IT安全魔與道的反復(fù)較量

據(jù)Radicati估計(jì)，2005年全球電子郵件安全產(chǎn)品和服務(wù)方面的收入將達(dá)到38億美元，明年會(huì)增加12%。此后，增長(zhǎng)的速度會(huì)更快一些。和市場(chǎng)的樂(lè)觀預(yù)期相對(duì)應(yīng)，反垃圾郵件的現(xiàn)實(shí)卻令人頭痛。盡管安全廠商已經(jīng)和垃圾郵件進(jìn)行了長(zhǎng)期的斗爭(zhēng)，但垃圾郵件并沒有明顯的減少。

因?yàn)闊o(wú)本萬(wàn)利的獲利模式，使得垃圾郵件的制造者絞盡腦汁，想盡種種辦法來(lái)逃避反垃圾郵件技術(shù)的過(guò)濾。根據(jù)計(jì)算，如果每個(gè)月，在每2000位垃圾郵件收件人中有一人回應(yīng)，并向垃圾郵件發(fā)送者支付20美元（回應(yīng)率為0.05%），那么，這個(gè)垃圾郵件發(fā)送者即可輕松賺取100萬(wàn)美元。為了獲取暴利，垃圾郵件制造者將絞盡腦汁，不擇手段。那么我們手邊有什么樣的武器呢 ？

反垃圾郵件武器庫(kù)

不同的反垃圾郵件產(chǎn)品采用的技術(shù)有所不同，但總體來(lái)說(shuō)，不外乎以下幾種技術(shù)，其中，針對(duì)垃圾郵件的核心技術(shù)有貝葉斯智能分析、垃圾郵件評(píng)分、垃圾郵件指紋識(shí)別。

關(guān)鍵字

這是使用的最早的反垃圾郵件技術(shù)之一。它將一些會(huì)在垃圾郵件中經(jīng)常出現(xiàn)的字符（例如：廣告、化妝品、發(fā)票等）收集起來(lái)形成一個(gè)大的數(shù)據(jù)庫(kù)，當(dāng)一封郵件到來(lái)的時(shí)候?qū)π蓬^、信標(biāo)題、主題和信體幾部分進(jìn)行檢查，看里面是否有數(shù)據(jù)庫(kù)中的字符，如果有就被認(rèn)為是垃圾郵件，如果沒有就判斷不是垃圾郵件。主要采用的技術(shù)是關(guān)鍵詞匹配。這種技術(shù)的優(yōu)點(diǎn)是，技術(shù)比較容易實(shí)現(xiàn)，判斷處理速度比較快；缺點(diǎn)是誤判率比較高。

IP黑/白名單

這同樣是較早的一種反垃圾郵件的技術(shù)，將經(jīng)常發(fā)垃圾郵件的IP地址添加到IP黑名單中，以后再?gòu)耐瑯拥腎P地址發(fā)來(lái)的信件都被判定為垃圾郵件。如果IP地址被加入到白名單中，則認(rèn)為從那里來(lái)的任何郵件都不是垃圾郵件。后來(lái)出現(xiàn)的拒絕發(fā)件人、拒絕的域也都是類似的技術(shù)。這種技術(shù)的優(yōu)缺點(diǎn)和“關(guān)鍵字”技術(shù)相同。

貝葉斯算法

貝葉斯算法是一種比較智能的技術(shù)，用戶通過(guò)培訓(xùn)讓反垃圾郵件產(chǎn)品認(rèn)識(shí)什么樣的郵件是垃圾郵件，什么樣的郵件是正常的郵件，然后形成一個(gè)貝葉斯庫(kù)。根據(jù)分析以前發(fā)生的事情頻率和概率來(lái)預(yù)測(cè)將發(fā)生事情的頻率和概率，判斷垃圾郵件的依據(jù)就是貝葉斯庫(kù)。貝葉斯算法的優(yōu)點(diǎn)是，垃圾郵件的判斷準(zhǔn)確性大大提高；缺點(diǎn)是，需要用戶進(jìn)行干預(yù)，判別的速度較慢。

垃圾郵件評(píng)分

這種技術(shù)是建立在關(guān)鍵字技術(shù)基礎(chǔ)之上的，單一的關(guān)鍵字會(huì)出現(xiàn)大量的誤判情況，為了解決這個(gè)問(wèn)題，出現(xiàn)了多關(guān)鍵字檢測(cè)的方式—評(píng)分。為每個(gè)可能在垃圾郵件中出現(xiàn)的關(guān)鍵字賦予分?jǐn)?shù)，分?jǐn)?shù)的多少要根據(jù)關(guān)鍵字在垃圾郵件中出現(xiàn)的可能性和嚴(yán)重性來(lái)決定。對(duì)一封郵件進(jìn)行掃描，其中有一個(gè)關(guān)鍵字就加一定的分?jǐn)?shù)，最后將所有的得分同設(shè)置好的閥值進(jìn)行比較。一般情況下閥值有兩個(gè)，分成三種情況：第一種情況一定是垃圾郵件；第二種可能是垃圾郵件；第三種一定不是垃圾郵件。市場(chǎng)上大部分反垃圾郵件產(chǎn)品都運(yùn)用了此項(xiàng)技術(shù)。

