垃圾郵件(未經許可的商業郵件或不受歡迎的非法郵件)成為1990年以來一直困擾著互聯網的問題。那時,互聯網越來越商業化,越來越接近消費者。一開始只是感覺到少數人制造一些電子廣告,而現在垃圾郵件占用了目前大部分的郵件空間。垃圾郵件造成惡性商業形象,損害了郵件使用者的利益,占用,而且它對公司的網絡系統和網絡可信度,效率和安全性造成嚴重的威脅。
垃圾郵件不是科技發展的結果
大多數關于垃圾郵件的討論圍繞在技術層面。然而,驅使垃圾郵件不斷增加的卻是經濟原因,要求發送者的商業公司為發送垃圾郵件支付的巨額費用。
Ferris市場調查公司在2004年的研究表明,美國的公司每年被大量的垃圾郵件消耗掉100億美元。同時,對于公司和消費者來說,相比動輒數百萬的廣告費來說,垃圾郵件的花費是最少的。發送數百萬封垃圾郵件的費用,也許通過少量生意就可以賺回來。這樣,即使垃圾郵件的回應率極端的低(舉例來說,一千萬封電子郵件廣告之后可能只產生100個銷售量),但是與傳統合法的廣告媒體相比,,它仍然有利可圖。因而垃圾郵件在很長一段時間會存在,反垃圾郵件是一項長期而艱巨的工作。
信息產業緩慢回應
從1990年開始,垃圾郵件就成為網絡服務商(ISPs)和企業的頭號難題。ISPs和企業不得不采取行動來遏制對郵件服務器和網絡造成威脅的垃圾郵件。
盡管這個問題廣泛的被信息行業所承認,但之前卻鮮有反垃圾郵件的工具和技術。信息行業,包括郵件服務商和相關產品,以及行業標準,對于垃圾郵件問題都反應頗慢——最初都低估了垃圾郵件的數量和技術復雜性。
從反垃圾郵件的歷史
第一代反垃圾郵件技術
很難明顯的區分在大多數MTA上已經具有的反垃圾郵件功能和第一代反垃圾郵件產品功能,因為這些已經存在的反垃圾郵件功能加上新開發的功能在很大程度上幫助解決了垃圾郵件問題。 標題和信頭測試,和簡單的測試一樣,主要是由于需要抵制垃圾郵件來推動的.
基礎MTA控制
MTA協議應該能控制基于每個域名的通訊連接,比如,防止“開放轉發”并不能當作一種獨立的反垃圾郵件技術。因為協議是在早期還沒有產生垃圾郵件問題時被提出的,并沒有預見到會有這些基本的安全隱患。
以梭子魚垃圾郵件防火墻為例,(下稱“梭子魚”),其包含的拒絕服務攻擊防護和速率控制技術,屬于MTA控制的范疇。拒絕服務攻擊防護是指對于IP連接數量的限制,當一個IP連接數過多的時侯,會禁止其連接,以免服務器資源被過度消耗,另外,對連接的時間也有限制。在郵件協議上,用戶可以自定義超時設置。此外,梭子魚內置的并發連接數控制都對這類攻擊有明顯的抑制。
梭子魚通過專利認證的十層過濾中第三層“速率控制”能夠扼制海量郵件的發送,拒絕虛假發件人。直接效果就是釋放了垃圾流量占用的大量帶寬。
白名單和黑名單
黑名單(Black )和白名單(White List)。分別是已知的垃圾郵件發送者或可信任的發送者IP地址或者郵件地址。現在有很多組織都在做*bl(block list),將那些經常發送垃圾郵件的IP地址(甚至IP地址范圍)收集在一起,做成block list。
目前很多端都采用了黑白名單的方式來處理垃圾郵件,包括MUA和MTA,當然在MTA中使用得更廣泛,這樣可以有效地減少服務器的負擔。
梭子魚的BL一部分采用國際上共享的列表,公司有專門部門收集整理BL。實時動態更新。白名單則與黑名單相反,對于那些信任的郵件地址或者IP就完全接受了,由用戶自定義設置。
簡單的關鍵字搜索
簡單的關鍵字搜索一直是對抗垃圾郵件的基本方法。這一功能存在于垃圾郵件成為互聯網的主要問題之前,那時作為內容過濾的一部分和基于反病毒產品的解決方案和服務。
