垃圾邮件全曝光 走进垃圾邮件的隐秘世界

      对于垃圾邮件,已经在《中国互联网协会反垃圾邮件规范》中给出了一个明确的定义,但是它并不足以让我们了解垃圾邮件的产生、发送及其背后所隐藏的秘密。作为网管员或电子邮件用户,只有了解垃圾邮件所隐含的秘密,尤其是垃圾邮件发送者所使用的躲避垃圾邮件过滤的技术,才会知道垃圾邮件防范的具体细节在哪些方面。

      一、垃圾邮件的产生流程及其背后的利益关系

      垃圾邮件并不是无中生有的,对于纯商业性质的垃圾邮件来说,它是由一些想通过电子邮件来销售或宣传某种产品的厂商所提供的,这也就是垃圾邮件的提供者。但是,垃圾邮件的提供者并不会自己去发送它们,而是将发送任务交给某些拥有大量邮箱地址的专业垃圾邮件发送者或团体,并按某种协议付给发送者一定的费用。剩下的工作,就是发送者如何按提供者的要求将一定数理的垃圾邮件发送到最终的各用户邮箱中。垃圾邮件提供者看到了此种方式所带来的低成本和高效率,而发送者看得了发送垃圾邮件带来的利益,并且这种利益会随着最终发送数量的增多而不断增加。他们之间的不断利用,就构成了现在垃圾邮件泛滥的根本原因所在。

      但是,垃圾邮件要想最终到达众多的用户邮箱之中,也不是人们想象中的那么简单。首先,发送者必需得到相当多的有效邮箱地址,这样才能满足提供者发送数量的要求。发送者一般在刚开始时是向一些机构或个人直接购买或在互联网中进行搜索的方式得到,当在这个圈子中熟习以后,还可以通过与其它发送者之间相互交互的方式来扩大邮箱地址库。现在,许多网站中给出的电子邮箱地址,都将“@”符号改为了“#”号,就是为了防止被按“@”符号为关键字邮箱地址收集软件搜索到。

      另一方面,就是如何确保垃圾邮件都能最终到达用户邮箱当中,不然,一切都是枉然。解决此问题的关键,就是如何躲避各种反垃圾邮件产品的过滤。现在,一些技术高超的发送者已经使用了许多相当有效的方法来躲避被过滤,并且其发展速度要快于反垃圾邮件技术,这也是为什么垃圾邮件不能完全被过滤的主要原因。

      最后,就是要解决被追踪的问题,这是垃圾邮件发送者设法使自己免于法律惩罚所要进行的必要手段。一般会通过下列方式中的一种或几种来达到目的:

      1、修改垃圾邮件头中与发送者相关的所有域的内容,使这些内容与自己无任何联系。

      2、使用第三方可以匿名转发邮件的邮件服务器来发送垃圾邮件;

      3、自建邮件服务器,并使用代理服务器进行网络连接;

      4、通过控制正常的邮件服务器来发送垃圾邮件,通过Rootkit隐藏在服务中的痕迹;

      5、通过控制僵尸网络中的主机来发送垃圾邮件;

      6、也可通过自己的多台邮件服务器,设置按某个时间间隔,一次只发送十到二址封垃圾邮件,让反垃圾邮件产品不能通过行为检测方式来判断这些主机为垃圾邮件服务器。一段时间后,也能达到相当大的垃圾邮件发送数量。

      只有同时满足了上述的三个条件,垃圾邮件发送者与提供者之间的利益关系才能真正实现。

      二、主流垃圾邮件编写技术全接触

      在上面已经提到过,垃圾邮件发送成功的关键就是如何突破反垃圾邮件产品的重重封锁,所使用的手段就是各种垃圾邮件编写技术。

      1、通过修改邮件头中的IP地址或域名,来躲过以黑白名单方式的垃圾邮件过滤。伪造邮件头中的某些关键域中的内容,使用一款名为Advanced Direct Remailer的软件就可以轻易实现。不过,一些使用DNS反向查询技术和使用签名认证的产品能过过滤这种方式发送的垃圾邮件。

