垃圾邮件大阻击 -pc6资讯

您的位置：首页 → 精文荟萃 → 破解文章 → 垃圾邮件大阻击

垃圾邮件大阻击 时间：2004/10/15 1:02:00来源：本站整理作者：蓝点我要评论(1)

　在充分享受电子邮件带来的便捷、实时和廉价的同时，网络时代的人们也饱尝垃圾邮件带来的烦恼。几乎每个人的信箱都充斥着大量来历不明的邮件，垃圾邮件像瘟疫一样蔓延、污染网络环境，影响网络的正常通信。而在我国，
由于成百上千的开放邮件中继服务器被国外不法分子利用，国外许多邮件服务商曾一度封杀了中国邮件服务器的IP地址，致使中国用户蒙受不可估量的损失。

垃圾邮件的定义及分类

1994年，两名专门从事移民生意的律师以“Green Card Spam”为标题在互联网上兜售他们的绿卡生意，这一事件标志着“Spam”一词正式与垃圾邮件联系在一起。对于垃圾邮件的定义，世界各国的技术专家和反垃圾邮件组织十分一致: 批量发送的未经过收信人同意的电子邮件，发件人几乎不为每封邮件付出代价，而每个收件人为此要花费大量时间和金钱去处理这些邮件。

不久前，中国互联网协会也公布了对“垃圾邮件”的正式定义: 1、收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性质的电子邮件; 2、收件人无法拒收的电子邮件; 3、隐藏发件人身份、地址、标题等信息的电子邮件; 4、含有虚假的信息源、发件人、路由等信息的电子邮件。

垃圾邮件的内容形形色色，主要包括广告、色情、政治言论、病毒传播等几种类型。其中，携带病毒的垃圾邮件直接威胁着整个网络系统的安全，广告大约占据所有垃圾邮件的70%左右。从技术上分析，垃圾邮件可以分为以下四种。

1、信件头部包含垃圾邮件的特征

国外许多国家和地区都有限制垃圾邮件的立法，所以很多国外的广告发送程序都被强制加上标识符，例如邮件的发送程序使用CDmail，那么在邮件头部就会出现X-mailer、CDmail的字样。不过在我国发送垃圾邮件还没有这一限制。

2、邮件内容包含垃圾邮件特征

邮件内容中含有“sex site”等字样。

3、使用Open Relay主机发送的垃圾邮件

由于系统管理员的疏忽，很多邮件服务器都是Open Relay的，这样就允许任何人通过该SMTP服务器向任何地址发送垃圾邮件。

4、无论头部还是内容都无法提取特征

那些不含有标识的发送垃圾邮件的软件，可以直接连接smtp.xxx.com给所有xxx.com用户发送垃圾邮件，人们很难将这样的垃圾邮件从正常的邮件中分离出来。

反垃圾邮件技术要点

垃圾邮件是用专门的邮址搜索软件和邮件群发软件来完成网上邮址收集和邮件散发的，一个邮址搜索软件每次可以搜索到几万个至十几万个有用邮址，一个邮件群发软件每天可以发送百万封同样或不同内容的垃圾邮件。在宽带日益普及的情况下，只要懂得如何发送电子邮件，人们在家里也可以轻而易举得制造出大批垃圾邮件来。对于这种自动化的垃圾邮件制造方式，人工手段删除垃圾邮件显得无能为力，必须借助一定的技术手段对付批量的垃圾邮件。

过滤技术是目前反垃圾邮件用到的主要技术。电子邮件通常具有几个重要特征，标准电子邮件地址（包括收发件人邮箱名、收发人邮箱服务器IP地址或域名）、主题、信件内容（包括正文、关键字、附件）等相关字段，这些特征是过滤技术判断、分析、统计和提取的依据。目前的防垃圾邮件系统主要是通过启发式过滤技术来实现。

该技术主要是对邮件进行来源过滤和内容过滤。对于上文中提到的第一、第三种垃圾邮件，启发式过滤技术可以根据其来源特征进行过滤。这种方式可以在邮件完全提交之前就进行阻断，能有效保护网络资源。内容过滤就是对邮件正文进行内容匹配，能够有效防止第二种垃圾邮件。对于那些一时无法识别和处理的特殊垃圾邮件，比如第四种垃圾邮件还需要技术人员通过人工方式进行处理。

从原理来看，提取邮件特征、获得关键词是启发式过滤技术的关键。一般网站和大型企业通常会设立专门垃圾邮件用户投诉信箱，技术人员可以从这些躲过反垃圾邮件软件处理，直接到达用户信箱而被用户送来的垃圾邮件中，摘取关键词进行分析过滤，或是统计垃圾邮件的相关特征，输入反垃圾邮件引擎，使升级后的反垃圾邮件软件能够拒收这些邮件。为了及时获得有效特征，有些网站和大型用户还设立了专门的“诱饵邮箱”，只要有垃圾邮件进入自己的网站，这个诱饵邮箱就会自动截获，供专门技术人员参考。

