Обнаружение исходящего спама для ISP

Обнаружение исходящего спама для ISP

Почтовые угрозы, такие как спам, вирусы и Phishing, стали огромной причиной для беспокойства во многих организациях. До сегодняшнего дня подход к обеспечению безопасности основывался на системах защиты на предприятиях и стороне конечного пользователя. Однако требования заказчиков повышаются, вынуждая ISP принимать меры по защите пользователей от угроз, исходящих из сети. Этот документ иллюстрирует методы распространения угроз и пути их обнаружения и предотвращения, используя продукты PineApp. Для того чтобы распространять спам и вирусы по электронной почте для сетевых атак, например DDoS, используются "зомби", которые могут также быть обнаружены и заблокированы с помощью тех же продуктов.

Инфраструктура

У ISP есть несколько PoP (Point of Presence), которые используются для подключения конечных пользователей (через dial-up, cables, xDSL и т.д.) и организаций (через арендованные каналы, ATM, frame-relay и т.д.). В большинстве случаев PoPs и HQ подключены, используя узловую топологию, чтобы коммуникация была максимально эффективной.

На рис. 2 показана электронная почта, посылаемая с использованием почтовых серверов ISP.

Эти серверы обычно используются для отправки пользователями легитимной почты. Однако спамеры используют те же самые серверы для своих рас-сылок. Чтобы предотвратить "бомбежку" почтовых серверов ISP, кластер серверов Mail-Se-Cure™ физически установлен перед почтовыми серверами. Различные уровни защиты предотвратят массовую рассылку и перегрузку почтовых серверов ISP. В дополнение к этому серверы обеспечат надежный уровень защиты входящего почтового трафика и предотвратят любую угрозу, связанную с ним.

На рис. 3 показано, как "зомби" связываются и посылают по электронной почте вирусы, которые являются наиболее распространенным методом для рассылки спама (95%), те же самые "зомби" используются, чтобы выполнить DDoS-атаки. У "зомби" есть свои собственные независимые механизмы, они обращаются к своим серверам без необходимости использования почтовых серверов ISP. Кроме того, как показано на рисунке, "зомби" может инициализировать сессию к серверу или IP в пределах того же самого ISP. Сервер PineApp BotStop™ располагается на всех коммуникационных линиях, чтобы прервать "зомби".

Пример внедрения PineApp Mail-SeCure для крупного Интернет-провайдера

Задача:

Найти простое в управлении и приемлемое по цене решение для фильтрации спама, которое сможет обработать поток почты объемом от 2 до 4 миллионов входящих писем в день.

Решение:

Установить три антиспам-устройства PineApp Mail-SeCure 5080 для фильтрации всей входящей почты.

Как спасти бизнес

Telepak Networks, Inc. (США, Джексон, штат Миссисипи) - крупный Интернет-провайдер, предоставляющий доступ в Интернет и оказывающий телекоммуникационные и сетевые услуги сотням частных и корпоративных клиентов.

Изначально Telepak опирался на бесплатное программное обеспечение SpamAssassin, которое использовалось для проверки входящей почты на спам перед пересылкой ее пользователям через три сервера Sun 220R (под управлением Solaris). Однако вроде бы дешевое решение требовало постоянных обновлений, а значит, отнимало значительную часть рабочего времени администраторов. Кроме того, оно оказалось неэффективным в плане производительности, быстро перегружаясь во время спам-атак и часто путая "хорошие" письма и спам. "Мы были в проигрышном положении, тратя огромное количество часов на администрирование и все же не достигая нужной цели", - сказал Джон МакНили, системный администратор Telepac Networks.

Со временем объем почтового трафика вырос до двух миллионов писем в день. Серверы были перегружены, и ситуация достигла критической точки. "Некоторые из наших корпоративных клиентов ждали целые дни, пока важное письмо "пробиралось" сквозь тонны спама. Мы были близки к развалу бизнеса", - отметил г-н МакНили.

В поисках нового решения для контроля спама МакНили обратился к Google. Однако большинство решений, которые он рассматривал, подходили скорее для компаний меньшего размера и не могли справиться с большими объемами почтового трафика крупного провайдера. МакНили определил несколько потенциально возможных решений, включая приложения от Barracuda, McAfee и антиспам-устройство PineApp Mail-SeCure .

Решения от различных производителей были примерно одинаковыми по функциональности, но PineApp Mail-SeCure стоил меньше своих конкурентов.

PineApp Mail-SeCure 5080: результаты внедрения

Команда инженеров PineApp быстро организовала доставку в Telepak двух устройств PineApp Mail-SeCure 5080 для тестирования. Установка потребовала минимальных настроек, и в кратчайшие сроки решение начало работать, моментально продемонстрировав свои возможности. Наибольшее впечатление на МакНили произвела возможность создавать антиспам-политику, а также разнообразная статистика, доступная администраторам: "Мы узнали, что более 97% нашей входящей почты - это спам. И заметили всего несколько неправильно классифицированных писем: через фильтры не смогли пройти сообщения из списков рассылки".

По окончании тестового периода Telepak, не колеблясь, приобрел устройства, предложенные PineApp. По словам МакНили, улучшения были действительно впечатляющими. Серверы больше не перегружались. Пользователи были счастливы, что из их почтовых ящиков исчезли спам-сообщения. "Некоторые корпоративные пользователи, ранее получавшие до 100 спам-писем в день, сейчас не видят ни одного. Внедрение PineApp Mail-SeCure помогло нам сохранить клиентов", - отмечает МакНили.

Через некоторое время после внедрения Mail-SeCure в Telepak компания PineApp анонсировала новую систему IP Reputation ("IP-репутация"), классифицирующую письма, приходящие с так называемых "серых" (неизвестно каких -спамерских или надежных) IP-адресов, основанную на разнообразных методах статистического анализа и политиках контроля потоков почты. Этот дополнительный уровень защиты позволил Telepak сэкономить трафик SMTP на 60%.

Telepak в настоящее время осуществляет план "оптоволокно в каждый дом", что, по его прогнозам, значительно увеличит количество пользователей провайдера в ближайшем будущем. Если все пойдет так, как запланировано, с увеличением нагрузки руководство Telepak рассчитывает купить дополнительные устройства от PineApp.