反垃圾郵件網關

垃圾郵件的產生

垃圾郵件的定義

2000年8月，中國電信制定了垃圾郵件處理辦法，並將垃圾郵件定義為：向未主動請求的用户發送的電子郵件廣告、刊物或其他資料；沒有明確的退信方法、發信人、回信地址等的郵件；利用中國電信的網絡從事違反其他ISP的安全策略或服務條款的行為；其他預計會導致投訴的郵件。

2002年5月20日，中國教育和科研計算機網公佈了《關於制止垃圾郵件的管理規定》，其中對垃圾郵件的定義為：凡是未經用户請求強行發到用户信箱中的任何廣告、宣傳資料、病毒等內容的電子郵件，一般具有批量發送的特徵。

反垃圾網關定義

反垃圾郵件網關是設置在企業郵件系統服務器之前的硬件設備。該設備接收所有進入到企業內部的郵件，對郵件進行處理，讓良性郵件進入企業郵件服務器。反垃圾郵件網關通常建立在基於Linux或者BSD的加固的操作系統之上，也有個別廠商基於其他操作系統製作解決方案。硬件的形式及加固操作系統使垃圾郵件防火牆更加不容易被黑客等攻擊。一個良好的垃圾郵件防火牆不僅可以阻斷垃圾郵件，而且可以保護郵件服務器不受其他形式的攻擊。

很多人不知道，其實反垃圾郵件網關還有軟件形式的，即嵌入式的，像Rich firewall反垃圾安全網關就是一種軟件網關。軟件式的反垃圾郵件網關的優勢在於價格便宜，部署簡易，與郵件系統一起綁定安裝，可以減少額外配置的麻煩，也可以擺脱反垃圾郵件網關對高速網絡的影響，而且反垃圾效果不亞於硬件設備。

一般反垃圾郵件網關功能最簡單而言，就是阻斷不需要的郵件進入網絡及到達郵件服務器。這是一般通過一個多層次的過濾解決方案實現的。一些反垃圾郵件網關僅採用一個單一技術來清除垃圾郵件，但由於垃圾郵件發送者會很容易繞過單一技術的反垃圾郵件網關，我們不推薦單一技術。常有功能模塊如下：

集成Exchange

與exchange郵件系統進行集成

集成 Domino

與domino郵件系統進行集成

反垃圾實現方式

實現反垃圾郵件的方式

反垃圾安全網關同時支持發信認證(smtp-auth)、黑名單和系統級垃圾郵件過濾功能，為用户郵箱提供三重保護。用户可以隨時從國內外反垃圾 郵件組織獲得黑名單列表文件，導入郵件系統,從而使郵件管理員從被動變為主動。Rich firewall反垃圾安全網關黑名單功能支持模糊匹配，可以屏蔽一個域,也可以只屏蔽域內的一個用户。此外，提供多種方式的垃圾郵件過濾功能，防止賬户被劫持來發垃圾郵件，防郵件攻擊等，全方位保障郵件服務器的安全。

第一層：網絡控制層

經驗分析，發送垃圾郵件的服務器一般都會同時大批量向某些域的多個賬號發送垃圾郵件，對於這些發送垃圾郵件方式，可通過設定一定網絡訪問頻率控制進行有效 的阻隔。反垃圾安全網關提供兩種設置方式對付這種攻擊，並可自動把發送垃圾郵件的IP歸為垃圾IP（SpamIP）列表。

通過smtp 服務層把明顯的發送垃圾郵件smtp 連接拒絕，大大減輕後台投遞系統和反垃圾引擎的負擔。

通過統計分析，我們發現很多發送垃圾郵件的smtp 連接具有以下特點。

1.同一IP同時的smtp連接數非常大。

2.同一IP一段時間內，smtp連接頻率非常高。

一般出現這兩種情況，都表示源發件人非常有可能發送垃圾郵件。

通過設置以下這兩個參數可控制這類型的smtp連接，從而截斷髮送垃圾郵件的源頭：

系統設置－SMTP服務－一分鐘內同一IP允許訪問次數。

同時設置：

系統設置－SMTP服務－啓用智能反垃圾IP功能參數，把符合以上兩個條件的IP地址自動加入系統的智能反垃圾IP列表中（SmartSpamIP），當以後系統碰到這些IP連接時，直接拒絕。