因為它沒有文字變化或者上下文對照,所以這種方式只能用作鑒別垃圾郵件的辦法之一,但存在很多錯誤,合法郵件被誤判為垃圾郵件。
梭子魚400型號以上產品具有用戶自定義控制功能,即用戶自行定義關鍵字,來決定系統對過往郵件的評分。
標題過濾和頭測試
信頭測試意味著郵件已通過SMTP協議。例如信件的寄件人和收件人,如果不合法的信息被傳輸的時候,...將遞送一個通告并拒絕遞送該信息。信頭測試是從收件人,發件人和日期中測試有問題的郵件,如果包含錯誤形式或者信息便予以阻止。
這些能力用于刪除垃圾郵件是非常有效的,他們最后保證郵件是被正確的傳送,不管是不是垃圾發送者發出的信件,只要其中包含了垃圾郵件的信息就會被攔截,否則就說明郵件的轉發者沒有安裝反垃圾郵件設備。
梭子魚所有型號都可以設置或者用戶自定義設置標題,信頭黑白名單,是系統對郵件的評分標準之一。
簡單的DNS測試
使用SMTP協議交換發送者信息的時候查詢發送者的互聯網域名可以驗證這些信息是否準確。比如,查詢發送者的域或者發送郵件的主機名是否存在(通過查詢發送者域的IP地址和主機名是否對應)
簡單的DNS測試幫助防治“電子欺騙”(當一臺機器使用虛假用戶名的時候).盡管簡單的DNS測試是阻斷垃圾郵件的重要工具,他們只根據發送者的用戶名和地址進行阻斷,不論寄件人是一個垃圾郵件發送者或者信件本身是一封垃圾郵件,因此不是一個反垃圾郵件技術。簡單的DNS是一項比較弱的技術,因為無法指示出郵件是垃圾郵件的必然原因。
梭子魚的Dns反查系統,新型反向查找技術是簡單DNS測試的綜合應用。
第二代反垃圾郵件技術
即時黑名單和電子簽名是第二代反垃圾郵件技術,因為他們不是為了反垃圾郵件而把現有的MTA技術簡單的重復或者延伸。第二代反垃圾郵件技術的存在完全為了制止垃圾郵件和對先前的技術進行改良。
實時黑名單
盡管在基于網址和域名上它是一個DNS測試, RBLs是真實的反垃圾郵件技術,在RBLs之后的概念是簡單的維護一個發送垃圾郵件的網址,以阻止垃圾郵件的繼續發送。
這種技術會有一定的效果,但容易被繞過。比如,改變IP地址,或者利用第三方的服務器來發送垃圾郵件。同樣地,域名很容易被獲得,并被垃圾郵件發送者利用,因而不能完全依賴它來判別垃圾郵件。
也被稱為DNSRBLs, 梭子魚檢查所有收到郵件的IP地址,與在RBL中的IP地址核對來阻斷垃圾郵件。
電子簽名
這是對于垃圾郵件防御有重大意義的一項技術。電子簽名技術就是,如果垃圾郵件以大量的相同信息發送,可以用電子簽名技術產生一個唯一的電子簽名來收集和辨別垃圾郵件。如果能夠獲得充足的垃圾郵件樣本,對于降低垃圾郵件的比率有重要意義。但是這種技術需要及時操作才能達成效果。
例如梭子魚先設置蜜罐(誘騙郵件地址),是用于收集大量的垃圾郵件。采集完成后,指紋識別技術就處理垃圾郵件,生成一個已知垃圾郵件數據庫。這就是梭子魚的指紋識別技術。
第三代反垃圾郵件技術
用鑒別垃圾郵件(簽名)和即時黑名單(RBLs)的方法來抵御垃圾郵件注定失敗。垃圾郵件發送者能夠輕易的繞過即時黑名單,最好的電子簽名技術也無法達到百分之百的正確率。大約在2002年,在互聯網和軟件行業中有一項全新的技術。
貝葉斯過濾
貝葉斯過濾,利用統計學的方法檢測垃圾郵件,基于垃圾郵件中單個詞語的出現概率來判定,這是反垃圾郵件技術上的第一個突破,貝葉斯過濾技術的發展從根本上把反垃圾郵件的重點從網絡和協議改變為郵件內容。
簡單的貝葉斯過濾,對大多數的垃圾郵件是有效的,容易被繞過。這種技術是用已經收到的垃圾郵件來培訓系統,從而產生一個基于規則評分的系統,來為每封郵件評分。
