国内外反垃圾邮件技术
size=24d]Spam
1 SMTP[/b:895a246b1d]
1982年制定出RFC821 SMTP(Simple Mail Transfer Protocol)-简单邮件传输协议。
该协议是为了保证电子邮件的可靠和高效传送。TCP/IP 协议的应用层中包含有SMTP协议,但事实上它与传输系统和机制无关,仅要求一个可靠的数据流通道。它可以工作在TCP上,也可以工作在NCP, NITS 等协议上。在TCP上,它使用端口25进行传输。SMTP的一个重要特点是可以在可交互的通信系统中转发邮件。由于当初网络环境比较简单,在设计时并没有考虑对发信人进行身份验证。因此可以说SMTP是一个不完善的协议。
2 垃圾邮件的制造[/b:895a246b1d]
发送邮件须具有SMTP服务才能实现。垃圾邮件一般有两种方式发送;一种利用邮件服务提供商、另一种在本机上建立邮件服务系统。
[bd]2.1 利用邮件服务商的SMTP服务
2.1.1 利用open relay的邮件服务[/bd]
在2000年以前国内邮件服务提供商的邮件服务系统几乎都是open relay(匿名转发)状态,这将意味着任何用户都可以使用该系统的发送功能。因此导致了很多不合法的用户甚至是匿名用户利用这个开放式的功能发送了大量的垃圾信息。
2.1.2 利用合法帐户发送[/b:895a246b1d]
后来改进的邮件系统后加强了用户合法性认证功能。对只有本系统内注册过的用户才可以发送邮件。因此很多垃圾制造者就大量注册用户,然后利用注册后的发送权限再大肆发送垃圾信息。
注:在2000年上半年之前由于很多垃圾信息是经中国转发到国外,UNX为本国(英国)近200家ISP骨干网提供服务将中国电信所拥有的全部IP地址列入黑名单;而MAPS(美国邮件滥用预防系统)定期编制的垃圾邮件黑名单上的2800个IP地址,其中有5% 是中国的地址,被列入完全阻止名单的有国内著名的ISP:163.net、263.net等。
2.2 建立本机的SMTP服务[/b:895a246b1d]
利用第三方软件,在本机上建立一个邮件服务系统。一般具有以下几种特征:
1. 只须具有SMTP服务
2. 伪装成合法域内的用户
3. 不限发送邮件的数目
[bd]3 阻止垃圾邮件的解决方法
3.1 国外采用阻止垃圾信息技术
3.1.1 黑名单解决方案[/bd]
黑名单(Blacklists)是国外广泛用以抵御垃圾邮件的解决方案。它是一个事先的邮件筛检程序,通常放在下列三个地方之一。
第一类:复制到ISP的资料库,然后拒绝所有符合黑名单标准的邮件。它根据发送邮件系统的网络地址来确认垃圾邮件的来源。
第二类:黑名单被采用在商业用户的邮件服务系统中。它是基于“spam forensics”的,意思是通过检查源地址和目的地址,并分析邮件标题和内容来鉴别是否是垃圾邮件。
第三类:将黑名单作为附件或者邮件客户端软件的工具(如outlook),设定在客户端系统中,它是通过使用“spam forensics”来产生不受欢迎的名单。
3.1.2 白名单解决方案[/b:895a246b1d]
白名单(Whitelists):确认后的合法邮件来源。
与此类似的Bonded Sender(担保发送人)的Bonded Server。从哲学角度来说,它与位数确认很相似。需要对邮件的发送者给予一定的说明性。达到规定标准的发送者被授予进入白名单的权利。同时如果滥用这个系统将会从白名单离除名。
3.1.3 控制relay功能[/b:895a246b1d]
Exchange Server在5.5以前的版本,是可以relay任何邮件,没有解决办法。直到5.5 版本(Service Pack 2)才开始加入了控制 open relay 的功能。
Netscape Messaging Server 从3.5版本开始加入了relay的控制功能。
Sendmail从8.9.3版本开始缺省设置禁止转发垃圾邮件,在此之前的版本在这方面都存在着严重的安全缺陷。
为了避免因open relay而被列入黑名单,国外邮件服务系统建成后首先必做的就是修改relay功能。
3.1.4 内容过滤和发送限制[/b:895a246b1d]
内容过滤是指对邮件的标题、内容进行关键字过滤。当符合设定中的关键字时,该邮件将会被拒收和丢弃。
发送限制是指对用户每次发送的邮件数量进行限制。如每次只能最多发送20封邮件。
国外多采用配置邮件服务端的filter功能或第三方的过滤软件在网关处进行过滤。
[bd]3.2 国内采用阻止垃圾信息技术
3.2.1 SMTP AUTH[/bd]
2000年初国内邮件服务提供商IP遭到国外封杀后,纷纷加强了系统功能,首先是增加了发送者认证机制。杜绝了因open relay而被列入黑名单中。
3.2.2 访问列表控制[/b:895a246b1d]
该列表有两种:一种是拒绝性列表、一种是可接受列表。每个表分为域列表和IP地址列表。
凡事在列表里出现的域或IP地址均根据设定来进行接收或拒绝。
3.2.3 关键字过滤和发送限制[/b:895a246b1d]
服务端制定关键字限制,符合设定中的关键字将被删除。限制用户每次批量发送邮件的数目。如263电子邮件采用“五重过滤”反垃圾邮件技术,对邮件进行过滤。同时,也让用户可定制自己的邮件过滤规则。21cn利用AIMC系统自带的过滤功能。
3.2.4 启发式模式[/b:895a246b1d]
国内大型的邮件服务提供商如(21cn、263、163等)均提供了用户自定义的过滤功能。用户可以根据自己的需要对邮件中的域、标题、发送者名称等进行过滤。
[bd]4 防垃圾邮件软件介绍
4.1 Spamfilter outlook 2000[/bd]
该软件由中国互联网协会反垃圾邮件协调小组网站提供。此插件用于客户端配合举报中心向服务器举报垃圾邮件,使垃圾邮件能够得到有效的控制。
4.2 MailGuard[/b:895a246b1d]
MailGuard(中网邮件卫士)系统是一个网关性质的独立产品。该系统除了采用国际上通用的反垃圾邮件技术以外,还根据中国国情开发了许多特殊技术,如给予基于智能触发的过滤功能,能识别不良邮件、自动区分普通邮件和垃圾邮件;支持BIG5、MIME、Base64等多种编码方式;对邮件具有处理和转发功能,一旦过滤错误,能够及时补救。目前该系统是国内唯一通过中国信息安全产品测评中心认证的邮件系统。
4.3 SpamGuard[/b:895a246b1d]
SpamGuard是雅虎推出的垃圾邮件扫瞄过滤技术,这种技术面向其免费电子信箱Yahoo Mail的用户提供的,它可以更有效地阻止垃圾邮件的进入。2003年3月份对其进行了升级,SpamGuard改进版具备的一个新功能叫作HTML-图像过滤器,它可以使电子邮箱用户避免看到现在经常占据他们邮箱的图片。SpamGuard改进版的另一个新功能是可以使网路信标功能失去作用,垃圾邮件发送者利用这种功能可以知道他们发送的邮件是否已被收件人打开过。如果知道自己的邮件确实被某人阅读过,他们通常会向这个人的电子信箱发送更多垃圾邮件,或将该电子信箱的信息卖给其他垃圾邮件发送者。Yahoo Mail的用户只需点击一个“这是垃圾邮件”的链接,就能以个案方式将他们收件箱内的垃圾邮件报告给雅虎公司。
4.4 Antivirus for SMTP Gateways[/b:895a246b1d]
Symantec在2003年3月24日推出了其Antivirus for SMTP Gateways的新版本,该产品使用了一些技术能够阻止垃圾邮件进入企业网关中。它采用多层步骤来对付垃圾邮件问题,集成了渐进式反垃圾邮件引擎和定制化的白名单并支持第三方黑名单。该产品的渐进式反垃圾邮件引擎使用核心网络技术从垃圾邮件中辨别合法的电子邮件。它支持数个编译IP地址列表的第三方黑名单。另外,它还具有客户白名单特色,可以使管理员列出合法来源的域。
