胡永杰
摘 要:首先介绍了垃圾邮件的概念及发送技术,然后详细阐述了各种反垃圾邮件技术的特点。分析了校园网反垃圾邮件的特点,给出了不同的反垃圾邮件网关部署方案并分析了不同方案的特点与缺陷。
关键词:垃圾邮件 反垃圾邮件技术 反垃圾邮件网关
在Internet应用极其广泛的今天,电子邮件在商业、管理、办公等方面都起到了越来越重要的作用。然而,垃圾邮件的产生,给Internet用户带来了巨大的损失和危害。大量的垃圾邮件在网络上传播,不仅占用了宝贵的网络带宽,而且还占用了大量的网络与存储资源。
根据CNNIC的统计,2004年我国互联网用户平均每人每周收到的正常邮件和垃圾邮件数量分别为4.4封和7.9封,2005年这两个数字则分别为27.8封和57.5封。垃圾邮件在我国日趋泛滥,也进一步加剧了病毒的传播,如何有效的控制垃圾邮件对于互联网的健康发展意义重大。
一、垃圾邮件定义及特征
垃圾邮件现在还没有一个非常严格的定义,一般来说,凡是未经用户许可就强行发送到用户邮箱中的任何电子邮件被称之为垃圾邮件。由于邮件内容的判定带有主观性,目前的技术性定义:通过非标准的客户端,在未经用户同意的情况下发送的大规模邮件。
垃圾邮件一般具有批量发送的特征,其内容包括赚钱信息、成人广告、商业或个人网站广告、电子杂志等,甚至含有破坏性(含有病毒、木马等恶意代码)的代码。
通过非标准的客户端发送,是垃圾邮件的另一大特征。
二、垃圾邮件发送技术概述
垃圾邮件发送方式的演化分为三个时期,在早期的时候,利用Open-Proxy或Open-Relay发送。在发展阶段,利用发件人地址随机变化、邮件主题随机变化等手段发送。现在垃圾邮件发送手段更加恶劣,往往采用信件正文加入干扰内容识别算法的文字,利用人的视觉反差来干扰内容分析,或者结合动态IP技术的低速群发垃圾邮件等。
随着垃圾邮件过滤技术的发展以及人们对发送垃圾邮件者的谴责,垃圾邮件的制造者不得不采取更为隐蔽的技术,目前被利用最多的垃圾邮件发送技巧有:
1.盗取身份,来自“好人”的身份欺骗
垃圾邮件制造者使用的手段相当多样化,他们收集全球范围的发信者IP地址,使用新的垃圾邮件域名,垃圾邮件或藏匿在其他“健康”URL的后面以创建URL好信誉,或利用如博客、免费网站等这些免费场所来达到身份欺骗。在发送过程中,它们用同样的技巧来隐藏发信者IP地址,将URL重定向到已知垃圾邮件域名或IP地址,或者使用许多免费的资源。
2.图片垃圾邮件及多层图片垃圾邮件
在所有的垃圾邮件中,图像垃圾邮件所占份额越来越大。垃圾邮件发送者越来越会隐蔽信息,他们以图片的形式发送,而不是用文本。这些图像所含的内容是生日聚会照片、或者内嵌某公司的股票信息,能够蒙蔽一些过滤器而不被发现。图像垃圾邮件还会加重电子邮件系统的负担。
3.躲避全球IP监控及信誉评分
信誉评分技术是指根据信誉(Reputation)筛检邮件的方法,依照寄件行为接受评比。评比标准依据几项变数,例如收件人的申诉率、发送邮件的数量,以及对收件人取消订阅要求的回应。另外,IP地址黑名单也是垃圾邮件发送者要回避的,为此,他们必须不断寻找新的僵尸服务器代发垃圾邮件。
4.躲避内容过滤,夹带URL或者电话号码
越来越多的垃圾邮件发送者为躲避内容过滤引擎,将邮件伪装得越来越像一封正常邮件,而邮件中夹带的URL地址或者电话号码才是垃圾邮件发送者真正的意图所在。
三、反垃圾邮件技术
目前所有的反垃圾邮件技术都可被划分为基于内容解析的与基于行为解析的技术。
