Вышел Kaspersky Anti-Spam 3.0

Знаем мы ихнее "ведущий разработчик"! Из-за Касперского я на Линукс перешёл, чтобы вирусы не лезли вместе со свежими базами.

>Лаборатория Касперского --- ведущий российский разработчик систем защиты от вирусов 'систем защиты от' - лишнее.

А оно лучше, чем SPAM Assassin?

Где щиты от плюсомётов?

Не, не так, вот так лучше - "ведущий российский разработчик систем вирусов, хакерских атак и спама".. :-)

> Из-за Касперского я на Линукс перешёл, чтобы вирусы не лезли вместе со свежими базами.

А нескучно теперь, без борьбы с вирусами?

> > Из-за Касперского я на Линукс перешёл, чтобы вирусы не лезли вместе со свежими базами.

> А нескучно теперь, без борьбы с вирусами?

Да вообще вилы, непонятно терперь что на работе делать :) Осталось последнее пристанище - тестить солярную ZFS... ;)

>Лаборатория Касперского --- ведущий российский разработчик систем защиты от вирусов 'систем защиты от' - лишнее.

Это я содрал с официального пресс релиза.

Anti Kasperski-Spam - этот продукт имел бы гораздо больший успех ))

Не сегодня так завтра их антивирусный бизнес для винтукея сожрет МС и им не останется ничего другого, кроме как переориентироваться на юниксы ;)

> разработчик систем защиты от вирусов, хакерских атак и спама

Есть у моей знакомой ящик, спам на котором обрабатывает Касперский. У этой девушки каждый день в ящике 3000 новых никак не отловленых спамных писем. Это видимо мода такая иметь в каждой конторе по anti-spam системе за кучу $$$, но даже яндекс смотрится куда более симпотишно

Га, у меня мыла на гмайле, там _очень_ мощный антиспам, мне за полтора года ниодно спам письмо не прошло через фильтр! Все на сервере в папке "спам", захожу раз в месяц через веб интерфейс прочистить эту папку :)

> Не сегодня так завтра их антивирусный бизнес для винтукея сожрет МС и > им не останется ничего другого, кроме как переориентироваться на юниксы ;) ну не завтра допустим, а через месяц, вроде как быдлософт выпустят свой анвирь. для подписчиков MSDN даже бесплатно, так что жена касперыча суетится сейчас по полной со своей рекламой.

Фигню говоришь. У нас KAS используется для 30000 ящиков. Спам конечно проходит, но в единичных количествах. А так чтобы 3000 в день, - это либо на нем фильтрация не включена, либо девушка очень насолила админу :))

>>через месяц, вроде как быдлософт выпустят свой анвирь

насколько я помню, у меня в стандартной поставке

MS-DOS 6.22 был файлик msav.exe

при его запуске запускалась программа Microsoft Antivirus

Это они решили произвести ре-релиз?

Если мся подойдет к разработке своего антивиря, так же, как к разработке своего фанарного брэндмауэра в иксьпишном масдае, никто этой нахлобучкой пользоваться не будет.

>Если мся подойдет к разработке своего антивиря, так же, как к разработке своего фанарного брэндмауэра в иксьпишном масдае, никто этой нахлобучкой пользоваться не будет.

пользуются - меня вчера один убеждал ( я , говорит, не первый год в айти), что у него компы с файерволом, встроенным виндовым и что с этих компов ничего лишнего в интернет не лезет :) . будет встроенный антивирь - такие дауны его будут включать и думать, что у них антивирус.

>>у меня мыла на гмайле, там _очень_ мощный антиспам, мне за полтора года ниодно спам письмо не прошло через фильтр<<

У меня аналогично на yandex - там тоже мощный фильтр. А вот newmail.ru и mail.ru - в попе.

>>пользуются - меня вчера один убеждал ( я , говорит, не первый год в айти), что у него компы с файерволом, встроенным виндовым и что с этих компов ничего лишнего в интернет не лезет :)<<

Он тебя правильно убеждал - фаерволл в WinXP SP2 ОЧЕНЬ МОЩНЫЙ и там можно настроить ВСЕ. Правильно настроенный, он ничего не пропустит. А тебе, за незнание этого и несправедливый плевок, -1

> Не сегодня так завтра их антивирусный бизнес для винтукея сожрет МС и им не останется ничего другого, кроме как переориентироваться на юниксы ;) (palach)

А я то думаю, чего они так лезут на Linux :) Только вот это уже другая территория, и здесь другие правила. Даже если их полностью вытеснят с Windows, они на линуксе раззорятся, если только к тому времени среди пользователей Linux не будет достаточного процента нубов, чтобы на них можно было заработать.

Меня в этой версии интересует лишь одно: кто писал эту третью версию? Вторая - ашмановская, устраивает стабильностью.

