В настоящее время доля спама во входящих почтовых сообщениях по различным экспертным оценкам составляет от 85 до 95%. Борьба с этим злом, сжигающим время домашних пользователей и офисных сотрудников ведется централизованно и локально. Фильтры, устанавливаемые локально на машинах пользователей лучше приспособлены с конкретным особенностям получаемой почты именно этим пользователем. Серверные решения могут отслеживать массовые рассылки, анализируя большие потоки писем, приходящих на большое количество ящиков.
Одним из наиболее популярных почтовых серверов на текущий момент является MDaemon компании Alt-N. В комплекте с ним поставляется один из наиболее эффективных open-source антиспам фильтров SpamAssassin. К сожалению, недостаточно быстрое обучение данного фильтра уже давно не приносит ожидаемых дивидендов, поскольку спамеры наловчились рассылать большое количество повторяющихся писем за один день, а затем на долгий срок откладывать или вовсе завершать данную кампанию.
Что же можно противопоставить этому подходу, какие характерные черты у спам-рассылок дадут нам ответ на вопрос — это письмо спам или нет? Все достаточно просто. Спамеры имеют большой пул (набор) различных IP адресов, с которых производится рассылка. Но их набор все же ограничен. Спамеры не могут сильн искажать тело писем и их тему, иначе эффективность спама резко падает. Поэтому при детектировании нескольких десятков писем можно найти похожие фразы в subject и body. Известный принцип: переписка с живым человеком идет в две стороны. Получение большого количества писем с одного источника без отправки ответов на них — потенциально спам.
Собственно, SpamBeat делает анализ по трем параметрам: IP, From, Subject. Если в течение определенного отрезка времени с одного IP на сервер приходит много писем, или с одного from приходит много писем, или с похожими Subject приходит много писем — они отмечаются как спам и кладутся в Trap. При этом есть «белый список», который пополняется автоматически (при отправке аутентифицированным пользователем письма адрес получателя фиксируется) или вручную.
Эффективность работы в течение полугода на среднем почтовом сервере такая: 15% (от общего числа спам писем), которые пропустил SpamAssassin, были опознаны SpamBeat. Пропуск спама составил 20 писем из 300000, false positive (ложные срабатывания) происходили в 0.01% случаев и как правило оказывались рассылками или автоматическими отвечалками.