基于内容的反垃圾邮件技术的原理是: 如果一封邮件被判定为垃圾,则凡是与该邮件有相同校验的邮件,都将被视作垃圾邮件而被丢弃或做其他处理。基于内容过滤的技术有很多,包括关键字过滤、黑白名单、HASH技术、贝叶斯统计等。
内容过滤主要通过相关技术用于接收系统(MUA,如Outlook Express或者MTA,如Send Mail)来辨别和处理垃圾邮件。
基于行为解析的反垃圾邮件技术是从电子邮件发送和传输的行为出发,根据邮件会话信息,寻找垃圾邮件的来源,提取邮件的行为特征,进而加以判断识别。基于行为解析的反垃圾邮件技术有SMTP路径分析技术、Sender ID、灰名单等。常用的特征包括收件人个数、发送次数、发送频率、路由信息等。这个技术不必完整收下邮件即可完成“是否是垃圾邮件”的判断。
以下是常见的几种反垃圾邮件技术。
1.关键字过滤规则制定问题
关键字的定义不是太严格就是有遗漏,需要使用人员结合自己企业的具体使用情况、商业常用字样等因素,总结制定出一套适合自己单位的关键字定义规则。
2.IP黑白名单技术
如果公司长时间、高频率地对外发送商业字样的邮件,很容易会被判断为垃圾邮件。从设备操作人员来讲,就需要根据实际情况适当调整邮件的发送频率和时间段,尽量减少被误判为垃圾邮件的几率。
3.RBL列表
由于RBL列表大多由国外机构提供,难免会出现水土不服的现象。实际的操作人员针对此问题应该选择权威性较强和列表比较完善的机构列表。同时,为了第一时间避免自己公司的邮件被定义为垃圾邮件,也可以事先向RBL组织提交自己公司的域名,表明该域名的合法性。
4.SPF技术
该技术能够很好地解决身份伪装问题。设备的操作人员可以很好地利用该技术,及时调整SPF记录。
5.病毒过滤技术
当前的反垃圾邮件设备大多具有病毒扫描引擎,而带有病毒的邮件是垃圾邮件的一种,反垃圾邮件设备大多也会具备针对病毒邮件制定规则的项目。操作人员要详细了解主流病毒邮件特征,包括附带的附件文件格式类型、正文的恶意代码等,从而制定合理有效的反病毒邮件规则。
6.单一技术的局限性
单一技术都有其自身的局限性,合理搭配多种过滤技术是反垃圾邮件设备的发展趋势。作为企业反垃圾邮件的主要决策者和具体操作人员,需要选择结合多种过滤技术的反垃圾邮件设备,实现更好的过滤效果。
7.过滤技术的发展性和先进性
传统的关键字过滤和RBL技术,都存在较高的误判和漏报现象,而且当今垃圾邮件的发送技巧越来越高明、越来越隐蔽。我们必然要不断研究流行的垃圾邮件发送技巧,适时选择更新的反垃圾邮件技术,来对付垃圾邮件。比如,针对身份伪装选择SPF技术,针对图片垃圾邮件选择图片分析和多重图片识别技术,针对垃圾邮件的代理转发问题,选择信誉评分技术等等。我们也应针对先进的过滤技术,选择技术领先的反垃圾邮件设备。
四、反垃圾邮件网关部署方案
1.校园网络反垃圾邮件的常见困扰集中体现在以下几方面:
(1)现有的防火墙和病毒防火墙只能阻断来自网络的普通攻击,不能有效防止Internet混合在垃圾邮件当中的病毒,蠕虫,URL等威胁,使得病毒能够躲避传统的防御方法,且将其代理文件植入到校级邮件系统中。
(2)现有垃圾邮件防护系统不能有效地过滤垃圾邮件,导致系统内存在着大量的垃圾邮件,占用了传输、存储和运算资源,不但造成网络资源浪费,降低了系统的使用率,还造成邮件服务器拥塞,降低了网络的运行效率,严重影响正常的邮件服务,对信息安全系统性能形成重大影响。
(3)由于垃圾邮件具有反复性、强制性、欺骗性、不健康性和传播速度快等特点,会对在校师生造成不良影响。并且部分含敏感政治内容的邮件,打扰了工作人员正常的邮件通信。国家公安部已经下发了专门的通知,要求各单位加强对邮件系统的过滤和管理。