют явные и часто повторяющиеся признаки для детектирования, которые аналитики используют в логике работы антиспама для превентивной защиты от похожих случаев.»

Вниманию пользователей Windows XP

Обращаем внимание пользователей, что в обновленной версии компонента, которая выйдет 3 февраля 2025 года, будут использоваться технологии, не совместимые с Windows XP.

Пользователям компьютеров на Windows XP рекомендуется по возможности обновить операционную систему до более поздних версий — либо же не устанавливать обновленную версию антиспама: компонент продолжит функционировать, если в настройках программы выбрать пункт «Обновление», затем нажать «Дополнительные настройки» и в разделе «Обновляемые компоненты» выбрать «Только вирусные базы».

Читать оригинал

[Alexander007]

Обращаем внимание пользователей, что в обновленной версии компонента, которая выйдет 3 февраля 2025 года, будут использоваться технологии, не совместимые с Windows XP.

Пользователям компьютеров на Windows XP рекомендуется по возможности обновить операционную систему до более поздних версий — либо же не устанавливать обновленную версию антиспама: компонент продолжит функционировать, если в настройках программы выбрать пункт «Обновление», затем нажать «Дополнительные настройки» и в разделе «Обновляемые компоненты» выбрать «Только вирусные базы».

 

 

Интересно, зачем Windows XP еще до сих пор живут?  Оптимальная версия Windows 7 .  Мало кто-то сидит на любимом Windows XP ...

[maxic]

Антиспам, получается, применим к той небольшой прослойке, которая использует почтовые клиенты, а в них - pop3 протокол. Защищенные соединения не проверяются (всякие гугл и яндекс идут лесом), как и весь IMAP. То есть дело хорошее, но уже, получается, для "ценителей".

Кстати, читал на днях, что касперы (вроде бы) выпилили антиспам из своего десктоп продукта. Они что-то знают 

Сообщение было изменено maxic: 29 Январь 2025 - 20:26

[Ivan Korolev]

Антиспам, получается, применим к той небольшой прослойке, которая использует почтовые клиенты, а в них - pop3 протокол. Защищенные соединения не проверяются (всякие гугл и яндекс идут лесом), как и весь IMAP. То есть дело хорошее, но уже, получается, для "ценителей".

Кстати, читал на днях, что касперы (вроде бы) выпилили антиспам из своего десктоп продукта. Они что-то знают 

 

Забываете еще, что антиспам может стоять непосредственно на почтовом сервере и фильтровать все там.

[Ivan Korolev]

https://x.com/AntRyb76/status/1884614349589004791

 

А местный муравей даже в твиттер пошел ныть про http/2 под новостью про антиспам 

[VVS]

https://x.com/AntRyb76/status/1884614349589004791

 

А местный муравей даже в твиттер пошел ныть про http/2 под новостью про антиспам 

Человек запомнил несколько умных слов и использует их везде, где, как ему кажется, они уместны.

[maxic]

 

Антиспам, получается, применим к той небольшой прослойке, которая использует почтовые клиенты, а в них - pop3 протокол. Защищенные соединения не проверяются (всякие гугл и яндекс идут лесом), как и весь IMAP. То есть дело хорошее, но уже, получается, для "ценителей".

Кстати, читал на днях, что касперы (вроде бы) выпилили антиспам из своего десктоп продукта. Они что-то знают 

 

Забываете еще, что антиспам может стоять непосредственно на почтовом сервере и фильтровать все там.

 

Не-не, это я помню, разумеется, однако в новости коснулись ХР, да и на форуме большая часть юзеров интересуется продуктами именно в приложении к десктопу.

[basid]

Антиспам, получается, применим к той небольшой прослойке, которая использует почтовые клиенты, а в них - pop3 протокол. Защищенные соединения не проверяются (всякие гугл и яндекс идут лесом), как и весь IMAP.