Если третью писали штатные сотрудники лаборатории (те, например, что писали kav) - надо выждать как минимум релиза десятого. (kav, например, и в 5.5.10 неправильно выполняет свою _основную_ функцию. Сформированный особым образом аттачмент - в соответствии с RFC, но не так, как это делает большинство - пролетает мимо правил kav со свистом.

Реакции в виде патча на отправленное им два месяца описание бага - никакой. Но, надо отдать должное, ошибку признали. Правда мне, как человеку, вынужденному с этим работать - от признания ни жарко ни холодно.

>Он тебя правильно убеждал - фаерволл в WinXP SP2 ОЧЕНЬ МОЩНЫЙ и там можно настроить ВСЕ. Правильно настроенный, он ничего не пропустит. А тебе, за незнание этого и несправедливый плевок, -1

а _исходящий_ трафик он фильтрует?

>А оно лучше, чем SPAM Assassin?

Про эту версию пока ничего не скажу. Предыдущая по качеству фильтрации была afaik значительно хуже.

Блин, опоздал, уже задали вопрос. Как ответят ещё спросим =) Проще ответить что это чудо умеет.

Версию писали в основном те же люди, которые ее делали с самого начала, хотя физически теперь находятся в ЛК :)

Триальный ключ для того, чтобы попробовать KAS 3.0, можно заказать на kaspersky.ru в разделе "пробные версии".

4Alter:
>Про эту версию пока ничего не скажу. Предыдущая по качеству фильтрации была afaik значительно хуже.

Крайне слабо верится. Где можно посмотреть тестирование на потоке почты для нескольких тысяч пользователей?

> У меня аналогично на yandex - там тоже мощный фильтр. А вот newmail.ru и mail.ru - в попе.

newmail вообще мега кадр... валяться письма в ящик (один спам), приходит 5 спамных писем (откровенный спам, типа нигерийских писем), каждое помечаю как спам, через пару дней приходится очередная пачка этих же писем, причем НИОДНО даже не помечено как "Probably Spam"

4anonymous (*) (24.08.2006 12:50:30):

>Версию писали в основном те же люди, которые ее делали с самого начала, хотя физически теперь находятся в ЛК :)

Инсайдер, насколько я понимаю? Тогда есть вопросы:

"Благодаря новой технологии Urgent Detection System (UDS), продукт, помимо традиционных обновлений по расписанию, использует мгновенные запросы к серверу."

Насколько это быстро? Не будет ли это тормозить почтовый поток? Запрос делается только для "похожих" писем, т.е. при подозрении на массовую рассылку, или ждя всех?

Есть ли где-нибудь исследование spamtest 2 и spamtest 3 на реальном почтовом потоке? Потому что бла-бла про новое ядро фильтрации это, канеш, хорошо, но живём то мы в реальном мире, хочется видеть, во что это выливается для пользователя.

>А нескучно теперь, без борьбы с вирусами?

Отнюдь! Даже весело за вантузятниками наблюдать со стороны. Бедняжки! Как мучаются!

После РИКНа "инсайдер" кажется ругательством. Я просто не залогинился после регистрации, думал что оно само...

Про скорость UDS. Там же есть таймаут, по-умолчанию 10 секунд, можно менять. В случае недоступности серверов UDS, проверка по UDS отключается до тех пор, пока сервера не появятся. В общем, не должно тормозить более, чем DNS-резолвинг, ну и мы постараемся поставить дополнительные сервера поближе к местам скопления клиентов.

Запрос делается только в том случае, если письмо не было опознано как спам по другим методам.

Скорость у KAS 3 где-то раза в 3 выше, чем у KAS 2. Распределение памяти раньше было 27МБ на фильтр, сейчас 20МБ общей, 11МБ собственной на каждый фильтр. Вообще, небольшое обсуждение антиспама и его скорости было на форумах http://www.anti-malware.ru (раздел антиспамерского ПО), качества работы на форумах бета-тестирования антиспама ЛК, http://forum.kaspersky.com (русскоязычные и англоязычные)

4alkalinin (*) (24.08.2006 13:48:55):

О, спасибо, Андрей, будем посмотреть. Наверное натравлю его на реальный поток в параллель с существующим и выложу результаты.

Но если что - жалеть не буду :]

неужели кто-то ЭТО использует? мдээээ...

фдомну быдлоподелия.

юзаю грейлист и dspam.

eill@mail:~$ sudo dspam_stats -H --user eill
eill:
                TP True Positives:           1007
                TN True Negatives:            167
                FP False Positives:            12
                FN False Negatives:           106
                SC Spam Corpusfed:              0
                NC Nonspam Corpusfed:           0
                TL Training Left:            2321
                SHR Spam Hit Rate          90.48%
                HSR Ham Strike Rate:        6.70%
                OCA Overall Accuracy:      90.87%
        
eill@mail:~$

2 Loseki

>Крайне слабо верится.

Ок, хорошо. Если я вам скажу, что есть весьма крупные корпоративные пользователи (почтовые домены на 500-3000 сотрудников) отказывались от использования spamtest'a по причине низкой эффективности (~70%), в пользу ээ.. других решений (как бы случайно не заняться тут рекламой), то вы мне поверите ?

