《垃圾邮件防护系统分析与应用方法》由会员分享,可在线阅读,更多相关《垃圾邮件防护系统分析与应用方法(9页珍藏版)》请在金锄头文库上搜索。
1、【内容提要】: 随着联机上网费用日趋便宜,发送电子邮件广告几近零成本又有利可图,因 此造成垃圾邮件如今日混乱猖獗的现况。针对这种问题,许多公司研究出许多垃圾邮件防护 和过滤机制产品,本文将对垃圾邮件的有关防护过滤技术和解决方法作一个基本介绍。【关键词】 垃圾邮件、邮件防护、技术分析、AFS、华硕、过滤、机制随着互联网的蓬勃发展, E-mail 信息的传播达到了前所未有的广度和深度。同时不请 自来的电子邮件也以各种形式闯入我们的邮箱 - 商品推销、诈骗、政治或宗教抨击、病毒 载体以及无法归类的稀奇古怪的形式。有些人每天甚至要收到 100 到 200 封这样的垃圾电 子邮件(甚至更多)。因为更多的
2、人开始使用英特网的关系(自因特网建立以来,人数飞速 增长),对于商人、小贩、想入非非者以及蓄意破坏者而言,可以无偿地联系到数目巨大的 各类人,诱惑力变得难以抵挡,自此大量的垃圾邮件在世界的各个角落产生,并瞬间传递到 世界其他任何地方,这种费时且消耗 CPU 的破坏行为迅速对经济产生了极大的负面影响。 现今越来越多的人开始意识到垃圾邮件的传递所带来的严重后果,并不断提出防治的 新需求。一 垃圾邮件的定义一封完整的电子邮件包含以下项目:邮件信封Mail Envelope、邮件标题Mail Header、 邮件本文Mail Body与邮件附檔Mail Attachment。电子邮件传输处理分为两阶段
3、:邮件传 输代理Mail Transfer Agent简称MTA),例如邮件服务器,以及与邮件使用代理Mail User Agent (简称 MUA),例如 Outlook 或 Outlook Express 0如果以邮件內容定义垃圾邮件,容易随个人主观认定而异;对银行业、娛乐业,广告业 而言,包含其他银行贷款广告、色情广告的邮件,可能是种具有价值的市场资讯,而非垃圾 邮件;因此,必需依邮件行为始能,依众人认知、法律规范与国际法规逐一精确定义何为垃 圾邮件。1. 众人认知:不请自來、来路不明、无法拒绝之邮件。2. 法律规范:造成骚扰、匿名文书或嫁祸他人之邮件。3. 国际法规:2003年底美国立
4、法明定Can Spam垃圾邮件法规Can Spam字面表示可以Spam, 惟有但书,寄件者必须表明身分,让收件者可以追溯来源不可以匿名、伪造,或者刻意 隐匿或篡改资讯等行为发送电子邮件;发送方式方式不可为垃圾邮件滥发者 (Spammer) 慣 用之垃圾邮件滥发方式或程式,如借用邮件代替(Open Relay)、出现过多邮件转(Received) 或机器自动发送,以及不断尝试各种进入企业信箱方法等,必须提供收件者选择权,具 有取消订阅机制。综上所述,垃圾邮件之所以恼人并不是因为內容无趣不吸引人,而在于大量滥发,任意 长驱直入收信者电子邮件信箱。二 邮件信息安全的影响邮件是当前企业主要商务往来的沟
5、通工具,根据 Gartner 去年调查显示,每 400 封信 件当中,就有一封就隐含着机密信息。这些机密信息包含企业内部沟通与外部往来的信件, 例如行政公告、业务信件、研发数据或重要政策命令等。而在美国 Brockmann & Company 研 究顾问公司的 2007 年 8 月的调查显示,有近 36% 企业的 Email 曾经遗失或发生延迟, 更发生平均超过 40 次的邮件重寄或误判,造成企业成本提高。根据法务部调查局资安鉴识 实验室表示,无论是民事或刑事诉讼,左证数据必须先通过真实性要件的检验。简而言 之就是证明真有其证物,但多数企业往往只着重系统还原(System Recovery),
