广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 1961 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 垃圾邮件管理与软体使用建议
垃圾邮件管理与软体使用建议
http://www.cert.org.tw/documen....php?key=102
--------------------------------------------------------------------------------

  电子邮件堪称是网路时代的杀手级应用,对于企业或是个人都是效用极高的讯息传
递工具,但随着垃圾邮件的泛滥与其夹带的威胁,电子邮件已成为现代上班族的梦魇。
目前垃圾邮件的比例已经超过所有信件量的70%,多数人在收信后需要花费许多时间从
收件夹中区分出垃圾邮件并予以删除,若一不小心即可能误删其他重要信件,甚至造成
严重后果。不过随着近几年电子邮件管制法的成形,以及各种垃圾邮件管理解决方案的
出炉,垃圾邮件逐渐受到有效的管制,也因此让网路使用者开始可以有效管理个人邮件
泛滥的问题。

  现行的垃圾邮件防治方案中,普遍是从技术的层面来管理,也有些是从人性面下手
,如立法规范或是付费要求等等。不幸的是,垃圾邮件发送者通常是些厚颜之徒,因此
这些针对人性面下手的方案都无法有太好的成效。以美国于2004年元月1日生效的《
Can-Spam法案》为例,在实施两年后的今天,几乎没有达到遏止的效果。新法对散发垃
圾邮件处以刑事罪名的制裁,一名住在南加州的男子,便因为经由无保护的热点对别人
寄发垃圾邮件,被判有罪。而美国马里兰州也成为联邦反垃圾邮件法生效后,第一个将
诈骗邮件宣告为非法的地方政府,而且每封垃圾信可被处达一千美元的罚款,最高可达
一百万封。尽管颁布、实施了《Can-Spam法案》,美国仍然为占全球垃圾邮件25% 的发
源地。至于付费寄送邮件的机制更是造成用户反弹,一些反对者将该收费服务称作
e-mail税,今年初已有非营利团体针对美国线上 (AOL) 和Yahoo的电子邮件收费计画发
起抗议行动。

  反观国内这两种方案的推行速度更是慢了国外一大截,因此解决垃圾邮件问题最为
可行的方案,还是对垃圾邮件进行分析与过滤。目前垃圾邮件防堵机制多采鸡尾酒过滤
法(Anti-spam Cocktail),这是因为只使用单一种过滤技术,不如混合两种以上目前已
知有效的技术,可以让过滤垃圾邮件的效果更好。鸡尾酒过滤法混用了常见过滤技术,
包括使用黑名单比对、建立白名单列表、关键字比对、指纹辨识、启发式技术以及的贝
氏分析过滤法等。

  SMTP/ Email Relay 此分类中的过滤技术除了上述介绍之外,尚有Reverse DNS
Lookup、Open Relay Hijacking、Multiple Relays与Volume Filters等方式,但因黑
白名单的作法在伺服器端与客户端均可实作,所以特别对此说明其管理方式与使用上
的建议。黑名单其实指的是一个事先的邮件筛检程式,使用spam forensics 产生不受
欢迎的名单,也就是通过检查源地址和目的地址,并分析电子邮件的标题和内容来鉴
别垃圾邮件。一般来说,若只相信自己维护的黑名单,效果是非常有限,如采用即时
黑名单将会有更好的成果,像是RBLs 或是Spamhaus 和 MAPS。这些提供垃圾邮件来源
、Open Relay或Open Proxy黑名单的组织必须时常有更新动作,以维持即时黑名单的
准确度与可信赖度。采信不同的黑名单会有不同的效果,同时也可能会挡到部份合法
发送的电子报,因此还需要手动维护白名单。和黑名单基于排除的做法相反,白名单
致力于确认合法的电子邮件来源,以补黑名单排除失误的情况。

