反垃圾郵件的前世今生

申請免費試用、咨詢電話：400-8352-114

在網(wǎng)絡(luò)世界報社舉辦的2007網(wǎng)絡(luò)安全巡展中，反垃圾郵件技術(shù)一直是其中的熱門話題。隨著互聯(lián)網(wǎng)應(yīng)用的深入，越來也越多的企業(yè)將郵件系統(tǒng)整合為自身的業(yè)務(wù)系統(tǒng)之一。在這種情況下，泛濫的垃圾郵件對企業(yè)的業(yè)務(wù)造成了巨大的影響，大量企業(yè)對于垃圾郵件的防御也在逐步重視。

垃圾八大害

要是在三年前，提起垃圾郵件人們的反應(yīng)往往是，無聊的人干的無聊的事。這句話的另一層意思，就是垃圾郵件并非什么大不了的問題。不過時過變遷，隨著企業(yè)對于郵件系統(tǒng)與業(yè)務(wù)系統(tǒng)整合程度的提高，垃圾郵件的問題逐漸被用戶所重視。

正如國家計算機應(yīng)急響應(yīng)中心安全專家杜躍進博士所講的，隨著垃圾郵件與病毒、木馬、間諜軟件、釣魚攻擊掛鉤，垃圾郵件的盈利性逐步體現(xiàn)出來，而這進一步造成了越演越烈的垃圾郵件泛濫。其中，不論大型企業(yè)還是中小企業(yè)，都無法避免。

對此，IronPort中國區(qū)總經(jīng)理李松曾不無擔(dān)心地表示，從全球的統(tǒng)計看，互聯(lián)網(wǎng)上70%的郵件都是垃圾郵件，這些郵件不僅浪費用戶大量的處理時間，而且大量病毒、URL鏈接、股票欺詐信息業(yè)在其中傳播，危害巨大。他建議不論是大型企業(yè)還是中小企業(yè)都要關(guān)注垃圾郵件，因為中國的電信運營商和郵件服務(wù)商都已經(jīng)被國際反垃圾郵件組織列為重點關(guān)注對象，事實上，中國已經(jīng)成為世界第二大垃圾郵件生產(chǎn)國。

有國際組織聲稱，垃圾郵件是互聯(lián)網(wǎng)帶給人類最具爭議性的副產(chǎn)品，它的泛濫已經(jīng)使整個因特網(wǎng)不堪重負。而神州數(shù)碼網(wǎng)絡(luò)的高級產(chǎn)品經(jīng)理王景輝認為，對任何企業(yè)來說，垃圾郵件造成的通用危害至少有八點：

第一，占用網(wǎng)絡(luò)帶寬，造成郵件服務(wù)器擁塞，進而降低整個網(wǎng)絡(luò)的運行效率。

第二，增加破壞機械設(shè)備的可能。垃圾郵件通常都可能攜帶危險的病毒、蠕蟲，對電腦硬盤造成威脅。

第三，侵犯收件人及收件人所在公司的隱私權(quán)，侵占收件人及收件人所在公司的信箱空間，對有用電子郵件的抵消。有的郵箱儲存的郵件數(shù)量有限，超過限度后，舊郵件就會自動消失，大量垃圾郵件會使有用的電子郵件很快化為烏有。

第四，耗費公司員工的時間、精力和金錢。一般來說，人們需要至少10秒鐘來判斷收到的郵件是否為垃圾郵件。如果每天收到幾十份垃圾郵件，就得花大約10分鐘的時間來處理它們。

第五，有的垃圾郵件還盜用他人的電子郵件地址做發(fā)信地址，嚴重損害了該人和其所在公司的信譽。

第六，被黑客利用成助紂為虐的工具。黑客先是侵入并控制了一些高帶寬的網(wǎng)站，集中眾多服務(wù)器的帶寬能力，然后用數(shù)以億萬計的垃圾郵件猛烈襲擊目標，造成被攻擊網(wǎng)站網(wǎng)路堵塞，最終癱瘓。

第七，嚴重影響ISP的服務(wù)形象。在國際上，頻繁轉(zhuǎn)發(fā)垃圾郵件的主機會被上級國際因特網(wǎng)服務(wù)提供商列入國際垃圾郵件數(shù)據(jù)庫，從而導(dǎo)致該主機不能訪問國外許多網(wǎng)絡(luò)。而且收到垃圾郵件的用戶會因為ISP沒有建立完善的垃圾郵件過濾機制，而轉(zhuǎn)向其它ISP。一項調(diào)查表明：ISP每爭取一個用戶要花費75美元，但是每年因垃圾郵件要失去7.2%的用戶。

第八，妖言惑眾，騙人錢財，傳播色情等內(nèi)容的垃圾郵件，已經(jīng)對現(xiàn)實社會造成了危害。

新形式出現(xiàn)

從國內(nèi)的情況看，商業(yè)廣告類垃圾郵件是目前最多的垃圾郵件形式。據(jù)王景輝介紹，這種形式多是企業(yè)所謂的郵件營銷行為，通過郵件方式向顧客發(fā)送產(chǎn)品、服務(wù)信息。網(wǎng)上免費下載的軟件可迅速搜索大量電子郵件地址，然后按址發(fā)送即可。成本極低是其最大優(yōu)勢，廣告商只要投入一臺普通電腦及上網(wǎng)費用即可發(fā)送出上百萬封電子郵件廣告。

據(jù)記者了解，現(xiàn)在有不少電子技術(shù)嫻熟的人就以此為業(yè)，專門為企業(yè)發(fā)送垃圾電子郵件廣告。在中國，該類型垃圾郵件數(shù)量最多。

另外，杜躍進博士也指出，攜帶病毒類垃圾郵件是危害最大的垃圾郵件，嚴重者甚至能造成整個互聯(lián)網(wǎng)的癱瘓。廣告類垃圾郵件造成的危害更多是在于耗費公司員工的時間、精力和金錢，而攜帶病毒類垃圾郵件除了對公司的電腦硬件造成的破壞之外，更有甚者將帶來釣魚式攻擊。

據(jù)悉，網(wǎng)絡(luò)釣魚攻擊主要以騙取用戶各種在線交易的賬戶、密碼從而造成嚴重經(jīng)濟損失。這些釣魚式攻擊比較隱蔽，隨著寬帶網(wǎng)絡(luò)進一步普及，用戶將面臨更多的線上交易安全風(fēng)險。

目前來看，國內(nèi)的商業(yè)廣告類垃圾郵件和病毒類垃圾郵件都屬于第一、第二代垃圾郵件形式，而目前在國外已經(jīng)發(fā)現(xiàn)了大量第三代垃圾郵件。

SurfControl的高級技術(shù)顧問張勇透露說，國外第三代垃圾郵件以圖形技術(shù)為基礎(chǔ)。一些商業(yè)垃圾郵件發(fā)送機構(gòu)不惜重金制作圖形正文，贏利已經(jīng)成為其首要目標。

據(jù)悉，在第三代圖形垃圾郵件中，煽動用戶買賣股票、販賣藥品、以及傳播色情網(wǎng)站信息排在前三位。而根據(jù)美國聯(lián)邦調(diào)查局最新披露的信息，美國一名13歲少年就成功利用圖形垃圾郵件向他人兜售虛假股票信息（宣傳某只股票會升值），以謀得暴利。

李松透露說，目前國內(nèi)的中文垃圾郵件以文本為主，其中促銷和詐騙信息最多。但從2007年1季度的截獲情況看，中文圖形垃圾隨著內(nèi)地股市的暴漲而逐漸顯現(xiàn)，目前已經(jīng)出現(xiàn)了一些可以輕松避開郵件安全網(wǎng)關(guān)的垃圾郵件樣本。