4.5 SpamKiller[/b:895a246b1d]
McAfee自挪威软件业者处获得SpamKiller,并将之整合入其安全产品套组。如同市场上许多较新的垃圾邮件过滤器一样,McAfee的解决方案还不仅能阻挡含可疑字串的邮件,它亦试图检查信息的全文。举例来说,它可分辨含“胸”这个字的邮件究竟是食谱、健康保健网站,还是邮件。
4.6 Spam Prevention Service[/b:895a246b1d]
趋势科技发表了面向企业网的反垃圾邮件软件“Spam Prevention Service”。将通过互联网网关拦截骚扰用户的垃圾邮件。Spam Prevention Service使用了美国Postini的垃圾邮件过滤技术。这一技术从电子邮件的特点入手,采用了名为启发式(heuristics)的科学学习功能,可以计算出是否是垃圾邮件的概率,特点是可以与众多反垃圾软件开发商提供的、以扫描发信方信息为基础的过滤功能同时使用。在使用启发式检查的过程中,可以立即启动针对新分类与垃圾邮件特点进行的扫描功能。Spam Prevention Service有Solaris版、Windows版、Linux版三种。
4.7 SpamAssassin[/b:895a246b1d]
SpamAssassin是一款通过设置规则对邮件头进行检查来过滤邮件的自由软件。与传统的垃圾邮件过滤器相比,SpamAssassin的实现方法比较独特。它引入以可能性为尺度的新型计分方法来分类处理邮件,而不是简单地接受或拒绝邮件,能够有效地降低正常邮件的丢失几率,从而大大提高垃圾邮件过滤效率问题。
SpamAssassin的工作原理是,在对一封信件应用了各项规则之后,生成一个分值来表示其为垃圾邮件的可能性。它可以设置上百条规则,包括对邮件头的处理、对邮件内容的处理及对邮件结构的处理等。每条规则都对应一个分值(可正、可负),每封信件的分值就是所匹配规则的分值之和。如果分值为负,表示这封信件是正常的;相反,如果分值为正,则表示信件有问题。如果超过了某个默认的分值,过滤器就会标识其可能为垃圾邮件,然后交由用户做出最终抉择。
SpamAssassin充分利用了统计技术,可以自动地“学习”接收邮件的特点,来调整垃圾邮件的分值。比如,如果一个地址平时发来的都是正常邮件,但偶尔发送了一封广告信(通常广告信具有很高的分值),这时系统就会自动降低这封邮件的分值。除了设置内部的规则之外,SpamAssassin也可以访问其它外部的垃圾邮件信息库,这样可以进一步增强其适用性。它主要是用Perl编写的,所以对Sendmail、Qmail、Postfix和Exim等各种邮件平台都适用。
5 总结[/b:895a246b1d]
总体来说国内外采用的阻止垃圾信息技术基本上大同小异。
在阻止垃圾信息技术上从应用层次可划分为服务端和客户端。如Louts Domino、Exchange Server、Sendmail Server、Qmail等是依靠服务端修订配置文件进行过滤。而Outlook中的规则应用是靠客户端用户自定义来实现过滤。
从产品上也可划分为企业版和个人版。企业版多是网关性质的第三方软件产品。如上面介绍的MailGuard、Antivirus for SMTP Gateways等。
在实际应用中,很难断定到底哪些邮件是垃圾邮件。特别是近来网上越来越多出现了单机版的群发软件,它并不依托任何邮件服务提供商就可以在本机上发送大量邮件。并且随着垃圾制造者对过滤软件的了解后,会不断找出绕过过滤器的巧妙新方法,像是拼错文字,以看似收件人本身来发送邮件,在标题栏添加使人们以为邮件是来自朋友的信息。因此反垃圾邮件技术并不仅仅是去关闭邮件转发功能、控制每次发送数量,增加关键字过滤就可以解决。
反垃圾邮件技术涉及到认证技术、访问控制技术、黑名单—白名单技术以及智能化技术等多个方面,这需要更多的专业的安全公司来完成这项工作。如果单靠技术来解决将还有一段路要走。[/sized]
