阻止垃圾郵件的蔓延

[psac]

在充分享受電子郵件帶來的便捷、既時和廉價的同時，網路時代的人們也飽嘗垃圾郵件帶來的煩惱。幾乎每個人的信箱都充斥著大量來歷不明的郵件，垃圾郵件像瘟疫一樣蔓延、污染網路環境，影響網路的正常通信。而在我國，由於成百上千的開放郵件中繼伺服器被國外不法分子利用，國外許多郵件服務商曾一度封殺了中國郵件伺服器的IP位址，致使中國用戶蒙受不可估量的損失。


阻止垃圾郵件的蔓延




垃圾郵件的定義及分類

1994年，兩名專門從事移民生意的律師以「Green Card Spam」為標題在網際網路上兜售他們的綠卡生意，這一事件標誌著「Spam」一詞正式與垃圾郵件聯繫在一起。對於垃圾郵件的定義，世界各國的技術專家和反垃圾郵件組織十分一致: 批量傳送的未經過收信人同意的電子郵件，發件人幾乎不為每封郵件付出代價，而每個收信者為此要花費大量時間和金錢去處理這些郵件。

不久前，中國網際網路協會也公佈了對「垃圾郵件」的正式定義: 1、收信者事先沒有提出要求或者同意接收的廣告、電子刊物、各種形式的宣傳品等宣傳性質的電子郵件; 2、收信者無法拒收的電子郵件; 3、隱藏發件人身份、位址、標題等資訊的電子郵件; 4、含有虛假的資訊源、發件人、路由等資訊的電子郵件。

垃圾郵件的內容形形色色，主要包括廣告、色情、政治言論、病毒傳播等幾種類型。其中，攜帶病毒的垃圾郵件直接威脅著整個網路系統的安全，廣告大約佔據所有垃圾郵件的70%左右。從技術上分析，垃圾郵件可以分為以下四種。

1、 郵件頭部包含垃圾郵件的特徵

國外許多國家和地區都有限制垃圾郵件的立法，所以很多國外的廣告傳送程序都被強制加下標識符，例如郵件的傳送程序使用CDmail，那麼在郵件頭部就會出現X-mailer、CDmail的字樣。不過在我國傳送垃圾郵件還沒有這一限制。

2、 郵件內容包含垃圾郵件特徵

郵件內容中含有「sex site」等字樣。

3、 使用Open Relay主機傳送的垃圾郵件

由於系統管理員的疏忽，很多郵件伺服器都是Open Relay的，這樣就允許任何人通過該SMTP伺服器向任何位址傳送垃圾郵件。

4、 無論頭部還是內容都無法提取特徵

那些不含有標識的傳送垃圾郵件的軟體，可以直接連接smtp.xxx.com給所有xxx.com用戶傳送垃圾郵件，人們很難將這樣的垃圾郵件從正常的郵件中分離出來。


反垃圾郵件技術要點

垃圾郵件是用專門的郵址搜尋軟體和郵件群發軟體來完成網上郵址收集和郵件散發的，一個郵址搜尋軟體每次可以搜尋到幾萬個至十幾萬個有用郵址，一個郵件群發軟體每天可以傳送百萬封同樣或不同內容的垃圾郵件。在寬帶日益普及的情況下，只要懂得如何傳送電子郵件，人們在家裡也可以輕而易舉得製造出大批垃圾郵件來。對於這種自動化的垃圾郵件製造方式，人工手段刪除垃圾郵件顯得無能為力，必須借助一定的技術手段對付批量的垃圾郵件。

過濾技術是目前反垃圾郵件用到的主要技術。電子郵件通常具有幾個重要特徵，標準電子郵件位址（包括收發件人郵箱名、收發人郵箱伺服器IP位址或域名）、主旨、郵件內容（包括正文、關鍵字、附件）等相關字段，這些特徵是過濾技術判斷、分析、統計和提取的依據。目前的防垃圾郵件系統主要是通過啟髮式過濾技術來實現。

該技術主要是對郵件進行來源過濾和內容過濾。對於上文中提到的第一、第三種垃圾郵件，啟髮式過濾技術可以根據其來源特徵進行過濾。這種方式可以在郵件完全提交之前就進行阻斷，能有效保護網路資源。內容過濾就是對郵件正文進行內容匹配，能夠有效防止第二種垃圾郵件。對於那些一時無法識別和處理的特殊垃圾郵件，比如第四種垃圾郵件還需要技術人員通過人工方式進行處理。

