‘壹’ 反垃圾邮件网关的反垃圾网关功能
一般反垃圾邮件网关功能最简单而言,就是阻断不需要的邮件进入网络及到达邮件服务器。这是一般通过一个多层次的过滤解决方案实现的。一些反垃圾邮件网关仅采用一个单一技术来清除垃圾邮件,但由于垃圾邮件发送者会很容易绕过单一技术的反垃圾邮件网关,我们不推荐单一技术。比较专业的反垃圾邮件网关例:TurboGate邮件网关,作为品牌邮件服务器TurboMail邮件系统旗下一款软件网关产品,TurboGate邮件网关可以帮助企业和政府的邮件系统抵御最新的垃圾邮件、钓鱼邮件、欺诈性邮件、间谍程序邮件、病毒邮件等各类邮件威胁,是市场上客户满意度最高的软件网关产品,该产品的实际项目应用反垃圾邮件的效率为稳定的98%以上,无误判。包含的功能模块如下: TurboGate产品核心功能模块: TurboGate增值功能模块: 1.反垃圾邮件引擎 9.收发限制管理 2.反病毒邮件引擎(ClamAV) 10.邮件监控 3.短信接口 11.多级邮件审核 4.统计分析 12.邮件列表 5.高级中继(国际邮件) 13.系统日志 6.邮件归档 14.邮件中转站 7.系统监控 15.系统集成(exchange、Domino等)如下图 8.邮件智能过滤 16.标准API开发包 与exchange邮件系统进行集成
实现反垃圾邮件的方式
TurboGate邮件网关同时支持发信认证(smtp-auth)、黑名单和系统级垃圾邮件过滤功能,为用户邮箱提供三重保护。用户可以随时从国内外反垃圾 邮件组织获得黑名单列表文件,导入邮件系统,从而使邮件管理员从被动变为主动。TurboGate邮件网关黑名单功能支持模糊匹配,可以屏蔽一个域,也可以只屏蔽域内的一个用户。此外,提供多种方式的垃圾邮件过滤功能,防止账户被劫持来发垃圾邮件,防邮件攻击等,全方位保障邮件服务器的安全。第一层:网络控制层经验分析,发送垃圾邮件的服务器一般都会同时大批量向某些域的多个帐号发送垃圾邮件,对于这些发送垃圾邮件方式,可通过设定一定网络访问频率控制进行有效 的阻隔。TurboGate邮件网关提供两种设置方式对付这种攻击,并可自动把发送垃圾邮件的IP归为垃圾IP(SpamIP)列表。通过smtp 服务层把明显的发送垃圾邮件smtp 连接拒绝,大大减轻后台投递系统和反垃圾引擎的负担。通过统计分析,我们发现很多发送垃圾邮件的smtp 连接具有以下特点。1.同一IP同时的smtp连接数非常大。2.同一IP一段时间内,smtp连接频率非常高。一般出现这两种情况,都表示源发件人非常有可能发送垃圾邮件。通过设置以下这两个参数可控制这类型的smtp连接,从而截断发送垃圾邮件的源头:系统设置-》SMTP服务-》一分钟内同一IP允许访问次数。同时设置:系统设置-》SMTP服务-》启用智能反垃圾IP功能参数,把符合以上两个条件的IP地址自动加入系统的智能反垃圾IP列表中(SmartSpamIP),当以后系统碰到这些IP连接时,直接拒绝。可通过:系统监控-》智能反垃圾IP列表。查看系统目前智能反垃圾IP 列表。注意:当互联网是经过反垃圾网关再接入邮件系统的情况,由于邮件系统的所有smtp连接都来自反垃圾网关,所以基于Smtp服务反垃圾不再起作用,这里需要把以上两个参数设为-1,以免系统smtp服务故障。第二层:来源分析根据垃圾邮件发送者IP的地理位置,与 APNIC 的IP信息库核对结果,看来源是否真实,如果真实则通过,否则可能为可疑邮件。因为IP 来源无法伪装,所以这个反垃圾策略比较有效。第三层:黑名单通过黑名单,TurboGate邮件网关可设置屏蔽任何一个IP,一个网段;也可屏蔽任何一个发信人,一个域。实时黑名单(RBL)主要利用互联网公开的RBL资源判断是否垃圾邮件。RBL 一般都通过DNS 查询的方式提供对某个IP或域名是否是垃圾邮件发送源进行判断。另外,由于国外大多数RBL都对来自中国的I 有“歧视”,所以我们并不能完全依靠RBL 来判断一封邮件是否是垃圾邮件,只能根据RBL查询结果判断该邮件是否有垃圾邮件的可能性。可设置以下参数定制RBL:
