Vaderetro – подключаемый модуль компонента Dr.Web MailD, осуществляющий спам-фильтрацию почтовых сообщений с помощью библиотеки VadeRetro, разработанной компанией Vade Retro Technology (подразделение компании GoTo Software).
Библиотека VadeRetro проводит анализ почтовой корреспонденции автономно, без обращения к внешним источникам информации о спаме. Кроме того, библиотека VadeRetro обеспечивает высокую скорость обработки писем и постоянное улучшение качества анализа сообщений благодаря динамическому обновлению кода библиотеки (обновление производится посредством компонента обновления Dr.Web Updater).
Файл динамически подгружаемой библиотеки VadeRetro, используемой антиспам-модулем Vaderetro, находится в каталоге %var_dir/lib и называется libvaderetro.so (так же, как и файл динамической библиотеки этого подключаемого модуля, расположенной по умолчанию в каталоге %bin_dir/maild/plugins). Обратите внимание, что не смотря на то, что имя файла библиотеки VadeRetro и имя файла библиотеки подключаемого модуля совпадают, это разные библиотеки!
|
Обратите внимание, что при запуске Dr.Web MailD временно переименовывает файл библиотеки VadeRetro, добавляя к его имени дополнительное расширение .cache для избежания возможных конфликтов при обновлении библиотеки через компонент обновления Dr.Web Updater. |
В зависимости от результатов анализа, каждому письму, проверенному библиотекой VadeRetro, дается оценка (score) – целое число в диапазоне от -10000 до +10000. Чем больше эта величина, тем больше вероятность, что письмо является спамом. Пороговое значение оценки для отнесения письма к спаму самим антиспам-модулем Vaderetro задается в параметре SpamThreshold конфигурационного файла подключаемого модуля (если оценка, присвоенная сообщению, больше или равна значению параметра SpamThreshold, то письмо классифицируется как спам).
Закончив анализ письма, библиотека VadeRetro может добавить в него следующие заголовки:
•X-Drweb-SpamScore: n, где n – оценка, данная письму библиотекой VadeRetro. Этот заголовок добавляется только в том случае, если для параметра AddXHeaders задано значение Yes.
•X-Drweb-SpamState: b, где b – Yes для спама и писем с вирусами и No для "не-спама" и уведомлений DSN. Этот заголовок добавляется только в том случае, если для параметра AddXHeaders задано значение Yes.
•X-Drweb-SpamState-Num: s, где s – результаты классификации письма библиотекой VadeRetro. s может принимать четыре значения: 0, 1, 2 и 3:
•s = 0 – письмо не является спамом;
•s = 1 – письмо является спамом;
•s = 2 – письмо содержит вирус;
•s = 3 – сообщение является уведомлением DSN.
Этот заголовок добавляется только в том случае, если для параметра AddXDrwebSpamStateNumHeader задано значение Yes.
•X-Drweb-SpamVersion: version, где version – версия библиотеки VadeRetro. Этот заголовок добавляется только в том случае, если для параметра AddVersionHeader задано значение Yes.
•X-Spam-Level: z, где z – это набор *, каждая из которых соответствует 10 очкам, присвоенным письму. Добавляется только если для параметра AddXSpamLevel задано значение Yes.
•X-DrWeb-SpamReason: some_text, где some_text – зашифрованное диагностическое сообщение антиспам-модуля. Оно необходимо для улучшения качества распознавания спама. Этот заголовок добавляется только в том случае, если для параметра AddXHeaders установлено значение yes.
Кроме того, в начало поля Subject писем, классифицированных подключаемым модулем с использованием счетчика SpamThreshold как спам, модуль может добавлять значение параметра SubjectPrefix своего конфигурационного файла. Это происходит только в том случае, если для параметра SubjectPrefix установлено значение, отличное от пустой строки.
Аналогично для уведомлений может добавляться префикс заголовка из NotifySubjectPrefix, а для писем, помеченных как "спам" или "содержащее угрозу" с использованием счетчика UnconditionalSpamThreshold, может добавляться префикс заголовка из UnconditionalSubjectPrefix.
Также предусмотрена возможность изменения счета сообщения на основе информации об адресах отправителей и получателей сообщения:
1.Имеется возможность задать белые и черные списки адресов отправителей (параметры конфигурации модуля WhiteList и BlackList соответственно). При обнаружении одного из адресов отправителей в черном или белом списке его счет изменяется на 5000 баллов (увеличивается и уменьшается соответственно) для каждого адреса, найденного в списке. Более подробно см. в описании этих параметров.
2.Имеется возможность указать, на какое количество баллов следует изменить счет писем, следующих из защищаемых сетей (т.е. сетей, перечисленных в параметре ProtectedNetworks секции [Maild] основного конфигурационного файла Dr.Web MailD).
3.Также предусмотрено использование специального кэша reply_cache, хранящего информацию о письмах, следующих из защищаемых сетей (а именно – перечень адресов получателей), с тем, чтобы учитывать эту информацию при анализе писем, следующих в защищаемые сети, и являющихся ответами на эти письма. В случае если отправитель входящего письма уже находится в кэше, то к счет письма может быть изменен на указанное количество баллов.
Обратите внимание, что письмо проходит последовательно через все проверки, поэтому если для одного и того же адреса, указанного в письме, сработали несколько условий, то все получаемые изменения счета суммируются. Например, если отправитель письма оказался в черном списке и при этом он же присутствует в кэше ответов reply_cache, то к счету письма, присвоенному после анализа на наличие формальных признаков спама, будет прибавлен штраф за нахождение отправителя в черном списке, а потом – величина, указанная в параметре ReplyToProtectedNetworkScoreAdd конфигурации подключаемого модуля.
Письма с ложными срабатываниями спам-фильтра VadeRetro следует пересылать по адресу vrnonspam@drweb.com, а письма с пропущенным спамом – на адрес vrspam@drweb.com.