围剿垃圾邮件新技术 OCR指纹分析方式出绝招

安全在线7月4日报道 采用规则匹配的邮件过滤技术,对用户要求高,易用性差。采用机器学习、文本分类的反垃圾邮件技术易用性好,却无法阻挡图片垃圾邮件。新兴的OCR指纹分析技术则能有效阻挡图片垃圾邮件。然而我们只有将各种技术融合才能全面有效阻挡各种垃圾邮件。

字典型攻击

垃圾邮件的发送者常会使用所谓的字典式攻击,就是挑选一些常见的英文名字,重新组合,再将组合过后的单词当作收件者,全部寄出。Spammer通常会挑选拥有最多的使用会员的电子信箱服务提供者,因此字典式攻击的命中率会相对比较高。

伪装邮件主题

垃圾邮件发送者使用假的邮件标题,让邮件看起来不像是广告信。此类邮件一般都带有请求阅读回执的功能,阅读者只要打开这些邮件,很有可能进入Spammer的投放命中数据库。

冒充熟悉的朋友

垃圾邮件的传送者也会伪装认识收件者,寄件主题上使用熟悉的字眼吸引收件者注意。这样的伎俩是诱骗使用者开启广告邮件。

连锁信

很多人收到连锁信时都被告知要将收到的内容继续转发给你的朋友。有时候它们会告诉你每发一次信就可以有多少钱的收入或者告诉你若没有转寄超过10个人你的噩运即将来到。这些邮件有些可能是恶作剧,但你绝对不要异想天开转寄邮件后会收到金钱。

也许你每天早上打开邮箱的时候,会利用一半的时间处理莫名其妙的邮件;

也许你不经意间打开了陌生人的邮件,你的电脑便成为了病毒的傀儡;

也许客户的邮件一直没有收到,投诉电话打到老板的办公室。

造成上述恶行的罪魁祸首就是–垃圾邮件。自从1971年Arpanet发出第一封以"@"作为标志的电子邮件,直到垃圾邮件泛滥成灾的今天,谁也没有想到,这将是互联网一个大"Bug"。

融合技术反垃圾

我们将目光定位到现阶段的反垃圾邮件的技术细节上,从基础的邮件结构和相对成熟的技术上将其分类,大致可以分为:邮件服务系统的安全加固技术、过滤技术、特征分析、可信度评测、内容识别技术等。但是,上述技术中的任何一项单独拿出来,在SPAM面前就好像螳臂挡车,技术融合才是治理垃圾邮件的有效手段。

用户首先需要对服务器端进行安全配置,如Access Control List、Tcp Wrappers、主机路由表防护、阻止Open Relay等;然后根据早期的白名单、黑名单的技术优势,再选择加入Domain Key和Sender ID的邮件系统,形成比较全面的反垃圾邮件系统,如图1所示。

首先出现的是Domain Key技术,它的核心思想是每个域名都申请一个PKI证书,然后把公钥存储在DNS服务器中。发件服务器对每一封使用这台服务器密钥的电子邮件进行签名,收件服务器验证发件服务器签名是否有效,通过这样的方式来防范垃圾邮件。

Sender ID利用了 SPF 记录格,这有助于减少电子邮件域的伪造现象,并可更好地防范网络钓鱼阴谋。减少域的伪造现象有助于保护合法发信人的域名和声誉,并且帮助收件人更有效地识别和筛选垃圾邮件以及钓鱼攻击。

Domain Key和Sender ID技术解决的问题是邮件地址是否合法有效,不但可以拒绝邮件地址和签名不一致的邮件,还可辅助黑白名单进行过滤。但由于这两项技术的缺陷是需要对现在所有的邮件服务器进行升级改造,因此推广实施进度并不像我们预期的那么快。

邮件过滤短板

很多邮件服务器在网关层面针对一些敏感的词语过滤。若邮件内容中出现了这类词语,则该邮件将被拒收。此技术可有效地阻止利用电子邮件进行非法、反动、色情宣传,但如果发送者将这些词汇稍微改变就可以轻易地突破这道防线,而一些正当往来的业务邮件,如果包含了设定的词汇也可能被屏蔽。

早期过滤技术所依赖的就是规则匹配。规则匹配技术指邮件服务器或用户可制订一些硬性规则,拒收或过滤符合规则的邮件。该项技术存在的问题在于:一是采用规则匹配,尤其是正则表达式匹配,对用户要求较高,且易用性不好;二是规则的制订总是落后于垃圾邮件特征的变化。

随之改进的技术是采用机器学习、文本分类技术自动进行邮件阻挡。这项技术的优势在于可以根据垃圾邮件内容特征的变化,自适应地更新过滤器,从而使过滤器和垃圾邮件自动同步。该类技术易用性好,不需要用户过多参与。但只能针对邮件的文本内容进行处理,对邮件附件中的图像、声音等内容无法分析。

经历了一段时间的势均力敌的较量,狡猾的垃圾邮件发送者通常会改变他们的垃圾邮件发送方法。只包含图片的垃圾邮件开始盛行起来,现有的过滤系统很难发现或进行智能重组,因为原有的反垃圾邮件技术根本无法知道图片的内容。

新兴技术与特点

一般的垃圾邮件防火墙产品,可以拦截住95%以上的普通文字垃圾邮件,但对于图片型邮件的防范力度都显得不足。在针对此类邮件的防治技术中,OCR(光学字符识别)指纹分析技术和可变陌生访问限制技术值得我们关注。

指纹分析

指纹分析系统的核心一般是OCR技术。目前,很多厂商都是配合蜜罐系统及用户的举报来收集垃圾邮件并予以分析,在此基础上形成垃圾邮件指纹库。分析邮件并与指纹库中的数据进行比较,自动地阻断、隔离、标记邮件,这样指纹分析就能够阻断图片垃圾邮件,提高识别率与命中率。

可变陌生访问限制

可变陌生访问限制是一种控制垃圾邮件发送的技术,但它并不只是一种单纯的发送端控制技术,而是一个需要邮件发送与接收处理各个环节共同参与的新一代邮件构建体系。它的核心思想是:根据邮件接收人对垃圾邮件的投诉,计算发信人的信用,以此控制垃圾邮件的发送,采用邮件服务器与邮件地址两级白名单控制垃圾邮件的接收。

面对汹涌而来的垃圾邮件,"自扫门前雪"已经不足以宣泄很多互联网用户胸中的愤懑,对垃圾邮件的深恶痛绝和思维中流淌的公益道德使得很多用户正在行动起来,向垃圾邮件发起最有力的反击。事实上,我们每一个受到过垃圾邮件侵害的用户都应该积极响应这种行动,以法律、道德的两把利剑惩罚那些忽视消费者利益的厂商和个人。