1 SMTP[/b:895a246b1d]
1982年制定出RFC821 SMTP(Simple Mail Transfer Protocol)-简单邮件传输协议。
该协议是为了保证电子邮件的可靠和高效传送。TCP/IP 协议的应用层中包含有SMTP协议,但事实上它与传输系统和机制无关,仅要求一个可靠的数据流通道。它可以工作在TCP上,也可以工作在NCP, NITS 等协议上。在TCP上,它使用端口25进行传输。SMTP的一个重要特点是可以在可交互的通信系统中转发邮件。由于当初网络环境比较简单,在设计时并没有考虑对发信人进行身份验证。因此可以说SMTP是一个不完善的协议。
2 垃圾邮件的制造[/b:895a246b1d]
发送邮件须具有SMTP服务才能实现。垃圾邮件一般有两种方式发送;一种利用邮件服务提供商、另一种在本机上建立邮件服务系统。
[bd]2.1 利用邮件服务商的SMTP服务
2.1.1 利用open relay的邮件服务[/bd]
在2000年以前国内邮件服务提供商的邮件服务系统几乎都是open relay(匿名转发)状态,这将意味着任何用户都可以使用该系统的发送功能。因此导致了很多不合法的用户甚至是匿名用户利用这个开放式的功能发送了大量的垃圾信息。
2.1.2 利用合法帐户发送[/b:895a246b1d]
后来改进的邮件系统后加强了用户合法性认证功能。对只有本系统内注册过的用户才可以发送邮件。因此很多垃圾制造者就大量注册用户,然后利用注册后的发送权限再大肆发送垃圾信息。
注:在2000年上半年之前由于很多垃圾信息是经中国转发到国外,UNX为本国(英国)近200家ISP骨干网提供服务将中国电信所拥有的全部IP地址列入黑名单;而MAPS(美国邮件滥用预防系统)定期编制的垃圾邮件黑名单上的2800个IP地址,其中有5% 是中国的地址,被列入完全阻止名单的有国内著名的ISP:163.net、263.net等。
2.2 建立本机的SMTP服务[/b:895a246b1d]
利用第三方软件,在本机上建立一个邮件服务系统。一般具有以下几种特征:
1. 只须具有SMTP服务
2. 伪装成合法域内的用户
3. 不限发送邮件的数目
[bd]3 阻止垃圾邮件的解决方法
3.1 国外采用阻止垃圾信息技术
3.1.1 黑名单解决方案[/bd]
黑名单(Blacklists)是国外广泛用以抵御垃圾邮件的解决方案。它是一个事先的邮件筛检程序,通常放在下列三个地方之一。
第一类:复制到ISP的资料库,然后拒绝所有符合黑名单标准的邮件。它根据发送邮件系统的网络地址来确认垃圾邮件的来源。
第二类:黑名单被采用在商业用户的邮件服务系统中。它是基于“spam forensics”的,意思是通过检查源地址和目的地址,并分析邮件标题和内容来鉴别是否是垃圾邮件。
第三类:将黑名单作为附件或者邮件客户端软件的工具(如outlook),设定在客户端系统中,它是通过使用“spam forensics”来产生不受欢迎的名单。
3.1.2 白名单解决方案[/b:895a246b1d]
白名单(Whitelists):确认后的合法邮件来源。
与此类似的Bonded Sender(担保发送人)的Bonded Server。从哲学角度来说,它与位数确认很相似。需要对邮件的发送者给予一定的说明性。达到规定标准的发送者被授予进入白名单的权利。同时如果滥用这个系统将会从白名单离除名。
3.1.3 控制relay功能[/b:895a246b1d]
Exchange Server在5.5以前的版本,是可以relay任何邮件,没有解决办法。直到5.5 版本(Service Pack 2)才开始加入了控制 open relay 的功能。
Netscape Messaging Server 从3.5版本开始加入了relay的控制功能。
Sendmail从8.9.3版本开始缺省设置禁止转发垃圾邮件,在此之前的版本在这方面都存在着严重的安全缺陷。
