《XX企业防垃圾邮件项目技术方案》由会员分享,可在线阅读,更多相关《XX企业防垃圾邮件项目技术方案(27页珍藏版)》请在金锄头文库上搜索。
1、北京赛门铁克信息技术有限公司 企业防垃圾邮件项目技术方案北京赛门铁克信息技术有限公司 2004年11月目 录目 录21.前 言42.垃圾邮件分析42.1.什么是垃圾邮件42.2.垃圾邮件的危害63.企业防垃圾邮件解决方案73.1.企业网络现状分析73.2.防垃圾邮件技术分析73.3.防垃圾邮件产品选择标准113.4.防垃圾邮件在电信行业中的运用123.4.1.生产运营网133.4.2.IDC网络133.4.3.客户服务系统133.4.4.OA系统143.5.Symantec Anti Spam Brightmail 6.0143.5.1.高效性和实时性143.5.2.多层过滤技术163.5.3
2、.Symantec Brightmail 可信度服务173.5.4.启发式过滤器183.5.5.邮件头过滤193.5.6.BrightSig2 过滤器193.5.7.附件签名技术203.5.8.URL过滤器203.5.9.过滤非英语类垃圾邮件213.5.10.内容过滤及其他管理工具223.5.11.过滤器分发与引擎更新223.6.企业防垃圾邮件产品部署方式233.7.企业防垃圾邮件产品服务器硬件选择263.7.1.企业邮件系统规模分析263.7.2.企业防垃圾邮件服务器配置列表273.8.企业Brightmail产品配置列表273.9.Brightmail培训内容274.Symantec公司介
3、绍271. 前 言 在这个技术爆炸的时代,信息技术革命强烈地改变着世界,计算机产业的蓬勃发展给我国带来了巨大的机遇和挑战,尤其是网络技术的广泛应用,模糊了国与国之间的边界,缩短了人们之间的距离。 目前看来,Internet主干网的通信速度已经大幅度提高,从最初的几兆发展到目前的万兆甚至十万兆。网络带宽的提高使用户能够在Internet中选择更多的应用和服务。有线、无线等多种通信方式广泛、有效地融为一体; Internet的商业化应用大量增加,商业应用的范围也不断扩大;网络技术不断发展,用户界面更加友好;各种令人耳目一新的使用方法不断推出,最新的发展包括实时图像和话音的传输。 各种信息技术的不断
4、发展为企业和最终用户带来了多种应用和功能,同时也带来了新的威胁和新的风险,垃圾邮件就是其中影响最广、危害最大的威胁和风险之一。2. 垃圾邮件分析2.1. 什么是垃圾邮件什么是垃圾邮件?垃圾邮件泛指未经请求而发送的电子邮件,如未经发件人请求而发送的商业广告或非法的电子邮件,甚至一些不存在的产品和服务或通过电子邮件来传播病毒.,垃圾邮件是某些想利用 Internet致富的人藉以散播广告或色情的媒介,传送邮件者只需极少的花费,即可造成收件者严重的损失:CPU及服务器硬盘、终端机用户硬盘都极有可能因SPAM影响速度和空间;除了使网络陷入动弹不得的境地外,更令人忧心的便是其夹带的病毒,将同时大量危害企业
5、网络。根据最新的调查报告显示,垃圾邮件在2001年还占所有电子邮件8,而在2004年,这个比例迅速上升到60。甚至有专家预言,在10年以后,整个互联网会由于垃圾邮件的泛滥而不堪重负,完全崩溃。我们无法想像大量未经许可的垃圾邮件继续泛滥发展,将给企业、个人用户造成多大的损失。 随着中国互联网建设的不断完善,中国在Internet中的地位不断提高,同时也成为各种垃圾邮件主要的发送和中转地区。根据IDC的估计,到目前为止,中国已经成为世界第二大垃圾邮件中转国家。而这些邮件大部分都发送到北美和欧洲。在2003年每天发往北美发出的垃圾邮件近80亿封,而在除北美之外的其他国家每天收到的垃圾邮件也接近60亿
