更新时间:2024-05-10 13:58
反垃圾邮件网关是1994年的绿卡事件,是垃圾邮件的起源。美国一对律师夫妇,在国际互联网上大量散发一条内容相同的虚假广告,称他们可以帮助新移民申请绿卡,成功率达到100%。绿卡事件引起了网民的极大愤慨,这种愤怒主要不是针对假广告,而是冲着这对律师夫妇胡乱发送垃圾邮件。从此垃圾邮件登上了互联网的历史舞台。
垃圾邮件的产生
垃圾邮件的定义
2000年8月,中国电信制定了垃圾邮件处理办法,并将垃圾邮件定义为:向未主动请求的用户发送的电子邮件广告、刊物或其他资料;没有明确的退信方法、发信人、回信地址等的邮件;利用中国电信的网络从事违反其他ISP的安全策略或服务条款的行为;其他预计会导致投诉的邮件。
2002年5月20日,中国教育和科研计算机网公布了《关于制止垃圾邮件的管理规定》,其中对垃圾邮件的定义为:凡是未经用户请求强行发到用户信箱中的任何广告、宣传资料、病毒等内容的电子邮件,一般具有批量发送的特征。
反垃圾网关定义
反垃圾邮件网关是设置在企业邮件系统服务器之前的硬件设备。该设备接收所有进入到企业内部的邮件,对邮件进行处理,让良性邮件进入企业邮件服务器。反垃圾邮件网关通常建立在基于Linux或者BSD的加固的操作系统之上,也有个别厂商基于其他操作系统制作解决方案。硬件的形式及加固操作系统使垃圾邮件防火墙更加不容易被黑客等攻击。一个良好的垃圾邮件防火墙不仅可以阻断垃圾邮件,而且可以保护邮件服务器不受其他形式的攻击。
很多人不知道,其实反垃圾邮件网关还有软件形式的,即嵌入式的,像Rich firewall反垃圾安全网关就是一种软件网关。软件式的反垃圾邮件网关的优势在于价格便宜,部署简易,与邮件系统一起绑定安装,可以减少额外配置的麻烦,也可以摆脱反垃圾邮件网关对高速网络的影响,而且反垃圾效果不亚于硬件设备。
一般反垃圾邮件网关功能最简单而言,就是阻断不需要的邮件进入网络及到达邮件服务器。这是一般通过一个多层次的过滤解决方案实现的。一些反垃圾邮件网关仅采用一个单一技术来清除垃圾邮件,但由于垃圾邮件发送者会很容易绕过单一技术的反垃圾邮件网关,我们不推荐单一技术。常有功能模块如下:
集成Exchange
与exchange邮件系统进行集成
集成 Domino
与domino邮件系统进行集成
反垃圾实现方式
实现反垃圾邮件的方式
反垃圾安全网关同时支持发信认证(smtp-auth)、黑名单和系统级垃圾邮件过滤功能,为用户邮箱提供三重保护。用户可以随时从国内外反垃圾 邮件组织获得黑名单列表文件,导入邮件系统,从而使邮件管理员从被动变为主动。Rich firewall反垃圾安全网关黑名单功能支持模糊匹配,可以屏蔽一个域,也可以只屏蔽域内的一个用户。此外,提供多种方式的垃圾邮件过滤功能,防止账户被劫持来发垃圾邮件,防邮件攻击等,全方位保障邮件服务器的安全。
第一层:网络控制层
经验分析,发送垃圾邮件的服务器一般都会同时大批量向某些域的多个账号发送垃圾邮件,对于这些发送垃圾邮件方式,可通过设定一定网络访问频率控制进行有效 的阻隔。反垃圾安全网关提供两种设置方式对付这种攻击,并可自动把发送垃圾邮件的IP归为垃圾IP(SpamIP)列表。
通过smtp 服务层把明显的发送垃圾邮件smtp 连接拒绝,大大减轻后台投递系统和反垃圾引擎的负担。
通过统计分析,我们发现很多发送垃圾邮件的smtp 连接具有以下特点。