除了启发式过滤技术外，合作式过滤技术也逐渐引起人们的重视。该技术主要通过对邮件进行签名来防止垃圾邮件，通过分布在各地的防垃圾邮件代理对垃圾邮件进行实时的判断和签名，利用各个防垃圾邮件网关的协同工作减少垃圾邮件的危害。

过滤技术面临的挑战

对于某些用户来说，宁愿接收垃圾邮件也不愿收不到电子邮件。Osterman Research最近一份研究显示，只有25%的用户对他们的垃圾过滤产品的判断能力表示满意，这意味着75%的用户对邮件过滤效果还存在或多或少的不满。过滤技术有可能阻止合法邮件的接收，也会漏过垃圾邮件，这是让75%的用户存有顾虑的原因。

根据Infoworld日前做的调查显示: 在实际应用中，防垃圾邮件的过滤产品可能会造成比其所解决的问题更多的麻烦。以关键字搜索为例，一家企业过滤了一种色情垃圾邮件中经常出现的三个字母的脏词，结果却发现它也是公司开发人员常用的缩写字，被过滤掉的邮件中竟然有40%是合法的业务邮件。对于过滤技术来说，准确性至关重要。如果将收到的垃圾邮件阻挡85%左右，这一准确率是非常高的，但是目前多数反垃圾邮件过滤产品还达不到这一准确率。

在没有找到提高准确率的有效办法之前，人们可以遵循一些通用的部署准则来减少可能被垃圾邮件过滤软件阻挡的合法电子邮件的数量。

1、监测过滤产品的运行，评估什么样邮件被阻挡在外，及时调整过滤策略。

2、寻找一个可以接受的平衡点，使尽可能多的合法邮件不被过滤掉，允许少量垃圾邮件躲避过滤。

3、使用不同过滤技术的组合，如关键字、域和IP阻挡、黑名单、白名单(whitelist)或收信账户，采用更复杂过滤技术的软件。

4、隔离被阻止的邮件，查看被阻止的邮件是否是垃圾邮件，以确定是否需要删除。

过滤技术未来的趋势

未来反垃圾邮件技术，在提高准确率的同时，必须同时满足以下条件: 适应各种网络规模; 支持可游离于各种服务器之外的电子邮件过滤系统; 支持用户发信认证功能; 支持关键词、信件来源、目标地址和源地址的过滤; 支持智能触发过滤功能; 保证正常邮件到达的稳定性和实时性; 可自动关闭中转访问功能，保证邮件服务器不被非法利用; 可自动抓捕新垃圾邮件标本，根据标本自动分析、建立、升级新的垃圾邮件特征代码库; 可自动生成新的邮件过滤规则，自动拦截各种垃圾邮件; 在邮件过滤出现错误或障碍时，能够自动或手动及时补救; 过滤规则简单、操作方便; 能够有效地管理垃圾邮件，包括对可疑信件进行阅读、删除，并能将可疑信件转发给固定管理员; 可自动统计每天的转发信件和拦截的可疑信件，并以此为根据，对系统容量、吞吐量和拦截率进行综合评定; 支持基于Web的可集中管理和分布管理功能等; 支持包括BIG5、MIME、Base64在内的多种编码方式，并能有效拦截这些非明码的编码信件; 支持远程监督控制等。

未来反垃圾邮件技术将是以预防为主，防御和清除并进，这就要求反垃圾邮件产品增强防御的实时性、智能性和减少人工干预。另外，反垃圾邮件技术还会向专业化、职业化方向发展。不久的将来，在反垃圾邮件领域内将会形成一支专门从事发现、分析、开发和推广反垃圾邮件软件的专业队伍。目前，许多大型网站和邮件运营商已经开始设立 “首席垃圾官”，专门负责本邮件服务器、网站或本部门的垃圾邮件防御与清除工作。

反垃圾邮件的对策

防止垃圾邮件，人们可以从订阅服务、网关、服务器端和客户端四方面入手。

订阅服务: 对付垃圾邮件最好的解决方法是阻止其传输。国外许多用户通过向ICP/ISP订阅服务，可以有效阻止垃圾邮件到达服务器。为了鉴别哪些邮件是垃圾邮件，ICP/ISP通常会建立一个特殊账号用于吸引垃圾邮件。这个账号收到的所有信息都先被“定住”，然后被用户网络的代理所过滤。在这类服务中，用户不需要安装专用硬件或软件。

