A spam elleni védekezés alapjában véve két fajta megközelítésből vizsgálhatja a beérkező leveleket. Az egyik lehetőség, hogy a szűrő a feladó címéből következtet a levél eredetére, fajtájára (Fekete/fehér listák, RBL), a másik, hogy a levél tartalmát, felépítését vizsgálja át (mintakeresés, heurisztikus módszerek, statisztikai módszerek).

Szűrés a feladó címe alapján

Feketelista (Black list)

A spamek túlnyomó része ugyanazokról a címekről érkezik. Az a hely, ahonnan a felhasználó a spamet kapja, általában egy ártatlan gép címe, melyet megszereztek a spam küldők. Ha megtiltjuk ezekről a helyekről a levelek érkezését, akkor az ártatlan helynek is segítünk, hogy - bár bosszúságok után - módosítsa a konfigurációt, és ezzel csökkentse az általános spam veszélyt. A spam szűrő konfigurálásának egyszerű módja, hogy valamilyen konfigurációs fájlba kell beírnunk azokat a helyeket, ahonnan nem kívánunk levelet fogadni. Ez a feketelista, melynek karbantartása "kézi" beavatkozást igényel minden egyes bővítés, vagy szűkítés esetén.

Fehérlista (White list)

Ha valaki úgy döntene, hogy ismeretlen helyről nem fogad el leveleket, akkor összeállíthatja levelezőpartnereik címét, és a levélszűrő mechanizmus visszautasít minden levelet, ami nem a listán szereplő címzettől érkezik. Ezt nevezzük fehér listának (White list). A visszautasított levél aztán tájékoztathatja az ismeretlen feladót arról, hogy hogyan kerülhet ő is a fehér listára, vagy milyen más mód (pl. egy más cím), áll rendelkezésére.

RBL (Realtime Blackhole List)

Az RBL lista IP címeket tartalmaz, melyekről - közvetve vagy közvetlenül - spam származik. Ezek a listák az Interneten elérhetők és folyamatosan karbantartják őket. Egy meghatározott levél fogadása előtt a szerver ellenőrzi, hogy a küldő IP címe rajta van e a listán, és ha igen, a levelet a szerver visszautasítja.

Szűrés a levél tartalma, felépítése alapján

Bayes alapú szűrő

A VirusBuster a statisztikai módszerek alapján működő tartalomszűrést használja termékeiben, mely az ismert módszerek közül az egyik legjobb teljesítményt nyújtja a spam levelek kiszűrésében. A módszer elemzi a beérkező leveleket, részeire bontja azokat és a jellemzőket (a levélben használt szavak, levél felépítése, stb.) felhasználva az adatbázisában megtalálható több ezer spamre és nem spamre utaló jellemző alapján sorolja be a leveleket. A módszer hatékony, és működési elvéből adódóan az adatbázis folyamatosan frissíthető, "tanítható", mely állandóan fejlődő, a felhasználó által is fejleszthető, testre szabható, naprakész védelmet biztosít használói számára.

Nem árt tudni, hogy minden ilyen megoldás esetenként olyan leveleket is spamnek nyilváníthat (jellemzők alapján) melyek valójában nem spamek. Az ez által okozott kellemetlenség azonban rendszerint még mindig jóval kisebb, mint az, amit a kéretlen levéltömeg okozna.

Hatékonyság növelése

A statisztikai módszerekkel dolgozó spam szűrőknél lehetőség van a felismerési hatékonyság növelésére, mely számos spam és nem spam levél összegyűjtéséből és belőlük kiegészítő adatbázis létrehozásából áll, egyszóval rátanítjuk a rendszert a spam levelek kiszűrésére. E módszerrel lehetőség van külön, személyre szabott spam adatbázis kialakítására, mely aztán együttműködve az általunk kiadott adatbázissal hatékonyabban ismerheti fel a beérkező kéretlen leveleket. A módszer előnye még, hogy a tanítás során az adatbázis fokozatosan "megtanulja" az adott környezetben előforduló spam jellemzőket, amely hatékonyabb felismerést biztosít, ezáltal csökken a téves riasztások esélye.

A spam adatbázis spam és nem spam levelek sajátosságait, jellemzőit tartalmazza, mely alapján a rendszer felismeri és besorolja a beérkező leveleket (spam, nem spam). Kiegészítő adatbázis létrehozásakor a legfontosabb dolog az adatbázis alapjául szolgáló tanítóminták összegyűjtése. Mivel a statisztikai módszerek a levelek sajátosságait tanulják meg, ezért a tanítómintát nagyon gondosan kell összeállítani. Általánosságban elmondható, hogy nem spam levélből mindig több kell, mint spamből. Ez abból adódik, hogy a spamekben lévő szövegek szórása jóval kisebb, mint a nem spam levelekben lévőké.

Minták küldése

A spam szűrők megbízhatóságát két mérőszámmal lehet meghatározni. Az egyik a felismerési, a másik pedig a vakriasztási arány. Ez a két mérőszám azonban nagyban függ a tanításhoz, és az ellenőrzéshez használt mintáktól. A különböző szűrési módszerekhez tartozó értékek a statisztikai módszereket használó spam szűrőknél a legkedvezőbbek: a vakriasztások aránya 0.1% körüli, míg a felismerési arány elérheti a 99% feletti értéket is.

A VirusBuster által használt spam szűrőben is statisztikai módszerek alapján történik a levelek megkülönböztetése és e módszer sajátosságából adódóan minél több mintapélda áll rendelkezésre, a felismerés annál hatékonyabb.

Az adatbázis fejlesztéséhez, hatékonyabbá tételéhez a SPAM leveleket EREDETI FORMÁJUKBAN! várjuk a spam@virusbuster.hu címre.

A vakriasztásos (TÉVESEN SPAMNEK FELISMERT) leveleket pedig szintén ERETEDI FORMÁBAN! a spamlab@virusbuster.hu címre várjuk.