1.同一IP同时的smtp连接数非常大。
2.同一IP一段时间内,smtp连接频率非常高。
一般出现这两种情况,都表示源发件人非常有可能发送垃圾邮件。
通过设置以下这两个参数可控制这类型的smtp连接,从而截断发送垃圾邮件的源头:
系统设置-SMTP服务-一分钟内同一IP允许访问次数。
同时设置:
系统设置-SMTP服务-启用智能反垃圾IP功能参数,把符合以上两个条件的IP地址自动加入系统的智能反垃圾IP列表中(SmartSpamIP),当以后系统碰到这些IP连接时,直接拒绝。
可通过:
系统监控-智能反垃圾IP列表。
查看系统目前智能反垃圾IP 列表。
注意:
当互联网是经过反垃圾网关再接入邮件系统的情况,由于邮件系统的所有smtp连接都来自反垃圾网关,所以基于Smtp服务反垃圾不再起作用,这里需要把以上两个参数设为-1,以免系统smtp服务故障。
第二层:来源分析
根据垃圾邮件发送者IP的地理位置,与 APNIC 的IP信息库核对结果,看来源是否真实,如果真实则通过,否则可能为可疑邮件。因为IP 来源无法伪装,所以这个反垃圾策略比较有效。
第三层:黑名单
通过黑名单,反垃圾安全网关可设置屏蔽任何一个IP,一个网段;也可屏蔽任何一个发信人,一个域。
实时黑名单(RBL)主要利用互联网公开的RBL资源判断是否垃圾邮件。RBL 一般都通过DNS 查询的方式提供对某个IP或域名是否是垃圾邮件发送源进行判断。另外,由于国外大多数RBL都对来自中国的I 有“歧视”,所以我们并不能完全依靠RBL 来判断一封邮件是否是垃圾邮件,只能根据RBL查询结果判断该邮件是否有垃圾邮件的可能性。可设置以下参数定制RBL:
RBL 服务器,指定RBL 查询域名后缀。
DNS 查询类型,根据具体的RBL 要求指定DNS 查询记录类型。
匹配表达式,指定RBL 查询结果的匹配模式,表达式格式采用perl 正则表达式,如果为空,则表示如果可查到RBL结果,就表示符合条件。
第四层:灰名单
灰名单技术源于: greylist
灰名单技术基本假设是:病毒和垃圾邮件,通常都是一次性的,如果遇到错误,不会重试。
一些发垃圾邮件的软件,这些软件基本上都不会对邮件服务器返回的错误做出任何重试,而只是简单的在日志里记录发送失败而已。而病毒引发的邮件风暴则更加不会识别邮件服务器返回的错误,因为这些病毒仅仅是简单的发送邮件,发送时根本不理会服务器的状态。
Greylist的设计大体上是基于一种重试的原则,即第一次看到某个IP想给某个收件人发信,那么 它将简单的返回一个临时错误(4xx),并拒绝此请求,正常的邮件服务器都会在一段时间内(如半小时)重发一次邮件。Greylist发现还是刚才同样的 ip地址和收件人,认为此ip是来自合法服务器的,予以放行。如果是非正常的邮件,那么或者将永远也不再进行重试,或者会疯狂重试,但由于间隔太近,而遭 拒绝。因此,Greylist只要设置一个合适的放行间隔,就可以在很大程度上对这类垃圾邮件有着良好的免疫能力。Greylist的一大特点就是不会丢 信,正规的邮件服务器认为4xx错误只是临时性、软性的错误,会隔一段时间重试,因此邮件还是可以投递成功。但Greylist的一大缺点是即时延迟 (delay),延迟从几分钟到几个小时不等。对于一些对邮件及时性很强的客户,Greylist可能不是一个很好的选择。
第五层:趋势分析