垃圾郵件發送者會不斷的改變郵件的內容,通常是增加詞匯或變種詞匯(例如,用印刷體字母取代數字,O取代0)。不斷變化中性詞語和其他郵件內容以及創造變種詞匯,使得位于反垃圾郵件系統最后一個步驟的貝葉斯過濾常被繞過。
梭子魚的貝葉斯規則庫在出廠之前都經過近萬封郵件的培訓,到達用戶之后,用戶繼續對其進行培訓,被“有效培訓”以后,過濾垃圾郵件的準確率達到99% 。
人工智能和機器語言學習
經過貝葉斯過濾技術改進發展而來,目前將被廣泛的應用。
2003年左右,由于新的需求,專門的反垃圾郵件技術開始分離出來,并和一些高科技結合,不斷的發展起來。
基本上,這些技術執行文件分級使用“非貝葉斯過濾技術”。根據垃圾郵件的變化進行自我更新,目前這一技術正將被廣泛使用。
梭子魚的基于規則的評分系統,是一個人工智能(AI)系統 ,對發現的每一個關鍵詞賦予分數 。分數越高,該郵件是垃圾郵件的可能性就越高 ;得分超過一定值時,該郵件將被分類為垃圾郵件。這種方式可以清除90%的垃圾郵件。為使評分有效,規則必須經常更新 。
第四代反垃圾郵件技術
垃圾郵件的存在原因還有一部分是因為,在SMTP創造之初,只是用于學校,政府和軍隊,因為是一個封閉的系統,所以不存在非法使用和電子郵件的濫用。1990年起,互聯網廣泛的應用于商業,但是之前的技術隱患仍然存在。垃圾郵件和反垃圾郵件活動必將長期存在,經過了十幾年的發展,新興的反垃圾郵件技術也層出不窮。但無論哪一種技術,都無法完全應對多變的垃圾郵件。
例如:簡單的關鍵字搜索,會產生較多誤報。貝葉斯過濾需要經常培訓才能適應不斷變化的垃圾郵件形式,達到較好的效果。黑名單/白名單因為是絕對性攔截/通過,使用的時候要非常謹慎。實時黑名單(RBLs)缺點是它們可能產生誤報,因為一些RBLs是具有激進性質。故應謹慎選擇訂閱服務。對于DNS測試來說,很多反向DNS目錄未被有效建立 ,或無法正常建立,這些域發送的郵件將被阻斷,造成不可接受的高誤報告率。
以上諸多舉例可以說明,任何一種垃圾郵件阻斷技術都有優點和缺點及限制,而垃圾郵件發送者一直試圖通過變化的發送技術繞過反垃圾郵件技術。因此,第四代反垃圾郵件技術偏向于采用一個全面包含最有效垃圾郵件阻斷技術的整體解決方案。
第四代反垃圾郵件技術的典型代表:梭子魚垃圾郵件防火墻
十大技術、十層過濾的純凈水式過濾模式
梭子魚采用十層過濾,逐層攔截垃圾郵件,該技術獲得了美國專利認證
■ 拒絕服務攻擊及安全防護層
■ IP實時黑名單
■ 速率控制
■ 第一層病毒檢查
■ 第二層病毒檢查
■ 用戶自定義規則
■ 垃圾郵件指紋檢查
■ 郵件意圖分析
■ 貝葉斯分析
■ 基于規則的評分系統
其檢測過程符合四條法則:
1 垃圾郵件終止法則:若某一層過濾判定該郵件不合法或為垃圾,則立即阻斷該郵件,結束進程,后面的各層檢查不再進行。
2 按序檢查法則:一個完整的垃圾郵件發送從“helo”命令(握手命令)開始,因此從該進程的第一條命令開始依次進行檢查。如發現為垃圾郵件,其余數據將不再接收。
3 低消耗優先法則:占用系統資源較少的過濾層優先,耗費系統資源大的過濾層靠后。這樣,系統能以最少的消耗處理最大量的郵件。
4 安全優先法則,涉及到系統重要安全的檢查先進行。
經過這樣的優化,產品具有了強大的處理能力,日處理郵件量可達千萬封。
這種喇叭性的過濾機制,過濾流量最大的判別技術安置在最前面,人工職能和機器語言的過濾安排在最后。這樣能夠節省網絡資源,最大限度的保持準確性,降低誤判率。
早期的基礎技術在目前的應用環境中需要進行重組,市場的需求也召喚更多的新技術,最終引導反垃圾郵件事業的良性發展。