  在内容过滤这类的过滤技术中,启发式过滤分析可将其他过滤技术纳入,成为自己
过滤规则的一部分。以SpamAssassin作说明:该软体主要为一个评分系统,透过大量的
规则组来判断电子邮件是否为垃圾邮件,每条规则都会对应至一个正分或负分,正分代
表电子邮件的属性合法,负分代表电子邮件具有垃圾邮件的属性。每封电子邮件经过数
百条规则的检视,侦测出符合的规则后,再依据这些规则所被指定的分数加总,藉此判
定邮件本身拥有垃圾特征值的比重高低,完成电子邮件的「整体垃圾邮件评分」。而规
则组可包含业界常用的各种过滤技术,能检查邮件的内容是否符合RFC的相关规定,邮
件的标头是否正确,邮件的内容是否出现特殊的关键字等疑似垃圾邮件的情况,且支援
线上资料库比对、黑名单检查以及色情邮件的侦测,近来也将贝氏过滤法侦测垃圾邮件
机率,当成启发式过滤分析的判断条件之一。

  而McAfee的产品SpamKiller拥有与SpamAssassin相同的垃圾邮件评分系统,能区分
某些低阶产品无法准确识别处于灰色地带的垃圾邮件,并提供六层垃圾邮件过滤防护。
侦测为垃圾邮件的信件依其评分而定,能被选择性的转送,评分低于5的电子邮件将送
到使用者的收件匣,评分介于5到14间的邮件可送到使用者的垃圾邮件资料夹,而评分
等于或高于15的邮件将送到系统的垃圾邮件资料夹,使用者有机会检查低评分的垃圾邮
件将可降低误判的发生。SpamKiller的优点在于除了能支援POP3,还可结合Hotmail和
Exchange帐户,另外也提供许多用来制定拦截垃圾邮件机制的工具。此外,McAfee
SpamKiller 和 McAfee ePolicy Orchestrator 完全整合,可进行完整的原则管理及详
细图形化回报。

  根据McAfee官方网站指出,SpamKiller有特定的规则,可藉由寻找电子邮件中所呈
现某些网路钓鱼特有的特性,以协助识别网路钓鱼攻击。这些垃圾邮件过滤规则一经触
发后,便会自动指定给这些规则一个整体垃圾邮件评分,在大多数的情况下可将邮件阻
挡。McAfee 已连同网路钓鱼防制小组 (Anti-Phishing Working Group,APWG) 汇编出
一个完整的网路钓鱼攻击资料库,并使用从这些攻击中获取的知识来建立有效的过滤规
则。

其实除了McAfee外,各家防毒大厂近来也提供反垃圾邮件过滤技术,包括趋势科技
、赛门铁克、Sophos等,而邮件闸道设备商Ironport也进入台湾地区,越来越多的技术
厂商欲分食反垃圾邮件这块市场。综观多数资安厂商的动作来看,反垃圾邮件期望以安
全软体及内容过滤达成,以整合式的防护代替研发新技术,就像鸡尾酒过滤法混用多种
不同机制的作法,并且推出闸道型防毒及防堵垃圾邮件的解决方案,例如趋势科技的闸
道端邮件内容安全关键技术与 IronPort's C 系列电子邮件安全闸道器产品等等。

  趋势科技最新发表的SMTP 电子邮件闸道端解决方案包含三套产品,针对病毒、蠕
虫病毒、垃圾邮件、网路钓鱼攻击与其他安全威胁提供多层级保护。垃圾邮件防治服务
(Spam Prevention Service,SPS) 采用智慧型的启发式扫描引擎,根据邮件的多项特
征来评量、辨识和监测现有与新型的垃圾邮件。依据不统种类的垃圾邮件,管理者能自
行订定敏感程度及权重,并将其运用到他们所需的垃圾邮件侦测作业上,使系统维持最
佳效能。垃圾信网路信誉风险服务 (TrendMicro Network Reputation Services,NRS)
这套产品是趋势科技并购MAPS后,整合该组织资源所推出的服务,可在垃圾邮件进入网
路环境之前就在源头进行封锁,减轻企业要用来过滤垃圾邮件所需的储存与处理能力。

