精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>网络专区>>邮件服务器>>反垃圾邮件技术漫谈

主题:反垃圾邮件技术漫谈
发信人: zjgzhujin(欣颖)
整理人: cndgm(2004-09-22 14:45:48), 站内信件
在日常生活中,我们的个人或企业邮箱常常会以每天一打的数量收到大量商家主动提供的商业电子邮件,我们通常将这些商业电子邮件统称为垃圾邮件。 

对垃圾邮件,企业和网络服务提供商们往往都是无可奈何的。企业职员每天都要在浏览或删除这些垃圾邮件上花费大量的时间。 MessageLabs 调查发现有45%的企业经理每天会接到50封甚至更多的邮件,而处理这些邮件中的垃圾邮件额外花费的时间就相当于每一个小时内要浪费10分钟的时间。 

因为垃圾邮件的缘故,员工的工作效率被降低还并不是它带来的唯一危害。MessageLabs 说在拒绝服务的邮件服务器中有将近20%是由于接收到大量垃圾邮件引起的。并且,ISP提供的昂贵的网络带宽也因为大量垃圾邮件的缘故被白白浪费掉。 

越来越严重的问题 

现在垃圾邮件的问题已经变得越来越糟糕。根据Gartner 组织的副总,Joyce Graff 的统计, 垃圾邮件的数量正在飞速增长,预计今年的垃圾邮件数量将是去年的10倍,前年的16倍。 

为什么垃圾邮件数量的增长速度如此之快呢?第一,垃圾邮件一直被吹捧为是一种最有效却最廉价的广告形式。邮件地址列表很容易买到,也很容易从英特网搜集,特别是为了工作的需要,企业一般都在Web站点列出了员工的电子邮件地址。这使得编辑一个邮件地址数据库变得非常的廉价和容易。然后,再使用一个廉价的邮件软件按数据库中的邮件地址自动发送出去即可,非常简单。 

其次,传统的控制方法无法有效地过滤垃圾邮件,使得终端用户经常收到来自不同地方的商业广告。垃圾邮件制造者是通过邮件报头欺骗,对邮件主题和内容进行处理以及利用第三方服务器进行转发来达到目的的。 

一个常见的垃圾邮件伪装方法是利用网络中的开放式SMTP服务器进行转发。如果网络中的一台SMTP服务器没有被配置为禁止转发电子邮件,那么它将可能成为被垃圾邮件制造者利用的对象。 

所有的这些都大大增加了企业邮件系统的负担,相关负责人也将要在处理垃圾邮件上花费大量的精力和成本。 

"直到去年年底,我们都没有找到一个企业级的能够有效控制垃圾邮件的方案或方法," SendMail 的创始人和主席,安全电子邮件系统的供给者,Greg Olson 说," 我们虽然采取了一定的措施,但是进入企业的邮件中还是有将近20%至30%属于垃圾邮件。" 

黑名单,探针和过滤 

从每一个专业的安全人士到网络管理员都一直在努力寻找能够检测和阻塞垃圾邮件的有效办法,他们的共同目标是: 尽可能将垃圾邮件阻挡在企业以外。 

现在对抗垃圾邮件通常的方法包括阻塞,陷阱帐户和过滤。 

垃圾邮件的阻塞 

这种方式是根据"黑名单"中的域名和IP地址对邮件进行阻塞。但是由于它的有效性完全地依赖"黑名单",而"黑名单"的更新速度往往又无法赶上 spammer 改变邮件“源地址”的速度。通过邮件标题欺骗,改变邮件源地址,利用第三方服务器进行转发等完全能够有效地避开"黑名单"。并且有时合法的域和IP地址可能会被错误地放入"黑名单","黑名单"自动更新也可能会发生错误。 

"黑名单"的更新一般是通过网络管理员手工地添加新的域或IP地址到它们的过滤规则中去或通过订阅服务, 像 Mail Abuse Prevention System (MAPS)。一些免费的"黑名单"资源,像垃圾邮件预警系统和“开放传递数据库”(Open Relay Database)都是可以被利用的。 

诱饵探针帐户. 

