Spammaajat ovat keksineet näköjään taas keinon ohittaa Outlookin roskapostisuodatin.
Outlookin suodatin käyttää Microsoft Researchin kehittämää SmartScreen-tekniikkaa. Toteutuksen yksityiskohdat ovat tarkkaan varjeltu salaisuus. Venäläisten reverse engineering -analysoinnin ja Microsoftin omien dokumenttien perusteella tekniikasta tiedetään kuitenkin jonkin verran:
SmartScreen perustuu neuroverkkoalgoritmiin ja on esimerkki ns. oppivasta koneälystä (machine learning).
Oppimateriaalina käytetään mm. Hotmail-käyttäjiltä saatua tietoa siitä, millaisia sanomia raportoidaan roskapostiksi. Tämän lisäksi SmartScreen sisältää joukon heuristiikkaa ja erilaisia sääntöjä, joilla vastaanotettu sanoma pisteytetään roskapostiepäillyksi.
SmartScreeniä käytetään valtaosassa Microsoftin sähköpostituotteista ja se lisättiin Outlookiin Office 2003:n ilmestyessä. Kirjoitin tuolloin SmartScreenstiä ja sen salatuista rajapinnoista myös Assemblixiin.
SmartScreen poikkeaa muista oppivista suodattimista, sillä käyttäjä ei voi itse opettaa sitä tunnistamaan tai olemaan tunnistamatta roskapostiksi. SmartScreen voidaan ohittaa omilla black- ja white-list -luetteloilla, joissa voi määrittää osoitteita tai verkkotunnuksia aina sallituille tai aina suodatettaville posteille.
Suodatuksen herkkyyttä voi säätää hyvin karkeasti, eli ainoastaan matalaksi tai korkeaksi. Näiden tarkempaa toimintalogiikkaa ei ole julkaistu, ja sopivan herkkyystason valinta edellyttää testaamista pidemmällä aikajaksolla.
Oman kokemuksen perusteella matala suodatustaso ei ole missään nimessä liian matala, sillä roskapostikansioon kulkeutuu viikoittain sallittua postia. Korkean suodatustason valinta ei ole käynyt itselläni siis mielessäkään.
SmartScreen sisältää varmasti aivan hienoa teknologiaa. Microsoft on kuitenkin mokannut pahemman kerran UI-toteutuksessa, jolla käyttäjä voi ohjata suodatinmoottoria ja yleisemmin koko roskapostisuodatuksen prosessia Outlookissa.
Roskapostisuodatus tapahtuu ennen käyttäjän määrittämien sääntöjen käsittelyä. Itselläni on yli 100 sääntöä tulevalle postille, joilla ohjaan esimerkiksi postituslistojen viestit oikeisiin kansioihin. Outlookissa voi sallia kyllä osoitekirjasta löytyvien osoitteiden päästäminen läpi, muttei sääntöjen osoitteista. Outlook jättää siis sääntöihin tallennetun arvokkaan tiedon hyödyntämättä ja merkitsee viestejä aivan turhaan roskapostiksi.
Outlookin käyttämää sanastoa ja sääntöjen parametreja päivitetään kuukausittain Microsoft Update -kierrosten yhteydessä. Päivitysten väliin jää kuitenkin pitkiä aikavälejä, jona roskapostitehtailijat voivat oppia kiertämään viimeisimmät säännöt.
Kesäkuun Outlook-päivityksen salat on ilmeisesti jo selvitetty, sillä viikonlopun aikana on Outlook alkanut päästää läpi aivan ilmiselvää kuvallista roskapostia. Välissä on ollut monen kuukauden tauko, jolloin Inboxini pysyi kiitettävän puhtaana.
Yllä olevasta kuvakaappauksesta näkyy, että postipalvelimellani oleva SpamAssasin on analysoinut viidestä sanomasta kolmen roskapostiksi. Outlookin mielestä kaikki viisi ovat sallittua postia.
Kaiken huipuksi Outlook ei näyttäisi millään tavoin reagoivan SpamAssasinin lisäämiin X-Spam -kenttiin.
June 26th, 2007 at 11.23
Kommentoinpa itseäni:
Lisääntyneestä roskapostista huomauttelevat jo muutkin: http://isc.sans.org/diary.html?storyid=3048
Vaikea varmuudella sanoa, onko tosiaan määrä lisääntynyt vai olisiko sittenkin kyse tuollaisesta yllä kuvaamastani suodatinten ohituskikkailusta.