垃圾邮件防护系统分析与应用方法

垃圾邮件防护系统分析与应用方法【内容提要】：随着联机上网费用日趋便宜，发送电子邮件广告几近零成本又有利可图，因此造成垃圾邮件如今日混乱猖獗的现况。针对这种问题，许多公司研究出许多垃圾邮件防护和过滤机制产品，本文将对垃圾邮件的有关防护过滤技术和解决方法作一个基本介绍。【关键词】：垃圾邮件、邮件防护、技术分析、AFS、华硕、过滤、机制随着互联网的蓬勃发展，E-mail信息的传播达到了前所未有的广度和深度。同时不请自来的电子邮件也以各种形式闯入我们的邮箱-商品推销、诈骗、政治或宗教抨击、病毒载体以及无法归类的稀奇古怪的形式。有些人每天甚至要收到100到200封这样的垃圾电子邮件（甚至更多）。因为更多的人开始使用英特网的关系（自因特网建立以来，人数飞速增长），对于商人、小贩、想入非非者以及蓄意破坏者而言，可以无偿地联系到数目巨大的各类人，诱惑力变得难以抵挡，自此大量的垃圾邮件在世界的各个角落产生，并瞬间传递到世界其他任何地方，这种费时且消耗CPU的破坏行为迅速对经济产生了极大的负面影响。现今越来越多的人开始意识到垃圾邮件的传递所带来的严重后果，并不断提出防治的新需求。一垃圾邮件的定义一封完整的电子邮件包含以下项目：邮件信封MailEnvelope、邮件标题MailHeader、邮件本文MailBody与邮件附禧MailAttachment。电子邮件传输处理分为两阶段：邮件传输代理MailTransferAgent简称MTA），例如邮件服务器，以及与邮件使用代理MailUserAgent（简称MUA），例如Outlook或OutlookExpress0如果以邮件内容定义垃圾邮件，容易随个人主观认定而异；对银行业、娱乐业，广告业而言，包含其他银行贷款广告、色情广告的邮件，可能是种具有价值的市场资讯，而非垃圾邮件；因此，必需依邮件行为始能，依众人认知、法律规范与国际法规逐一精确定义何为垃圾邮件。众人认知：不请自来、来路不明、无法拒绝之邮件。法律规范：造成骚扰、匿名文书或嫁祸他人之邮件。国际法规：2003年底美国立法明定「CanSpam」垃圾邮件法规「CanSpam」字面表示可以「Spam」，惟有「但书」，寄件者必须表明身分，让收件者可以追溯来源不可以匿名、伪造，或者刻意隐匿或篡改资讯等行为发送电子邮件；发送方式方式不可为垃圾邮件滥发者（Spammer）惯用之垃圾邮件滥发方式或程式，如借用邮件代替（OpenRelay）、出现过多邮件转（Received）或机器自动发送，以及不断尝试各种进入企业信箱方法等，必须提供收件者「选择权」，具有「取消订阅」机制。综上所述，垃圾邮件之所以恼人并不是因为内容无趣不吸引人，而在于大量滥发，任意长驱直入收信者电子邮件信箱。二邮件信息安全的影响邮件是当前企业主要商务往来的沟通工具，根据Gartner去年调查显示，每400封信件当中，就有一封就隐含着机密信息。这些机密信息包含企业内部沟通与外部往来的信件，例如行政公告、业务信件、研发数据或重要政策命令等。而在美国Brockmann&Company研究顾问公司的2007年8月的调查显示，有近36%企业的Email曾经遗失或发生延迟，更发生平均超过40次的邮件重寄或误判，造成企业成本提高。根据法务部调查局资安鉴识实验室表示，无论是民事或刑事诉讼，左证数据必须先通过「真实性」要件的检验。