6、却忽略数字 证据的保存流程,往往造成举证成本提高。因此数字证据的保全,不只要求保存作业流程, 更着重于调阅复原。随着防制数据外泄(Data Leak Prevention, DLP)的观念日益普及,企 业更需要落实安全稽核管理,完整保护企业的数字资产。三 什么是邮件防护根据2006年IDC企业安全调查指出,包含病毒、垃圾邮件等安全内容管理SCM), 仍是企业认为最严重的资安威胁。这听起来像是平常的消息报导却正是全球所有企业主所必 须正视的挑战,且比以往更加险峻。这不仅局限于垃圾邮件,包含钓鱼邮件、木马、蠕虫、 间谍程序、网络型病毒、网络黑客的威胁等也都变本加厉不断变形为更难辨识的样貌,其中 以
7、结合病毒的垃圾邮件变形影响最为全面。垃圾邮件发送者不再只是单纯的发送文字或图片 化的垃圾邮件,反之发送带有间谍僵尸程序的垃圾邮件,利用被病毒控制的僵尸计算机网络 来当作攻击或发送垃圾邮件的中继站,这意味有许多垃圾邮件是由许多不知情的用户计算机 所发送的,目前全球正以每日 25 万台的速度再增加。虽然目前有关图片式垃圾邮件的话题不断,但必须注意的是这股热潮仅是众多混合式攻 击的其中一种。面对邮件安全层出不穷的信息威胁和翻成出新的发送技术,企业主必须更全 面的思考导入方案的防护效能。根据Forrester Research调查报告指出,35%的企业怀疑员工 会透过电子邮件泄漏机密数据,其中外寄邮件
8、中有高达 25%的信件带有财务或法律性的管 理风险。由此可见,邮件安全仅单单被动防护外对内( Incoming ) 信息传递所造成的可能威 胁是不够的,更应主动控管来自于内对外 ( Outgoing ) 讯息往来的潜藏危机。同时,企业在 考虑邮件防护安全架构时,也需评估邮件监察(Email Supervision)的应用概念,同时结合邮 件主动防护(Email Active Protection)、邮件政策执行(Mail Policy Enforcement)与邮件稽核 (Mail Audit),才能有效达到全方位邮件防护的目的。四. 一般垃圾邮件防堵技术分析垃圾邮件防堵技术分为两个层面:辨识
9、与判断。常见的垃圾邮件辨识技术包含内容过滤 扫描、黑名单与浅层垃圾邮件行为解析。由于上述技术具不确定性与非精确性,需要进行数 学统计运算以判断一封电子邮件是垃圾邮件的可能性,因而衍生出市面上纷歧但实则大同小 异的垃圾邮件防堵技术,比较分析如下:1. 内容过滤扫描技术特征:根据系统开发者所认定的垃圾邮件关键词眼判断垃圾邮件;而邮件内容依 IETF/RFC 规定,为 MUA 如 Outlook Express 处理;因此内容过滤扫描技术如同邮件病毒 扫描,需建立庞大的垃圾邮件关键词数据库。技术缺点:以此方式扫描往来电子邮件往往耗费大量 CPU 资源,且无法扫出 JEPG、 如果遇到滥发者攻击,每
10、10 分钟传送 100 封大型攻击邮件,会造成邮件队列、系统效能 低落。再者,在这类机制下,各家厂商宣称语意分类为六种、十种或十六种不等,收集各国 语言四国、十六国或三十二国不等;这类技术要做到垃圾邮件阻挡,必须每日不断更新数据 库,研究各种文字变形,以极受限于语言与系统仿真误差。2. 启发式语意学习技术 特征:启发式语意学习技术乃内容过滤扫描技术的进阶,所谓启发式技术为告知计算机具特定特征的邮件为垃圾邮件,亦即累积特定数量的垃圾邮件以后,该技术自动记忆新 增的垃圾邮件特征,并加入其关键词数据库。技术缺失:以启发式语意学习技术固然可弥补数据库不不足,然而此举只能被动响应垃 圾邮件层出不穷的滥发
11、手法。3. Linux Open Source 特征:部份产品采用免费的 Linux Open Source 软件并建立使用者管理介面予以商品化, 其中以 SpamAssasin 为最。4. 黑名单分享 特征:为最早的垃圾邮件反制技术,名列黑名单数据库者多以滥发邮件或允许代转所有 邮件 (即 Open Relay) 而遭检举。可在联机初期直接阻断来信,较内容过滤扫描技术而言具 决定性且不耗费系统资源。技术缺失:依赖社群检举与统计,无公正性;部份黑名单数据库甚至将来自亚洲多数国 家的电子邮件均列为拒绝往来名单。5. 浅层垃圾邮件行为解析 由于内容过滤技术缺失较多,近来渐有开发商诉求垃圾邮件行为解