6、封。而且近两年来垃圾邮件数量增长迅猛,由2002年的每天70亿封猛增到2004年的每天170亿封。到2005年非英语内容的垃圾邮件将超过英语内容的垃圾邮件达到每天110亿封,请参看下图1:图1:来自IDC的数据从出现的十多年来,垃圾邮件按照可预测的生命周期(分三个主要阶段)逐渐成熟起来。下图是对生命周期的大致概括: 持续的生命周期不断从形式和内涵上推动垃圾邮件的发展。随着反垃圾邮件过滤技术的增加以及垃圾邮件发送者不断寻求新技术和新机遇,垃圾邮件正在迅速成为一种愈来愈危险的现象。2.2. 垃圾邮件的危害对于企业和最终用户来说,庞大的垃圾邮件可能造成如下影响;1. 员工生产力降低。对于企业的内部员
7、工,如果每天都接受到大量的垃圾邮件,可能需要花费12个小时来区分和删除垃圾邮件。同时,用户可能在工作时间讨论和抱怨垃圾邮件,这些都极大的降低了员工的工作效率;2. 增加风险。非常多的垃圾邮件往往伴随着混合型威胁。近些年来爆发的网络天空(Netsky)、大无极(Sobig)、Mydoom等混合型威胁都随着垃圾邮件大量的扩散到世界各地。而且,随着越来越多的国家重视垃圾邮件,已经开始有国家将发送垃圾邮件的行为认定为违法行为,企业自觉、不自觉的发送垃圾邮件将有可能遭受到法律法规的风险。所有这一切都增加了企业所面临的安全风险;3. 增加不必要的成本。大量的垃圾邮件会消耗大部分网络带宽、CPU处理时间和应
8、对垃圾邮件管理员的薪水支出。作为企业来说,为了保证正常的工作运转,往往不得不购买额外的设备和主机来补充被垃圾邮件消耗掉的系统资源和网络带宽,给企业增加了很多不必要的成本。 而作为电信运营商和ISP,更应该肩负起防垃圾邮件的重任。由于电信运营商每天要转发海量的电子邮件给其他的服务提供商、公司组织和最终的邮件用户,这其中也包含大量的垃圾邮件。由于电信运营最接近垃圾邮件源,他们在阻挡、至少是减少垃圾邮件的战斗中处于独特的位置,他们可以通过采用相应的防垃圾邮件技术在这些垃圾邮件试图送入Internet之前就把其丢弃,而根本不转发这些垃圾邮件。(注:如果用户为ISP或者电信行业可添加如上一段文字)3.
9、企业防垃圾邮件解决方案3.1. 企业网络现状分析此处请详细描述企业的网络现状,尤其是邮件的入站和出站流过程。内容包括:企业的Internet连接情况,是否通过MTA网关中转邮件,最终邮件存储服务器(Message Storage Server),邮件系统的OS类型和版本,邮件系统本身的类型和版本,出站邮件与入站邮件是否通过同一路径进行传送等等。最好能够有网络拓扑图配合说明,网络拓扑图不需要描述全网的所有网络组件,重点突出邮件系统部分即可。3.2. 防垃圾邮件技术分析垃圾邮件从出现以来,已经经历了多种形态。从最初的简单ASC码类型的垃圾邮件到目前帐户欺骗、包含各种混合型威胁的垃圾邮件,垃圾邮件的
10、形式变化越来越快,隐秘型越来越高、影响和危害也越来越大,如下图所示: 回顾反垃圾邮件技术的发展历程,可以将其分为三个阶段: 触发阶段(1993年1997年):1994年12月,spam一词开始用于表示垃圾邮件;1995年10月,国际上开始为垃圾邮件设定专门的邮件帐户abusedomain,用于收集、讨论垃圾邮件;同时开始利用“黑名单”(把一些已知的发送垃圾邮件IP或邮件地址列入其中,用来过滤垃圾邮件)技术实施反垃圾邮件工作。 推进阶段(1997年1999年):1997年5月,国际上成立了CAUCE(Coalition Against Unsolicited Commercial E-mail)