简而言之就是证明真有其证物，但多数企业往往只着重系统还原(SystemRecovery)，却忽略数字证据的保存流程，往往造成举证成本提高。因此数字证据的保全，不只要求保存作业流程，更着重于调阅复原。随着防制数据外泄(DataLeakPrevention,DLP)的观念日益普及，企业更需要落实安全稽核管理，完整保护企业的数字资产。三什么是邮件防护根据2006年IDC「企业安全调查」指出，包含病毒、垃圾邮件等安全内容管理SCM)，仍是企业认为最严重的资安威胁。这听起来像是平常的消息报导却正是全球所有企业主所必须正视的挑战，且比以往更加险峻。这不仅局限于垃圾邮件，包含钓鱼邮件、木马、蠕虫、间谍程序、网络型病毒、网络黑客的威胁等也都变本加厉不断变形为更难辨识的样貌，其中以结合病毒的垃圾邮件变形影响最为全面。垃圾邮件发送者不再只是单纯的发送文字或图片化的垃圾邮件，反之发送带有间谍僵尸程序的垃圾邮件，利用被病毒控制的僵尸计算机网络来当作攻击或发送垃圾邮件的中继站，这意味有许多垃圾邮件是由许多不知情的用户计算机所发送的，目前全球正以每日25万台的速度再增加。虽然目前有关图片式垃圾邮件的话题不断，但必须注意的是这股热潮仅是众多混合式攻击的其中一种。面对邮件安全层出不穷的信息威胁和翻成出新的发送技术，企业主必须更全面的思考导入方案的防护效能。根据ForresterResearch调查报告指出，35%的企业怀疑员工会透过电子邮件泄漏机密数据，其中外寄邮件中有高达25%的信件带有财务或法律性的管理风险。由此可见，邮件安全仅单单被动防护外对内(Incoming)信息传递所造成的可能威胁是不够的，更应主动控管来自于内对外(Outgoing)讯息往来的潜藏危机。同时，企业在考虑邮件防护安全架构时，也需评估邮件监察(EmailSupervision)的应用概念，同时结合邮件主动防护(EmailActiveProtection)＞邮件政策执行(MailPolicyEnforcement)与邮件稽核(MailAudit)，才能有效达到全方位邮件防护的目的。四.一般垃圾邮件防堵技术分析垃圾邮件防堵技术分为两个层面：辨识与判断。常见的垃圾邮件辨识技术包含内容过滤扫描、黑名单与浅层垃圾邮件行为解析。由于上述技术具不确定性与非精确性，需要进行数学统计运算以判断一封电子邮件是垃圾邮件的可能性，因而衍生出市面上纷歧但实则大同小异的垃圾邮件防堵技术，比较分析如下：内容过滤扫描技术特征：根据系统开发者所认定的「垃圾邮件关键词眼」判断垃圾邮件；而邮件内容依IETF/RFC规定，为MUA如OutlookExpress处理；因此内容过滤扫描技术如同邮件病毒扫描，需建立庞大的「垃圾邮件关键词」数据库。技术缺点：以此方式扫描往来电子邮件往往耗费大量CPU资源，且无法扫出JEPG、如果遇到滥发者攻击，每10分钟传送100封大型攻击邮件，会造成邮件队列、系统效能低落。再者，在这类机制下，各家厂商宣称语意分类为六种、十种或十六种不等，收集各国语言四国、十六国或三十二国不等；这类技术要做到垃圾邮件阻挡，必须每日不断更新数据库，研究各种文字变形，以极受限于语言与系统仿真误差。启发式语意学习技术特征：启发式语意学习技术乃内容过滤扫描技术的进阶，所谓启发式技术为告知计算机「具特定特征」的邮件为垃圾邮件，亦即累积特定数量的垃圾邮件以后，该技术自动记忆新增的垃圾邮件特征，并加入其关键词数据库。