Возможности Антиспама Dr.Web при обработке писем о «минировании»

3 февраля 2020 года

Компания «Доктор Веб» рассказывает о том, как дополнительные настройки Dr.Web для почтовых серверов UNIX могут помочь при получении ложных писем о минировании. Сообщения о якобы заложенных бомбах в последнее время появляются все чаще – и на них нужно реагировать, в чем компаниям и организациям (а также правоохранительным органам) может помочь Dr.Web для почтовых серверов Unix, который позволяет индивидуально обрабатывать подобные письма, тем самым снижая риск возникновения паники и повышая шансы на выявление отправителя.

Письма с сообщениями о минировании, несмотря на то, что в массе своей они являются ложными, нельзя классифицировать как спам – они требуют особой реакции, отличной от реакции на обычные письма фишеров.

Во-первых, уведомления о подобных письмах должны приходить не только системному администратору, но и сотруднику, ответственному за безопасность компании.

Во-вторых, во избежание паники такие письма не должны попадать простым сотрудникам.

В-третьих, по получении письма о минировании желательно собрать о нем полную информацию –она может пригодиться при расследовании.

Возможности Dr.Web для почтовых серверов UNIX позволяют обеспечить эти меры. Дело в том, что обработка сообщений электронной почты в этом продукте не задана жестко: при получении сообщения производится вызов специального скрипта, написанного на языке Lua. Содержимое этого скрипта системный администратор может изменять, добавляя нужный функционал.

В самом простейшем виде скрипт будет выглядеть так:

function spamd_report_hook(ctx)
return {
	score = 200,
	threshold = 100,
	report = "The message was recognized as spam"
}
End

Этот сценарий будет безусловно выносить вердикт о том, что письмо следует признать спамом (оценка баллов спама — 200, порог признания спамом — 100, уведомление отправителю — такое-то).

Антиспам Dr.Web можно настроить на реагирование по ключевым словам. Применительно к этой ситуации в качестве ключевых подходят слова «заминировано», «взрыв». Простейшая процедура обработки на ключевые слова будет выглядеть примерно так:

for _, pattern in ipairs(blacklist) do
  if regex.search(pattern, ctx.from, regex.ignore_case) then
    -- заменить получателей на  ответственное лицо по инф.безопасности
    return
    {
      action = 'accept', deleted_recipients = ctx.to, added_recipients = {'security@example.com' }
    }
end

В данном случае содержимое сравнивается с ключевыми словами, взятыми из списка (можно использовать базу данных, но мы не стали усложнять простейший пример). Действие - заменить список получателей на security@example.com. Можно расширить процедуру, анализируя, к примеру, адрес отправителя или добавив отправку уведомления, которое придет на адрес определенного сотрудника.

Специалисты «Доктор Веб» готовы проконсультировать системных администраторов об упомянутых возможностях Dr.Web.

Для дополнительного изучения

Оцените

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Поставьте «Нравится»

Чтобы проголосовать надо войти на страницу новости через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети для наград за активности в них. Видео о связывании аккаунта

В чем преимущества аккаунта? | Как зарабатывать Dr.Web-ки?

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @