垃圾郵件防護系統(tǒng)分析與應(yīng)用方法

垃圾郵件防護系統(tǒng)分析與應(yīng)用方法【內(nèi)容提要】：隨著聯(lián)機上網(wǎng)費用日趨便宜，發(fā)送電子郵件廣告幾近零成本又有利可圖，因此造成垃圾郵件如今日混亂猖獗的現(xiàn)況。針對這種問題，許多公司研究出許多垃圾郵件防護和過濾機制產(chǎn)品，本文將對垃圾郵件的有關(guān)防護過濾技術(shù)和解決方法作一個基本介紹?！娟P(guān)鍵詞】：垃圾郵件、郵件防護、技術(shù)分析、AFS、華碩、過濾、機制隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，E-mail信息的傳播達到了前所未有的廣度和深度。同時不請自來的電子郵件也以各種形式闖入我們的郵箱-商品推銷、詐騙、政治或宗教抨擊、病毒載體以及無法歸類的稀奇古怪的形式。有些人每天甚至要收到100到200封這樣的垃圾電子郵件（甚至更多）。因為更多的人開始使用英特網(wǎng)的關(guān)系（自因特網(wǎng)建立以來，人數(shù)飛速增長），對于商人、小販、想入非非者以及蓄意破壞者而言，可以無償?shù)芈?lián)系到數(shù)目巨大的各類人，誘惑力變得難以抵擋，自此大量的垃圾郵件在世界的各個角落產(chǎn)生，并瞬間傳遞到世界其他任何地方，這種費時且消耗CPU的破壞行為迅速對經(jīng)濟產(chǎn)生了極大的負面影響。現(xiàn)今越來越多的人開始意識到垃圾郵件的傳遞所帶來的嚴重后果，并不斷提出防治的新需求。一垃圾郵件的定義一封完整的電子郵件包含以下項目：郵件信封MailEnvelope、郵件標題MailHeader、郵件本文MailBody與郵件附禧MailAttachment。電子郵件傳輸處理分為兩階段：郵件傳輸代理MailTransferAgent簡稱MTA），例如郵件服務(wù)器，以及與郵件使用代理MailUserAgent（簡稱MUA），例如Outlook或OutlookExpress0如果以郵件內(nèi)容定義垃圾郵件，容易隨個人主觀認定而異；對銀行業(yè)、娛樂業(yè)，廣告業(yè)而言，包含其他銀行貸款廣告、色情廣告的郵件，可能是種具有價值的市場資訊，而非垃圾郵件；因此，必需依郵件行為始能，依眾人認知、法律規(guī)范與國際法規(guī)逐一精確定義何為垃圾郵件。眾人認知：不請自來、來路不明、無法拒絕之郵件。法律規(guī)范：造成騷擾、匿名文書或嫁禍他人之郵件。國際法規(guī)：2003年底美國立法明定「CanSpam」垃圾郵件法規(guī)「CanSpam」字面表示可以「Spam」，惟有「但書」，寄件者必須表明身分，讓收件者可以追溯來源不可以匿名、偽造，或者刻意隱匿或篡改資訊等行為發(fā)送電子郵件；發(fā)送方式方式不可為垃圾郵件濫發(fā)者（Spammer）慣用之垃圾郵件濫發(fā)方式或程式，如借用郵件代替（OpenRelay）、出現(xiàn)過多郵件轉(zhuǎn)（Received）或機器自動發(fā)送，以及不斷嘗試各種進入企業(yè)信箱方法等，必須提供收件者「選擇權(quán)」，具有「取消訂閱」機制。綜上所述，垃圾郵件之所以惱人并不是因為內(nèi)容無趣不吸引人，而在于大量濫發(fā)，任意長驅(qū)直入收信者電子郵件信箱。二郵件信息安全的影響郵件是當前企業(yè)主要商務(wù)往來的溝通工具，根據(jù)Gartner去年調(diào)查顯示，每400封信件當中，就有一封就隱含著機密信息。這些機密信息包含企業(yè)內(nèi)部溝通與外部往來的信件，例如行政公告、業(yè)務(wù)信件、研發(fā)數(shù)據(jù)或重要政策命令等。而在美國Brockmann&Company研究顧問公司的2007年8月的調(diào)查顯示，有近36%企業(yè)的Email曾經(jīng)遺失或發(fā)生延遲，更發(fā)生平均超過40次的郵件重寄或誤判，造成企業(yè)成本提高。根據(jù)法務(wù)部調(diào)查局資安鑒識實驗室表示，無論是民事或刑事訴訟，左證數(shù)據(jù)必須先通過「真實性」要件的檢驗。簡而言之就是證明真有其證物，但多數(shù)企業(yè)往往只著重系統(tǒng)還原(SystemRecovery)，卻忽略數(shù)字證據(jù)的保存流程，往往造成舉證成本提高。因此數(shù)字證據(jù)的保全，不只要求保存作業(yè)流程，更著重于調(diào)閱復原。隨著防制數(shù)據(jù)外泄(DataLeakPrevention,DLP)的觀念日益普及，企業(yè)更需要落實安全稽核管理，完整保護企業(yè)的數(shù)字資產(chǎn)。三什么是郵件防護根據(jù)2006年IDC「企業(yè)安全調(diào)查」指出，包含病毒、垃圾郵件等安全內(nèi)容管理SCM)，仍是企業(yè)認為最嚴重的資安威脅。這聽起來像是平常的消息報導卻正是全球所有企業(yè)主所必須正視的挑戰(zhàn)，且比以往更加險峻。這不僅局限于垃圾郵件，包含釣魚郵件、木馬、蠕蟲、間諜程序、網(wǎng)絡(luò)型病毒、網(wǎng)絡(luò)黑客的威脅等也都變本加厲不斷變形為更難辨識的樣貌，其中以結(jié)合病毒的垃圾郵件變形影響最為全面。垃圾郵件發(fā)送者不再只是單純的發(fā)送文字或圖片化的垃圾郵件，反之發(fā)送帶有間諜僵尸程序的垃圾郵件，利用被病毒控制的僵尸計算機網(wǎng)絡(luò)來當作攻擊或發(fā)送垃圾郵件的中繼站，這意味有許多垃圾郵件是由許多不知情的用戶計算機所發(fā)送的，目前全球正以每日25萬臺的速度再增加。雖然目前有關(guān)圖片式垃圾郵件的話題不斷，但必須注意的是這股熱潮僅是眾多混合式攻擊的其中一種。面對郵件安全層出不窮的信息威脅和翻成出新的發(fā)送技術(shù)，企業(yè)主必須更全面的思考導入方案的防護效能。根據(jù)ForresterResearch調(diào)查報告指出，35%的企業(yè)懷疑員工會透過電子郵件泄漏機密數(shù)據(jù)，其中外寄郵件中有高達25%的信件帶有財務(wù)或法律性的管理風險。由此可見，郵件安全僅單單被動防護外對內(nèi)(Incoming)信息傳遞所造成的可能威脅是不夠的，更應(yīng)主動控管來自于內(nèi)對外(Outgoing)訊息往來的潛藏危機。同時，企業(yè)在考慮郵件防護安全架構(gòu)時，也需評估郵件監(jiān)察(EmailSupervision)的應(yīng)用概念，同時結(jié)合郵件主動防護(EmailActiveProtection)＞郵件政策執(zhí)行(MailPolicyEnforcement)與郵件稽核(MailAudit)，才能有效達到全方位郵件防護的目的。四.一般垃圾郵件防堵技術(shù)分析垃圾郵件防堵技術(shù)分為兩個層面：辨識與判斷。常見的垃圾郵件辨識技術(shù)包含內(nèi)容過濾掃描、黑名單與淺層垃圾郵件行為解析。由于上述技術(shù)具不確定性與非精確性，需要進行數(shù)學統(tǒng)計運算以判斷一封電子郵件是垃圾郵件的可能性，因而衍生出市面上紛歧但實則大同小異的垃圾郵件防堵技術(shù)，比較分析如下：內(nèi)容過濾掃描技術(shù)特征：根據(jù)系統(tǒng)開發(fā)者所認定的「垃圾郵件關(guān)鍵詞眼」判斷垃圾郵件；而郵件內(nèi)容依IETF/RFC規(guī)定，為MUA如OutlookExpress處理；因此內(nèi)容過濾掃描技術(shù)如同郵件病毒掃描，需建立龐大的「垃圾郵件關(guān)鍵詞」數(shù)據(jù)庫。技術(shù)缺點：以此方式掃描往來電子郵件往往耗費大量CPU資源，且無法掃出JEPG、如果遇到濫發(fā)者攻擊，每10分鐘傳送100封大型攻擊郵件，會造成郵件隊列、系統(tǒng)效能低落。再者，在這類機制下，各家廠商宣稱語意分類為六種、十種或十六種不等，收集各國語言四國、十六國或三十二國不等；這類技術(shù)要做到垃圾郵件阻擋，必須每日不斷更新數(shù)據(jù)庫，研究各種文字變形，以極受限于語言與系統(tǒng)仿真誤差。啟發(fā)式語意學習技術(shù)特征：啟發(fā)式語意學習技術(shù)乃內(nèi)容過濾掃描技術(shù)的進階，所謂啟發(fā)式技術(shù)為告知計算機「具特定特征」的郵件為垃圾郵件，亦即累積特定數(shù)量的垃圾郵件以后，該技術(shù)自動記憶新增的垃圾郵件特征，并加入其關(guān)鍵詞數(shù)據(jù)庫。技術(shù)缺失：以啟發(fā)式語意學習技術(shù)固然可彌補數(shù)據(jù)庫不不足，然而此舉只能被動響應(yīng)垃圾郵件層出不窮的濫發(fā)手法。LinuxOpenSource特征：部份產(chǎn)品采用免費的LinuxOpenSource軟件并建立使用者管理介面予以商品化，其中以SpamAssasin為最。黑名單分享特征：為最早的垃圾郵件反制技術(shù)，名列黑名單數(shù)據(jù)庫者多以濫發(fā)郵件或允許代轉(zhuǎn)所有郵件（即OpenRelay）而遭檢舉?？稍诼?lián)機初期直接阻斷來信，較內(nèi)容過濾掃描技術(shù)而言具決定性且不耗費系統(tǒng)資源。技術(shù)缺失：依賴社群檢舉與統(tǒng)計，無公正性；部份黑名單數(shù)據(jù)庫甚至將來自亞洲多數(shù)國家的電子郵件均列為拒絕往來名單。淺層垃圾郵件行為解析由于內(nèi)容過濾技術(shù)缺失較多，近來漸有開發(fā)商訴求垃圾郵件行為解析。特征：包含聯(lián)機次數(shù)分析、發(fā)送IP地址、發(fā)送時間、發(fā)送頻率、收件者數(shù)目、淺層電子郵件標頭檢查、發(fā)送行為偵測與檢驗Handshaking連線階段信息。技術(shù)缺失：僅由淺層郵件行為解析無法全面防堵多數(shù)垃圾郵件，因此采用此技術(shù)的開發(fā)者多訴求整合內(nèi)容過濾、黑名單分享與各式演算技術(shù)，為四層至十層過濾網(wǎng)，仍然非決定性過濾方式，更無法獨立單機作業(yè)達到高效垃圾郵件阻擋率。各式演算技術(shù)：知名技術(shù)如貝式算法、正負分演算與雞尾酒過濾。貝式算法：透過機率統(tǒng)計的分析，達到最小誤判。正負分演算：以正面關(guān)鍵詞為正分，負面關(guān)鍵詞為負分，并訂定達特定分數(shù)者為垃圾郵件?！傅栏咭怀摺⒛Ц咭徽伞?，有心濫發(fā)者只要內(nèi)容撰寫正常，「正分文字」超過「負分文字」，就可以輕松躲過這類權(quán)重計算產(chǎn)品。雞尾酒過濾法：為混合式復雜運算的過濾法，以達到最小誤判。綜上所述，市場上何以有如此眾多演算技術(shù)，系由于上述過濾技術(shù)無法精準且效率判定垃圾郵件，因此發(fā)展出復雜的各式算法以降低誤判可能性，導入后卻可能帶來兩大缺點造成龐大的系統(tǒng)管理負擔：龐大的數(shù)據(jù)庫與繁復運算技術(shù)，耗費系統(tǒng)效能至金巨，造成垃圾防堵設(shè)備后方的郵件服務(wù)器負擔加重，時有郵件隊列壅塞之虞；要維持長效的阻隔率，關(guān)鍵詞數(shù)據(jù)庫必需時時更新，且管理人員必需持之以恒地進行關(guān)鍵詞設(shè)定與政策調(diào)校。五應(yīng)用實例AFS華碩郵件過濾先鋒技術(shù)AFS可對郵件附檔內(nèi)文，進行多重條件式過濾，精確掃描附檔類型，判斷分析檔案類型，完整掃描郵件和郵件附檔全文，是企業(yè)過濾、審核、前稽核，預防泄密與資訊風險控管的最佳利器。AFS是企業(yè)郵箱的防火墻，將互聯(lián)網(wǎng)上的垃圾郵件、病毒郵件、釣魚郵件、DoS攻擊等惡意攻擊都阻絕在外，提供企業(yè)更全面而且完善的郵件安全防護，還您一個安全、干凈、高效的郵箱環(huán)境

AFS采用網(wǎng)關(guān)架構(gòu)建置于郵件系統(tǒng)前端，可搭配市面上所有電子郵件系統(tǒng)，整合既有的郵箱帳號，讓管理者輕松導入防護系統(tǒng)，瞬間啟動最高防護效能。AFS提供簡單易用的Web接口及快速向?qū)Чδ埽褂谜咧恍璋凑障驅(qū)е敢?，三步輕松完成系統(tǒng)整合，以最低的成本打造最高效能的企業(yè)郵箱環(huán)境。華碩郵件過濾先鋒與全球知名Anti-Spam軟件開發(fā)商Openfind合作，搭配已獲全球知名大廠認可采用的內(nèi)容分析核心及行為分析引擎，并擁有強大中英文信內(nèi)容過濾機制為企業(yè)建構(gòu)實時、安全之「雙核心郵件防護系統(tǒng)」。AFS為了提高廣告信判斷的效率、降低系統(tǒng)資源與寬帶的消耗，AFS在SMTP聯(lián)機的階段就可以直接阻擋大量的廣告信。即使是在內(nèi)文格式檢查的階段，只要AFS比對黑白名單、確認信件是廣告信或是正常信之后，就會直接跳出過濾的流程，將信傳送給后方的郵件主機，而不需繼續(xù)往下通過重重的過濾機制。AFS內(nèi)建多層式過濾核心引擎，透過系統(tǒng)完整的防護功能可有效防阻垃圾信件，獨特大量信息比對技術(shù)更可在巨量信件傳輸情況下，不影響正常信件收發(fā)。E由仲服金器有?喘，遮回碧件軍破掘首遜霸先疆行為分析中附卷旱E由仲服金器有?喘，遮回碧件軍破掘首遜霸先疆行為分析中附卷旱名單網(wǎng)場￥白害!ftDOS防職場I寄件人黑白名單PJSMfcU制

