胡永杰

摘 要:首先介紹了垃圾郵件的概念及發(fā)送技術(shù),然后詳細(xì)闡述了各種反垃圾郵件技術(shù)的特點(diǎn)。分析了校園網(wǎng)反垃圾郵件的特點(diǎn),給出了不同的反垃圾郵件網(wǎng)關(guān)部署方案并分析了不同方案的特點(diǎn)與缺陷。

關(guān)鍵詞:垃圾郵件 反垃圾郵件技術(shù) 反垃圾郵件網(wǎng)關(guān)

在Internet應(yīng)用極其廣泛的今天,電子郵件在商業(yè)、管理、辦公等方面都起到了越來(lái)越重要的作用。然而,垃圾郵件的產(chǎn)生,給Internet用戶帶來(lái)了巨大的損失和危害。大量的垃圾郵件在網(wǎng)絡(luò)上傳播,不僅占用了寶貴的網(wǎng)絡(luò)帶寬,而且還占用了大量的網(wǎng)絡(luò)與存儲(chǔ)資源。

根據(jù)CNNIC的統(tǒng)計(jì),2004年我國(guó)互聯(lián)網(wǎng)用戶平均每人每周收到的正常郵件和垃圾郵件數(shù)量分別為4.4封和7.9封,2005年這兩個(gè)數(shù)字則分別為27.8封和57.5封。垃圾郵件在我國(guó)日趨泛濫,也進(jìn)一步加劇了病毒的傳播,如何有效的控制垃圾郵件對(duì)于互聯(lián)網(wǎng)的健康發(fā)展意義重大。

一、垃圾郵件定義及特征

垃圾郵件現(xiàn)在還沒(méi)有一個(gè)非常嚴(yán)格的定義,一般來(lái)說(shuō),凡是未經(jīng)用戶許可就強(qiáng)行發(fā)送到用戶郵箱中的任何電子郵件被稱(chēng)之為垃圾郵件。由于郵件內(nèi)容的判定帶有主觀性,目前的技術(shù)性定義:通過(guò)非標(biāo)準(zhǔn)的客戶端,在未經(jīng)用戶同意的情況下發(fā)送的大規(guī)模郵件。

垃圾郵件一般具有批量發(fā)送的特征,其內(nèi)容包括賺錢(qián)信息、成人廣告、商業(yè)或個(gè)人網(wǎng)站廣告、電子雜志等,甚至含有破壞性(含有病毒、木馬等惡意代碼)的代碼。

通過(guò)非標(biāo)準(zhǔn)的客戶端發(fā)送,是垃圾郵件的另一大特征。

二、垃圾郵件發(fā)送技術(shù)概述

垃圾郵件發(fā)送方式的演化分為三個(gè)時(shí)期,在早期的時(shí)候,利用Open-Proxy或Open-Relay發(fā)送。在發(fā)展階段,利用發(fā)件人地址隨機(jī)變化、郵件主題隨機(jī)變化等手段發(fā)送。現(xiàn)在垃圾郵件發(fā)送手段更加惡劣,往往采用信件正文加入干擾內(nèi)容識(shí)別算法的文字,利用人的視覺(jué)反差來(lái)干擾內(nèi)容分析,或者結(jié)合動(dòng)態(tài)IP技術(shù)的低速群發(fā)垃圾郵件等。

隨著垃圾郵件過(guò)濾技術(shù)的發(fā)展以及人們對(duì)發(fā)送垃圾郵件者的譴責(zé),垃圾郵件的制造者不得不采取更為隱蔽的技術(shù),目前被利用最多的垃圾郵件發(fā)送技巧有:

1.盜取身份,來(lái)自“好人”的身份欺騙

垃圾郵件制造者使用的手段相當(dāng)多樣化,他們收集全球范圍的發(fā)信者IP地址,使用新的垃圾郵件域名,垃圾郵件或藏匿在其他“健康”URL的后面以創(chuàng)建URL好信譽(yù),或利用如博客、免費(fèi)網(wǎng)站等這些免費(fèi)場(chǎng)所來(lái)達(dá)到身份欺騙。在發(fā)送過(guò)程中,它們用同樣的技巧來(lái)隱藏發(fā)信者IP地址,將URL重定向到已知垃圾郵件域名或IP地址,或者使用許多免費(fèi)的資源。

2.圖片垃圾郵件及多層圖片垃圾郵件

在所有的垃圾郵件中,圖像垃圾郵件所占份額越來(lái)越大。垃圾郵件發(fā)送者越來(lái)越會(huì)隱蔽信息,他們以圖片的形式發(fā)送,而不是用文本。這些圖像所含的內(nèi)容是生日聚會(huì)照片、或者內(nèi)嵌某公司的股票信息,能夠蒙蔽一些過(guò)濾器而不被發(fā)現(xiàn)。圖像垃圾郵件還會(huì)加重電子郵件系統(tǒng)的負(fù)擔(dān)。

3.躲避全球IP監(jiān)控及信譽(yù)評(píng)分

信譽(yù)評(píng)分技術(shù)是指根據(jù)信譽(yù)(Reputation)篩檢郵件的方法,依照寄件行為接受評(píng)比。評(píng)比標(biāo)準(zhǔn)依據(jù)幾項(xiàng)變數(shù),例如收件人的申訴率、發(fā)送郵件的數(shù)量,以及對(duì)收件人取消訂閱要求的回應(yīng)。另外,IP地址黑名單也是垃圾郵件發(fā)送者要回避的,為此,他們必須不斷尋找新的僵尸服務(wù)器代發(fā)垃圾郵件。

4.躲避內(nèi)容過(guò)濾,夾帶URL或者電話號(hào)碼

越來(lái)越多的垃圾郵件發(fā)送者為躲避內(nèi)容過(guò)濾引擎,將郵件偽裝得越來(lái)越像一封正常郵件,而郵件中夾帶的URL地址或者電話號(hào)碼才是垃圾郵件發(fā)送者真正的意圖所在。

三、反垃圾郵件技術(shù)

目前所有的反垃圾郵件技術(shù)都可被劃分為基于內(nèi)容解析的與基于行為解析的技術(shù)。

基于內(nèi)容的反垃圾郵件技術(shù)的原理是: 如果一封郵件被判定為垃圾,則凡是與該郵件有相同校驗(yàn)的郵件,都將被視作垃圾郵件而被丟棄或做其他處理?；趦?nèi)容過(guò)濾的技術(shù)有很多,包括關(guān)鍵字過(guò)濾、黑白名單、HASH技術(shù)、貝葉斯統(tǒng)計(jì)等。

內(nèi)容過(guò)濾主要通過(guò)相關(guān)技術(shù)用于接收系統(tǒng)(MUA,如Outlook Express或者M(jìn)TA,如Send Mail)來(lái)辨別和處理垃圾郵件。

基于行為解析的反垃圾郵件技術(shù)是從電子郵件發(fā)送和傳輸?shù)男袨槌霭l(fā),根據(jù)郵件會(huì)話信息,尋找垃圾郵件的來(lái)源,提取郵件的行為特征,進(jìn)而加以判斷識(shí)別?；谛袨榻馕龅姆蠢]件技術(shù)有SMTP路徑分析技術(shù)、Sender ID、灰名單等。常用的特征包括收件人個(gè)數(shù)、發(fā)送次數(shù)、發(fā)送頻率、路由信息等。這個(gè)技術(shù)不必完整收下郵件即可完成“是否是垃圾郵件”的判斷。

以下是常見(jiàn)的幾種反垃圾郵件技術(shù)。

1.關(guān)鍵字過(guò)濾規(guī)則制定問(wèn)題

關(guān)鍵字的定義不是太嚴(yán)格就是有遺漏,需要使用人員結(jié)合自己企業(yè)的具體使用情況、商業(yè)常用字樣等因素,總結(jié)制定出一套適合自己?jiǎn)挝坏年P(guān)鍵字定義規(guī)則。

2.IP黑白名單技術(shù)

如果公司長(zhǎng)時(shí)間、高頻率地對(duì)外發(fā)送商業(yè)字樣的郵件,很容易會(huì)被判斷為垃圾郵件。從設(shè)備操作人員來(lái)講,就需要根據(jù)實(shí)際情況適當(dāng)調(diào)整郵件的發(fā)送頻率和時(shí)間段,盡量減少被誤判為垃圾郵件的幾率。