防垃圾的TMD

俗話說，道高一尺，魔高一丈。杜躍進曾比喻說，防導(dǎo)彈需要TMD，防垃圾郵件一樣需要TMD。既然垃圾郵件想盡辦法要進入企業(yè)內(nèi)網(wǎng)中來，那么企業(yè)最好也搭建適合自身需要的垃圾郵件防御系統(tǒng)。

目前反垃圾郵件的技術(shù)有很多，據(jù)王景輝介紹，不同的反垃圾郵件產(chǎn)品采用的技術(shù)有所不同，但總體來說，不外乎以下幾種，像關(guān)鍵字、IP地址黑白名單、貝葉斯算法、垃圾郵件評分、指紋識別、實時黑名單列表、意圖檢測、DNS反向查找、防止字典攻擊、垃圾郵件防火墻、郵件域名過濾都是常見的辦法。

以黑白名單為例，這種技術(shù)目前采用最廣。網(wǎng)絡(luò)層的黑白名單是針對IP地址而言的，相信的IP地址允許發(fā)送郵件，不相信IP地址的不允許發(fā)送郵件。后來由這個機制，各家安全廠商逐漸演化為實時的黑名單RBL機制。RBL利用了互聯(lián)網(wǎng)的力量，目前互聯(lián)網(wǎng)上有很多組織來動態(tài)維護這個名單，他們會把常發(fā)垃圾郵件的機構(gòu)、組織放進黑名單中去。而主流的反垃圾郵件廠商也都是RBL的一員。

當然，僅僅采用RBL類技術(shù)還不足以杜絕垃圾郵件的源頭。事實上，最近微軟公司公布了自己的反垃圾郵件技術(shù)SPF，并一度引起了業(yè)界的震動。

據(jù)悉，SPF技術(shù)非常強調(diào)對郵件發(fā)送者的身份驗證。在傳統(tǒng)的郵件系統(tǒng)中，域名服務(wù)器只有收件服務(wù)器的記錄，主要記錄這個域中哪幾臺服務(wù)器是用來收郵件的，但是沒有發(fā)件服務(wù)器的記錄。而SPF則在DNS中加入發(fā)件服務(wù)器的記錄。這樣一來，如果一個黑客，冒充微軟公司的名義發(fā)一封郵件給某位用戶。這時如果該用戶的設(shè)備支持SPF，系統(tǒng)就會連接到微軟的DNS中，并解析微軟的發(fā)件服務(wù)器是哪幾個IP地址，然后再與黑客發(fā)送的信息的源IP地址進行比較。此后系統(tǒng)會發(fā)現(xiàn)黑客郵件的發(fā)件人寫的是微軟，但其發(fā)件服務(wù)器的地址不在相應(yīng)列表中，這時候系統(tǒng)判定黑客是一個偽造的發(fā)件人，這樣郵件就會被攔截掉。

目前來看，SPF技術(shù)從發(fā)件的源頭來判斷，是非?？茖W(xué)的。但困擾SPF的是，這種技術(shù)要求所有的反垃圾郵件廠商需要支持微軟的標準，另外也要求全球所有電子郵件系統(tǒng)的域名系統(tǒng)都要進行改造和升級。換句話說，即使SPF技術(shù)很好，但是實施起來的難度和成本太高，因為涉及的面太廣了，進一步普及還是有難度。

另外，在建立防御垃圾郵件的TMD中，趨勢科技的安全專家曾嶸發(fā)表了很好的建議：分層攔截、網(wǎng)關(guān)桌面相配合。他認為，因為無論是從反釣魚來看，還是從反垃圾郵件的結(jié)果看，這都體現(xiàn)出了一個多層次的立體防御網(wǎng)絡(luò)模型。

