垃圾郵件管理與軟體使用建議
http://www.cert.org.tw/documen....php?key=102
--------------------------------------------------------------------------------

　　電子郵件堪稱是網路時代的殺手級應用，對於企業或是個人都是效用極高的訊息傳
遞工具，但隨著垃圾郵件的氾濫與其夾帶的威脅，電子郵件已成為現代上班族的夢魘。
目前垃圾郵件的比例已經超過所有信件量的70%，多數人在收信後需要花費許多時間從
收件夾中區分出垃圾郵件並予以刪除，若一不小心即可能誤刪其他重要信件，甚至造成
嚴重後果。不過隨著近幾年電子郵件管制法的成形，以及各種垃圾郵件管理解決方案的
出爐，垃圾郵件逐漸受到有效的管制，也因此讓網路使用者開始可以有效管理個人郵件
氾濫的問題。

　　現行的垃圾郵件防治方案中，普遍是從技術的層面來管理，也有些是從人性面下手
，如立法規範或是付費要求等等。不幸的是，垃圾郵件發送者通常是些厚顏之徒，因此
這些針對人性面下手的方案都無法有太好的成效。以美國於2004年元月1日生效的《
Can-Spam法案》為例，在實施兩年後的今天，幾乎沒有達到遏止的效果。新法對散發垃
圾郵件處以刑事罪名的制裁，一名住在南加州的男子，便因為經由無保護的熱點對別人
寄發垃圾郵件，被判有罪。而美國馬里蘭州也成為聯邦反垃圾郵件法生效後，第一個將
詐騙郵件宣告為非法的地方政府，而且每封垃圾信可被處達一千美元的罰款，最高可達
一百萬封。儘管頒佈、實施了《Can-Spam法案》，美國仍然為佔全球垃圾郵件25% 的發
源地。至於付費寄送郵件的機制更是造成用戶反彈，一些反對者將該收費服務稱作
e-mail稅，今年初已有非營利團體針對美國線上 (AOL) 和Yahoo的電子郵件收費計畫發
起抗議行動。

　　反觀國內這兩種方案的推行速度更是慢了國外一大截，因此解決垃圾郵件問題最為
可行的方案，還是對垃圾郵件進行分析與過濾。目前垃圾郵件防堵機制多採雞尾酒過濾
法(Anti-spam Cocktail)，這是因為只使用單一種過濾技術，不如混合兩種以上目前已
知有效的技術，可以讓過濾垃圾郵件的效果更好。雞尾酒過濾法混用了常見過濾技術，
包括使用黑名單比對、建立白名單列表、關鍵字比對、指紋辨識、啟發式技術以及的貝
氏分析過濾法等。

　　SMTP/ Email Relay 此分類中的過濾技術除了上述介紹之外，尚有Reverse DNS
Lookup、Open Relay Hijacking、Multiple Relays與Volume Filters等方式，但因黑
白名單的作法在伺服器端與客戶端均可實作，所以特別對此說明其管理方式與使用上
的建議。黑名單其實指的是一個事先的郵件篩檢程式，使用spam forensics 產生不受
歡迎的名單，也就是通過檢查源地址和目的地址，並分析電子郵件的標題和內容來鑑
別垃圾郵件。一般來說，若只相信自己維護的黑名單，效果是非常有限，如採用即時
黑名單將會有更好的成果，像是RBLs 或是Spamhaus 和 MAPS。這些提供垃圾郵件來源
、Open Relay或Open Proxy黑名單的組織必須時常有更新動作，以維持即時黑名單的
準確度與可信賴度。採信不同的黑名單會有不同的效果，同時也可能會擋到部份合法
發送的電子報，因此還需要手動維護白名單。和黑名單基於排除的做法相反，白名單
致力於確認合法的電子郵件來源，以補黑名單排除失誤的情況。

