hcnp security v20cssn第五章垃圾邮件过滤技

修订记录课程编码适用产品产品版本课程版本ISSUEHC120305UTM产品V3R1V1.0开发/优化者时间审核人开发类型（新开发/优化）余雷2012/08/24姚传哲升级优化本页不打印第五章垃圾邮件过滤技术目标学完本课程后，您将能够:了解垃圾邮件的基本概念；了解垃圾邮件的产生及危害；熟悉垃圾邮件过滤技术原理；掌握垃圾邮件过滤技术应用。目录垃圾邮件介绍垃圾邮件过滤技术介绍RBL邮件过滤技术邮件内容过滤技术垃圾邮件过滤技术应用电子邮件基本概念电子邮件是—种通过网络提供信息交换的通信方式。完整的电子邮件一般包括邮件地址、主题、正文、附件。SMTPPOP3MUAMTA电子邮件基本原理一封电子邮件的发送过程如下图所示：SMTPDNS

MX发件人收件人DNS服务器用户代理Outlook本地MTA

远端MTA

用户代理OutlookSMTPPOP3垃圾邮件的定义垃圾邮件是包括下述属性的电子邮件：收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件；收件人无法拒收的电子邮件；隐藏发件人身份、地址、标题等信息的电子邮件；含有虚假的信息源、发件人、路由等信息的电子邮件。携带病毒和木马的邮件也是垃圾邮件！垃圾邮件产生原因经济利益的驱动；SMTP协议缺陷；开放的互联网；无意导致的误发送。垃圾邮件产生原因经济利益的驱动；SMTP协议缺陷；开放的互联网；无意导致的误发送。垃圾邮件的发送手段通过各种方法（购买，偷窃）获取接收人列表使用专门的服务器来发送垃圾邮件通过破解等黑客手段挟持他人服务器或者主机来发送垃圾邮件破解他人的社交网络帐号来发送垃圾邮件综合运用多种躲避垃圾邮件检查的手段互联网垃圾邮件现状垃圾邮件占总邮件数量的比例大约在80%-90%。垃圾邮件占用了大量的网络资源和存储空间垃圾邮件浪费了邮件使用者的宝贵时间由于钓鱼等行为的存在，垃圾邮件严重影响了信息安全。Page10垃圾邮件的危害降低生产力被黑客利用损害ISP品牌形象危害社会垃圾邮件主要类型在这些类型的垃圾邮件中，目前尤以病毒邮件居多，高达40%以上。病毒和木马邮件商业宣传邮件政治宣传邮件色情宣传邮件@邮件服务器垃圾邮件垃圾邮件技术分析动态IP动态内容分布式发送结合病毒特性垃圾邮件多采用IP地址或域名变换技术，达到欺骗反垃圾邮件系统的目的。关键字动态变化采用附件代替文本内容信头、正文动态变化内容图片化采用分布式的发送方式，以防止地址或域名屏蔽。结合蠕虫病毒的自动传播机制，实现垃圾邮件的大量发送。目录垃圾邮件介绍垃圾邮件过滤技术介绍RBL邮件过滤技术邮件内容过滤技术垃圾邮件过滤技术应用常见的垃圾邮件过滤技术统计法列表法源头法其它贝叶斯静态黑名单SenderID内容过滤带宽/连接限制静态白名单Domainkeys图片识别技术邮件数量限制RBLSPF意图分析技术信誉评级垃圾邮件过滤技术——统计法贝叶斯算法基于统计方法，采用标记权重的方式，根据对已知的垃圾邮件和非垃圾邮件为样本进行的内容分析和统计来计算下一封邮件为垃圾邮件的概率，生成过滤规则；连接/带宽统计通过统计单位时间内某固定IP地址试图连接的数量是否在预定范围，或限制有效带宽实现反垃圾邮件。邮件数量限制限制单个IP在单位时间内可发送的邮件数量。信誉评分技术基于统计的技术，采用信誉评级的方法实现邮件等级定义。垃圾邮件过滤技术——列表法DNS-RBLs技术通过域名反向解析检查所收到邮件的IP地址与其名称是否一致，该技术对于使用虚假IP发送的垃圾邮件有较好的过滤效果。静态黑名单通过配置静态黑名单对垃圾邮件进行过滤，但该方法对于IP地址、域名变换技术并无效果，因此在实际网络中并未采用。静态白名单通过设置可信名单的方式实现，同样有静态黑名单方法的问题。垃圾邮件过滤技术——源头法SenderID该方案为Microsoft提出，并得到多数网络厂商支持，但并未通过IETF。该技术完全依赖于DNS特性，因此容易遭受攻击。