[30/01/2025 17:58:01 00002300] <DEBUG:1> IMAP PARSED: [106 check ]
[30/01/2025 17:58:01 00002300] <DEBUG:1> IMAP PARSED: [107 UID fetch 52234:* (FLAGS)]
[30/01/2025 17:58:01 00002300] <DEBUG:1> IMAP 'UID' 'FETCH' DETECTED
[30/01/2025 17:58:01 00002300] <DEBUG:1> IMAP SEND SERVER NEW FETCH
[30/01/2025 17:58:01 00002300] <DEBUG:1> IMAP DETECTED INBOX MESSAGE #52233
[30/01/2025 17:58:01 00002300] <DEBUG:1> IMAP SEND TO CLIENT FETCH REPLY
[30/01/2025 17:58:02 00002300] <DEBUG:1> IMAP FETCH 'OK' COMPLETION
[30/01/2025 17:58:02 00002300] <DEBUG:1> IMAP NO INFECTED MSGS
[30/01/2025 17:58:04 00002300] <DEBUG:1> IMAP PARSED: [108 IDLE ]
[30/01/2025 17:58:04 00002300] <DEBUG:1> IMAP 'IDLE' DETECTED

P.S.
В заголовках сообщения почтового клиента (сложено):

X-AntiVirus:
 Checked by Dr.Web
 [version: 12.5.17.06272,
 engine: 12.6.18.11141,
 virus records: 12317897,
 updated:  9.01.2025]
X-DrWeb-SpamState: No
X-DrWeb-SpamDetail: ...
X-DrWeb-SpamVersion: 01.423.251#02

Сообщение было изменено basid: 30 Январь 2025 - 14:51

[maxic]

basid, вчера посмотрел, в доке сказано, что защищенные протоколы не проверяются. А где сейчас тот же IMAP незашифрованный? У меня, пожалуй, только один ящик не имеет IMAP (он проверяется). Гугл и яндекс на компе работают по POP, на ноутбуках - через IMAP, ничего их них не проверяется, смотрел заголовки. Ручками отдельно ничего не настраивал.

[basid]

Насколько я помню политику партии - не проверяются они, как раз, в ES, а не в "настольных" версиях.

[maxic]

Не поленился, пошел в документацию.

https://cdn-download.drweb.com/pub/drweb/windows/workstation/12.0/documentation/html/ss/ru/index.html?spider_mail.html

Действительно, персональная версия заявлена как обработчик IMAP. А я проверял на станции с ES агентом, так что - соответствует. Также возможна проверка защищенного трафика путем добавления сертификата доктора (всё по обычной процедуре), но это только для тех, кто позволяет MITM.

[Afalin]

А где сейчас тот же IMAP незашифрованный?

Тот же вопрос можно задать и про pop3. Когда последний раз им пользовался, лет 10-15 назад, везде в ходу был pop3s, а голый pop3 уже прикрывали. Да и не помню, но по-моему pop3 + starttls редкостью тоже не был.

[maxic]

Afalin, посмотрел заголовки письма, полученного через pop3. Там есть наши метки, но похоже, что это проверка почтового сервера, поскольку упоминается MailD.
 

X-DrWeb-SpamScore: 0

X-DrWeb-SpamState: legit

X-DrWeb-SpamDetail: rfgrrhgrmhephhgvlhhopehrthdrughrfienuchinhgvthepudelvddrudeikedrudeggedrudelkeemfeehkedvvdenuchmrghilhhfrhhomheprhhosghothesrhhtqdifvggsrdguvghvrdgurhifvggsrdgtohhmnecurhgtphhtthhopehgohhsthgvvhesmhhtshdqnhhnrdhruhenucenucffrhdrhggvsgcutehnthhishhprghmmecunecuvfgrghhsme

X-DrWeb-SpamVersion: Dr.Web Antispam 1.0.9.202411250#1738340807

X-AntiVirus: Checked by Dr.Web [MailD: 11.1.20.2408291413, SE: 11.1.12.2210241838, Core engine: 7.00.65.05230, Virus records: 12344874, Updated: 2025-Jan-31 16:19:31 UTC]

 

То есть локально, получается, спайдермэйл у меня не несет никакой полезной нагрузки. А народ в подавляющем большинстве использует и вовсе веб-интерфейсы, почтовые клиенты остались для продвинутых.

[Roman Rashevskiy]

А какие изменения произошли под капотом и какой будет видимый результат?
Или основное изменение - это замена движка VadeRetro на свой?