　　在內容過濾這類的過濾技術中，啟發式過濾分析可將其他過濾技術納入，成為自己
過濾規則的一部分。以SpamAssassin作說明：該軟體主要為一個評分系統，透過大量的
規則組來判斷電子郵件是否為垃圾郵件，每條規則都會對應至一個正分或負分，正分代
表電子郵件的屬性合法，負分代表電子郵件具有垃圾郵件的屬性。每封電子郵件經過數
百條規則的檢視，偵測出符合的規則後，再依據這些規則所被指定的分數加總，藉此判
定郵件本身擁有垃圾特徵值的比重高低，完成電子郵件的「整體垃圾郵件評分」。而規
則組可包含業界常用的各種過濾技術，能檢查郵件的內容是否符合RFC的相關規定，郵
件的標頭是否正確，郵件的內容是否出現特殊的關鍵字等疑似垃圾郵件的情況，且支援
線上資料庫比對、黑名單檢查以及色情郵件的偵測，近來也將貝氏過濾法偵測垃圾郵件
機率，當成啟發式過濾分析的判斷條件之一。

　　而McAfee的產品SpamKiller擁有與SpamAssassin相同的垃圾郵件評分系統，能區分
某些低階產品無法準確識別處於灰色地帶的垃圾郵件，並提供六層垃圾郵件過濾防護。
偵測為垃圾郵件的信件依其評分而定，能被選擇性的轉送，評分低於5的電子郵件將送
到使用者的收件匣，評分介於5到14間的郵件可送到使用者的垃圾郵件資料夾，而評分
等於或高於15的郵件將送到系統的垃圾郵件資料夾，使用者有機會檢查低評分的垃圾郵
件將可降低誤判的發生。SpamKiller的優點在於除了能支援POP3，還可結合Hotmail和
Exchange帳戶，另外也提供許多用來制定攔截垃圾郵件機制的工具。此外，McAfee
SpamKiller 和 McAfee ePolicy Orchestrator 完全整合，可進行完整的原則管理及詳
細圖形化回報。

　　根據McAfee官方網站指出，SpamKiller有特定的規則，可藉由尋找電子郵件中所呈
現某些網路釣魚特有的特性，以協助識別網路釣魚攻擊。這些垃圾郵件過濾規則一經觸
發後，便會自動指定給這些規則一個整體垃圾郵件評分，在大多數的情況下可將郵件阻
擋。McAfee 已連同網路釣魚防制小組 (Anti-Phishing Working Group，APWG) 匯編出
一個完整的網路釣魚攻擊資料庫，並使用從這些攻擊中獲取的知識來建立有效的過濾規
則。

其實除了McAfee外，各家防毒大廠近來也提供反垃圾郵件過濾技術，包括趨勢科技
、賽門鐵克、Sophos等，而郵件閘道設備商Ironport也進入台灣地區，越來越多的技術
廠商欲分食反垃圾郵件這塊市場。綜觀多數資安廠商的動作來看，反垃圾郵件期望以安
全軟體及內容過濾達成，以整合式的防護代替研發新技術，就像雞尾酒過濾法混用多種
不同機制的作法，並且推出閘道型防毒及防堵垃圾郵件的解決方案，例如趨勢科技的閘
道端郵件內容安全關鍵技術與 IronPort's C 系列電子郵件安全閘道器產品等等。

　　趨勢科技最新發表的SMTP 電子郵件閘道端解決方案包含三套產品，針對病毒、蠕
蟲病毒、垃圾郵件、網路釣魚攻擊與其他安全威脅提供多層級保護。垃圾郵件防治服務
(Spam Prevention Service，SPS) 採用智慧型的啟發式掃描引擎，根據郵件的多項特
徵來評量、辨識和監測現有與新型的垃圾郵件。依據不統種類的垃圾郵件，管理者能自
行訂定敏感程度及權重，並將其運用到他們所需的垃圾郵件偵測作業上，使系統維持最
佳效能。垃圾信網路信譽風險服務 (TrendMicro Network Reputation Services，NRS)
這套產品是趨勢科技併購MAPS後，整合該組織資源所推出的服務，可在垃圾郵件進入網
路環境之前就在源頭進行封鎖，減輕企業要用來過濾垃圾郵件所需的儲存與處理能力。