技术缺失：以启发式语意学习技术固然可弥补数据库不不足，然而此举只能被动响应垃圾邮件层出不穷的滥发手法。LinuxOpenSource特征：部份产品采用免费的LinuxOpenSource软件并建立使用者管理介面予以商品化，其中以SpamAssasin为最。黑名单分享特征：为最早的垃圾邮件反制技术，名列黑名单数据库者多以滥发邮件或允许代转所有邮件（即OpenRelay）而遭检举。可在联机初期直接阻断来信，较内容过滤扫描技术而言具决定性且不耗费系统资源。技术缺失：依赖社群检举与统计，无公正性；部份黑名单数据库甚至将来自亚洲多数国家的电子邮件均列为拒绝往来名单。浅层垃圾邮件行为解析由于内容过滤技术缺失较多，近来渐有开发商诉求垃圾邮件行为解析。特征：包含联机次数分析、发送IP地址、发送时间、发送频率、收件者数目、浅层电子邮件标头检查、发送行为侦测与检验Handshaking连线阶段信息。技术缺失：仅由浅层邮件行为解析无法全面防堵多数垃圾邮件，因此采用此技术的开发者多诉求整合内容过滤、黑名单分享与各式演算技术，为四层至十层过滤网，仍然非决定性过滤方式，更无法独立单机作业达到高效垃圾邮件阻挡率。各式演算技术：知名技术如贝式算法、正负分演算与鸡尾酒过滤。贝式算法：透过机率统计的分析，达到最小误判。正负分演算：以正面关键词为正分，负面关键词为负分，并订定达特定分数者为垃圾邮件。「道高一尺、魔高一丈」，有心滥发者只要内容撰写正常，「正分文字」超过「负分文字」，就可以轻松躲过这类权重计算产品。鸡尾酒过滤法：为混合式复杂运算的过滤法，以达到最小误判。综上所述，市场上何以有如此众多演算技术，系由于上述过滤技术无法精准且效率判定垃圾邮件，因此发展出复杂的各式算法以降低误判可能性，导入后却可能带来两大缺点造成庞大的系统管理负担：庞大的数据库与繁复运算技术，耗费系统效能至金巨，造成垃圾防堵设备后方的邮件服务器负担加重，时有邮件队列壅塞之虞；要维持长效的阻隔率，关键词数据库必需时时更新，且管理人员必需持之以恒地进行关键词设定与政策调校。五应用实例AFS华硕邮件过滤先锋技术AFS可对邮件附档内文，进行多重条件式过滤，精确扫描附档类型，判断分析档案类型，完整扫描邮件和邮件附档全文，是企业过滤、审核、前稽核，预防泄密与资讯风险控管的最佳利器。AFS是企业邮箱的防火墙，将互联网上的垃圾邮件、病毒邮件、钓鱼邮件、DoS攻击等恶意攻击都阻绝在外，提供企业更全面而且完善的邮件安全防护，还您一个安全、干净、高效的邮箱环境

AFS采用网关架构建置于邮件系统前端，可搭配市面上所有电子邮件系统，整合既有的邮箱帐号，让管理者轻松导入防护系统，瞬间启动最高防护效能。AFS提供简单易用的Web接口及快速向导功能，使用者只需按照向导指引，三步轻松完成系统整合，以最低的成本打造最高效能的企业邮箱环境。华硕邮件过滤先锋与全球知名Anti-Spam软件开发商Openfind合作，搭配已获全球知名大厂认可采用的内容分析核心及行为分析引擎，并拥有强大中英文信内容过滤机制为企业建构实时、安全之「双核心邮件防护系统」。AFS为了提高广告信判断的效率、降低系统资源与宽带的消耗，AFS在SMTP联机的阶段就可以直接阻挡大量的广告信。即使是在内文格式检查的阶段，只要AFS比对黑白名单、确认信件是广告信或是正常信之后，就会直接跳出过滤的流程，将信传送给后方的邮件主机，而不需继续往下通过重重的过滤机制。AFS内建多层式过滤核心引擎，透过系统完整的防护功能可有效防阻垃圾信件，独特大量信息比对技术更可在巨量信件传输情况下，不影响正常信件收发。E由仲服金器有?喘，遮回碧件军破掘首逊霸先疆行为分析中附卷旱E由仲服金器有?喘，遮回碧件军破掘首逊霸先疆行为分析中附卷旱名单网场¥白害!ftDOS防职场I寄件人黑白名单PJSMfcU制

