Styx

Napló ide vagy oda, erről megfeledkeztem. Már egy ideje nálunk van – tesztelési célból – egy 1U magas céleszköz: vírus és spamszűrő. Az a neve, hogy Styx. Albacomp hardver, UHU Linux OS és egy magyar antivírus/spam alkalmazás. Jó, mondhatni nagyon jó.
Nálunk jelenleg a Symantec Mail Security for Exchange legaktuálisabb verziójának a heurisztikus spamfiltere működik – nagyon sok gonddal. Egyrészt a szofisztikált spamek simán átcsúsznak rajta, ugyanakkor nagyon sok (NAGYON SOK) fals pozitív riasztása/tiltása/karanténozása van. Még az is előfordult, hogy üzleti levelet 9-es, tehát a Symantec skálája szerint 99.99%-os valószínűséggel spamnek minősített, ami azért durva. Többhónapos hangolgatás, meg kézi besegítés (értsd: kulcsszavas keresés hozzáadása) után napi 6-7-re tudtam leszorítani a saját spamjeim számát, és csak hetente-kéthetente jöttek panaszok a fals pozitív eseményekről. Ez messze van a tökéletestől. Igaz, a terméknek van egy Prémium Feature kiegészítése, ami spam-szignatúrák rendszeres frissítését jelentené a heurisztikus/kulcsszavas módszer helyett, ám az külön előfizetős, kb kétmilliós játék, ami a cégnek eddig nem kellett. Drágállottuk.
Ekkor jött a Styx. A telepítése annyi, hogy a kiajánlott mailserverünk helyett a Styx portját adtuk meg a tűzfalon, így minden bejövő levél átfolyik rajta. Mit ne mondjak, sokat javított a helyzeten: nagy előnye, hogy naponta frissülő spam-adatbázisa van, így nem egy súlycsoportban van a mostani megoldásunkkal. Fals pozitív eset még egyáltalán nem történt, viszont a szűrés hetékonysága hatalmasat fejlődött.
A Styx kezelőfelülete igen puritán, és ez így van jól. A kezdeti beállítások után két fontos menüpontot szoktam nézegetni. Az egyik a napi/heti/havi statisztika, a másik pedig a pontozás következménye, vagyis, hogy mekkora ponttól milyen sorsa legyen egy levélnek. Eredetileg például a 10-es vagy annál nagyobb pontszámú leveleket dobta csak el. Mára ez az érték 7-re csökkent, de akár a 6-ost is meg lehetne kockáztatni. 2.5 ponttól zár karanténba. Így most a heti "fogás" a spamfolder mappában kb 3200-3500 levél. Ez a biztonság, hogy a fals pozitív levelek ide kerüljenek.
A Styx végre megmutatta, hogy mennyi a napi levelünk és ebből mennyi a spam. Közelítünk a 25%-hoz azt hiszem.
Ügyes dolognak tartom azt is, hogy a levelek fejlécébe beilleszti, hogyan történt a pontozás.  Jól látható, hogy több tényezőt figyelembe vesz, egyúttal az is, hogy a teljes technológia mégiscsak korlátos. Egy nagyon furfangos spam átjön, mint kés a vajban. Egészen addig amíg a szignatúrája be nem kerül az adatbázisba.
Végül egy érdekesség. A pénteki fiaskó után látható, hogy nem a szokásos eloszlásban érkeztek az üzenetek, hanem öt óra körül egyszerre ömlöttek be. Ami még érdekesebb, hogy aznap spam szinte nem is jött egyáltalán. Ez is mutatja, hogy, hogy Marcinak megint igaza van: a spam a "semmiből" jön, butuska otthoni felhasználók gépeiről, véletlenszerűen. Ha nem elérhető a szerver, nincs is újabb próbálkozás.
Még nem tudom mi lesz a Styx sorsa, de műszakilag azt hiszem nekünk megfelelne.
 
 

2 Responses to Styx

  1. Petrenyi Jozsef says:

    Tapasztalatom szerint a heurisztikus szpemszűrés önmagában nem járható út. Legalábbis nagyon rögös. Kellemetlen technicizált korunkban ilyet mondani, de a leghatékonyabb módszer jelenleg felbérelni többszáz norvég hálóstoppoló asszonyt és kézzel szerkesztetni velük egy percrekész büntető adatbázist. Nyilván ennek olyan is lesz az ára.Én két helyen látok rá Brightmailre és a szpemszűrési hatékonysága teljesen korrekt. Össze nem lehet hasonlítani a Symantec többi próbálkozásával. Az üzemeltetése… az már egy más kérdés.

  2. Tamas says:

    Tamas,sehol sem talalok arakat, nincs vmi tipped?

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: