胡永杰

摘 要:首先介紹了垃圾郵件的概念及發(fā)送技術,然后詳細闡述了各種反垃圾郵件技術的特點。分析了校園網(wǎng)反垃圾郵件的特點,給出了不同的反垃圾郵件網(wǎng)關部署方案并分析了不同方案的特點與缺陷。

關鍵詞:垃圾郵件 反垃圾郵件技術 反垃圾郵件網(wǎng)關

在Internet應用極其廣泛的今天,電子郵件在商業(yè)、管理、辦公等方面都起到了越來越重要的作用。然而,垃圾郵件的產(chǎn)生,給Internet用戶帶來了巨大的損失和危害。大量的垃圾郵件在網(wǎng)絡上傳播,不僅占用了寶貴的網(wǎng)絡帶寬,而且還占用了大量的網(wǎng)絡與存儲資源。

根據(jù)CNNIC的統(tǒng)計,2004年我國互聯(lián)網(wǎng)用戶平均每人每周收到的正常郵件和垃圾郵件數(shù)量分別為4.4封和7.9封,2005年這兩個數(shù)字則分別為27.8封和57.5封。垃圾郵件在我國日趨泛濫,也進一步加劇了病毒的傳播,如何有效的控制垃圾郵件對于互聯(lián)網(wǎng)的健康發(fā)展意義重大。

一、垃圾郵件定義及特征

垃圾郵件現(xiàn)在還沒有一個非常嚴格的定義,一般來說,凡是未經(jīng)用戶許可就強行發(fā)送到用戶郵箱中的任何電子郵件被稱之為垃圾郵件。由于郵件內容的判定帶有主觀性,目前的技術性定義:通過非標準的客戶端,在未經(jīng)用戶同意的情況下發(fā)送的大規(guī)模郵件。

垃圾郵件一般具有批量發(fā)送的特征,其內容包括賺錢信息、成人廣告、商業(yè)或個人網(wǎng)站廣告、電子雜志等,甚至含有破壞性(含有病毒、木馬等惡意代碼)的代碼。

通過非標準的客戶端發(fā)送,是垃圾郵件的另一大特征。

二、垃圾郵件發(fā)送技術概述

垃圾郵件發(fā)送方式的演化分為三個時期,在早期的時候,利用Open-Proxy或Open-Relay發(fā)送。在發(fā)展階段,利用發(fā)件人地址隨機變化、郵件主題隨機變化等手段發(fā)送?，F(xiàn)在垃圾郵件發(fā)送手段更加惡劣,往往采用信件正文加入干擾內容識別算法的文字,利用人的視覺反差來干擾內容分析,或者結合動態(tài)IP技術的低速群發(fā)垃圾郵件等。

隨著垃圾郵件過濾技術的發(fā)展以及人們對發(fā)送垃圾郵件者的譴責,垃圾郵件的制造者不得不采取更為隱蔽的技術,目前被利用最多的垃圾郵件發(fā)送技巧有:

1.盜取身份,來自“好人”的身份欺騙

垃圾郵件制造者使用的手段相當多樣化,他們收集全球范圍的發(fā)信者IP地址,使用新的垃圾郵件域名,垃圾郵件或藏匿在其他“健康”URL的后面以創(chuàng)建URL好信譽,或利用如博客、免費網(wǎng)站等這些免費場所來達到身份欺騙。在發(fā)送過程中,它們用同樣的技巧來隱藏發(fā)信者IP地址,將URL重定向到已知垃圾郵件域名或IP地址,或者使用許多免費的資源。

2.圖片垃圾郵件及多層圖片垃圾郵件

在所有的垃圾郵件中,圖像垃圾郵件所占份額越來越大。垃圾郵件發(fā)送者越來越會隱蔽信息,他們以圖片的形式發(fā)送,而不是用文本。這些圖像所含的內容是生日聚會照片、或者內嵌某公司的股票信息,能夠蒙蔽一些過濾器而不被發(fā)現(xiàn)。圖像垃圾郵件還會加重電子郵件系統(tǒng)的負擔。

3.躲避全球IP監(jiān)控及信譽評分

信譽評分技術是指根據(jù)信譽(Reputation)篩檢郵件的方法,依照寄件行為接受評比。評比標準依據(jù)幾項變數(shù),例如收件人的申訴率、發(fā)送郵件的數(shù)量,以及對收件人取消訂閱要求的回應。另外,IP地址黑名單也是垃圾郵件發(fā)送者要回避的,為此,他們必須不斷尋找新的僵尸服務器代發(fā)垃圾郵件。

4.躲避內容過濾,夾帶URL或者電話號碼

越來越多的垃圾郵件發(fā)送者為躲避內容過濾引擎,將郵件偽裝得越來越像一封正常郵件,而郵件中夾帶的URL地址或者電話號碼才是垃圾郵件發(fā)送者真正的意圖所在。

三、反垃圾郵件技術

目前所有的反垃圾郵件技術都可被劃分為基于內容解析的與基于行為解析的技術。

基于內容的反垃圾郵件技術的原理是: 如果一封郵件被判定為垃圾,則凡是與該郵件有相同校驗的郵件,都將被視作垃圾郵件而被丟棄或做其他處理?；趦热葸^濾的技術有很多,包括關鍵字過濾、黑白名單、HASH技術、貝葉斯統(tǒng)計等。

內容過濾主要通過相關技術用于接收系統(tǒng)(MUA,如Outlook Express或者MTA,如Send Mail)來辨別和處理垃圾郵件。

基于行為解析的反垃圾郵件技術是從電子郵件發(fā)送和傳輸?shù)男袨槌霭l(fā),根據(jù)郵件會話信息,尋找垃圾郵件的來源,提取郵件的行為特征,進而加以判斷識別?；谛袨榻馕龅姆蠢]件技術有SMTP路徑分析技術、Sender ID、灰名單等。常用的特征包括收件人個數(shù)、發(fā)送次數(shù)、發(fā)送頻率、路由信息等。這個技術不必完整收下郵件即可完成“是否是垃圾郵件”的判斷。

以下是常見的幾種反垃圾郵件技術。

1.關鍵字過濾規(guī)則制定問題

關鍵字的定義不是太嚴格就是有遺漏,需要使用人員結合自己企業(yè)的具體使用情況、商業(yè)常用字樣等因素,總結制定出一套適合自己單位的關鍵字定義規(guī)則。

2.IP黑白名單技術

如果公司長時間、高頻率地對外發(fā)送商業(yè)字樣的郵件,很容易會被判斷為垃圾郵件。從設備操作人員來講,就需要根據(jù)實際情況適當調整郵件的發(fā)送頻率和時間段,盡量減少被誤判為垃圾郵件的幾率。

3.RBL列表

由于RBL列表大多由國外機構提供,難免會出現(xiàn)水土不服的現(xiàn)象。實際的操作人員針對此問題應該選擇權威性較強和列表比較完善的機構列表。同時,為了第一時間避免自己公司的郵件被定義為垃圾郵件,也可以事先向RBL組織提交自己公司的域名,表明該域名的合法性。

4.SPF技術

該技術能夠很好地解決身份偽裝問題。設備的操作人員可以很好地利用該技術,及時調整SPF記錄。

5.病毒過濾技術

當前的反垃圾郵件設備大多具有病毒掃描引擎,而帶有病毒的郵件是垃圾郵件的一種,反垃圾郵件設備大多也會具備針對病毒郵件制定規(guī)則的項目。操作人員要詳細了解主流病毒郵件特征,包括附帶的附件文件格式類型、正文的惡意代碼等,從而制定合理有效的反病毒郵件規(guī)則。

6.單一技術的局限性

單一技術都有其自身的局限性,合理搭配多種過濾技術是反垃圾郵件設備的發(fā)展趨勢。作為企業(yè)反垃圾郵件的主要決策者和具體操作人員,需要選擇結合多種過濾技術的反垃圾郵件設備,實現(xiàn)更好的過濾效果。

7.過濾技術的發(fā)展性和先進性

傳統(tǒng)的關鍵字過濾和RBL技術,都存在較高的誤判和漏報現(xiàn)象,而且當今垃圾郵件的發(fā)送技巧越來越高明、越來越隱蔽。我們必然要不斷研究流行的垃圾郵件發(fā)送技巧,適時選擇更新的反垃圾郵件技術,來對付垃圾郵件。比如,針對身份偽裝選擇SPF技術,針對圖片垃圾郵件選擇圖片分析和多重圖片識別技術,針對垃圾郵件的代理轉發(fā)問題,選擇信譽評分技術等等。我們也應針對先進的過濾技術,選擇技術領先的反垃圾郵件設備。

四、反垃圾郵件網(wǎng)關部署方案

1.校園網(wǎng)絡反垃圾郵件的常見困擾集中體現(xiàn)在以下幾方面:

(1)現(xiàn)有的防火墻和病毒防火墻只能阻斷來自網(wǎng)絡的普通攻擊,不能有效防止Internet混合在垃圾郵件當中的病毒,蠕蟲,URL等威脅,使得病毒能夠躲避傳統(tǒng)的防御方法,且將其代理文件植入到校級郵件系統(tǒng)中。

(2)現(xiàn)有垃圾郵件防護系統(tǒng)不能有效地過濾垃圾郵件,導致系統(tǒng)內存在著大量的垃圾郵件,占用了傳輸、存儲和運算資源,不但造成網(wǎng)絡資源浪費,降低了系統(tǒng)的使用率,還造成郵件服務器擁塞,降低了網(wǎng)絡的運行效率,嚴重影響正常的郵件服務,對信息安全系統(tǒng)性能形成重大影響。

(3)由于垃圾郵件具有反復性、強制性、欺騙性、不健康性和傳播速度快等特點,會對在校師生造成不良影響。并且部分含敏感政治內容的郵件,打擾了工作人員正常的郵件通信。國家公安部已經(jīng)下發(fā)了專門的通知,要求各單位加強對郵件系統(tǒng)的過濾和管理。