接著再來看Norton Internet Security (NIS) 內的Norton AntiSpam，使用者可自
定垃圾郵件的規則，主要以關鍵字為內容過濾的依據，可以辨識大小寫與標點符號夾雜
的垃圾郵件內容逃避方式。至於有些垃圾郵件會利用收件者的電子郵件位址來傳送郵件
，來避開垃圾郵件過濾器的方法，則藉著「我的地址」功能，以過濾這種類型的郵件。
Norton AntiSpam完整支援Outlook Express、Outlook與Eudora等郵件用戶端程式的整
合，可惜IMAP和Exchange用戶均無法使用，該產品只適用POP3用戶端。不過 Norton
AntiSpam 特別支援了雅虎網站電子郵件的過濾，能夠自動將垃圾郵件移動到使用者電
子郵件帳戶內的垃圾郵件資料夾中。賽門鐵克這套系統還可匯入Windows通訊錄，作為
寄件者允許清單與攔截清單的項目，從Outlook中的Norton AntiSpam工具列也能夠維
護允許與攔截的地址清單，保持一致。

　　另外，賽門鐵克與Veritas整合的電子郵件安全 (Symantec Mail Security，SMS)
解決方案，包含了賽門鐵克的Mail Security 8200 Series以及Veritas的Enterprise
Mail Archieving，不僅能協助企業用戶防堵垃圾郵件與隔離病毒，亦能就企業收發的
電子郵件進行歸檔管理。

　　最後看到Sophos併購Active State後推出的閘道端過濾垃圾郵件產品，PureMessage
/Antivirus 提供整合的單通道 (single-pass) 病毒及垃圾郵件防護功能，協助企業執
行訊息處理原則。與一般採用內容過濾的垃圾郵件過濾產品不同，PureMessage是利用
垃圾郵件慣用的技巧來偵測，從每天收集來的25萬封垃圾郵件中做特徵的分析，然後釋
出過濾規則，規則的更新預設為一天3次，也可自行設定更新頻率。系統預設的過濾規
則有62頁，大約1200多條，所有的規則都是使用二進位編碼，如此能加快比對速度。

　　PureMessage在訊息分解及分析的過程中，有PureView、PureTrace及PureDetect等
3種關鍵技術，當一封電子郵件被掃描後，PureView會將這封郵件分解成多個格式，並
識別來源IP和目的地，然後由PureTrace追蹤寄件者來源與收件者，最後再由PureDetect
依據這些訊息的結構、特徵及內容來判斷垃圾郵件可能性。

　　以信件內容做為過濾垃圾郵件依據的軟體，常會發現有難以果決判定的灰色地帶，
再加上垃圾郵件內容多變不定的特性，判斷歧異性與模糊地帶都會越高。事實上，80%
的垃圾郵件可依據郵件通訊行為是否具匿名、非法、偽造、濫發行逕等模式來進行判別
，也就是說垃圾信件最大共通特徵在於造假、大量發送、與相似度，而這些特徵無關乎
信件內容、語言與地域。在郵件本身所內含的郵件標頭及在傳送時郵件伺服器所相對產
生的系統日誌記錄中，可分析得知垃圾郵件的行為模式，若能掌握這些模式便可有效防
堵垃圾郵件。基於垃圾郵寄行為分析的產品有Commtouch的Recurrent Pattern Detection
(RPD) 技術，致力於偵測垃圾郵件攻擊的樣式(Pattern)，不去偵測信件內容的產品。
單一位元組（single byte）或雙位元組（double byte）的編碼，支援Lotus Notes、
Exchange及其它郵件伺服器，可偵測任何語言、和任何形式（圖、文件、HTML），還可
防止蠕蟲病毒的入侵。

　　本文介紹許多為個人使用者端的防堵垃圾郵件軟體，因為對企業集中化的政策管制
不容易給予建議，再加上每個人對垃圾郵件的定義都不同，希望透過這樣的介紹能在產
品的挑選上有所幫助。不過企業級的垃圾郵件防治產品或服務，也都具有一些個人化的
功能，若有興趣可自行去各家廠商的官方網站查看。

　　主要資料來源：McAfee、Cloudmark、Trend Micro 、Symantec、Sophos等官方網
站與 Pivotal Veracity。