SPF技术SPF是发送方策略框架(SenderPolicyFramework)的缩写，其目的用于防止伪造邮件地址。Domainkeys采用验证邮件发件人是否与其声称的邮件域一致，并验证邮件的完整性。该技术为一种公钥+私钥的签名技术。垃圾邮件过滤技术——其他多重图片识别技术识别通过图片进行隐藏的垃圾邮件。意图分析技术邮件动机分析技术。内容过滤通过分析邮件的内容采用关键字过滤方法。目录垃圾邮件介绍垃圾邮件过滤技术介绍RBL邮件过滤技术邮件内容过滤技术垃圾邮件过滤技术应用RBL邮件过滤RBL（Real-timeBlackholeList），即反垃圾邮件RBL通过定义一个黑名单列表，在该列表中的IP地址对外发布的邮件即为垃圾邮件。提供RBL服务的机构会实时更新黑名单列表来保证可以过滤最新的垃圾邮件。RBL过滤只支持对SMTP协议传输的邮件进行过滤。RBL应用场景及工作流程TRUST收件人内部SMTP服务器DMZ外部SMTP服务器DNS服务器RBL服务器①②③④⑤⑥USGRBL过滤的列表本地白名单本地黑名单远程实时黑名单X.X.X.X.RBL过滤的响应方式告警（Alert）正常转发邮件，并发出日志告警信息。阻断（Block）阻断邮件，并发出日志告警信息。目录垃圾邮件介绍垃圾邮件过滤技术介绍RBL邮件过滤技术邮件内容过滤技术垃圾邮件过滤技术应用邮件内容过滤带来的价值邮件内容过滤特性从邮件中提取邮件要素并对其进行过滤，消除其带来的内容安全威胁，给用户带来如下价值：防信息泄露屏蔽敏感信息和反动言论收发邮件权限控制防带宽过度占用Webmail邮件过滤Webmail邮件内容过滤是指当内网用户通过电子邮箱收发邮件时，对邮件地址、主题、正文、附件大小和数量、附件名或附件扩展名进行监控。TRUST内网用户Webmail服务器USGInternet首先完成webmail服务器登录内网用户发送不符合配置要求的邮件，将被阻断。×SMTP/POP3邮件过滤SMTP/POP3邮件内容过滤是指当内网用户通过邮件客户端收发邮件时，对邮件地址、标题、正文、附件大小和数量、附件名或附件扩展名进行监控。TRUST内网用户Webmail服务器USGInternet×内网用户发送不符合配置要求的邮件，将被阻断。Outlook客户端邮件内容过滤方式过滤配置项匹配方式引用的公共模式组类型收件人或发件人邮件地址前缀/后缀/任意/精确邮件地址邮件主题邮件正文附件名任意关键字附件扩展名（文件扩展名）精确文件扩展名附件大小直接配置，不引用公共模式组-附件数量直接配置，不引用公共模式组-目录垃圾邮件介绍垃圾邮件过滤技术介绍RBL邮件过滤技术邮件内容过滤技术垃圾邮件过滤技术应用邮件过滤配置思路开始结束配置邮件过滤全局参数（可选）创建本地黑白名单（可选）配置自定义策略（可选）应用邮件过滤（必选）配置邮件过滤策略（必选）配置预定义策略（可选）应用邮件过滤策略（必选）配置垃圾邮件过滤全局参数启用垃圾邮件过滤功能启用白名单启用黑名单查询垃圾邮件服务器的DNS地址192.168.2.0/24①②③创建本地白名单点击新建白名单输入符合白名单列表的IP地址及掩码①②192.168.2.0/24③创建本地黑名单点击新建黑名单输入符合黑名单列表的IP地址及掩码②192.168.3..0/24③①配置预定义策略阻断：阻断邮件传输告警：不阻断邮件传输，但是会产生告警①②③④⑤配置自定义策略自定义策略名称及描述应用后继续配置自定义策略参数①②③配置自定义策略（续）垃圾邮件服务器查询集合：RBL请求的查询集合用来定位RBL服务器。应答码：设备将匹配到应答码的邮件作为垃圾邮件进行过滤。①②③⑤④配置邮件过滤策略启用邮件过滤配置邮件过滤策略①②③⑤④配置邮件过滤策略（续）①②③⑥④⑤配置邮件地址（收件人、发件人）过滤①②③④⑤⑥⑦⑧配置邮件主题、正文过滤和附件类型过滤①②⑥③④⑤配置附件个数和附件大小过滤①②③应用邮件过滤策略①②③④总结垃圾邮件的基本概念；垃圾邮件的产生及危害；垃圾邮件过滤技术原理；垃圾邮件过滤技术应用。思考题单选题下列反垃圾邮件技术中，属于采用统计方法的是？

A