>Где можно посмотреть тестирование на потоке почты для нескольких тысяч пользователей?

Сколько дней бы вы хотели тестировать ? Какой объем почты в Gb per day и какие допустимые для вас временные задержки (max 1-2 min, 3-5 min) ? Какой уровень качества вы бы хотели получить (>87%, >90%, >95%) ?

Впрочем если у вас есть поток в 10-30 mess per sec, то смогу предложить вам еще более интересный вариант для теста. :D

Подробности лучше в личку на avstatsenko@gmail.com или на jabber JID: alter@jabber.ru .

> фдомну быдлоподелия.

Будьте здоровы!

Но меня более заинтересовала табличка, которую Вы привели.

> TP True Positives: 1007 > TN True Negatives: 167 > FP False Positives: 12 > FN False Negatives: 106

Это значит, что всего почты было 1292 письма? Из них, спама FN+TP=1113, то есть detection rate составил 90% (SHR)? А неспама было TN+FN=179, то есть ложных срабатываний было 6% (HSR)?

Я правильно трактую эти числа?

2 gr_buza

SC Spam Corpusfed: 0
NC Nonspam Corpusfed: 0

Лень учить было или судя по цифрам еще не начал ? :D

dspam - это "научите меня что есть спам, и я скажу вам, что нашел спам".
spamassassin работает сразу out of box

>dspam - это "научите меня что есть спам, и я скажу вам, что нашел спам".

За то быстро :D

>spamassassin работает сразу out of box

где бы для него кластерочек еще раздобыть ? :D Хотя продукт надо признать великолепный.

>Будьте здоровы!

аапчхи! спасибо... *утирает слезы*

:)))

>Я правильно трактую эти числа?

true positives - это классификация письма как spam без последующего переопределения.

true negatives - это ham, тоже без переопределения.

false positives - это ошибочное зачисление хорошего письма в spam.

false negatives - сооответственно ошибочное зачисление spam в ham.

следовательно имеем: 1292 письма, из них 1007 было успешно отсеяно, 167 пропущено с первого раза, 12 было по ошибке зачислено как спам, и 106 писем спама было зачислено как хорошие письма. OCA = 1292/(1007+167). SHR у меня никак почему-то не получается вывести, возможно там есть еще какие-то значения, которые надо учесть.

батенька, судя по всему, вы с почтовыми серверами в жизни не работали.

спамассассину для старта необходимо скормить не меньше 200 писем

/me после прихода на нынешнюю работу по дурости решил проверить местный сервер посталом. Лучше бы я этого не делал.

после этого случая (да, вылечилось только заходом через шелл и убиванием ВСЕГО) стараюсь с SA дел не иметь.

хотя nemo рассказывал, что у него стоял SA на p-200 и обрабатывал в день 10к писем. Правда конфигурацией делиться отказался, сказал, что потеряна :)

> спамассассину для старта необходимо скормить не меньше 200 писем

Дык он их сам съест :D

но все равно я не вижу проблемы. Все равно всем работникам в любой компании раздаются памятки о местных программах. Вот и вписываешь туда указания о том, что "если вам пришел спам, то просто переотправьте его на spam@blah-blah-blah". И все, никаких проблем. Раз в полгода смотришь пользовательские ящики на предмет неправильно обработаных писем. Не вижу проблемы, хоть убей :))

>/me после прихода на нынешнюю работу по дурости решил проверить местный сервер посталом. Лучше бы я этого не делал.


Прекрасно понимаю твои чувства. Я так недели две развлекался на разных конфигурациях, хотя надо сказать, что только фря к консоли заставляла бегать :D

>Не вижу проблемы, хоть убей :))

Дык и я тоже не вижу :

TL Training Left: 2321

:D

дык весь прикол в том, что DSPAM с честью выдержал испытание кровью^Wпосталом. И не вешался, и систему за собой не тянут. А честно, как правильно написанная прога тянул свою лямку.

в общем, респект ее авторам, пока ничего лучше я не видел.

не считая конечно проприетарных аналогов, но (судя по отзывам) и они не блещут.

да ладно, у меня просто в конфиге ToE стоит (Train on Errors). И какая нафиг разница, что он там пишет, если все фильтруется на ура? :)))

>И не вешался, и систему за собой не тянут.

От у тебя как ? fork/exec, daemon on LMTP ?

fork/exec

eill@mail:~$ cat /etc/mail/postfix/master.cf | grep dspam
dspam-retrain unix - n n - 10 pipe
flags=Ru user=sweep argv=/usr/local/bin/dspam-retrain $nexthop $sender $recipient
dspam unix - n n - 10 pipe
flags=Ru user=sweep argv=/usr/local/bin/dspam --deliver=innocent -i -f $sender -- --user $recipient
eill@mail:~$

>fork/exec

Ага, понял. Спасибо.