类似于honeypot(安全陷阱),这种方法是使用一个虚拟电子邮件帐号去引诱并对垃圾邮件进行分析。一旦管理员检测到邮件是垃圾邮件,就将它的域名自动添加到黑名单中。 

过滤 

过滤机制不同于一般的阻塞,过滤需要对电子邮件的标题和内容按照一定的关键字和制定的规则进行检查,只有发现不是垃圾邮件,才让其通过。过滤器虽然比阻塞有效,却有可能将合法的电子邮件也错误地过滤掉了。 

实际的解决方案 

依照 SpamCon ,在我们的环境中至少有9台内置过滤器的邮件服务器,它们运行Unix, Windows 及 MacOS 操作系统;二打邮件过滤软件(许多是免费的) 和几个将这些软件搭配,协调使用的方案。主要的邮件服务器软件有微软的 Exchange ,LOTUS 的 Notes, 这些软件都有垃圾邮件过滤的核心功能。 

对于那些无法替换遗留下来的Email服务器的单位(这些服务器上有大量用户,如果换邮件服务器软件的话更改口令会很麻烦),带过滤功能插件能帮助在一定程度上他们抵抗垃圾邮件。由 BrightMail ,ActiveState ,Clearswift ,CipherTrust ,Elron Software, SurfControl ,VirCom 和 Websense 提供的软件和硬件都内置在邮件服务器中或以一个额外的设备形式放置在邮件服务器的前面进行过滤和阻塞垃圾邮件(在这里免费的邮件过滤工具和脚本也都是有效的)。 

" 以前我们一天大约要收到一百多封垃圾邮件。 但是现在一个星期才仅仅收到一两封转发的垃圾邮件, 甚至也许每隔两个星期才会收到一封," Kathy Mazur,伊利诺斯州图书馆的网络管理员在使用了VirCom的ModusMail后说。 

作为对等网的倡导者,像 CloudMark 的 SpamNet 和 Vipul 的 Razor,它们提供的是多用户或多站点的服务软件去检测垃圾邮件,被建立的过滤规则采用分布式的方式分散到各个用户或站点(在这里,免费的教育和信息服务软件都是有效的)。 

通过外协方式来解决邮件安全是用户不能或不愿实现的垃圾邮件控制功能。 像 BrightMail , MessageLabs , Activis , eDoxs , Postini , Syntegra 和 McAfee.com 等厂商提供的产品一般放在电子邮件进入企业网关前的最后一跳上。当邮件通过时,就会进行病毒和垃圾邮件的扫描和过滤。 

一个不严密的解决方案 

阻塞和过滤如果能够正确地实施,能大大地减少通过邮件服务器的垃圾邮件数量。但是并不能完全地消除垃圾邮件,而且事实上,针对垃圾邮件的保护措施也有可能影响到非垃圾邮件。 

大多数“黑名单”和过滤方法在阻塞邮件时常常是不分青红皂白的。合法的域可能被错误地列在黑名单中,而使合法的电子邮件不能到达他们的目的地。而过滤则很大程度上依赖于匹配的关键字,一些非垃圾邮件可能被错误地拦截。比如,一封合法的商业邮件可能因为涉及了像赌博,色情或者其它列在黑名单中的关键词而被拒绝接收,导致一些重要的商业信息被延迟或丢失。 

但是在没有找到更好的解决办法的情况下,事实证明采用这些常规的垃圾邮件控制方法比什么都不做还是强得多。有一个国际制造商, 他每天要为他的10,000个用户接受50,000到70,000份电子邮件, 按照他的经验采用阻塞和过滤这种常规控制方法带来的效益就远高于其成本。 

一个公司的IT员工说:“现在我们公司的内部网关正常运行时间有明显的改善,大大减少了用户删除信息的时间” 

本文周折DANIEL P. DERN 是一位自由技术作家,也曾经是信息安全杂志编辑。

[关闭][返回]