Отвлечемся еще немного и поговорим

Отвлечемся еще немного и поговорим о спаме. Точнее, о результатах моего небольшого тестирования различных методов его блокировки.
Вначале о том, как проходил тест. Имеется мой рабочий адрес, на который помимо полезной корреспонденции, валится довольно много спама. Технология проведения теста проста — были зарегистрированы аккаунты в Спамообороне Яндекса, Спамтесте и на Mail.ru. Подбор служб производился из следующих соображений — по сути, сейчас имеется два серьезных разработчика антиспаммерских технологий в Рунете, это Яндекс и компания Игоря Ашманова. При этом на Mail.ru, хоть и тоже применяется технология Спамтеста, но в сочетании с собственными фильтрами, что несколько меняет ситуацию.
После этого существующий почтовый ящик был перенастроен таким образом, чтобы все письма, приходящие на него, автоматически форвардились на созданные аккаунты в антиспам-системах, и, кроме того, клались собственно в ящик. Посему ни одно письмо не потеряно и можно адекватно судить о качестве фильтрации. Настройки были следующие — Спамоборона убивала все письма, сочтенные спамом или содержавшие вирусы, Спамтест стирать у себя не умеет, поэтому в Бате было включено selective download, которое стирало сразу на сервере письма, однозначно сочтенные спамом. Mail.ru сам по себе спам не принимает, а возможный спам складывает в папку «Сомнительные».
Всего было обработано 1845 писем. Из них Спамооборона пропустила без замечаний 933 письма. Из них оказалось спамом — 134 письма. Спамтест пропустил без замечаний 986 писем, из которых спамом оказалось — 119 писем. При этом Спамтест еще 72 письма пометил как Probable Spam, 69 из которых оказалось действительно спамом, в большинстве своем с MyDoom внутри.
Самый острый момент в фильтрации -это ложные срабатывания, когда нормальное письмо принимается за спам. Спамтест «отличился» трижды, пометив письма как Probable Spam. Все три раза проблема была очевидна — речь шла о рассылках, которые либо содержали не очень общепринятые символы в заголовках (знак «@» в теме), либо делались некрасивой программой Advanced Mail Sender, которая считается спаммерской.
Спамооборона оказалась более жесткой. Собственно, из приведенных видно, что 68 писем сочтено спамом ложно. Но тут стоит сказать пару слов в защиту Яндекса. Все 68 писем — это письма с массовых сервисов, как-то уведомления о регистрации в каталоге, например, или служебные сообщения — отлупы от серверов.
С Mail.ru получилось все не очень здорово. До ящика дошло 1023 письма. Из них спамом оказалось 124. С «Сомнительными» вышла накладка. Оказывается, на Mail.ru стоит, кроме прочего, детектор массовости рассылок. Так вот, этот детектор срабатывает только так, если начинать автоматически форвардить туда почту, даже на моем не очень большом трафике. В итоге в папку «Сомнительные» — а это аналог Probable Spam для Спамтеста — начали падать очень даже нормальные письма. Так продолжалось пару дней, пока я не связался с руководителем лаборатории Ашманова Кириллом Зорким и он не внес мой сервер в белый список. Но это автоматически исключает вариант с mail.ru из общедоступного набора — не будут же все подряд вноситься в «белый список» серверов, с которых mail.ru принимает даже массовые рассылки.
Вчистую — после вычищения хороших писем из папки «Сомнительные» — возможным спамом Mail.ru счел 52 письма. О ложных срабатываниях говорить сложно.
Добавлю, что из рассмотрения ложности срабатывания исключены автоответы серверов. Здесь может крыться часть нестыковок.
Итоги таковы. В качестве рабочего варианта останется, скорее всего, Спамтест — склонность Спамообороны убивать служебные сообщения серверов может сыграть дурную шутку. Вообще, Яндексу стоило бы ввести дополнительную градацию по примеру Ашманова, куда относить сомнительные случаи — это бы помогло избежать ложных срабатываний.
Спамтесту однозначно нужна антивирусная защита. Вирусы и так очень неплохо ловятся по сигнатурам спама, но негоже считать MyDoom возможным спамом и пропускать его к пользователю. Впрочем, Кирилл Зоркий сообщил, что планируется добавить антивирус Касперского, но там есть сложности.
Mail.ru, как ясно, для фильтрации спама на рабочем ящике не подходит абсолютно. При том, что средний трафик оказался относительно небольшим, фильтр стал работать непредсказуемо. Но, если ящик на mail.ru сам по себе является адресатом, то защита работает вполне удовлетворительно.
Вот, примерно и все.