趋势分析原理为,所有垃圾邮件都有目标指向,比如:卖药广告邮件都会在邮件内容里指定卖药的电话、邮件或网站,如果不指定这些信息,发送垃圾邮件也就没有意义了。趋势分析法就是通过分析邮件里的电话、邮件或网站链接内容,通过匹配判断他的指向从而判断邮 件是否是垃圾邮件。
第六层:邮件来源判断
主要通过分析邮件的来源,如:发件人IP ,发件人,发件域,等内容,来判断垃圾邮件的可能行。
第七层:SpamFilter内容过滤
通过邮件内容关键字分析,可为符合内容分析结果的邮件打上相应的垃圾邮件评分。这类规则的判断条件类似系统的过滤规则。可参考过滤规则设定来设定过滤评分内容,同时我们也会通过收集客户反馈的垃圾邮件特点整理成规则内容,定期通知客户更新。
第八层:主题分析引擎
主题分析原理是基于:同一类垃圾邮件的内容大多都相似,通过相似度进行分析,以确定是否为垃圾邮件。 比如代开发票的垃圾邮件,内容部分大多都有 “代开”,“发票”,“税”这类词,通过对同一类型垃圾邮件的统计分析,可以归纳这类垃圾邮件的主要关键字,通过关键字匹配度,确认是否是垃圾邮件。
第九层:TMSpamCheck引擎
TMSpamCheck技术是基于云计算的反垃圾技术,Rich firewall反垃圾安全网关通过收集终端用户反馈的垃圾邮件,统一分析,实时归纳为中心垃圾规则库。同时当客户服务器初步检测到邮件可能为垃圾邮件时,即计算邮件的特征摘要,与中心规则库比较,以确定是否为垃圾邮件。
12层过滤模型
速率控制
Dos防护
三层病毒防护
IP信誉库(含梭子鱼信誉防护)
发件人认证
收件人验证
用户自定义策略
垃圾邮件指纹分析,支持最新图片指纹过滤技术和支持邮件指纹过滤技术
意图分析,能识别最新图形化的垃圾邮件
图像识别,支持最新图片内容识别技术Optical Content Reading(OCR)
垃圾邮件的规则评分,支持基于规则的评分系统过滤技术,规则可按小时自动更新,规则库包含中文简体、繁体字符规则
全面防护
垃圾邮件及病毒邮件过滤
使用双层病毒扫描引擎,彻底查杀各种来自邮件的病毒,不加收病毒系统费用
支持病毒特征码按小时自动更新功能。病毒管理与反垃圾邮件管理在同一界面,降低管理成本
支持全局及分用户隔离功能
阻止欺诈、钓鱼及恶意软件邮件
反退信攻击
SMTP/TLS加密传输
支持SMTP及LDAP邮件认证功能
外发邮件过滤功能
策略遵从
支持多域多邮件服务器,支持多达50个域
能够应对各种专门针对邮件系统的Dos/DDos攻击,洪水式攻击,字典攻击
支持web的安全登陆(HTTPS/SSL)
病毒过滤
压缩文件扫描
梭子鱼实时病毒防护
三层病毒防御
文件类型阻断
邮件安全标准
支持外部DNSBL
SPF,
DomainKeys
反垃圾网关安装
反垃圾邮件网关通常安装在非军事区(DMZ),装在Internet路由器及企业邮件服务器之间,根据企业的不同需求,反垃圾邮件网关有很多种安装及部署方法。标准的部署方法是将反垃圾邮件网关与企业网络简单联接,分配一个新IP地址。一旦该IP地址分配好,企业MX记录指向反垃圾邮件网关的IP地址。反垃圾邮件网关的缺省设置自动启动,开始过滤邮件,不需要人进一步设置。用户可以以后通过基于Web的管理界面进行进一步设置或者使用其他功能。反垃圾邮件网关也可以用于支持在不同地点的多邮件服务器。
主要部署模式