從原理來看，提取郵件特徵、獲得關鍵詞是啟髮式過濾技術的關鍵。一般網站和大型企業通常會設立專門垃圾郵件用戶投訴信箱，技術人員可以從這些躲過反垃圾郵件軟體處理，直接到達用戶信箱而被用戶送來的垃圾郵件中，摘取關鍵詞進行分析過濾，或是統計垃圾郵件的相關特徵，輸入反垃圾郵件引擎，使昇級後的反垃圾郵件軟體能夠拒收這些郵件。為了及時獲得有效特徵，有些網站和大型用戶還設立了專門的「誘餌郵箱」，只要有垃圾郵件進入自己的網站，這個誘餌郵箱就會自動截獲，供專門技術人員參考。

除了啟髮式過濾技術外，合作式過濾技術也逐漸引起人們的重視。該技術主要通過對郵件進行簽名來防止垃圾郵件，通過分佈在各地的防垃圾郵件代理對垃圾郵件進行既時的判斷和簽名，利用各個防垃圾郵件網關的協同工作減少垃圾郵件的危害。


過濾技術面臨的挑戰

對於某些用戶來說，寧願接收垃圾郵件也不願收不到電子郵件。Osterman Research最近一份研究顯示，只有25%的用戶對他們的垃圾過濾產品的判斷能力表示滿意，這意味著75%的用戶對郵件過濾效果還存在或多或少的不滿。過濾技術有可能阻止合法郵件的接收，也會漏過垃圾郵件，這是讓75%的用戶存有顧慮的原因。

根據Infoworld日前做的調查顯示: 在實際套用中，防垃圾郵件的過濾產品可能會造成比其所解決的問題更多的麻煩。以關鍵字搜尋為例，一家企業過濾了一種色情垃圾郵件中經常出現的三個字母的髒詞，結果卻發現它也是公司開發人員常用的縮寫字，被過濾掉的郵件中竟然有40%是合法的業務郵件。對於過濾技術來說，準確性至關重要。如果將收到的垃圾郵件阻擋85%左右，這一準確率是非常高的，但是目前多數反垃圾郵件過濾產品還達不到這一準確率。

在沒有找到提高準確率的有效辦法之前，人們可以遵循一些通用的佈署準則來減少可能被垃圾郵件過濾軟體阻擋的合法電子郵件的數量。

1、監測過濾產品的執行，評估什麼樣郵件被阻擋在外，及時調整過濾原則。

2、尋找一個可以接受的平衡點，使盡可能多的合法郵件不被過濾掉，允許少量垃圾郵件躲避過濾。

3、使用不同過濾技術的組合，如關鍵字、域和IP阻擋、黑名單、白名單(whitelist)或收信賬戶，採用更複雜過濾技術的軟體。

4、隔離被阻止的郵件，檢視被阻止的郵件是否是垃圾郵件，以確定是否需要刪除。


過濾技術未來的趨勢

未來反垃圾郵件技術，在提高準確率的同時，必須同時滿足以下條件: 適應各種網路規模; 支持可游離於各種伺服器之外的電子郵件過濾系統; 支持用戶發信認證功能; 支持關鍵詞、郵件來源、目標位址和源位址的過濾; 支持智能觸發過濾功能; 保證正常郵件到達的穩定性和既時性; 可自動關閉中轉訪問功能，保證郵件伺服器不被非法利用; 可自動抓捕新垃圾郵件標本，根據標本自動分析、建立、昇級新的垃圾郵件特徵程式碼庫; 可自動產生新的郵件過濾規則，自動攔截各種垃圾郵件; 在郵件過濾出現錯誤或障礙時，能夠自動或手動及時補救; 過濾規則簡單、操作方便; 能夠有效地管理垃圾郵件，包括對可疑郵件進行閱讀、刪除，並能將可疑郵件轉發給類BIOS管理員; 可自動統計每天的轉發郵件和攔截的可疑郵件，並以此為根據，對系統容量、吞吐量和攔截率進行綜合評定; 支持關於Web的可集中管理和分佈管理功能等; 支持包括BIG5、MIME、Base64在內的多種編碼方式，並能有效攔截這些非明碼的編碼郵件; 支持遠端監督控制等。