可通過：

系統監控－智能反垃圾IP列表。

查看系統目前智能反垃圾IP 列表。

注意：

當互聯網是經過反垃圾網關再接入郵件系統的情況，由於郵件系統的所有smtp連接都來自反垃圾網關，所以基於Smtp服務反垃圾不再起作用，這裏需要把以上兩個參數設為-1，以免系統smtp服務故障。

第二層：來源分析

根據垃圾郵件發送者IP的地理位置，與 APNIC 的IP信息庫核對結果，看來源是否真實，如果真實則通過，否則可能為可疑郵件。因為IP 來源無法偽裝，所以這個反垃圾策略比較有效。

第三層：黑名單

通過黑名單,反垃圾安全網關可設置屏蔽任何一個IP，一個網段；也可屏蔽任何一個發信人，一個域。

實時黑名單(RBL)主要利用互聯網公開的RBL資源判斷是否垃圾郵件。RBL 一般都通過DNS 查詢的方式提供對某個IP或域名是否是垃圾郵件發送源進行判斷。另外，由於國外大多數RBL都對來自中國的I 有“歧視”，所以我們並不能完全依靠RBL 來判斷一封郵件是否是垃圾郵件，只能根據RBL查詢結果判斷該郵件是否有垃圾郵件的可能性。可設置以下參數定製RBL:

RBL 服務器，指定RBL 查詢域名後綴。

DNS 查詢類型，根據具體的RBL 要求指定DNS 查詢記錄類型。

匹配表達式，指定RBL 查詢結果的匹配模式，表達式格式採用perl 正則表達式，如果為空，則表示如果可查到RBL結果，就表示符合條件。

第四層：灰名單

灰名單技術源於： greylist

灰名單技術基本假設是：病毒和垃圾郵件，通常都是一次性的，如果遇到錯誤，不會重試。

一些發垃圾郵件的軟件，這些軟件基本上都不會對郵件服務器返回的錯誤做出任何重試，而只是簡單的在日誌裏記錄發送失敗而已。而病毒引發的郵件風暴則更加不會識別郵件服務器返回的錯誤，因為這些病毒僅僅是簡單的發送郵件，發送時根本不理會服務器的狀態。

Greylist的設計大體上是基於一種重試的原則，即第一次看到某個IP想給某個收件人發信，那麼 它將簡單的返回一個臨時錯誤（4xx），並拒絕此請求，正常的郵件服務器都會在一段時間內（如半小時）重發一次郵件。Greylist發現還是剛才同樣的 ip地址和收件人，認為此ip是來自合法服務器的，予以放行。如果是非正常的郵件，那麼或者將永遠也不再進行重試，或者會瘋狂重試，但由於間隔太近，而遭 拒絕。因此，Greylist只要設置一個合適的放行間隔，就可以在很大程度上對這類垃圾郵件有着良好的免疫能力。Greylist的一大特點就是不會丟 信，正規的郵件服務器認為4xx錯誤只是臨時性、軟性的錯誤，會隔一段時間重試，因此郵件還是可以投遞成功。但Greylist的一大缺點是即時延遲 （delay），延遲從幾分鐘到幾個小時不等。對於一些對郵件及時性很強的客户，Greylist可能不是一個很好的選擇。

第五層：趨勢分析

趨勢分析原理為，所有垃圾郵件都有目標指向，比如：賣藥廣告郵件都會在郵件內容裏指定賣藥的電話、郵件或網站，如果不指定這些信息，發送垃圾郵件也就沒有意義了。趨勢分析法就是通過分析郵件裏的電話、郵件或網站鏈接內容，通過匹配判斷他的指向從而判斷郵 件是否是垃圾郵件。

