反垃圾邮件的一些主流技术介绍与分析

垃圾邮件对信息安全、工作效率、企业运营成本和终端用户服务造成了重大影响,成为当今企业面临的安全难题之一。本质上垃圾邮件实际上是网络业务被滥用的一种。虽然防垃圾邮件也是网络防攻击和业务控制的一部分,但是由于该问题日益严重有必要将其作为网络安全关键技术之一加以研究。本文对反垃圾邮件的一些主流技术进行介绍并分析反垃圾邮件技术在企业网中的部署思路。

一、垃圾邮件发送方式揭密

说简单一点,垃圾邮件(SPAM Email) 就是批量发送的未征得收信人同意的电子邮件。垃圾邮件的发送方式归纳起来有以下几种情况:其一,垃圾邮件发送者利用宽带连接,建立SMTP服务器,大量发送垃圾邮件;其二,病毒邮件、蠕虫邮件,利用操作系统或者应用系统的漏洞,大量转发含带病毒的邮件;其三,邮件服务器Openrelay漏洞被人利用进行垃圾邮件的发送;其四,利用IDC提供的邮件服务,以正常用户的方式进行垃圾邮件的发送。

二、反垃圾邮件机理大全

到现在为止,目前国际上主要有哪些技术手段能够帮助我们抵御垃圾邮件呢?下面我们来大致了解一下:

IP地址、域名、邮件地址黑白名单方式:

这种技术手段是最传统的方式,它通过黑名单技术对垃圾邮件进行屏蔽,通过白名单技术对允许的邮件进行放行。

基于信头、信体、附件的内容过滤方式:

该项技术目前尚不成熟,因为现在的群发程序自动生成和发送的垃圾邮件对于发件人、收件人、邮件主题甚至邮件内容都是随机生成的,使得该种技术目前应用范围日趋狭窄。

基于统计分析的贝叶斯算法技术:

基于统计的原则,采用标记权重的方式,根据对用户认为的垃圾邮件和非垃圾邮件进行统计计算,生成过滤规则,具有学习渐进的功能,可以逐渐取得好的效果。

基于连接频率的动态规则方式:

由于一个正常用户发送邮件的数量和频率远远低于垃圾邮件发送者,因此我们可以根据垃圾邮件发送具有一定时间内邮件数量和邮件连接频率都非常大的情况,从频率和数量对垃圾发送者的连接行为进行控制。

三、电子邮票方案

因为垃圾邮件发送具有大规模发送成本很小的行为特征,微软公司提出了对发送邮件进行收费的解决方案。不过这种方式却是对广大的正常邮件发送者带来了新的负担,还需考虑。

Challenge-Response方式:

挑战-应答模式是从增加垃圾邮件发送者时间成本上入手,要求每发送一封邮件,就要求发件人回答一些问题的方式来增加发送时间。

Domainkeys方式:

这是一种基于PKI的方式对邮件发送者进行验证,对邮件信息进行加密保护,对收信人实现防抵赖机制。

SPF方式:

这是一种源头认证的方式,它通过改变域名系统的数据库,接受方核实邮件实际来源是否和SPF注册的一致来判断邮件是否为假冒邮件。
另外还有基于病毒引擎的病毒邮件的过滤等的一些反垃圾邮件方式,主要在一些反病毒产品中体现。

Sender ID技术:

SenderID技术对发送方的DNS记录进行修改,增加特定的DNS资源记录以标识其发信方身份。同时对接收方也进行认证:收信人对收到的邮件通信信息进行DNS查询,通过特定的DNS资源记录检查其发信身份。这些检查的通讯信息包括EHLO/HELO信息、MAIL FROM信息、信头中特定的字段信息等。如果上述两个方面的检查失败,则判断为垃圾邮件拒收。

四、如何选择"反垃圾邮件"产品

选择一个较大型反垃圾邮件系统,笔者认为主要从成熟性、可行性、影响、风险等几个方面进行考虑。具体地说就是,系统提供反垃圾邮件功能的同时,不影响用户应用速度;在网络高流量的情况下,系统仍可有效准确地进行垃圾邮件的过滤;系统在提供垃圾邮件过滤的同时,不能因为自身故障对邮件系统的正常运行产生影响;而且系统在提供反垃圾邮件功能的同时,不影响原邮件服务器配置和反垃圾邮件策略;系统能够提供多种方式的接入和运行模式(透明网关等),能够为管理员提供简单易操作的界面。

成熟性:

垃圾邮件过滤已从简单的关键字搜索和域阻挡发展到全面、综合的检测机制。许多解决方案采用先进算法,对众多垃圾邮件和非垃圾邮件(ham)的特性进行分类和关联,以提高检出率、降低误报率。理想状况下,厂商内部会有分析垃圾邮件的实验室,以便了解最新的垃圾邮件技术,开发新的过滤器。

可行性:

垃圾邮件过滤器现在是任何电子邮件基础设施不可缺少的一部分。垃圾邮件过滤器分软件、设备和管理服务这三类。许多解决方案把防病毒、内容过滤、邮件防火墙及其它功能捆绑到一个平台上。管理员可以根据企业策略以及对误报的容忍度来"调整"过滤器,从而允许最终用户创建白名单和黑名单,以提高过滤器的准确性。

影响:

如果没有部署过滤器,在数量日增的垃圾邮件面前,电子邮件系统毫无用处。部署优秀的垃圾邮件过滤器可以大幅减少涌入用户收件箱的垃圾邮件,提高用户的工作效率,减轻邮件基础设施的负担,让管理员可以腾出时间处理其它事务。

风险:

最大的风险就是把合法邮件拒之门外。大多数解决方案可以让你根据贵企业对未收到邮件的容忍度,相应调整垃圾邮件过滤器的严格程度。允许最终用户创建白名单、检查在网关层难以分类的电子邮件,这有助于降低误报率。注意:市场的合并时机现已成熟,所以你的防垃圾邮件厂商有可能被收购或者关门大吉。

五、反垃圾邮件技术的部署方式

现在许多厂商都推出了自己的专用反垃圾邮件技术,通常情况下,我们可以按照电子邮件到达用户桌面的顺序来部署相应的反垃圾邮件产品:Internet→网关→邮件服务器(例如:微软的Exchange或者IBM/Lotus Domino)→桌面用户。

六、专用反垃圾邮件防火墙

逻辑位置部署在网关和服务器之间,专用的反垃圾邮件防火墙由专用服务器和固化的操作系统构成。一般来说,由于这些设备的操作系统是专为完成这项任务而开发的,因此这些设备具有更好的性能,同时这类专用设备由于垃圾邮件保护、管理控制和最终用户控制等功能的设置非常简单,甚至基本不需要进行配置。另外厂商提供的反垃圾邮件的指纹数据库可以定期在线更新可以保证处理效率的同时,保证反垃圾邮件的过滤精确程度。所以专用反垃圾邮件防火墙适用于网络流量大的网络环境,但是也相对增加了网络建设的成本。

目前市场上专用反垃圾邮件防火墙要属CipherTrust公司的Ironmail和Barracuda Networks的梭子鱼最为权威了。

七、网关级反垃圾邮件

将专用反垃圾设备部署在网关来检测输入的邮件,在网关部署的优点是在不打破网络拓扑环境的情况下,加强了原来邮件服务器的安全。缺点是由于反垃圾邮件属于内容安全,反垃圾邮件处理需要更多的处理资源,在大流量的网络环境中,一旦网络流量很大,反垃圾邮件的智能检查有可能会降低网络性能,成为高速网络中的瓶颈设备。

所以网关级反垃圾邮件产品适用于网络流量不大的中小企业网络环境,将反垃圾邮件集成在网关里可以为用户节省成本。另外在网关可以将可疑信息重新定向到专用设备来做进一步检查,应用交换机能够最大限度地提高整体利用率,并为处理合法的应用流量增加可用的容量。

目前市场上网关级反垃圾邮件产品有KILL 赤霄邮件过滤网关和美讯智安全信息网关等均是性价比比较高的产品。

八、服务器级反垃圾邮件

我们可以将反垃圾邮件过滤器放在邮件服务器上。但是放置在邮件服务器上的反垃圾邮件过滤器只是邮件服务器上的一个功能模块,他的功能比较简单,如果像反垃圾邮件防火墙一样提供全面的过滤功能必将影响邮件服务器的本职工作–转发处理邮件,同时反垃圾邮件过滤作为邮件服务器的一个软件功能模块,升级很难避免,那么不断的升级也会影响邮件服务器的性能。所以服务器级的反垃圾邮件技术相对简单,不能期望在邮件服务器提供更多的反垃圾邮件功能,而因此把这个重任委托给专用的防火墙或者应用网关。

九、桌面级反垃圾邮件过滤器

桌面级的反垃圾邮件过滤更加简单,常见的如Hotmail、Outlook仅提供垃圾邮件黑名单,没有外层的保护,很难真正的做到对垃圾邮件的过滤,但是由于反垃圾邮件技术不论怎样智能,都会有一定的误判率很难一网打尽,所以尽管桌面级的反垃圾邮件过滤器是邮件接收终端的一个功能模块,但是作为反垃圾邮件的最后一关还是可以将少数漏网之鱼杀个干干净净。

十、总结

综上所述,由于垃圾邮件和木马后门等传统的黑客技术有一个共同之处利用合法的应用和协议设计的缺陷来进行传播,所以很难在区分合法邮件和垃圾邮件做到100%,所谓智能识别也是统计意义上模糊判断,存在误判率在现有的条件下在所难免,但是经过从网关到邮件服务器最终到用户桌面各个环节的分层过滤,洪水般的垃圾邮件可以得到根本上的抑制。

在我们进行垃圾邮件的方案设计时,要根据所处网络环境的流量特点,业务特点,以及垃圾邮件的危害程度来考虑适合自己的反垃圾邮件产品以及部署实施。