      2、将垃圾邮件中每个单词的字母或汉字之间用空格或一些特殊字符(如“-”或“+”号)隔开,这样就能轻易躲过基于关键字和文本内容分析技术的过滤,而且其反过滤效果到现在还相当有效,并且不需要任务工具就可以轻易实现。但是,现在一些反垃圾邮件厂商开始在其产品中增加了识别特殊字符和词重组功能,以便能提高识别这种方式发送的垃圾邮件。

      3、用数字替换垃圾邮件中英文单词中的某些字母,例如使用“1”数字替换“i”,用“0”替换“o”等,这样也能够躲过其于文本分析的内容过滤。只是,这种方式只能使用在发送英文的垃圾邮件中,且修改后邮箱用户有时不能完全理解其原来的意义,因此,只会在一些不会产生歧义的地方使用。

      4、用ASCII码来代替字母,例如字母B用ASCII码66来代替,而在邮箱用户端却可以正常显示为单词,并构成完整的句子。可以用此来躲过基于内容和统计概率的检测过滤。但是,现在已经有许多反垃圾邮件产品中加放了ACCII码识别功能,因而现在此种方式并不常用。

      5、还有一种方法也是非常容易实现和使用比较频繁的,就是先编写几段正常的邮件内容,然后将这些内容的字体颜色设置与背景色相同,例如白色文字与白色的背景;然后,在这些正常的邮件内容当中插入垃圾邮件内容,但其字体颜色与背景色是不同的,例如黑色文字与白色背景。这样,就能躲过基于内容和统计概率方式的过滤,而在邮箱用户端,又只会显示出垃圾邮件的内容。

      6、将垃圾邮件文本内容嵌入到图片当中,并对图片进行降噪处理,但以不影响阅读为底线,然后作为附件发送。它主要用来躲避基于内容的过滤和基于统计概率的过滤。对图片降噪的方法是通过增加多个低像素的图片框来作为图像噪声,然后编写脚本来旋转所有的图片框,将要显示主要内容的图片框的显示时间加长,其它低像素的图片框的显示时间非常短,就能达到即能正常显示垃圾邮件内容,又增加了垃圾邮件过滤器检测难度的目的。只是现在主要的反垃圾邮件产品中都提高了邮件附件图像识别能力,并加入了行为模式检测技术,已经能够很好地识别图片方式的垃圾邮件。并且其编写方式比较麻烦,现在图片方式的垃圾邮件已经大大减少。

      7、将垃圾邮件做成PDF文件,然后以附件的方式发送。这是垃圾邮件发送者继图片式垃圾邮件效果不高后使用的另一种相似的编写技术,但此种方式的反垃圾邮件过滤功能要大大优于前一种,现在,虽然一些号称使用了行为模式检测技术的反垃圾邮件产品能过滤部分与此相关的邮件,但穿过的成功率却比过滤得的要高得多。因此,PDF垃圾邮件的比率将会不断升高。

      8、将垃圾邮件内容做成MP3或视频文件,然后作为邮件附件发送,这是最近才出现的垃圾邮件方式。虽然还没有过滤这种方式的技术,但是,由于为了降低垃圾邮件的体积,垃圾邮件发送者不得不降低音频的比特率及视频的像素,这样一来,邮箱用户在打开时所听到的音频和看到的视频都很不清楚,根本起不到垃圾邮件发送的目的。因此,这种方式的使用率将不会很高。

      要明白的是,垃圾邮件发送者在发送垃圾邮件时,并不只使用上述列出的编写方法中的某一种,而是会同时使用多种方法来组合使用的,这样才能提高发送的成功率。而且,垃圾邮件发送者仍然会不断地开发出新的编写技术,以应对也不断推陈出新的垃圾邮件过滤技术。