接着再来看Norton Internet Security (NIS) 内的Norton AntiSpam,使用者可自
定垃圾邮件的规则,主要以关键字为内容过滤的依据,可以辨识大小写与标点符号夹杂
的垃圾邮件内容逃避方式。至于有些垃圾邮件会利用收件者的电子邮件位址来传送邮件
,来避开垃圾邮件过滤器的方法,则藉着「我的地址」功能,以过滤这种类型的邮件。
Norton AntiSpam完整支援Outlook Express、Outlook与Eudora等邮件用户端程式的整
合,可惜IMAP和Exchange用户均无法使用,该产品只适用POP3用户端。不过 Norton
AntiSpam 特别支援了雅虎网站电子邮件的过滤,能够自动将垃圾邮件移动到使用者电
子邮件帐户内的垃圾邮件资料夹中。赛门铁克这套系统还可汇入Windows通讯录,作为
寄件者允许清单与拦截清单的项目,从Outlook中的Norton AntiSpam工具列也能够维
护允许与拦截的地址清单,保持一致。

  另外,赛门铁克与Veritas整合的电子邮件安全 (Symantec Mail Security,SMS)
解决方案,包含了赛门铁克的Mail Security 8200 Series以及Veritas的Enterprise
Mail Archieving,不仅能协助企业用户防堵垃圾邮件与隔离病毒,亦能就企业收发的
电子邮件进行归档管理。

  最后看到Sophos并购Active State后推出的闸道端过滤垃圾邮件产品,PureMessage
/Antivirus 提供整合的单通道 (single-pass) 病毒及垃圾邮件防护功能,协助企业执
行讯息处理原则。与一般采用内容过滤的垃圾邮件过滤产品不同,PureMessage是利用
垃圾邮件惯用的技巧来侦测,从每天收集来的25万封垃圾邮件中做特征的分析,然后释
出过滤规则,规则的更新预设为一天3次,也可自行设定更新频率。系统预设的过滤规
则有62页,大约1200多条,所有的规则都是使用二进位编码,如此能加快比对速度。

  PureMessage在讯息分解及分析的过程中,有PureView、PureTrace及PureDetect等
3种关键技术,当一封电子邮件被扫描后,PureView会将这封邮件分解成多个格式,并
识别来源IP和目的地,然后由PureTrace追踪寄件者来源与收件者,最后再由PureDetect
依据这些讯息的结构、特征及内容来判断垃圾邮件可能性。

  以信件内容做为过滤垃圾邮件依据的软体,常会发现有难以果决判定的灰色地带,
再加上垃圾邮件内容多变不定的特性,判断歧异性与模糊地带都会越高。事实上,80%
的垃圾邮件可依据邮件通讯行为是否具匿名、非法、伪造、滥发行迳等模式来进行判别
,也就是说垃圾信件最大共通特征在于造假、大量发送、与相似度,而这些特征无关乎
信件内容、语言与地域。在邮件本身所内含的邮件标头及在传送时邮件伺服器所相对产
生的系统日志记录中,可分析得知垃圾邮件的行为模式,若能掌握这些模式便可有效防
堵垃圾邮件。基于垃圾邮寄行为分析的产品有Commtouch的Recurrent Pattern Detection
(RPD) 技术,致力于侦测垃圾邮件攻击的样式(Pattern),不去侦测信件内容的产品。
单一位元组(single byte)或双位元组(double byte)的编码,支援Lotus Notes、
Exchange及其它邮件伺服器,可侦测任何语言、和任何形式(图、文件、HTML),还可
防止蠕虫病毒的入侵。

  本文介绍许多为个人使用者端的防堵垃圾邮件软体,因为对企业集中化的政策管制
不容易给予建议,再加上每个人对垃圾邮件的定义都不同,希望透过这样的介绍能在产
品的挑选上有所帮助。不过企业级的垃圾邮件防治产品或服务,也都具有一些个人化的
功能,若有兴趣可自行去各家厂商的官方网站查看。

  主要资料来源:McAfee、Cloudmark、Trend Micro 、Symantec、Sophos等官方网
站与 Pivotal Veracity。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾 | Posted:2006-11-06 20:41 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.146570 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言