3.RBL列表

由于RBL列表大多由國(guó)外機(jī)構(gòu)提供,難免會(huì)出現(xiàn)水土不服的現(xiàn)象。實(shí)際的操作人員針對(duì)此問(wèn)題應(yīng)該選擇權(quán)威性較強(qiáng)和列表比較完善的機(jī)構(gòu)列表。同時(shí),為了第一時(shí)間避免自己公司的郵件被定義為垃圾郵件,也可以事先向RBL組織提交自己公司的域名,表明該域名的合法性。

4.SPF技術(shù)

該技術(shù)能夠很好地解決身份偽裝問(wèn)題。設(shè)備的操作人員可以很好地利用該技術(shù),及時(shí)調(diào)整SPF記錄。

5.病毒過(guò)濾技術(shù)

當(dāng)前的反垃圾郵件設(shè)備大多具有病毒掃描引擎,而帶有病毒的郵件是垃圾郵件的一種,反垃圾郵件設(shè)備大多也會(huì)具備針對(duì)病毒郵件制定規(guī)則的項(xiàng)目。操作人員要詳細(xì)了解主流病毒郵件特征,包括附帶的附件文件格式類(lèi)型、正文的惡意代碼等,從而制定合理有效的反病毒郵件規(guī)則。

6.單一技術(shù)的局限性

單一技術(shù)都有其自身的局限性,合理搭配多種過(guò)濾技術(shù)是反垃圾郵件設(shè)備的發(fā)展趨勢(shì)。作為企業(yè)反垃圾郵件的主要決策者和具體操作人員,需要選擇結(jié)合多種過(guò)濾技術(shù)的反垃圾郵件設(shè)備,實(shí)現(xiàn)更好的過(guò)濾效果。

7.過(guò)濾技術(shù)的發(fā)展性和先進(jìn)性

傳統(tǒng)的關(guān)鍵字過(guò)濾和RBL技術(shù),都存在較高的誤判和漏報(bào)現(xiàn)象,而且當(dāng)今垃圾郵件的發(fā)送技巧越來(lái)越高明、越來(lái)越隱蔽。我們必然要不斷研究流行的垃圾郵件發(fā)送技巧,適時(shí)選擇更新的反垃圾郵件技術(shù),來(lái)對(duì)付垃圾郵件。比如,針對(duì)身份偽裝選擇SPF技術(shù),針對(duì)圖片垃圾郵件選擇圖片分析和多重圖片識(shí)別技術(shù),針對(duì)垃圾郵件的代理轉(zhuǎn)發(fā)問(wèn)題,選擇信譽(yù)評(píng)分技術(shù)等等。我們也應(yīng)針對(duì)先進(jìn)的過(guò)濾技術(shù),選擇技術(shù)領(lǐng)先的反垃圾郵件設(shè)備。

四、反垃圾郵件網(wǎng)關(guān)部署方案

1.校園網(wǎng)絡(luò)反垃圾郵件的常見(jiàn)困擾集中體現(xiàn)在以下幾方面:

(1)現(xiàn)有的防火墻和病毒防火墻只能阻斷來(lái)自網(wǎng)絡(luò)的普通攻擊,不能有效防止Internet混合在垃圾郵件當(dāng)中的病毒,蠕蟲(chóng),URL等威脅,使得病毒能夠躲避傳統(tǒng)的防御方法,且將其代理文件植入到校級(jí)郵件系統(tǒng)中。

(2)現(xiàn)有垃圾郵件防護(hù)系統(tǒng)不能有效地過(guò)濾垃圾郵件,導(dǎo)致系統(tǒng)內(nèi)存在著大量的垃圾郵件,占用了傳輸、存儲(chǔ)和運(yùn)算資源,不但造成網(wǎng)絡(luò)資源浪費(fèi),降低了系統(tǒng)的使用率,還造成郵件服務(wù)器擁塞,降低了網(wǎng)絡(luò)的運(yùn)行效率,嚴(yán)重影響正常的郵件服務(wù),對(duì)信息安全系統(tǒng)性能形成重大影響。

(3)由于垃圾郵件具有反復(fù)性、強(qiáng)制性、欺騙性、不健康性和傳播速度快等特點(diǎn),會(huì)對(duì)在校師生造成不良影響。并且部分含敏感政治內(nèi)容的郵件,打擾了工作人員正常的郵件通信。國(guó)家公安部已經(jīng)下發(fā)了專(zhuān)門(mén)的通知,要求各單位加強(qiáng)對(duì)郵件系統(tǒng)的過(guò)濾和管理。