未來反垃圾郵件技術將是以預防為主，防禦和清除並進，這就要求反垃圾郵件產品增強防禦的既時性、智能性和減少人工干預。另外，反垃圾郵件技術還會向專業化、職業化方向發展。不久的將來，在反垃圾郵件領域內將會形成一支專門從事發現、分析、開發和推廣反垃圾郵件軟體的專業隊伍。目前，許多大型網站和郵件運營商已經開始設立 「首席垃圾官」，專門負責本郵件伺服器、網站或本部門的垃圾郵件防禦與清除工作。


反垃圾郵件的對策

防止垃圾郵件，人們可以從訂閱服務、網關、伺服器端和客戶端四方面入手。

訂閱服務: 對付垃圾郵件最好的解決方法是阻止其傳輸。國外許多用戶通過向ICP/ISP訂閱服務，可以有效阻止垃圾郵件到達伺服器。為了鑒別哪些郵件是垃圾郵件，ICP/ISP通常會建立一個特殊帳號用於吸引垃圾郵件。這個帳號收到的所有資訊都先被「定住」，然後被用戶網路的代理所過濾。在這類服務中，用戶不需要安裝專用硬體或軟體。

關於伺服器的軟體: 這些軟體通常執行於郵件伺服器或是一台單獨的電腦上，它們檢查郵件頭和傳送的資訊並且阻止那些無效資訊。眾多關於伺服器的過濾軟體都參考了一個眾所周知的垃圾郵件製造者或策源地的列表，並最終把來自這些地方的資訊篩除。最流行的列表是在郵件濫用預防系統（MAPS: Mail Abuse Prevention Systems）中有個黑洞列表（Blackhole List）。MAPS可以刪除其DNS列表中的垃圾郵件製造者的服務提供商的位址，來阻止垃圾郵件對後端系統的干擾。這種過濾產品可以在資訊通過之前，根據MAPS的域名伺服器來檢查入境資訊的頭資訊，檢視關於伺服器的垃圾過濾軟體的列表。

硬體網關: 如果用戶有大量郵件需要接收，這些用戶可以採用一種關於硬體的郵件過濾網關。它比關於軟體的網關產品更有優勢的地方是能夠處理更大量資訊。這種設備安置在路由器和伺服器之間，以過濾垃圾資訊。有些硬體郵件過濾網關可以掃瞄發出的郵件，有些只能掃瞄進入的郵件。它們的過濾規則各不相同，通常是根據內容或者行為制定，部分設備還可以掃瞄病毒。

客戶端: 客戶端是防垃圾郵件的最後一道防線，用戶可以採用客戶過濾軟體。在客戶端的過濾方法中，人們可利用一些一般的電子郵件客戶端工具的分揀和過濾功能來設定規則，把接收下來的電子郵件進行檢查和匹配，從發件位址、主旨、正文內容中的關鍵詞，對那些符合垃圾郵件特徵的電子郵件，執行自動刪除操作，或者加裝某些客戶端工具，利用郵件下載傳輸協定（POP3或IMAP4）的一些特定指令先下載郵件的頭部資訊進行垃圾郵件的判斷和識別，這樣客戶端就不需要將電子郵件完全下載才能進行識別和處理了。

像反病毒一樣，反垃圾郵件需要每一位用戶的共同參與和積極配合。具體來說，企業用戶可以選項一些防垃圾郵件的軟體來保護自己的郵件系統。對於電信用戶（大容量電子郵件系統），佈署防垃圾郵件系統可能會對郵件的正常傳輸產生一定影響，在佈署系統之前，這部分用戶最好對系統的穩定性和效能進行充分的測試和估算，並要保證一定的效能冗余。對於個人用戶來說，要注意將自己的郵件位址在最小範圍內散發，不要將郵箱註冊到某些聲譽不高的ICP/ISP，不要購買通過垃圾郵件發佈廣告的商品，使用客戶端防垃圾郵件軟體，在收到垃圾郵件時，向相關組織報告垃圾郵件的資訊，以便向垃圾郵件規則庫中提交更多的匹配模式。


呼喚立法監管

不過，反垃圾郵件不僅僅是一個技術問題，更多的是一個社會問題，需要利用法律武器對製造垃圾郵件的源頭進行遏制。美國在2000年就以立法的形式通過了反垃圾郵件的法案，該法案很大程度上打擊和減少了肆意濫發垃圾郵件的行為。目前，我國尚沒有針對電子郵件的專門立法，整頓垃圾郵件和規範電子郵件使用還不能做到有法可依。我國亟待針對電子郵件的規範使用進行立法，從根本上掃除製造和傳送垃圾郵件的法律盲區。只有對那些販賣電子郵件位址、非法盜取電子郵件資料庫的行為給予法律嚴懲，才能從根本上消除垃圾郵件。