RBL 服务器,指定RBL 查询域名后缀。DNS 查询类型,根据具体的RBL 要求指定DNS 查询记录类型。匹配表达式,指定RBL 查询结果的匹配模式,表达式格式采用perl 正则表达式,如果为空,则表示如果可查到RBL结果,就表示符合条件。第四层:灰名单灰名单技术源于: greylist灰名单技术基本假设是:病毒和垃圾邮件,通常都是一次性的,如果遇到错误,不会重试。一些发垃圾邮件的软件,这些软件基本上都不会对邮件服务器返回的错误做出任何重试,而只是简单的在日志里记录发送失败而已。而病毒引发的邮件风暴则更加不会识别邮件服务器返回的错误,因为这些病毒仅仅是简单的发送邮件,发送时根本不理会服务器的状态。Greylist的设计大体上是基于一种重试的原则,即第一次看到某个IP想给某个收件人发信,那么 它将简单的返回一个临时错误(4xx),并拒绝此请求,正常的邮件服务器都会在一段时间内(如半小时)重发一次邮件。Greylist发现还是刚才同样的 ip地址和收件人,认为此ip是来自合法服务器的,予以放行。如果是非正常的邮件,那么或者将永远也不再进行重试,或者会疯狂重试,但由于间隔太近,而遭 拒绝。因此,Greylist只要设置一个合适的放行间隔,就可以在很大程度上对这类垃圾邮件有着良好的免疫能力。Greylist的一大特点就是不会丢 信,正规的邮件服务器认为4xx错误只是临时性、软性的错误,会隔一段时间重试,因此邮件还是可以投递成功。但Greylist的一大缺点是即时延迟 (delay),延迟从几分钟到几个小时不等。对于一些对邮件及时性很强的客户,Greylist可能不是一个很好的选择。第五层:趋势分析趋势分析原理为,所有垃圾邮件都有目标指向,比如:卖药广告邮件都会在邮件内容里指定卖药的电话、邮件或网站,如果不指定这些信息,发送垃圾邮件也就没有意义了。趋势分析法就是通过分析邮件里的电话、邮件或网站链接内容,通过匹配判断他的指向从而判断邮 件是否是垃圾邮件。第六层:邮件来源判断主要通过分析邮件的来源,如:发件人IP ,发件人,发件域,等内容,来判断垃圾邮件的可能行。第七层:SpamFilter内容过滤通过邮件内容关键字分析,可为符合内容分析结果的邮件打上相应的垃圾邮件评分。这类规则的判断条件类似系统的过滤规则。可参考过滤规则设定来设定过滤评分内容,同时我们也会通过收集客户反馈的垃圾邮件特点整理成规则内容,定期通知客户更新。第八层:主题分析引擎主题分析原理是基于:同一类垃圾邮件的内容大多都相似,通过相似度进行分析,以确定是否为垃圾邮件。 比如代开发票的垃圾邮件,内容部分大多都有 “代开”,“发票”,“税”这类词,通过对同一类型垃圾邮件的统计分析,可以归纳这类垃圾邮件的主要关键字,通过关键字匹配度,确认是否是垃圾邮件。第九层:TMSpamCheck引擎TMSpamCheck技术是基于云计算的反垃圾技术,TurboGate邮件网关通过收集终端用户反馈的垃圾邮件,统一分析,实时归纳为中心垃圾规则库。同时当客户服务器初步检测到邮件可能为垃圾邮件时,即计算邮件的特征摘要,与中心规则库比较,以确定是否为垃圾邮件。
‘贰’ 如何利用云网关增强垃圾邮件防御能力
垃圾邮件的防御其实并没有捷径,毕竟大量的垃圾邮件难以防御,反倒是专业性更强的靠谱邮件更有优势,仅凭反垃圾邮件云网关的安全保障作用,就足以从容驾驭各种难题,但前提是对各种类型的功能都娴熟应用,才能在邮件系统的运行过程中取得理想成效,所以说只要选择了正确的邮件产品,针对垃圾邮件完全可以增强防御能力。