不支持Flash

无“件”道 反垃圾邮件技术及产品解析

http://www.sina.com.cn 2007年02月01日 07:47 中关村在线
作者:中关村在线 王允
第1页:有关垃圾邮件的种种

    CNET中国.ZOL 2月1日报道:“两年后,垃圾邮件将成为与人们毫不相关的事情。”2004年,比尔·盖茨在谈到垃圾邮件问题自信满满地说。两年过去了,事情不仅没有按照他的想法那样发展,而且朝着相反的方向越滑越远。两年后的今天,全球每天平均发送垃圾邮件超过了1000亿封,伴随着我们的邮箱被塞满越来越多的证券分析、健身器材甚至是一些钓鱼网站的广告,比尔·盖茨的这番言论成为了笑柄。


无“件”道反垃圾邮件技术及产品解析
看着触目惊人的数字,反垃圾邮件势在必行

    就像很多网络衍生物一样,垃圾邮件目前也没有一个准确的定义,但是它的诸多特征已经得到了国内外安全人士的认可,例如:垃圾邮件通常是未经收件人主动请求又无法拒收的、大量的邮件内容相似并且隐藏或伪造发件人身份、地址、标题信息、部分邮件成为黑客利用的对象等等。垃圾邮件的内容形形色色,常见的包括广告、色情信息,还有病毒或蠕虫引起邮件深度扩散等诸多类型。

    虽然每年产生的垃圾邮件数量不能准确计算,但是其发送方式总结起来无非是这几点:其一,垃圾邮件发送者利用宽带连接,建立SMTP服务器,大量发送垃圾邮件;其二,病毒邮件、蠕虫邮件,利用操作系统或者应用系统的漏洞,大量转发含带病毒的邮件;其三,邮件服务器Openrelay漏洞被利用进行垃圾邮件的发送;其四,利用IDC提供的邮件服务,以正常用户的方式进行垃圾邮件的发送。
   
    尽管基本上所有的安全网关、防火墙和个人安全软件都提供了垃圾邮件过滤功能,但是也许你没想到,在去年12月Postini为所服务的3.6万家客户截获的250亿封垃圾邮件中,垃圾邮件的数量仍然占到了惊人的94%。从1993年就开始发展的反垃圾邮件技术与垃圾邮件发送者一直在“斗智斗勇”,时至今日,仍然没有分出胜负,但是反垃圾邮件技术已经成为影响甚至是改变互联网环境的重要内容。


第2页:常见的反垃圾邮件技术

    1、实时黑名单法

    实时黑名单(RBL:Realtime blackhole list):即将发送垃圾邮件的服务器列入黑名单拒收。所谓实时黑名单实际上是一组可供查询的IP地址列表,判断一个IP地址是否已经被列入了黑名单,只要使用黑名单服务的软件会发出一个查询到黑名单服务器。如果该地址被列入了黑名单,那么服务器会返回一个有效地址的答案。反之则得到一个否定答案。同时,由于现在世界上大多数的主流邮件服务器都支持实时黑名单服务,通常多数的提供者都是有国际信誉的组织,因此该名单是可信任的。

    2.贝叶斯Bayesian算法

  这是一个非常著名的算法,很多电子邮件程序包括Foxmail都在使用。贝叶斯算法,可以学习单词的频率和模式,这样可以同垃圾邮件和正常邮件关联起来进行判断。这种方法虽然更复杂,却更加智能化。应用特征过滤筛选邮件应该算做是这种方法的一个雏形。

    3.服务器认证法

    这是一个看起来很简单但是实施起来很麻烦的方法,世界上那么多服务器根本不可能建立一各全社会都互相关联的服务器网络,尽管有些邮件服务器已经开始建立起这样的关联,但是这只是这项“社会工程”里的一小部分。

    4.连接/发送频率监测法

    正常用户发送和接收邮件的数量和频率远远低于垃圾邮件发送者,因此可以根据垃圾邮件发送具有一定时间内邮件数量和邮件连接频率都非常大的情况,从频率和数量对垃圾发送者的连接行为进行控制。

    从1993年至今,这四种方法成为对付垃圾邮件的“斗士”,很多安全厂商纷纷采用这些方法阻击垃圾邮件,不过我们仍然要提到一个在软件业各个领域都是带头人的一个公司,那就是微软。