* * * * *

防垃圾郵件產品一覽

稱職的門將

趨勢科技防毒牆網關版 eManager

對於企業而言，將郵件在到達郵件伺服器或企業網關之前予以過濾，是最有效的防垃圾郵件的方法。趨勢科技防毒牆網關版 eManager通過三個管理元件實現電子郵件的管理。一是垃圾郵件過濾器，根據趨勢科技提供的垃圾郵件碼以及企業網管的垃圾郵件自定規則，系統在網關或郵件伺服器上過濾特定郵件或郵件類型。對於垃圾郵件，系統會依據系統管理者所做的設定，採取清除或隔離的後續處理，同時會傳送警示資訊給寄件人、收信者及系統管理者。垃圾郵件碼可通過網路從趨勢科技自動定時更新，配合內部網管的企業原則進行設定。二是內容過濾器，可以掃瞄郵件內容，檢查其中的關鍵字和句子是否符合不良或敏感郵件的定義規則，防止這些資料從網路內部寄出，或進入內部網路。三是電子郵件管理，可以監控郵件的流量，分配網路資源。系統根據郵件的標題、收寄人姓名位址、轉發站、大小等來設定延遲和優先級，比如在不繁忙時段傳送大型或特定郵件，避免發生阻塞。系統還可以進行統計報告並加以分析，說明 管理者瞭解郵件系統的使用情況。


專用的平台

瑪賽反垃圾郵件網關（ASMG）

ASMG是瑪賽網路系統有限公司為滿足中小企業和中小型ISP、ICP的需求而開發的反垃圾郵件系統。佈署ASMG，用戶並不需要改變原有郵件系統。ASMG是關於伺服器的郵件過濾和傳輸系統，具有以下功能：阻擋垃圾郵件，使用ASMG的郵件內容過濾功能，用戶能快速識別並阻擋垃圾郵件；限制郵件轉發，用戶可通過ASMG配置允許進行轉發的域，禁止其他域使用用戶郵件伺服器轉發郵件；最佳化網路資源，通過過濾不需要的郵件，ASMG能夠節約網路資源；防止病毒郵件，ASMG可以對廣泛傳播的帶有病毒、木馬郵件特徵的郵件進行過濾，防止其擴散；郵件過濾，ASMG採用正則陳述式形式，制定過濾規則對郵件進行檢查，郵件頭過濾可針對任何類型的郵件頭特徵進行過濾，對郵件內容進行過濾，可以過濾大多數內容上具有明顯特徵的垃圾郵件；分佈式垃圾郵件校驗，該系統能夠校驗已確定的垃圾郵件內容，並存儲在DSMIS伺服器上；詳細郵件分析，ASMG可通過分析郵件頭部獲取郵件投遞路徑，提取相關資訊，為郵件過濾提供方便，在分析結果中點擊郵件路徑中的IP位址還可查詢到該IP位址所在國家、地區、機構以及聯繫方法；安全降速功能，對於具有多個副本位址的傳送會話，ASMG會降低它的執行速度，使垃圾郵件傳送者無法完成傳送，並且不影響真正的郵件傳送者；錯誤延時保護，當連線到伺服器的會話發生錯誤時，伺服器將等待一定時間後再做出處理，可以防止有問題的軟體衝擊伺服器。


雙管齊下的網關

KILL MailShield Gateway

郵件防毒技術KILL MailShield Gateway是一個針對E-mail系統的SMTP傳輸協定進行過濾的產品。KILL MailShield Gateway的套用只與是否使用SMTP傳輸協定有關，而與具體的郵件系統無關。KILL MailShield Gateway可以過濾、清除通過SMTP傳輸協定傳輸的郵件（包括接收與傳送）所附帶的病毒。通過增加其他過濾引擎進行一些擴展，KILL MailShield Gateway可以進行色情郵件過濾、機密郵件過濾、垃圾郵件過濾等。在效能上，由於KILL MailShield Gateway使用獨立的硬體平台進行工作，效率有了顯著提高。同時，用戶還可以通過均衡和集群的使用，線性地擴大KILL MailShield Gateway的處理能力。KILL MailShield Gateway支持標準的SMTP和SMTP的擴展傳輸協定—ESMTP。KILL MailShield Gateway表現出較好的伸縮性和擴展性，當一台KILL MailShield Gateway不夠用時，用戶可以簡單地再增加一台KILL MailShield Gateway 進行擴充，如果使用集群模組，還可以做成KILL MailShield Gateway集群，實現統一管理。通過採用多種技術，KILL MailShield Gateway有效保證了與各種郵件系統平滑地結合以及認證、貯列和負載的處理。