第六層：郵件來源判斷

主要通過分析郵件的來源，如：發件人IP ，發件人，發件域，等內容，來判斷垃圾郵件的可能行。

第七層：SpamFilter內容過濾

通過郵件內容關鍵字分析，可為符合內容分析結果的郵件打上相應的垃圾郵件評分。這類規則的判斷條件類似系統的過濾規則。可參考過濾規則設定來設定過濾評分內容，同時我們也會通過收集客户反饋的垃圾郵件特點整理成規則內容，定期通知客户更新。

第八層：主題分析引擎

主題分析原理是基於：同一類垃圾郵件的內容大多都相似，通過相似度進行分析，以確定是否為垃圾郵件。 比如代開發票的垃圾郵件，內容部分大多都有 “代開”，“發票”，“税”這類詞，通過對同一類型垃圾郵件的統計分析，可以歸納這類垃圾郵件的主要關鍵字，通過關鍵字匹配度，確認是否是垃圾郵件。

第九層：TMSpamCheck引擎

TMSpamCheck技術是基於雲計算的反垃圾技術，Rich firewall反垃圾安全網關通過收集終端用户反饋的垃圾郵件，統一分析，實時歸納為中心垃圾規則庫。同時當客户服務器初步檢測到郵件可能為垃圾郵件時，即計算郵件的特徵摘要，與中心規則庫比較，以確定是否為垃圾郵件。

12層過濾模型

速率控制

Dos防護

三層病毒防護

IP信譽庫（含梭子魚信譽防護）

發件人認證

收件人驗證

用户自定義策略

垃圾郵件指紋分析，支持最新圖片指紋過濾技術和支持郵件指紋過濾技術

意圖分析，能識別最新圖形化的垃圾郵件

貝葉斯分析，支持貝葉斯智能分析垃圾郵件過濾技術

圖像識別，支持最新圖片內容識別技術Optical Content Reading(OCR)

垃圾郵件的規則評分，支持基於規則的評分系統過濾技術，規則可按小時自動更新，規則庫包含中文簡體、繁體字符規則

全面防護

垃圾郵件及病毒郵件過濾

使用雙層病毒掃描引擎，徹底查殺各種來自郵件的病毒，不加收病毒系統費用

支持病毒特徵碼按小時自動更新功能。病毒管理與反垃圾郵件管理在同一界面，降低管理成本

支持全局及分用户隔離功能

阻止欺詐、釣魚及惡意軟件郵件

反退信攻擊

SMTP/TLS加密傳輸

支持SMTP及LDAP郵件認證功能

外發郵件過濾功能

策略遵從

支持多域多郵件服務器，支持多達50個域

能夠應對各種專門針對郵件系統的Dos/DDos攻擊，洪水式攻擊，字典攻擊

支持端口轉發功能，支持多IP，支持靜態路由

支持web的安全登陸（HTTPS/SSL）

病毒過濾

壓縮文件掃描

梭子魚實時病毒防護

三層病毒防禦

文件類型阻斷

郵件安全標準

支持外部DNSBL

SPF,

DomainKeys

反垃圾網關安裝

反垃圾郵件網關通常安裝在非軍事區（DMZ），裝在Internet路由器及企業郵件服務器之間，根據企業的不同需求，反垃圾郵件網關有很多種安裝及部署方法。標準的部署方法是將反垃圾郵件網關與企業網絡簡單聯接，分配一個新IP地址。一旦該IP地址分配好，企業MX記錄指向反垃圾郵件網關的IP地址。反垃圾郵件網關的缺省設置自動啓動，開始過濾郵件，不需要人進一步設置。用户可以以後通過基於Web的管理界面進行進一步設置或者使用其他功能。反垃圾郵件網關也可以用於支持在不同地點的多郵件服務器。