第3页:电子邮票方案

    不得不提到的一个反垃圾邮件的积极响应者就是比尔·盖茨的微软,他们所提出的电子邮票方案一度让人们看到了垃圾邮件凄惨的未来,不过这个提案给正常发送邮件者带来了一定的困扰因而现在遭受到了人们的质疑。

    Challenge-Response方式

  挑战-应答模式是从增加垃圾邮件发送者时间成本上入手,要求每发送一封邮件,就要求发件人回答一些问题的方式来增加发送时间。

  Domainkeys方式

  这是一种基于PKI的方式对邮件发送者进行验证,对邮件信息进行加密保护,对收信人实现防抵赖机制。

  SPF方式

  这是一种源头认证的方式,它通过改变域名系统的数据库,接受方核实邮件实际来源是否和SPF注册的一致来判断邮件是否为假冒邮件。

  另外还有基于病毒引擎的病毒邮件的过滤等的一些反垃圾邮件方式,主要在一些反病毒产品中体现,但是有时候会出现失误,因为它会将所有通过群发而来的邮件全都当成垃圾邮件,即使有的是正常的群发邮件。

  Sender ID技术

  如果说反垃圾邮件是一场各项技术“争奇斗艳”的舞会,那么Sender ID技术无疑就是最耀眼的舞者,因为正是它让盖茨对消灭垃圾邮件有了莫大的信心,因为它曾经是反垃圾邮件行业最热门的话题,也因为它差点成为反垃圾邮件行业的标准。

    SenderID技术对发送方的DNS记录进行修改,增加特定的DNS资源记录以标识其发信方身份。同时对接收方也进行认证:收信人对收到的邮件通信信息进行DNS查询,通过特定的DNS资源记录检查其发信身份。这些检查的通讯信息包括EHLO/HELO信息、MAIL FROM信息、信头中特定的字段信息等。如果上述两个方面的检查失败,则判断为垃圾邮件拒收。


第4页:常见的反垃圾邮件产品

专用反垃圾邮件防火墙

    在反垃圾邮件设备中,梭子鱼应当是大家最常听到的一个名词。它其实是Barracuda Networks出品的一种反垃圾邮件防火墙。专用的反垃圾邮件防火墙由专用服务器和固化的操作系统构成,逻辑位置部署在网关和服务器之间,拥有专项服务、设置简单、邮件保护等功能。虽然增加了网络建设的成本,但是这种设备可以保证处理效率,不会造成高速网络环境的停滞,比较适合大型公司。

    目前市场上专用反垃圾邮件防火墙比较权威的要属CipherTrust公司的Ironmail和Barracuda Networks的梭子鱼。

网关级反垃圾邮件设备

    将专用反垃圾设备集成在网关来检测流入的邮件,在网关部署的优点是在不打破网络拓扑环境的情况下,加强了原来邮件服务器的安全,而这种设备的缺点也比较明显,是由于反垃圾邮件属于内容安全,反垃圾邮件处理需要更多的处理资源,在大流量的网络环境中,一旦网络流量很大,反垃圾邮件的智能检查有可能会降低网络性能,成为高速网络中的瓶颈设备。所以网关级反垃圾邮件产品适用于网络流量不大的中小企业网络环境,用户可以不用专门购买梭子鱼等反垃圾邮件防火墙从而降低企业成本。

    目前市场上网关级反垃圾邮件产品有KILL赤霄邮件过滤网关和美讯智安全信息网关等,这是口碑比较好的产品。

服务器级反垃圾邮件产品

    所谓服务器级产品,也就是在服务器上加装反垃圾邮件功能模块,它的本职工作是“处理--转发”邮件,因此不会像反垃圾邮件防火墙那样具备强大的功能。

桌面级反垃圾邮件产品

    桌面级的反垃圾邮件更加简单,它其实只是邮件接收端的一个功能模块,是反垃圾邮件的最后一道关卡,可以集成在Outlook、Hotmail里发挥过滤功能,这是纯粹的个人级产品。

总结:

    随着垃圾邮件危害面逐渐扩大,现在无论是安全厂商还是政府都在进行着艰苦的反垃圾邮件斗争。中国、美国这两个垃圾邮件大国都出台了相应的《反垃圾邮件法》,就在最近,韩国两个工程师因为发送垃圾邮件被送进了监狱。我们有理由相信,在这场反垃圾邮件的战场上,尽管前方道路充满荆棘,但是有政府与各安全厂商的努力,胜利不是奢望。
 

爱问(iAsk.com)
不支持Flash
 
不支持Flash
不支持Flash