保護帶寬的平台

McAfee WebShield e500

電子郵件掃瞄是e500的主要功能，它能每小時掃瞄逾13萬封電子郵件。在對來往郵件進行掃瞄之前，e500將整個郵件及附件下載並進行病毒檢查。所有電子郵件在被傳送到郵件伺服器之前就已經過徹底檢查。如果是病毒，該郵件資訊可以被隔離、刪除或者清除。通過支持諸如MAPS既時黑洞清單、ORBS和MAPS撥號用戶清單（DUL）等垃圾郵件清單，e500可以封堵垃圾郵件，為企業節省網路資源。e500同樣可以阻止他人利用企業的伺服器轉發垃圾郵件，讓企業擁有更大的控制度。含有髒話的特定郵件也可以通過內容過濾功能予以封堵。e500的內容過濾效能可以對所有郵件的發件人與收信者、主旨、資訊主體與附件名稱進行掃瞄，使用戶免遭垃圾郵件的侵擾。內容過濾還可以保護用戶免於接收那些含有攻擊性或誹謗言語的郵件。e500還可針對進入與發出的郵件配置不同的規則，禁止用戶傳送或接收特定類型的附件、大於特定規模的郵件或帶有太多、太大附件的郵件，有效地防止了垃圾郵件的出現，保護了企業網路的帶寬資源。


集成的網關

Symantec Web Security

Symantec Web Security集成網關，作為一個將內容過濾與病毒防護結合、關於DDR(列表)技術和啟發技術的集成產品，採用病毒防護和Web過濾技術，可以對病毒、垃圾郵件和不當的Web內容進行一次性掃瞄。通過一次性掃瞄，Symantec Web Security能夠從而在網關上防護Web流量。

每次增加新掃瞄機制時，該設備無需重新啟動或重新佈署主要的網關軟體。作為賽門鐵克企業安全解決方案的一部分，Symantec Web Security能夠減少穿越防火牆和通過網路的Web流量，不但能增強網路安全基礎設施的整體可靠性和有效性，還能保證越來越重要的套用層能夠像桌面和網路層那樣消除已知和未知的威脅。

[psac]

在BBS上面看到這一個討論，
作者 seanwang.bbs@bbs.ntu.edu.tw (珍惜簡單),
標題 廣告信阻擋方法 (一)

───────────────────────────────────

跟大家分享一下, 阻擋廣告信的方法...

不知道大家有沒有發現,
最近幾家 ISP 陸續將浮動 IP 的反解改成 dynamic.domain.name 的格式.

其實這個方案提出已經好些日子, 但是國內最大的 ISP Hinet 始終持保留的態度,
終於在 Hinet 也受到不小的壓力後, 群聚各大 ISP 坐下來討論出一定的格式,
大家終於敲定同樣的格式, 陸續開始修改.


基本的前提:

早期的廣告信傳送都是透過 ISP 的 Mail Server 發信,
這樣的方式有其弊端:

1. 集中由 ISP 的 Mail Server 傳送, 速度較慢.
2. ISP 可以從本身的 Log 查出紀錄, 直接處理該用戶. (如果該 ISP 要處理的話)

現今大多數的發廣告信軟體,就是smtp mail serer, 均直接傳送到目的地的 Mail Server,
速度較快, 而且因為 ISP 本身的 Mail Server 不受到自己客戶的影響,
ISP 通常較難處理.

由於大多數發廣告信的均採用動態 IP 傳送廣告信, 因此在 Mail Server 端,
要針對 From (假的), IP (浮動的) 來設定阻擋, 並不容易.

現在, 由於 ISP 本身將動態 IP 的反解統一規格,
因此, 可以針對這個 Domain 完全阻擋.


設定方法:

以 Sendmail 8.12.x 的版本為例, 只要在 access 設定

connect:dymanic.domain.name REJECT

即可阻擋掉由浮動 IP 直接傳送過來的郵件.


後話:

目前已經設定好的 ISP 包含:

dynamic.apol.com.tw
dynamic.giga.net.tw
dynamic.hinet.net
dynamic.seed.net.tw
dynamic.tfn.net.tw
dynamic.ttn.net
dynamic.lsc.net.tw
dynamic.ebtnet.net
dynamic.so-net.net.tw