为了避免因open relay而被列入黑名单,国外邮件服务系统建成后首先必做的就是修改relay功能。
3.1.4 内容过滤和发送限制[/b:895a246b1d]
内容过滤是指对邮件的标题、内容进行关键字过滤。当符合设定中的关键字时,该邮件将会被拒收和丢弃。
发送限制是指对用户每次发送的邮件数量进行限制。如每次只能最多发送20封邮件。
国外多采用配置邮件服务端的filter功能或第三方的过滤软件在网关处进行过滤。
[bd]3.2 国内采用阻止垃圾信息技术
3.2.1 SMTP AUTH[/bd]
2000年初国内邮件服务提供商IP遭到国外封杀后,纷纷加强了系统功能,首先是增加了发送者认证机制。杜绝了因open relay而被列入黑名单中。
3.2.2 访问列表控制[/b:895a246b1d]
该列表有两种:一种是拒绝性列表、一种是可接受列表。每个表分为域列表和IP地址列表。
凡事在列表里出现的域或IP地址均根据设定来进行接收或拒绝。
3.2.3 关键字过滤和发送限制[/b:895a246b1d]
服务端制定关键字限制,符合设定中的关键字将被删除。限制用户每次批量发送邮件的数目。如263电子邮件采用“五重过滤”反垃圾邮件技术,对邮件进行过滤。同时,也让用户可定制自己的邮件过滤规则。21cn利用AIMC系统自带的过滤功能。
3.2.4 启发式模式[/b:895a246b1d]
国内大型的邮件服务提供商如(21cn、263、163等)均提供了用户自定义的过滤功能。用户可以根据自己的需要对邮件中的域、标题、发送者名称等进行过滤。
[bd]4 防垃圾邮件软件介绍
4.1 Spamfilter outlook 2000[/bd]
该软件由中国互联网协会反垃圾邮件协调小组网站提供。此插件用于客户端配合举报中心向服务器举报垃圾邮件,使垃圾邮件能够得到有效的控制。
4.2 MailGuard[/b:895a246b1d]
MailGuard(中网邮件卫士)系统是一个网关性质的独立产品。该系统除了采用国际上通用的反垃圾邮件技术以外,还根据中国国情开发了许多特殊技术,如给予基于智能触发的过滤功能,能识别不良邮件、自动区分普通邮件和垃圾邮件;支持BIG5、MIME、Base64等多种编码方式;对邮件具有处理和转发功能,一旦过滤错误,能够及时补救。目前该系统是国内唯一通过中国信息安全产品测评中心认证的邮件系统。
4.3 SpamGuard[/b:895a246b1d]
SpamGuard是雅虎推出的垃圾邮件扫瞄过滤技术,这种技术面向其免费电子信箱Yahoo Mail的用户提供的,它可以更有效地阻止垃圾邮件的进入。2003年3月份对其进行了升级,SpamGuard改进版具备的一个新功能叫作HTML-图像过滤器,它可以使电子邮箱用户避免看到现在经常占据他们邮箱的图片。SpamGuard改进版的另一个新功能是可以使网路信标功能失去作用,垃圾邮件发送者利用这种功能可以知道他们发送的邮件是否已被收件人打开过。如果知道自己的邮件确实被某人阅读过,他们通常会向这个人的电子信箱发送更多垃圾邮件,或将该电子信箱的信息卖给其他垃圾邮件发送者。Yahoo Mail的用户只需点击一个“这是垃圾邮件”的链接,就能以个案方式将他们收件箱内的垃圾邮件报告给雅虎公司。
4.4 Antivirus for SMTP Gateways[/b:895a246b1d]
Symantec在2003年3月24日推出了其Antivirus for SMTP Gateways的新版本,该产品使用了一些技术能够阻止垃圾邮件进入企业网关中。它采用多层步骤来对付垃圾邮件问题,集成了渐进式反垃圾邮件引擎和定制化的白名单并支持第三方黑名单。该产品的渐进式反垃圾邮件引擎使用核心网络技术从垃圾邮件中辨别合法的电子邮件。它支持数个编译IP地址列表的第三方黑名单。另外,它还具有客户白名单特色,可以使管理员列出合法来源的域。