BnyeatanFiller以下為AFS的過濾流程圖，透過接下來的特色說明，對AFS如何有效防阻垃圾信，會有更進一步的認識。2郵件過濾稽核機制有更進一步的認識。2郵件過濾稽核機制華碩郵件過濾先鋒可彈性依據(jù)企業(yè)/部門郵件政策，將符合稽核條件的對內(nèi)或?qū)ν忄]件，留置在隔離區(qū)或是進入內(nèi)部審查流程。并可針對郵件附檔內(nèi)文，進行多重條件式過濾，精確掃描附檔類型，判斷分析檔案類型，完整掃描郵件和郵件附檔全文。于稽核前后，亦可選擇是否提供通知信件給信件寄件者。是企業(yè)過濾、審核、前稽核，預防泄密與資訊風險控管的最佳利器。宜捶州酷■揶骨期核，盅捐通知北許偉最，退回信樣4配合政簫執(zhí)行幼咋配合政策執(zhí)行劫作隔離中宜捶州酷■揶骨期核，盅捐通知北許偉最，退回信樣4配合政簫執(zhí)行幼咋配合政策執(zhí)行劫作隔離中■ClCO-HlIfl9-tzr禹摟地隆,郵件申槎?監(jiān)控誦知n具fffi、一件憧送,晅回信件3.SMTP實時聯(lián)機防制機制華碩郵件過濾先鋒依照垃圾信寄信行為，開發(fā)SMTP實時聯(lián)機防制機制，例如:DynamicIP、IP黑名單、來源網(wǎng)域黑名單、RBL黑名單、非本系統(tǒng)收件人等異常信件，皆可于SMTP聯(lián)機階段直接判斷處理，不用等到垃圾信件內(nèi)容全部進入系統(tǒng)后才能進行內(nèi)容比對。根據(jù)測試，SMTP防制機制可在第一時間自動偵測并過濾60%以上的不正常聯(lián)機，不讓非法信件占用系統(tǒng)寬帶與服務(wù)器儲存空間，大幅節(jié)省寬帶與硬件投資費用。DoS(DenialofService)攻擊防護機制阻斷服務(wù)(DenialofService，簡稱DoS)是郵件服務(wù)器最容易遇到的攻擊方式之一。某些有心人士會在短時間內(nèi)產(chǎn)生大量聯(lián)機，讓郵件服務(wù)器無法實時處理。使用者可能會發(fā)現(xiàn)郵件服務(wù)器的收發(fā)信速度非常慢，甚至會無法聯(lián)機，最后造成正常的使用者無法使用郵件服務(wù)。為了維持系統(tǒng)穩(wěn)定運作，AFS提供了DoS攻擊防護功能，在SMTP收信端可依單位時間內(nèi)的「聯(lián)機頻率」、「聯(lián)機次數(shù)」或「同時聯(lián)機數(shù)」，實時阻擋不正當?shù)陌l(fā)信來源，減少垃圾信進入與攻擊行為。范例：如果在600秒內(nèi)聯(lián)機超過200次，則拒絕聯(lián)機3600秒，或是如果在1800秒內(nèi)有50個錯誤收件人，則拒絕聯(lián)機3600秒，可依貴單位實際需求進行彈性調(diào)整。DoS防番說置防御類型：C■關(guān)閉此功能⑦依連接頻率。依連接次數(shù)O依同時連接數(shù)攜行參數(shù)：連接IP源，在I&T*內(nèi),連接超過印口二火,則拒絕連接|3印。版，或在|1吧上倆:有國甲錯誤收件人，則拒絕連摟I迎口I標回復設(shè)置5彈性的帳號整合認證基于AFS與后方的郵件主機均屬于同一電子郵件系統(tǒng)的考慮，雙方是共同運作且緊密相連的，因此AFS在收到每封信時，都必須先確認收件人是否為后方郵件主機上的合法帳號，若否將會直接拒收，避免無人收取的信件進入系統(tǒng)占用資源并且影響系統(tǒng)安全。6多層式內(nèi)容過濾機制多層式內(nèi)容過濾機制主要是針對信件的內(nèi)文作判斷過濾，涵蓋高效能黑白名單、智能型大量網(wǎng)址數(shù)據(jù)庫、貝式自動學習數(shù)據(jù)庫、精確與模糊內(nèi)容過濾、關(guān)鍵詞相關(guān)比對等多層次過濾功能，黑白名單比對核心采用自行研發(fā)之巨量黑白名單比對核心模塊，并非使用一般SQL數(shù)據(jù)庫，即使在巨量規(guī)模（例如