IronPort c170でスパムから身を守る

まえがき



画像

誰もがメールが何であるかを知っています。 また、誰もがスパムとは何かを知っています。 世界のスパム量は1日に1,400億通に達し、このような膨大な量のスパムは、スパムフィルターシステムなしではメールの効率的な使用を許可しません。 さらに、最も重要な要因の1つはエラーの防止です。



長い間、多くのスパム対策システムがシャベルで削られており、どういうわけか誰もがそのニーズを完全には満たしていない。 しかし、かつてシスコ社のIronportを検討することを提案しました。 当初、私は懐疑的でしたが、西洋の鉄片は、そしてベイジアンフィルターがなくても、間違いを犯さずにロシアのスパムを効果的に除去することができないと考えました。 まあ、価格! 友好的な会話での人々のインタビューによると、彼らは私に全く異なる番号を呼び、それは数百万ルーブルに達しました。 このかかし、不適切なコンテンツをフィルタリングするためにそのようなお金を与えたい人はほとんどいません。 さらに、インターネットでは、驚いたことに、このシステムに関する情報はほとんどありません。 ウィキペディアでさえ、英語ではわずかな記事しかなく、ロシア語ではまったく何もありません。 だから、Ironportとは何か、そして中規模ビジネス以上のメールシステムにそれを推奨する理由は、ここで答えようとします。



典型的な写真:



10,000通のうち60通未満が宛先に届きます。



IronPort C170




IronPortは鉄片です。 最も単純なバージョンでは、単一ユニットサーバーであり、DELLハードウェア上にあるようです。 シスコは詳細な設定を公開していませんが、これは必須ではありません。 この構成では、250GBのソフトウェアミラーで2つのディスクを使用します。 ディスクは主に隔離とログに使用されます。





多くの接続インターフェースはありませんが、それらの多くは必要ありません。 2つのギガビットインターフェイス、1つのRS232。 2つのUSBポートもありますが、その目的は理解していませんでした。 若いモデル、C170にのみ存在します。 古いモデルでは、USBポートはありません。





免許


興味深いライセンスモデルが使用されます。 ESA(電子メールセキュリティアプライアンス)構成の最小数量は100ライセンスです。 最短期間は1年です。 最も不利なスパム対策ライセンスは、1年ごとに約30ドルかかります。 3年と5年のライセンスがあり、最大60%のどこかでより収益性が高く、更新はさらに安く販売されています。 さらに、250個から購入する場合のライセンスのコストは、まだ3分の1程度です。 その結果、たとえば、250ユーザーの3年ライセンスには、ユニットあたり30〜35ドル、その延長に20〜25ドルかかることがあります。これらの価格は、サプライヤーから発表されました。価格が低くなる可能性があります。 しかし、ハードウェア自体には非常に興味深いことが判明しました。サーバー自体に何も支払うことはありません。ライセンスの数に関係なく、ライセンスが期限切れになった後でも、Ironportの助けを借りてスパムをフィルタリングすることにうんざりした場合はそのままです。 ライセンスの数に応じて、C170から1000ユーザー、より強力なC370-2000から10000ユーザーなどが発行されます。 サーバーを他の目的に効果的に使用できるとは考えられませんが、私はこのアプローチ自体が好きです。



ろ過技術


メインのスパム対策システムは、いわゆるレピュテーションフィルターです。 Ironportは、SenderBaseが提供するデータベースで文字のソースをチェックし、-10〜10の範囲で測定されるいわゆるSenderBaseレピュテーションスコアを配置します。 SMTPセッションのインストールフェーズ中でも、高レベルのスパムフィルタリングが行われます。 メッセージトラフィックの少なくとも80%のレピュテーションに基づくスパムフィルタリングを約束します。 実際、この値は98%です。

ただし、これだけではありません。 それ以上の文字、特に評判は低いがまだ見逃された文字は、スパム対策モジュールによって直接チェックされます。 特別なコンテキスト分析システムが使用され、スパム対策保護の回避の兆候、レターに含まれるリンク、添付ファイルの写真など、さまざまなパラメーターを分析します。 通常、レピュテーションフィルターを通過した文字の約半分は、この保護でカットされます。 これまでのところ、エラーは確認されていません。

Ironportは、このデバイス専用に設計された独自のAsyncOS OS上で実行され、特別なファイルシステムとスタックレス接続モデルを備えており、最大10,000の同時接続を保証します。



それは本当にどのように見えますか?



IronPortは、それへのメッセージが別のメールサーバーからリレーされる構成で構成することもできます。 たとえば、プロバイダーのメールサーバーがセカンダリmxサーバーとしてインストールされている場合、このような設定が必要になることがあります。 Ironportは、メッセージのヘッダーで送信元サーバーのアドレスを検索し、SenderBaseに存在するかどうかを確認します。 設定が実行されない場合、ironportはソースサーバーではなく、リレーを見つけようとします。 データベースで見つからない場合、スパムメールはスキップされます。 通常の運用中にスパムの最大99%がフィルタリングされ、スパムを1分間スキップしても数百、数千の手紙が送られることを考えると、これはまともです。



実際、Ironportは、smtpセッションを待機するためにポートを開くという事実に帰着します。

送信者のIPアドレスがデータベースで適切でない場合、セッションは中断され、この送信者を信頼していないことが通知されます。

短いメッセージがログに書き込まれます。





ユーザーがldapディレクトリに見つからない場合のエラーログ。 LDAPサーバーが使用できない場合、何をするかを指定できます。レターをスキップするか、配信を拒否します。 複合クエリがサポートされており、Ironportが異なるldapディレクトリを持つ複数のドメインにサービスを提供している場合、リクエストを組み合わせて、一致するか、ディレクトリにそのようなアドレスがない場合は受信者への配信を拒否するまで、利用可能なディレクトリを順番に実行することを確認できます。





ldapディレクトリをチェックインした後、不審な情報についてレターのテキストが分析されます。 この手紙は敗者です。 残念ながら、それは隔離の価値があるだけです。





隔離に関しては、ところで、非常に良いです。 最大5GBの隔離を選択し、保存期間を設定できます。 しかし、最も興味深いのは個人の検疫です。 LDAP要求と検疫の適切な設定により、一般ユーザーはIronportにアクセスして、スパム対策によってスパムされたメッセージを確認したり、ロックを解除したり、完全に削除したりできます。 指定された頻度で、スパム検疫に含まれる文字の数と文字数を通知する通知をメールに送信できます。 私の意見では美しいものです。



ニュースレターはスパム対策の対象にはなりません。 メーリングサーバーには適切な評価があり、カットされません。





一般に、システムには非常に柔軟な機能があります。 Ironportを使用できなかった構成は実質的にありません。 フォールトトレラントな構成もあります。



代替案


選択肢のうち、Microsoft Forefrontを選びます。 コストはほぼ同じです。 しかし、効率の面では、肯定的なレビューと、Office365の個人アカウントとのみ比較できます。これは、メールボックスをYandexから365に転送した後、スパムがゼロになりました。



その結果、ゲートウェイとしてのデバイスの動作と、IronportのSenderBaseフィルターを特に強調できます。 スパム対策フィルターとして使用することは、あまり効果的ではありません。 また、SenderBaseによるフィルタリングなしで文字のフロー全体を開始すると、フィルタリングの品質が低下します。




All Articles