基于服务器的软件: 这些软件通常运行于邮件服务器或是一台单独的机器上，它们检查邮件头和发送的信息并且阻止那些无效信息。众多基于服务器的过滤软件都参考了一个众所周知的垃圾邮件制造者或策源地的列表，并最终把来自这些地方的信息筛除。最流行的列表是在邮件滥用预防系统（MAPS: Mail Abuse Prevention Systems）中有个黑洞列表（Blackhole List）。MAPS可以删除其DNS列表中的垃圾邮件制造者的服务提供商的地址，来阻止垃圾邮件对后端系统的干扰。这种过滤产品可以在信息通过之前，根据MAPS的域名服务器来检查入境信息的头信息，查看基于服务器的垃圾过滤软件的列表。

硬件网关: 如果用户有大量邮件需要接收，这些用户可以采用一种基于硬件的邮件过滤网关。它比基于软件的网关产品更有优势的地方是能够处理更大量信息。这种设备安置在路由器和服务器之间，以过滤垃圾信息。有些硬件邮件过滤网关可以扫描发出的邮件，有些只能扫描进入的邮件。它们的过滤规则各不相同，通常是根据内容或者行为制定，部分设备还可以扫描病毒。

客户端: 客户端是防垃圾邮件的最后一道防线，用户可以采用客户过滤软件。在客户端的过滤方法中，人们可利用一些常见的电子邮件客户端工具的分拣和过滤功能来设定规则，把接收下来的电子邮件进行检查和匹配，从发件地址、主题、正文内容中的关键词，对那些符合垃圾邮件特征的电子邮件，执行自动删除操作，或者加装某些客户端工具，利用邮件下载协议（POP3或IMAP4）的一些特定指令先下载邮件的头部信息进行垃圾邮件的判断和识别，这样客户端就不需要将电子邮件完全下载才能进行识别和处理了。

像反病毒一样，反垃圾邮件需要每一位用户的共同参与和积极配合。具体来说，企业用户可以选择一些防垃圾邮件的软件来保护自己的邮件系统。对于电信用户（大容量电子邮件系统），部署防垃圾邮件系统可能会对邮件的正常传输产生一定影响，在部署系统之前，这部分用户最好对系统的稳定性和性能进行充分的测试和估算，并要保证一定的性能冗余。对于个人用户来说，要注意将自己的邮件地址在最小范围内散发，不要将邮箱注册到某些声誉不高的ICP/ISP，不要购买通过垃圾邮件发布广告的商品，使用客户端防垃圾邮件软件，在收到垃圾邮件时，向相关组织报告垃圾邮件的信息，以便向垃圾邮件规则库中提交更多的匹配模式。

呼唤立法监管

不过，反垃圾邮件不仅仅是一个技术问题，更多的是一个社会问题，需要利用法律武器对制造垃圾邮件的源头进行遏制。美国在2000年就以立法的形式通过了反垃圾邮件的法案，该法案很大程度上打击和减少了肆意滥发垃圾邮件的行为。目前，我国尚没有针对电子邮件的专门立法，整顿垃圾邮件和规范电子邮件使用还不能做到有法可依。我国亟待针对电子邮件的规范使用进行立法，从根本上扫除制造和发送垃圾邮件的法律盲区。只有对那些贩卖电子邮件地址、非法盗取电子邮件数据库的行为给予法律严惩，才能从根本上消除垃圾邮件。

防垃圾邮件产品一览

1、称职的门将—— 趋势科技防毒墙网关版 eManager

对于企业而言，将邮件在到达邮件服务器或企业网关之前予以过滤，是最有效的防垃圾邮件的方法。趋势科技防毒墙网关版 eManager通过三个管理组件实现电子邮件的管理。一是垃圾邮件过滤器，根据趋势科技提供的垃圾邮件码以及企业网管的垃圾邮件自定规则，系统在网关或邮件服务器上过滤特定邮件或邮件类型。对于垃圾邮件，系统会依据系统管理者所做的设定，采取清除或隔离的后续处理，同时会发送警示信息给寄件人、收件人及系统管理者。垃圾邮件码可通过网络从趋势科技自动定时更新，配合内部网管的企业策略进行设定。二是内容过滤器，可以扫描邮件内容，检查其中的关键字和句子是否符合不良或敏感邮件的定义规则，防止这些资料从网络内部寄出，或进入内部网络。三是电子邮件管理，可以监控邮件的流量，分配网络资源。系统根据邮件的标题、收寄人姓名地址、转发站、大小等来设定延迟和优先级，比如在不繁忙时段发送大型或特定邮件，避免发生阻塞。系统还可以进行统计报告并加以分析，帮助管理者了解邮件系统的使用情况。