11、组织,主要从倡议立法的角度出发,力图唤醒有志者共同参与,一起抵制垃圾邮件。1998年4月,Internet协会ISOC针对垃圾邮件问题召开了专项会议,讨论有效的实施垃圾邮件过滤方式等等。在这一阶段中,许多国际组织和服务单位例如MAPS、SPANHAUS、ORBSSPAMCOP也相继成立,对垃圾邮件问题(尤其是对ISP)提出了很多建议和解决方案。尤其重要的是,1998年我国成立了第一家开展垃圾邮件与反垃圾邮件技术研究单位“中国教育与科研网紧急响应小组(CCERT)”,他们积极地与国际组织接触并建立联系,成为这一阶段我国接受和处理国际投诉的主要窗口。 发展阶段(1999年2002年):1999年2
12、月,RFC2502,Anti-Spam Recommendations for SMTO MTAs的正式发布标志着反垃圾邮件技术研究的蓬勃发展。许多国际知名大学和研究机构都组织人员开始了反垃圾邮件技术的研究。随着反垃圾邮件理发和建立统一标准等工作的推进,这一研究领域更是吸引了许多从事交叉学科研究的技术人员的关注。机器学习、神经网络和遗传算法等先进的研究经验都被引入到这一领域。这一阶段的研究成果成为近几年国内外开发反垃圾邮件产品的主要技术依据。 为了能将垃圾邮件发送给最终用户,垃圾邮件发送者往往想方设法来逃避反垃圾邮件的过滤。其往往采用如下的规避手段:基于HTML的邮件内容变化 利用HTML来改
13、变邮件内容是垃圾邮件目前最新最有力的反过滤手段,根据2003年6月的调查结果,超过80%的成人内容垃圾邮件采取的是这种手段。对垃圾邮件来说,用这种方法可以:吸引注意 可通过Flash或语音等手段来迅速抓住接收者的注意力方便跟踪 往往一旦图片被下载,其内置的跟踪器可以使得垃圾邮件发送者确认目前邮件地址是否有效方便邮件内容随机化和混乱化 很容易通过加入虚假的HTML标签和HTML table等手段来随机化邮件内容由于采用HTML后可对邮件做无数的随机和混乱化,垃圾邮件发送者大量的采用这种方式来逃避邮件过滤。基于URL的伪造 垃圾邮件经常创建看上去正常的邮件正文和合法的URL链接,而实际上当用户相信
14、这是一个合法链接采取点击等后续动作时,却被链接到有问题的网址。通过Open Proxy来隐藏身份 垃圾邮件经常会通过Open Proxy(是错误配置或者被病毒所感染的机器,允许几乎所有的网络服务流量通过它来中继转发)来隐藏真实的IP地址等身份要素。Open Proxy并不同于常见的开放邮件中继(open smtp relay)。邮件中继有时在某些情况下需要使用,而且其隐藏发送源的能力也比较弱,绝大多数MTA(邮件传输代理)都会在中继邮件前加上Received域,使得原始的发送源包含在该字段里。而Open Proxy允许几乎所有的机器共享它的因特网连接,完全转换为Proxy本身的地址来通过HTTP POST方式来向外部邮件服务器的25端口递交邮件内容,这使得接收者不可能发现真正的原始发送源,因此大多数垃圾邮件都是通过Open Proxy的方式来发送的。目前的防垃圾邮件技术包括: 实时黑名单技术 实时黑名单实际上是一个可供查询的IP地址列表,通过DNS的查询方式来查找一个IP地址的A记录是否存在来判断其是否被列入了该实时黑名单中。如果没有列入黑名单,那么查询会得到一个肯定的回答,如果没有列入黑名单,那么查询会得到一个否定回答。 白名单技术 白名单技术采用了类似黑名单技术,只是在白名单中定义了哪些是只得信任和“好的”邮件发送者,这种技术的好处是所有来自白名单中有的源
