Глава 10. SpIDer Mail

Почтовый сторож SpIDer Mail по умолчанию включается в состав устанавливаемых компонентов, постоянно находится в памяти и автоматически запускается при загрузке операционной системы.

Если антивирус работает с лицензией на программный пакет «Антивирус+Антиспам» (и соответствующим ключевым файлом), то почтовый сторож также может осуществлять проверку корреспонденции на спам с помощью Антиспама Dr.Web.

Настройки SpIDer Mail по умолчанию являются оптимальными для начинающего пользователя, обеспечивая максимальный уровень защиты при наименьшем вмешательстве пользователя. При этом, однако, блокируется ряд возможностей почтовых программ (например, направление письма по многим адресам может быть воспринято как массовая рассылка, полученный спам не распознается), а также теряется возможность получения полезной информации из автоматически уничтоженных писем (из незараженной текстовой части). Более опытные пользователи могут изменить параметры проверки почты и настройки реакции почтового сторожа SpIDer Mail на различные события.

По умолчанию почтовый сторож SpIDer Mail автоматически перехватывает все обращения к почтовым серверам, выполняемые по стандартным для протоколов портам любыми почтовыми программами вашего компьютера. Стандартными являются следующие порты:

В ряде случаев автоматический перехват POP3-, SMTP-, IMAP4- и NNTP-соединений невозможен. В таком случае вы можете настроить перехват соединений вручную.

Почтовый сторож SpIDer Mail получает все входящие письма вместо почтового клиента и подвергает их антивирусному сканированию с максимальной степенью подробности. При отсутствии вирусов или подозрительных объектов оно передается почтовой программе «прозрачным» образом – так, как если бы оно поступило непосредственно с сервера. Аналогично исходящие письма проверяются до отправки на сервер.

Функция проверки писем на спам доступна только в том случае, если Dr.Web Agent работает с лицензией «Антивирус+антиспам».

Технологии антиспам-фильтра Dr.Web состоят из нескольких тысяч правил, которые условно можно разбить на несколько групп:

◆эвристический анализ – чрезвычайно сложная, высокоинтеллектуальная технология эмпирического разбора всех частей письма: поля заголовка, тела, содержания вложения;

◆фильтрация противодействия – состоит в распознавании уловок, используемых спамерами для обхода антиспам-фильтров;

◆анализ на основе HTML-сигнатур – сообщения, в состав которых входит HTML-код, сравниваются с образцами библиотеки HTML-сигнатур антиспама;

◆семантический анализ – сравнение слов и выражений сообщения со словами и идиомами, типичными для спама, производится по специальному словарю. Анализу подвергаются как видимые, так и визуально скрытые специальными техническими уловками слова, выражения и символы;

◆анти-скамминг технология – к числу скамминг- и фарминг-сообщений относятся т.н. «нигерийские письма», сообщения о выигрышах в лотерею, казино, поддельные письма банков. Для их фильтрации применяется специальный модуль;

◆фильтрация технического спама – так называемые bounce-сообщения возникают как реакция на вирусы, или как проявление вирусной активности. Специальный модуль антиспама определяет такие сообщения как нежелательные.

Реакция почтового сторожа SpIDer Mail на обнаружение инфицированных и подозрительных входящих писем, а также писем, не прошедших проверки (например, писем с чрезмерно сложной структурой), по умолчанию следующая:

◆из зараженных писем удаляется вредоносная информация (это действие называется лечением письма), затем они доставляются обычным образом;

◆письма с подозрительными объектами перемещаются в виде отдельных файлов в Карантин, почтовой программе посылается сообщение об этом (это действие называется перемещением письма);

◆незараженные письма и письма, не прошедшие проверку, передаются без изменений (пропускаются);

◆все удаленные или перемещенные письма также удаляются с POP3- или IMAP4-сервера.

Инфицированные или подозрительные исходящие письма не передаются на сервер, пользователь извещается об отказе в отправке сообщения (как правило, почтовая программа при этом сохраняет письмо).

При наличии на компьютере неизвестного вируса, распространяющегося через электронную почту, почтовый сторож SpIDer Mail может определять признаки типичного для таких вирусов «поведения» (массовые рассылки). По умолчанию эта возможность включена.

Почтовый сторож SpIDer Mail предоставляет возможность проверки входящих писем на спам с помощью Антиспама Dr.Web. По умолчанию эта возможность включена.

Сторож SpIDer Guard и Сканер Dr.Web также может обнаруживать вирусы в почтовых ящиках некоторых форматов, однако почтовый сторож SpIDer Mail имеет перед ним ряд преимуществ:

◆далеко не все форматы почтовых ящиков популярных программ поддерживаются сторожем SpIDer Guard и Сканером Dr.Web; при использовании почтового сторожа SpIDer Mail зараженные письма даже не попадают в почтовые ящики;

◆SpIDer Guard по умолчанию не проверяет почтовые ящики, при включении этой возможности производительность системы значительно снижается;

◆Cканер Dr.Web проверяет почтовые ящики, но только по запросу пользователя или по расписанию, а не в момент получения почты, причем данное действие является трудоемким и занимает значительное время.

Таким образом, при настройках всех компонентов Enterprise Security Suite по умолчанию почтовый сторож SpIDer Mail первым обнаруживает и не допускает на компьютер вирусы и подозрительные объекты, распространяющиеся по электронной почте. Его работа является весьма экономичной с точки зрения расхода вычислительных ресурсов; остальные компоненты могут не использоваться для проверки почтовых файлов.

Раздел настроек сторожа SpIDer Mail различается в зависимости от установленной версии сторожа. Существуют две версии сторожа SpIDer Mail:

Перед установкой сторожа автоматически определяется версия операционной системы и устанавливается соответствующая версия SpIDer Mail (см. п. Системные требования).

При необходимости (например, в случае выполнения критически чувствительного к загрузке процессора задания в реальном масштабе времени) вы можете временно отключить работу сторожа.