4.5 SpamKiller[/b:895a246b1d]
McAfee自挪威软件业者处获得SpamKiller,并将之整合入其安全产品套组。如同市场上许多较新的垃圾邮件过滤器一样,McAfee的解决方案还不仅能阻挡含可疑字串的邮件,它亦试图检查信息的全文。举例来说,它可分辨含“胸”这个字的邮件究竟是食谱、健康保健网站,还是邮件。
4.6 Spam Prevention Service[/b:895a246b1d]
趋势科技发表了面向企业网的反垃圾邮件软件“Spam Prevention Service”。将通过互联网网关拦截骚扰用户的垃圾邮件。Spam Prevention Service使用了美国Postini的垃圾邮件过滤技术。这一技术从电子邮件的特点入手,采用了名为启发式(heuristics)的科学学习功能,可以计算出是否是垃圾邮件的概率,特点是可以与众多反垃圾软件开发商提供的、以扫描发信方信息为基础的过滤功能同时使用。在使用启发式检查的过程中,可以立即启动针对新分类与垃圾邮件特点进行的扫描功能。Spam Prevention Service有Solaris版、Windows版、Linux版三种。
4.7 SpamAssassin[/b:895a246b1d]
SpamAssassin是一款通过设置规则对邮件头进行检查来过滤邮件的自由软件。与传统的垃圾邮件过滤器相比,SpamAssassin的实现方法比较独特。它引入以可能性为尺度的新型计分方法来分类处理邮件,而不是简单地接受或拒绝邮件,能够有效地降低正常邮件的丢失几率,从而大大提高垃圾邮件过滤效率问题。
SpamAssassin的工作原理是,在对一封信件应用了各项规则之后,生成一个分值来表示其为垃圾邮件的可能性。它可以设置上百条规则,包括对邮件头的处理、对邮件内容的处理及对邮件结构的处理等。每条规则都对应一个分值(可正、可负),每封信件的分值就是所匹配规则的分值之和。如果分值为负,表示这封信件是正常的;相反,如果分值为正,则表示信件有问题。如果超过了某个默认的分值,过滤器就会标识其可能为垃圾邮件,然后交由用户做出最终抉择。
SpamAssassin充分利用了统计技术,可以自动地“学习”接收邮件的特点,来调整垃圾邮件的分值。比如,如果一个地址平时发来的都是正常邮件,但偶尔发送了一封广告信(通常广告信具有很高的分值),这时系统就会自动降低这封邮件的分值。除了设置内部的规则之外,SpamAssassin也可以访问其它外部的垃圾邮件信息库,这样可以进一步增强其适用性。它主要是用Perl编写的,所以对Sendmail、Qmail、Postfix和Exim等各种邮件平台都适用。
5 总结[/b:895a246b1d]
总体来说国内外采用的阻止垃圾信息技术基本上大同小异。
在阻止垃圾信息技术上从应用层次可划分为服务端和客户端。如Louts Domino、Exchange Server、Sendmail Server、Qmail等是依靠服务端修订配置文件进行过滤。而Outlook中的规则应用是靠客户端用户自定义来实现过滤。
从产品上也可划分为企业版和个人版。企业版多是网关性质的第三方软件产品。如上面介绍的MailGuard、Antivirus for SMTP Gateways等。
在实际应用中,很难断定到底哪些邮件是垃圾邮件。特别是近来网上越来越多出现了单机版的群发软件,它并不依托任何邮件服务提供商就可以在本机上发送大量邮件。并且随着垃圾制造者对过滤软件的了解后,会不断找出绕过过滤器的巧妙新方法,像是拼错文字,以看似收件人本身来发送邮件,在标题栏添加使人们以为邮件是来自朋友的信息。因此反垃圾邮件技术并不仅仅是去关闭邮件转发功能、控制每次发送数量,增加关键字过滤就可以解决。
反垃圾邮件技术涉及到认证技术、访问控制技术、黑名单—白名单技术以及智能化技术等多个方面,这需要更多的专业的安全公司来完成这项工作。如果单靠技术来解决将还有一段路要走。[/sized]