      三、垃圾邮件穿透能力的验证方法

      虽然使用了躲避反垃圾邮件产品检测的方法,但是,这并不意味着所发送的垃圾邮件就一定能穿过它们。这是因为,每种垃圾邮件过滤产品所使用的方法和性能并不相同,以及其设置也不相同。因此,要验证所使用的躲避技术是否有效,就得在各种不同的垃圾邮件过滤环境中进行实验。实验的方法可以是自己构建这样的环境,这对于某些垃圾邮件发送者来说是不可能有财力支持的。但是,一些有条件的垃圾邮件发送者,例如处于某种企业环境中,就可以利用本企业的邮件过滤产品来做试验。还有一种方法,就是注册一些免费的邮箱,然后编写垃圾邮件发送给自己或者朋友的邮箱当中,来验证是否可以被正常接收,这种方式是即快又省,而且试验的产品又全面。

      四、垃圾邮件带来的危害

      垃圾邮件所带来的危害是相当大的,它不仅会占用人们大量处理邮件的时间,降低工作效率;还会占用用户宝贵的网络带宽资源,阻碍正常的关键网络业务运行;并且,邮件用户为了阻止垃圾邮件的不断增长,不得不投入额外的垃圾邮件过滤硬件或软件来应对,这要花费用户大量的金钱和管理开销,以及增加企业原本已经相当复杂了的IT安全基础架构和安全防范策略的复杂性。对于企业邮件用户来说,其雇员数量越多,为每个雇员所花费的垃圾邮件过滤费用就会不断的提高,这是相当惊人的一笔开支。

      五、垃圾邮件能消除吗

      垃圾邮件从出现到现在已经过去了整整三十年,在这三十当中,反垃圾邮件技术虽然有了长足的发展,但是,如今互联网中的数据流量中的相当一部分依然被垃圾邮件占用,这就足以说明,垃圾邮件的编写技术要快过了垃圾邮件过滤技术的发展。因此,在目前或将来相当长的一段时间内,垃圾邮件依然会伴随着所有的电子邮件用户。

      但是,我们不能眼睁睁地看着垃圾邮件就这么地肆掠下去。其实,通过对垃圾邮件的全面分析,我们也已经了解到了它所存在的各种弱点。因此,只要垃圾邮件防范措施得当,我们还是可以将垃圾邮件控制在我们能承受的范围之内的。

      下面给出一些有用的建议如下:

      1、继续加深反垃圾邮件的立法,加入对垃圾邮件提供者的严厉惩罚,斩断垃圾邮件利益链的最上层,这样,垃圾邮件才有可会从源头减少。

      2、尽量选购包含了所有主流垃圾邮件过滤技术的产品,并且仔细考查它们的处理方式、性能、误判率和漏判率,以及扩展性和各种产品之间的兼容性等。还有,产品的提供商和销售商的服务方式和后期维护能力也要在考虑的范围。

      3、制定与自己实际需求相应的邮件安全策略。反垃圾邮件并不是一种技术或服务就可以完成的,而且它应当包括在整个邮件系统的安全策略之内,它是一种多种技术和服务相互协作的一个系统的过程。同时,在设计邮件系统时就应当将安全设计理论考虑进出,应当从企业网络边界、邮件服务器和客户端三个层面一起进行安全部署。如果有条件,最好每一层所使用的产品都不是同一提供商的。这是因为每个提供商在邮件系统安全的各个层面都有自己最拿手的,也有自己比较弱的,因此,充分利用每个产品最好的功能应用到相应的层面,达到的效果才是最好的。

      4、将邮件系统安全策略集成到企业的整个IT安全策略当中,充分利用其它安全设备来减少邮件系统的安全威胁。同样,提高邮件系统的安全,也会减少给企业带来其它途径的安全威胁。邮件系统安全与企业整个IT环境的安全是相辅相承的。

      5、加强对电子邮件用户的网络安全知识的培训工作。

      总之,反垃圾邮件是一场持续而艰苦的斗争,我们只有不断地了解垃圾邮件的发展方向,充分利用已有的垃圾邮件过滤产品,构造行之用效的垃圾邮件防范措施,才能将垃圾邮件所带来的风险控制在我们能够承受的水平之内,电子邮件才能真正意义上为我们带来效益。