有意思的是，張勇對類似看法也相當認可。他甚至表示，整個模型可以劃分為三個層次。第一層是互聯(lián)網(wǎng)云內(nèi)拓撲。在互聯(lián)網(wǎng)云當中，企業(yè)用戶使用安全廠商托管的反垃圾郵件服務(wù)，在郵件的各種威脅還沒有進入到公司之前，在互聯(lián)網(wǎng)中就已經(jīng)清除掉了；第二層是網(wǎng)關(guān)設(shè)備攔截。在企業(yè)網(wǎng)絡(luò)的邊緣，當垃圾郵件威脅還沒有進入到企業(yè)網(wǎng)中的時候，在邊界進行防御；第三層是桌面防護。當垃圾郵件威脅到達桌面系統(tǒng)的時候，再進行進一步的阻斷，這需要與反病毒廠商聯(lián)手。他認為，這三層是一個相互補充的結(jié)構(gòu)。

防御圖形垃圾

前面說過，以圖形垃圾為代表的第三代垃圾郵件已經(jīng)在國外出現(xiàn)泛濫之勢。有意思的是，人眼極易識別圖片垃圾郵件。事實上，這正是圖片垃圾郵件吸引垃圾郵件發(fā)送者的屬性之一，因為他們在發(fā)送圖片垃圾郵件時，不必為了避免被過濾掉而像處理傳統(tǒng)的文本垃圾郵件那樣花費很大的力氣去模糊郵件內(nèi)容。

但是，如果這種垃圾郵件對于最終用戶如此明顯，那么為什么垃圾郵件過濾器無法識別呢？答案在于，人可以利用非常豐富的數(shù)據(jù)集而不僅僅是顯示的文本來解譯消息內(nèi)容。圖片顏色、形狀、字體的大小和類型、圖形等屬性以及其他許多特性也是形成用戶認知消息的因素。這些信息對于傳統(tǒng)的內(nèi)容過濾器是完全隱藏的。

據(jù)王景輝介紹，圖形垃圾郵件是目前最能有效規(guī)避過濾機制的發(fā)送機制，所有文字皆以圖形做成，若是使用關(guān)鍵字來作垃圾郵件識別的工具就無法發(fā)揮作用。但廠商也能使用光學(xué)識別技術(shù)，識別圖片中的文字，如增加了一些OCR的插件。另外一種攔截的思路是使用欄桿技術(shù)，在SMTP會話階段就返回4XX錯誤，拒絕可疑的圖形垃圾，第二次投遞再放其進入，但這樣也很容易被2次重發(fā)而繞過。

不過從結(jié)果上分析，無論采用哪種技術(shù)，目前對圖形的防御效果都不是很好。對此，李松解釋說，按照傳統(tǒng)的垃圾郵件防御理論，一個圖片在系統(tǒng)中可以生成二進制代碼。而普通預(yù)防垃圾郵件的網(wǎng)關(guān)，都是看二進制的代碼是否相同來判斷。但是，如果在圖片中打一些光點、做一些橫格、進行一些切分，二進制的代碼就變了。目前，國外的黑客利用全球的僵尸網(wǎng)絡(luò)復(fù)制圖片，然后利用無順序的規(guī)則切片或者加入干擾點，造成每一張圖片的二進制代碼都不相同，防御難度極高。

據(jù)介紹，目前對于圖形垃圾郵件比較有效的防御手段，就是多維模式識別技術(shù)（MPR）。傳統(tǒng)的反垃圾郵件內(nèi)容過濾器依賴的數(shù)據(jù)，容易被發(fā)送人控制。而多維模式識別技術(shù)則是跨13個以上的緯度進行分析，分割圖片更細致，引擎會從不同角度去解析，包括圖片本身以及圖片中干擾點的規(guī)則。

記者了解到，多維模式識別技術(shù)屬于目前安全界所提倡的模糊控制技術(shù)的一種。這種技術(shù)的核心，是把變化當成規(guī)律的一部分，而IP地址、包頭包尾信息、Web頁面鏈接、圖片本身像素、圖片分割畫面、干擾底層顏色變化，都是緯度之一。