BnyeatanFiller以下为AFS的过滤流程图，透过接下来的特色说明，对AFS如何有效防阻垃圾信，会有更进一步的认识。2邮件过滤稽核机制有更进一步的认识。2邮件过滤稽核机制华硕邮件过滤先锋可弹性依据企业/部门邮件政策，将符合稽核条件的对内或对外邮件，留置在隔离区或是进入内部审查流程。并可针对邮件附档内文，进行多重条件式过滤，精确扫描附档类型，判断分析档案类型，完整扫描邮件和邮件附档全文。于稽核前后，亦可选择是否提供通知信件给信件寄件者。是企业过滤、审核、前稽核，预防泄密与资讯风险控管的最佳利器。宜捶州酷■揶骨期核，盅捐通知北许伟最，退回信样4配合政箫执行幼咋配合政策执行劫作隔离中宜捶州酷■揶骨期核，盅捐通知北许伟最，退回信样4配合政箫执行幼咋配合政策执行劫作隔离中■ClCO-HlIfl9-tzr禹搂地隆,邮件申槎•监控诵知n具fffi、一件憧送,晅回信件3.SMTP实时联机防制机制华硕邮件过滤先锋依照垃圾信寄信行为，开发SMTP实时联机防制机制，例如:DynamicIP、IP黑名单、来源网域黑名单、RBL黑名单、非本系统收件人等异常信件，皆可于SMTP联机阶段直接判断处理，不用等到垃圾信件内容全部进入系统后才能进行内容比对。根据测试，SMTP防制机制可在第一时间自动侦测并过滤60%以上的不正常联机，不让非法信件占用系统宽带与服务器储存空间，大幅节省宽带与硬件投资费用。DoS(DenialofService)攻击防护机制阻断服务(DenialofService，简称DoS)是邮件服务器最容易遇到的攻击方式之一。某些有心人士会在短时间内产生大量联机，让邮件服务器无法实时处理。使用者可能会发现邮件服务器的收发信速度非常慢，甚至会无法联机，最后造成正常的使用者无法使用邮件服务。为了维持系统稳定运作，AFS提供了DoS攻击防护功能，在SMTP收信端可依单位时间内的「联机频率」、「联机次数」或「同时联机数」，实时阻挡不正当的发信来源，减少垃圾信进入与攻击行为。范例：如果在600秒内联机超过200次，则拒绝联机3600秒，或是如果在1800秒内有50个错误收件人，则拒绝联机3600秒，可依贵单位实际需求进行弹性调整。DoS防番说置防御类型：C■关闭此功能⑦依连接频率。依连接次数O依同时连接数携行参数：连接IP源，在I&T*内,连接超过印口二火,则拒绝连接|3印。版，或在|1吧上俩:有国甲错误收件人，则拒绝连搂I迎口I标回复设置5弹性的帐号整合认证基于AFS与后方的邮件主机均属于同一电子邮件系统的考虑，双方是共同运作且紧密相连的，因此AFS在收到每封信时，都必须先确认收件人是否为后方邮件主机上的合法帐号，若否将会直接拒收，避免无人收取的信件进入系统占用资源并且影响系统安全。6多层式内容过滤机制多层式内容过滤机制主要是针对信件的内文作判断过滤，涵盖高效能黑白名单、智能型大量网址数据库、贝式自动学习数据库、精确与模糊内容过滤、关键词相关比对等多层次过滤功能，黑白名单比对核心采用自行研发之巨量黑白名单比对核心模块，并非使用一般SQL数据库，即使在巨量规模（例如