主要部署模式

眾多的主流反垃圾郵件網關，主提供了一種部署方式（旁路部署）。該部署方式安裝最為簡單，而且基本不會對客户造成影響。直接將公網25端口映射給反垃圾郵件網關。

一般客户郵件服務器有以下兩種情況：

1、郵件服務器通過防火牆做SMTP端口映射。

2、郵件服務器直接是公網IP，通過MX記錄把域名和IP綁定。

郵件指紋技術

垃圾郵件發送的商業模型是大規模的發出同樣的郵件，通常幾天或者幾周內甚至幾個月內發送數以百萬計的郵件，這些郵件雖然可能在細微處有所變化，但是通過特定的算法，卻可以將這些郵件的共同特徵提取出來。為此，反垃圾郵件網關廠家設置了大量“蜜罐”，或者説誘騙郵件地址，是用於收集大量的垃圾郵件。再依靠特定的算法，將這些郵件的共同特徵――郵件指紋提取出來，郵件指紋庫。反垃圾郵件網關廠家收到郵件後，發送相關的信息到遠程的郵件指紋數據庫中進行核對，從而迅速的確認這封郵件是否是垃圾。

這種指紋分析的方法和當前反病毒體系中病毒特徵碼的原理是一樣的。在面對一些最新出現的或罕見的垃圾郵件時，它沒有多大效用。但是對於哪些大量發送的相同的垃圾郵件，這種方法卻具有最高的效率。而且這種方法幾乎不會產生誤判。

意圖分析技術

垃圾郵件技術如今變得愈加複雜，許多垃圾郵件變得與正常的郵件幾乎一樣，在這些郵件中含有URL鏈接，這個鏈接往往指向一些不健康的網站，或某個商品促銷的網站。反垃圾郵件網關廠家為此創建了意圖分析技術，構建了垃圾郵件URLS地址數據庫。它檢查郵件中的URL鏈接，確定郵件是否為垃圾郵件。

貝葉斯過濾技術

貝葉斯分析：命名於著名數學家托馬斯▫貝葉斯（1702-1761），他發展了一個數學領域全新的可能性推論理論。貝葉斯分析採用過去事件的知識預測未來事件。應用到反垃圾郵件領域，貝葉斯過濾與以前收到的垃圾郵件與合法郵件的中相同詞語與短語出現的頻率對比此郵件中有問題的詞語與短語的來確定垃圾郵件的可能性。他能自動適應垃圾郵件變化。是一種動態的智能過濾技術。

貝葉斯過濾技術，它採用了全新的分詞技術，同時支持單字節和雙字節語種，需要學習的樣本數量更少。貝葉斯能保正系統始終具有較高的過濾率，其它的過濾技術是一種靜態的技術，依賴於規則庫或特徵庫的更新。而貝葉斯是智能的技術，他能自動學習新的垃圾郵件，調整自己的字詞頻度表，使得系統始終維持較高的過濾水準。

採用了分用户貝葉斯後，使得不同郵件用户個性化的需求得以真正的實現。一般反垃圾郵件分用户個性化設置僅限於個人黑白名單。無法滿足不同用户對郵件的不同偏好，然而用户通過調整培訓自己的分用户貝葉斯數據庫，就可以簡單的實現這一功能。

評分系統

垃圾郵件製造者清楚反垃圾郵件的原理，因此也越來越狡猾，其中常用的一種辦法經常將一些單詞拼錯，“Viagra”可能被有意地拼寫為“V1agra”或者任何一種可能的變體，這樣普通的詞語過濾器就無法識別。

基於規則的評分系統也被稱為人工智能（AI）系統，每一條規則對應一定的評分，一封郵件與規則庫進行比較，每符合一條規則加上該規則評分，獲得的分數越高，該郵件是垃圾郵件的可能性就越高。如果一封郵件超過一定得分門檻（閾值），該郵件將被分類為垃圾郵件。

在這些規則中，可以用來識別變化的詞語或短語，例如垃圾郵件引擎偵測到變化型文字，垃圾郵件引擎會自動回覆到原先字詞，例如V.I.A.G.R.A回覆為VIAGRA。這些規則不僅包括語義分析，還包括對垃圾郵件發送工具的檢測、對郵件中含有圖片形態和比重的檢測，對於HTML格式的各種特徵的規則等。通過對一封郵件所有相關的信息都進行相關的智能分析，最終能夠準確的判定一封郵件。