以顏色維度為例，顏色維度提供了豐富的有關(guān)消息內(nèi)容的信息。系統(tǒng)對每條消息的顏色分布進行分析，以確定消息是垃圾郵件的可能性。例如，系統(tǒng)可以對.gif文件進行掃描，確定其像素模式。像素模式能夠表明圖片文件向用戶顯示的是“全文本”，這種模式常見于垃圾郵件中卻罕見于合法郵件中（大多數(shù)合法的.gif文件包含的是圖片而不是文本）。系統(tǒng)還可以發(fā)現(xiàn)圖片中與合法郵件常見的“更加平滑”的光線漸變現(xiàn)象不吻合的異?！皥A點”，而這些原點可能是垃圾郵件發(fā)送者試圖欺騙特征的表現(xiàn)。

為了使這層檢查成為可能同時又不損害性能，系統(tǒng)應(yīng)用了“及早退出”的理念。這意味著更徹底的多維檢查過程，只應(yīng)用于那些已經(jīng)通過常規(guī)的上下文自適應(yīng)掃描并且?guī)в袌D片的消息。要知道，多維檢查過程也運用了同樣的理念，如果對部分圖片文件進行分析后就有足夠的數(shù)據(jù)確定這是一封垃圾郵件，就不再對整個圖片文件進行分析。最后的結(jié)果是，多維檢查過程不僅準確，而且比傳統(tǒng)的OCR技術(shù)快若干倍。這種技術(shù)之所以有效的關(guān)鍵在于反垃圾郵件的實時性。每五分鐘對系統(tǒng)進行一次更新，確保即時、準確地保護系統(tǒng)不受基于圖片的垃圾郵件的威脅。

底層系統(tǒng)與性能

記得在安全巡展過程中，一位上海的用戶曾問到，面對層出不窮的垃圾郵件，各種防御技術(shù)也應(yīng)運而生。但用戶關(guān)心的卻是，反垃圾郵件設(shè)備的性能是否會因此而下降？

用戶的疑問記者也很關(guān)心。經(jīng)過多方查證，記者發(fā)現(xiàn)，性能問題在很大程度上與反垃圾郵件設(shè)備的操作系統(tǒng)與處理機制有關(guān)。

目前來看，反垃圾郵件設(shè)備的操作系統(tǒng)很多都是在Unix、Linux系統(tǒng)上進行裁減和增強的，當然也有一些廠商采用了專門定制操作系統(tǒng)的做法。據(jù)張勇介紹，反垃圾郵件設(shè)備操作系統(tǒng)中的郵件傳輸代理MTA模塊對郵件的收發(fā)性能影響最大。原理很簡單，因為郵件的收發(fā)不依賴于網(wǎng)絡(luò)的帶寬，不依賴是百兆還是千兆的網(wǎng)卡。而郵件對CPU的要求也不高，其主要依賴的還是磁盤的操作速度。磁盤是否夠快，收發(fā)郵件的時候磁盤操作是否夠少，都影響著系統(tǒng)的性能。

據(jù)介紹，目前所有的反垃圾郵件操作系統(tǒng)都有文件系統(tǒng)，一般的MTA都要依賴于文件系統(tǒng)。舉例來看，設(shè)備收到一封郵件，會把這封郵件作為一個文件存儲在操作系統(tǒng)上。但是郵件的特性是大小不一，從幾千字節(jié)到幾十兆都會有，寫入硬盤容易造成很大的磁盤碎片，而且常會造成很深的磁盤目錄。因此系統(tǒng)查詢一封郵件要遍歷很多的目錄，如賬戶、日期、時間、類別等等。

對性能有利的做法是，設(shè)備在這塊磁盤上獨立劃分出一塊裸磁盤直接管理，繞過操作系統(tǒng)的文件系統(tǒng)。比如一些反垃圾郵件系統(tǒng)中帶有數(shù)據(jù)庫，利用數(shù)據(jù)庫的指針操作來管理這塊磁盤。假如郵件A需要1M空間，處在10條數(shù)據(jù)庫隊列中的某一條，指針指向從XXXX開始，到XXXX結(jié)束；郵件B則是另一條對列中，以此類推。那么在查詢郵件的時候，數(shù)據(jù)庫的操作會比磁盤目錄遍歷的操作快很多，而且可以繞過操作系統(tǒng)管理裸磁盤，避免了大量碎片的產(chǎn)生。