众多的主流反垃圾邮件网关,主提供了一种部署方式(旁路部署)。该部署方式安装最为简单,而且基本不会对客户造成影响。直接将公网25端口映射给反垃圾邮件网关。
一般客户邮件服务器有以下两种情况:
2、邮件服务器直接是公网IP,通过MX记录把域名和IP绑定。
邮件指纹技术
垃圾邮件发送的商业模型是大规模的发出同样的邮件,通常几天或者几周内甚至几个月内发送数以百万计的邮件,这些邮件虽然可能在细微处有所变化,但是通过特定的算法,却可以将这些邮件的共同特征提取出来。为此,反垃圾邮件网关厂家设置了大量“蜜罐”,或者说诱骗邮件地址,是用于收集大量的垃圾邮件。再依靠特定的算法,将这些邮件的共同特征――邮件指纹提取出来,邮件指纹库。反垃圾邮件网关厂家收到邮件后,发送相关的信息到远程的邮件指纹数据库中进行核对,从而迅速的确认这封邮件是否是垃圾。
这种指纹分析的方法和当前反病毒体系中病毒特征码的原理是一样的。在面对一些最新出现的或罕见的垃圾邮件时,它没有多大效用。但是对于哪些大量发送的相同的垃圾邮件,这种方法却具有最高的效率。而且这种方法几乎不会产生误判。
意图分析技术
垃圾邮件技术如今变得愈加复杂,许多垃圾邮件变得与正常的邮件几乎一样,在这些邮件中含有URL链接,这个链接往往指向一些不健康的网站,或某个商品促销的网站。反垃圾邮件网关厂家为此创建了意图分析技术,构建了垃圾邮件URLS地址数据库。它检查邮件中的URL链接,确定邮件是否为垃圾邮件。
贝叶斯过滤技术
贝叶斯分析:命名于著名数学家托马斯▫贝叶斯(1702-1761),他发展了一个数学领域全新的可能性推论理论。贝叶斯分析采用过去事件的知识预测未来事件。应用到反垃圾邮件领域,贝叶斯过滤与以前收到的垃圾邮件与合法邮件的中相同词语与短语出现的频率对比此邮件中有问题的词语与短语的来确定垃圾邮件的可能性。他能自动适应垃圾邮件变化。是一种动态的智能过滤技术。
贝叶斯过滤技术,它采用了全新的分词技术,同时支持单字节和双字节语种,需要学习的样本数量更少。贝叶斯能保正系统始终具有较高的过滤率,其它的过滤技术是一种静态的技术,依赖于规则库或特征库的更新。而贝叶斯是智能的技术,他能自动学习新的垃圾邮件,调整自己的字词频度表,使得系统始终维持较高的过滤水准。
采用了分用户贝叶斯后,使得不同邮件用户个性化的需求得以真正的实现。一般反垃圾邮件分用户个性化设置仅限于个人黑白名单。无法满足不同用户对邮件的不同偏好,然而用户通过调整培训自己的分用户贝叶斯数据库,就可以简单的实现这一功能。
评分系统
垃圾邮件制造者清楚反垃圾邮件的原理,因此也越来越狡猾,其中常用的一种办法经常将一些单词拼错,“Viagra”可能被有意地拼写为“V1agra”或者任何一种可能的变体,这样普通的词语过滤器就无法识别。
基于规则的评分系统也被称为人工智能(AI)系统,每一条规则对应一定的评分,一封邮件与规则库进行比较,每符合一条规则加上该规则评分,获得的分数越高,该邮件是垃圾邮件的可能性就越高。如果一封邮件超过一定得分门槛(阈值),该邮件将被分类为垃圾邮件。
在这些规则中,可以用来识别变化的词语或短语,例如垃圾邮件引擎侦测到变化型文字,垃圾邮件引擎会自动回复到原先字词,例如V.I.A.G.R.A回复为VIAGRA。这些规则不仅包括语义分析,还包括对垃圾邮件发送工具的检测、对邮件中含有图片形态和比重的检测,对于HTML格式的各种特征的规则等。通过对一封邮件所有相关的信息都进行相关的智能分析,最终能够准确的判定一封邮件。