2、专用的平台——玛赛反垃圾邮件网关（ASMG）

ASMG是玛赛网络系统有限公司为满足中小企业和中小型ISP、ICP的需求而开发的反垃圾邮件系统。部署ASMG，用户并不需要改变原有邮件系统。ASMG是基于服务器的邮件过滤和传输系统，具有以下功能：阻挡垃圾邮件，使用ASMG的邮件内容过滤功能，用户能快速识别并阻挡垃圾邮件；限制邮件转发，用户可通过ASMG配置允许进行转发的域，禁止其他域使用用户邮件服务器转发邮件；优化网络资源，通过过滤不需要的邮件，ASMG能够节约网络资源；防止病毒邮件，ASMG可以对广泛传播的带有病毒、木马邮件特征的邮件进行过滤，防止其扩散；邮件过滤，ASMG采用正则表达式形式，制定过滤规则对邮件进行检查，邮件头过滤可针对任何类型的邮件头特征进行过滤，对邮件内容进行过滤，可以过滤大多数内容上具有明显特征的垃圾邮件；分布式垃圾邮件校验，该系统能够校验已确定的垃圾邮件内容，并存储在DSMIS服务器上；详细邮件分析，ASMG可通过分析邮件头部获取邮件投递路径，提取相关信息，为邮件过滤提供方便，在分析结果中点击邮件路径中的IP地址还可查询到该IP地址所在国家、地区、机构以及联系方法；安全降速功能，对于具有多个抄送地址的发送会话，ASMG会降低它的执行速度，使垃圾邮件发送者无法完成发送，并且不影响真正的邮件发送者；错误延时保护，当连接到服务器的会话发生错误时，服务器将等待一定时间后再做出处理，可以防止有问题的软件冲击服务器。

3、双管齐下的网关——KILL MailShield Gateway

邮件防毒技术KILL MailShield Gateway是一个针对E-mail系统的SMTP协议进行过滤的产品。KILL MailShield Gateway的应用只与是否使用SMTP协议有关，而与具体的邮件系统无关。KILL MailShield Gateway可以过滤、清除通过SMTP协议传输的邮件（包括接收与发送）所附带的病毒。通过增加其他过滤引擎进行一些扩展，KILL MailShield Gateway可以进行色情邮件过滤、机密邮件过滤、垃圾邮件过滤等。在性能上，由于KILL MailShield Gateway使用独立的硬件平台进行工作，效率有了显著提高。同时，用户还可以通过均衡和集群的使用，线性地扩大KILL MailShield Gateway的处理能力。KILL MailShield Gateway支持标准的SMTP和SMTP的扩展协议—ESMTP。KILL MailShield Gateway表现出较好的伸缩性和扩展性，当一台KILL MailShield Gateway不够用时，用户可以简单地再增加一台KILL MailShield Gateway 进行扩充，如果使用集群模块，还可以做成KILL MailShield Gateway集群，实现统一管理。通过采用多种技术，KILL MailShield Gateway有效保证了与各种邮件系统平滑地结合以及认证、队列和负载的处理。

4、保护带宽的平台——McAfee WebShield e500

电子邮件扫描是e500的主要功能，它能每小时扫描逾13万封电子邮件。在对来往邮件进行扫描之前，e500将整个邮件及附件下载并进行病毒检查。所有电子邮件在被传送到邮件服务器之前就已经过彻底检查。如果是病毒，该邮件信息可以被隔离、删除或者清除。通过支持诸如MAPS实时黑洞清单、ORBS和MAPS拨号用户清单（DUL）等垃圾邮件清单，e500可以封堵垃圾邮件，为企业节省网络资源。e500同样可以阻止他人利用企业的服务器转发垃圾邮件，让企业拥有更大的控制度。含有脏话的特定邮件也可以通过内容过滤功能予以封堵。e500的内容过滤性能可以对所有邮件的发件人与收件人、主题、信息主体与附件名称进行扫描，使用户免遭垃圾邮件的侵扰。内容过滤还可以保护用户免于接收那些含有攻击性或诽谤言语的邮件。e500还可针对进入与发出的邮件配置不同的规则，禁止用户发送或接收特定类型的附件、大于特定规模的邮件或带有太多、太大附件的邮件，有效地防止了垃圾邮件的出现，保护了企业网络的带宽资源。

5、集成的网关——Symantec Web Security

Symantec Web Security集成网关，作为一个将内容过滤与病毒防护结合、基于DDR(列表)技术和启发技术的集成产品，采用病毒防护和Web过滤技术，可以对病毒、垃圾邮件和不当的Web内容进行一次性扫描。通过一次性扫描，Symantec Web Security能够从而在网关上防护Web流量。

每次添加新扫描机制时，该设备无需重新启动或重新部署主要的网关软件。作为赛门铁克企业安全解决方案的一部分，Symantec Web Security能够减少穿越防火墙和通过网络的Web流量，不但能增强网络安全基础设施的整体可靠性和有效性，还能保证越来越重要的应用层能够像桌面和网络层那样消除已知和未知的威胁。

文章评论

查看所有1条评论>>

热门文章 去除winrar注册框方法