另外，郵件接收存儲在磁盤以后，會牽扯到內(nèi)容掃描等過程，這樣又會產(chǎn)生一個讀的操作。為此，一些專業(yè)的反垃圾郵件廠商開發(fā)了Read Once技術(shù)。所有郵件進來只寫一次，寫完之后其他的所有掃描，包括內(nèi)容判斷與隔離，都不會再牽扯到寫的操作。

相關(guān)鏈接

編看編想

UTM集成反垃圾郵件是否可行？

關(guān)于UTM與垃圾郵件的整合，一直以來都是一個爭論頗多的話題。

張勇的觀點是，這個整合要從兩方面來看。第一是網(wǎng)絡(luò)層。包括這些垃圾郵件是從哪里來的，IP地址在哪里，這些SMTP協(xié)議中有哪些不規(guī)范，從這方面看，UTM是可以進行一些控制的；第二是內(nèi)容控制層面。利用人工智能算法去分析郵件中的內(nèi)容，包括CPU、內(nèi)存、硬盤都會有比較高的性能要求。UTM這時候會受到影響。

他認為，目前的反垃圾產(chǎn)品都會有隔離和歸檔的內(nèi)容，對于攔截后的郵件需要一定的存儲空間來保留，一般UTM很難提供類似的功能。

有意思的是，王景輝的看法不盡相同。他認為，在接收一封郵件的時候，一般廠商都會采用代理技術(shù)。但因為代理技術(shù)需要完全接管鏈接的整個過程，然后才能再拋給客戶端，所以會使性能非常慢。而目前最新的技術(shù)不是采用代理，而是利用流檢測技術(shù)。這種技術(shù)一開始就把數(shù)據(jù)包陸續(xù)轉(zhuǎn)發(fā)到客戶端上，但傳到最后幾個數(shù)據(jù)包則暫時不發(fā)給客戶端，而是先利用拷貝技術(shù)將數(shù)據(jù)包拷貝過來，組合起來掃描。如果發(fā)現(xiàn)其含有病毒或垃圾郵件則拒絕推給用戶。利用這種技術(shù)，UTM對垃圾郵件的過濾可以提高一定的速度。

目前的看法是，很多中小企業(yè)可以利用UTM中整合的反垃圾功能，包括URL過濾機制，提高攔截垃圾郵件的性能。而大型企業(yè)往往還是需要專門的反垃圾郵件網(wǎng)關(guān)，以便獲得最佳的效率。

相關(guān)鏈接

主流廠商反垃圾郵件技術(shù)一覽

IronPort 

具備全球范圍的IP地址信譽過濾器

開發(fā)了郵件專有的Async OS操作系統(tǒng)

擁有SenderBase全球垃圾郵件監(jiān)控網(wǎng)絡(luò)

SurfControl

開啟了安全郵件托管服務(wù)，便于中小企業(yè)的業(yè)務(wù)開展

遍布全球的郵件內(nèi)容分析小組，對中文郵件內(nèi)容有專門機構(gòu)負責(zé)

擁有ATI全球信息收集網(wǎng)絡(luò)

神州數(shù)碼網(wǎng)絡(luò)

具有網(wǎng)絡(luò)廠商背景，便于從網(wǎng)絡(luò)底層解決安全問題

擁有流檢測技術(shù)，提高了網(wǎng)關(guān)防御能力

對中文本地化內(nèi)容支持較好

趨勢科技

具有反病毒技術(shù)背景，便于解決郵件病毒問題

擁有全球病毒網(wǎng)絡(luò)，對僵尸網(wǎng)絡(luò)發(fā)起的垃圾郵件監(jiān)控較好

可以構(gòu)筑從網(wǎng)關(guān)到桌面的多層次反垃圾郵件模型

(CCW-cnw)