12、析。 特征:包含联机次数分析、发送 IP 地址、发送时间、发送频率、收件者数目、浅层电 子邮件标头检查、发送行为侦测与检验 Handshaking 连线阶段信息。技术缺失:仅由浅层邮件行为解析无法全面防堵多数垃圾邮件,因此采用此技术的开发 者多诉求整合内容过滤、黑名单分享与各式演算技术,为四层至十层过滤网,仍然非决定性 过滤方式,更无法独立单机作业达到高效垃圾邮件阻挡率。6. 各式演算技术:知名技术如贝式算法、正负分演算与鸡尾酒过滤。 贝式算法:透过机率统计的分析,达到最小误判。正负分演算:以正面关键词为正分,负面关键词为负分,并订定达特定分数者为垃圾邮 件。道高一尺、魔高一丈,有心滥发者只要
13、内容撰写正常,正分文字超过负分文字, 就可以轻松躲过这类权重计算产品。鸡尾酒过滤法:为混合式复杂运算的过滤法,以达到最小误判。综上所述,市场上何以 有如此众多演算技术,系由于上述过滤技术无法精准且效率判定垃圾邮件,因此发展出复杂 的各式算法以降低误判可能性,导入后却可能带来两大缺点造成庞大的系统管理负担:庞大的数据库与繁复运算技术,耗费系统效能至鉅,造成垃圾防堵设备后方的邮件服务 器负担加重,时有邮件队列壅塞之虞;要维持长效的阻隔率,关键词数据库必需时时更新, 且管理人员必需持之以恒地进行关键词设定与政策调校。五 应用实例AFS 华硕邮件过滤先锋技术A. AFS 可对邮件附档内文,进行多重条件
14、式过滤,精确扫描附档类型,判断分析档案 类型,完整扫描邮件和邮件附档全文,是企业过滤、审核、前稽核,预防泄密与资讯风险控 管的最佳利器。B. AFS是企业邮箱的防火墙,将互联网上的垃圾邮件、病毒邮件、钓鱼邮件、DoS攻 击等恶意攻击都阻绝在外,提供企业更全面而且完善的邮件安全防护,还您一个安全、干净、 高效的邮箱环境C. AFS 采用网关架构建置于邮件系统前端,可搭配市面上所有电子邮件系统,整合既 有的邮箱帐号,让管理者轻松导入防护系统,瞬间启动最高防护效能。D. AFS 提供简单易用的 Web 接口及快速向导功能,使用者只需按照向导指引,三步 轻松完成系统整合,以最低的成本打造最高效能的企业
15、邮箱环境。E. 华硕邮件过滤先锋与全球知名Anti-Spam软件开发商Openfind合作,搭配已获全球 知名大厂认可采用的内容分析核心及行为分析引擎,并拥有强大中英文信内容过滤机制为企 业建构实时、安全之双核心邮件防护系统。F. AFS为了提高广告信判断的效率、降低系统资源与宽带的消耗,AFS在SMTP联机 的阶段就可以直接阻挡大量的广告信。即使是在内文格式检查的阶段,只要AFS比对黑白 名单、确认信件是广告信或是正常信之后,就会直接跳出过滤的流程,将信传送给后方的邮 件主机,而不需继续往下通过重重的过滤机制。G. AFS 内建多层式过滤核心引擎,透过系统完整的防护功能可有效防阻垃圾信件,独
16、 特大量信息比对技术更可在巨量信件传输情况下,不影响正常信件收发。以下为AFS的过滤流程图,透过接下来的特色说明,对AFS如何有效防阻垃圾信,会 有更进一步的认识。2 邮件过滤稽核机制华硕邮件过滤先锋可弹性依据企业/部门邮件政策,将符合稽核条件的对内或对外邮件, 留置在隔离区或是进入内部审查流程。并可针对邮件附档内文,进行多重条件式过滤,精确 扫描附档类型,判断分析档案类型,完整扫描邮件和邮件附档全文。于稽核前后,亦可选择 是否提供通知信件给信件寄件者。是企业过滤、审核、前稽核,预防泄密与资讯风险控管的 最佳利器。群组邮件政策企业I邮件政策群组 邮韩 政策配合政策执行动作企业邮件政嬴11=垃圾洁过減SPAM删除配合克流执行动咋tMail Server华确册件爾先售 連通甬年育理亚吕胡
