Quản lý spam từ kinh nghiệm thực tế

Hoạt động thường ngày của một nhân viên quản lý message bao gồm rất nhiều tác vụ, ví như quản lý hòm thư và người gửi, quản lý sao lưu, diệt virus, dự phòng lỗi phục hồi và theo dõi “sức khỏe” cho hòm thư. Nếu tất cả những công việc trên không được thực hiện, hacker gửi spam email có thể khiến mọi việc trở nên tồi tệ. Ở rất nhiều công ty, việc quản lý ngăn chặn và cách ly spam rất quan trọng. ...
Nội dung trích xuất từ tài liệu:
Quản lý spam từ kinh nghiệm thực tếQuản lý spam từ kinh nghiệm thực tếQuanTriMang - Hoạt động thường ngày của một nhân viên quảnlý message bao gồm rất nhiều tác vụ, ví như quản lý hòm thư vàngười gửi, quản lý sao lưu, diệt virus, dự phòng lỗi phục hồi vàtheo dõi “sức khỏe” cho hòm thư. Nếu tất cả những công việc trênkhông được thực hiện, hacker gửi spam email có thể khiến mọiviệc trở nên tồi tệ.Ở rất nhiều công ty, việc quản lý ngăn chặn và cách ly spam rất quantrọng. Một số công ty thậm chí còn dành riêng một nhân viên để quảnlý các tác vụ liên quan tới spam. Ở những doanh nghiệp không cóhoặc có ít công nghệ chống spam, ước tính nhân viên của họ sẽ phảidành ra khoảng 45 phút mỗi ngày để xóa những email không mongmuốn. Một trong những chủ đề phổ biến ở các cuộc hội thảo, thảoluận Internet là ngăn chặn spam.Có rất nhiều phương pháp và sản phẩm giúp người dùng loại bỏ spamkhỏi hòm thư. Khi tìm kiếm một phương pháp phù hợp, doanh nghiệpcó rất nhiều lựa chọn, bao gồm:- Sử dụng phần mềm trên máy khách- Sử dụng phần mềm trên mail server hoặc công cụ đã được tích hợpvới phần mềm diệt virus của mail server.- Triển khai một gateway chống spam, hoạt động bao quanh mạngdoanh nghiệp- Sắp xếp để một bên thứ 3 nào đó thực hiện chức năng kiểm tramessage (chống spam và diệt virus) trước khi message đó đượcchuyern tiếp tới mail server của doanh nghiệp.Trong bào viết này, chúng tôi sẽ cung cấp thông tin về việc tìm giảipháp chống spam đúng đắn sao cho phù hợp với nhu cầu kinh doanhcủa doanh nghiệp qua ví dụ là kinh nghiệm của một công ty điển hình.Tầm nghiêm trọng của vấn đềCompany X là một công ty tư vấn nhỏ, Microsoft Exchange Server2003 hỗ trợ 18 hòm thư của họ. Email là huyết mạch của công ty này.Ước tính có khoảng 25% số lượng nhân viên của họ sử dụng thiết bịWindows Mobile, Microsoft Office Outlook Web Access được sửdụng hàng ngày và email từ khách hàng đến liên tục mỗi ngày giaodịch.Trong một vài năm, Company X không dành riêng một nhân viên ITchuyên nghiệp để quản lý email và phớt lờ vấn đề spam đang nhiềulên từng ngày. Thành viên trong công ty thường cài đặt và cấu hìnhgiải pháp chống spam trên máy theo sở thích riêng. Một nhân viên củacông ty đã báo cáo lại rằng cứ mỗi 24h, anh ta nhận được 750 junkmessage.Mọi người đều biết vấn đề này là không tốt, nhưng nó không tốt nhưthế nào? Khi công ty nâng cấp server của họ lên Exchange Server2003 Service Pack 2, họ đã sử dụng Intelligent Message Filter (IMF)được tích hợp sẵn, bộ đếm hệ thống của IMF và bộ đếm hệ thống củaSMTP để xác định độ nghiêm trọng của vấn đề spam. Họ đã đặtngưỡng gateway IMF ở mức độ spam confidence level (SCL) mức 5– mức độ spam của một email – và cấu hình nó để nhận email. Trongvòng 24h, hệ thống giám sát ghi lại thông số IMF như trong hình 1.Hình 1. Thông số giám sát hệ thống trong vòng 24 tiếng của IMFTrong vòng 24h, server email này chấp nhận 21,021 message; trongsố đó, có 89.5% (18,824) có mức SCL 5 hoặc cao hơn. Nhữngmessage này tiêu tốn khoảng 35MB dung lượng ổ cứng và khoảng40MB băng thông Internet cần thiết để nhận chúng. Đây thực sự làlượng email spam đáng kinh ngạc đối với một công ty nhỏ.Một vài phương pháp ban đầu được sử dụng với mục đích chống lạicơn lũ spam, bao gồm danh sách chặn trong thời gian thực (RBLs) vàlọc người nhận.Trong vòng 5 ngày thử nghiệm, thông số Transport Filter Sink đãgiám sát độ hiệu quả của RBL cung cấp và có bao nhiêu message đãbị từ chối do gửi nhầm người nhận. Hình 2 thể hiện thông sốTransport Filter Sink, trong khoảng 211,000 truy vấn DNS bị chặn, có111,000 kết nối bị từ chối do địa chỉ IP của người gửi là một trongnhững danh sách DNS bị chặn.Hình 2. thông số truyền SMTP messageThêm vào đó, có 76,000 message bị từ chối nhờ tính năng lọc ngườinhận do người nhận message không hợp lệ trong dịch vụ ActiveDirectory. Rõ ràng, có ai đó đang cố gắng gửi một lượng lớn inboundmessage tới người nhận không hợp lệ. Hãy xem các phiên CurrentSessions của Exchange SMTP Virtual Server (trong hình 3) hiển thịhàng chục phiên SMTP inbound trong một thời điểm nhất định.Hình 3. Các phiên Inbound SMTPBản ghi giao thức SMTP hiển thị và nó quyết định gần như tất cả cácphiên SMTP này đã được gửi tới người nhận không hợp lệ. Loại spamnày được gọi là “dictionary spamming” do phần mềm spammer sửdụng từ điển những loại tên phổ biến để gửi. Bản ghi tương tự cũngđược hiển thị dưới đây:21:15:14 212.183.55.210 telekom.at EHLO - +telekom.at 25021:15:15 212.183.55.210 telekom.at MAIL -+From:+ 25021:15:53 212.183.55.210 telekom.at RCPT -+To: 55021:16:08 212.183.55.210 telekom.at RCPT -+To: 55021:16:24 212.183.55.210 telekom.at RCPT -+To: 55021:16:39 212.183.55.210 telekom.at RCPT -+To: 55021:16:54 212.183.55.210 telekom.at RCPT -+To: 55021:17:10 212.183.55.210 telekom.at RCPT -+To: 55021:17:25 212.183.55.210 telekom.at RCPT ...