這種技術(shù)的優(yōu)點(diǎn)是，比較容易實(shí)現(xiàn)，降低了一定的誤報(bào)；缺點(diǎn)是，還是有比較多的誤報(bào)情況。

指紋識(shí)別

聽起來(lái)這應(yīng)該是屬于生物識(shí)別技術(shù)的內(nèi)容，怎么會(huì)運(yùn)用到反垃圾郵件上來(lái)了呢？在這里確實(shí)模仿了生物識(shí)別中指紋的概念。所謂郵件的指紋，就是郵件內(nèi)容中的一些字符串的組合，又稱為快照。就是從類似、但不相同的信息中，識(shí)別已經(jīng)被確認(rèn)為垃圾郵件的信息。舉例來(lái)說(shuō)：如果您經(jīng)常受垃圾郵件的困擾，一定對(duì)下面的詞匯不會(huì)陌生：代理服務(wù)、招生、現(xiàn)金，是不是你一看到它們就不免聯(lián)想到垃圾郵件呢？其實(shí)這就是垃圾郵件的指紋，和反病毒技術(shù)的特征碼識(shí)別的思想是共通的。反垃圾郵件產(chǎn)品通過(guò)確認(rèn)郵件的指紋，完成對(duì)垃圾郵件的識(shí)別。

當(dāng)然，指紋檢查的準(zhǔn)確性依賴于垃圾郵件的指紋庫(kù)，反垃圾郵件產(chǎn)品先給郵件中出現(xiàn)的每一個(gè)字符賦予一個(gè)數(shù)值（這個(gè)數(shù)值的確定是按照特定垃圾的用詞規(guī)律特點(diǎn)進(jìn)行分類），再利用統(tǒng)計(jì)方法給這封郵件計(jì)算出一個(gè)綜合的數(shù)值。也可以根據(jù)是否與其他多次收到的郵件相似來(lái)判定（多次收到相似的郵件很可能就是垃圾郵件）。指紋識(shí)別技術(shù)的缺點(diǎn)是，要經(jīng)常維護(hù)指紋庫(kù)。

實(shí)時(shí)黑名單列表

這種技術(shù)類似于前面所提到IP黑名單的方法，區(qū)別在于實(shí)時(shí)黑名單列表是借助于第三方機(jī)構(gòu)，他們?yōu)橛脩籼峁?，垃圾郵件的判斷工作也是在Internet上進(jìn)行的，不需要用戶進(jìn)行干涉和手動(dòng)添加。

為了有效地拒絕來(lái)自惡意的垃圾郵件來(lái)源站點(diǎn)和/或被利用的垃圾郵件來(lái)源站點(diǎn)所發(fā)來(lái)的垃圾郵件，最直接和有效的辦法就是拒絕該來(lái)源的連接。通過(guò)將確認(rèn)后的垃圾郵件來(lái)源站點(diǎn)（無(wú)論是否是惡意與否）放入一個(gè)黑名單（Blackhole List），然后通過(guò)發(fā)布該名單來(lái)保護(hù)郵件服務(wù)器不受到黑名單中站點(diǎn)的侵?jǐn)_確實(shí)是一個(gè)目前對(duì)抗日益嚴(yán)重的垃圾郵件的行之有效的方法。

目前在黑名單技術(shù)上最流行的是實(shí)時(shí)黑名單（Realtime Blackhole List，簡(jiǎn)稱RBL）技術(shù)。通常該技術(shù)是通過(guò)DNS方式（查詢和區(qū)域傳輸）實(shí)現(xiàn)的。目前國(guó)外流行的幾個(gè)主要的實(shí)時(shí)黑名單服務(wù)器都是通過(guò)DNS方式提供的，如Mail-Abuse的RBL、RBL+等。

黑名單服務(wù)的提供和黑名單的維護(hù)由黑名單服務(wù)提供者來(lái)承擔(dān)，所以該名單的權(quán)威性和可靠性就依賴于該提供者。通常多數(shù)的提供者都是比較有國(guó)際信譽(yù)的組織，所以該名單還是可以信任的。

不過(guò)由于多數(shù)的黑名單服務(wù)提供者是國(guó)外的組織和公司，所以其提供的黑名單并不能有效地反映出國(guó)內(nèi)的垃圾郵件情況，因此國(guó)內(nèi)使用實(shí)時(shí)黑名單服務(wù)的郵件商很少。國(guó)內(nèi)目前只有中國(guó)反垃圾郵件聯(lián)盟提供實(shí)時(shí)黑名單服務(wù)。實(shí)時(shí)黑名單技術(shù)的優(yōu)點(diǎn)是，減少用戶的工作量和設(shè)置難度，降低一定的誤報(bào)率；缺點(diǎn)是，有的RBL提供方提供的黑名單過(guò)于強(qiáng)硬。

意圖檢測(cè)

垃圾郵件的制造者變著法地想逃過(guò)反垃圾郵件產(chǎn)品的檢測(cè)，所以各種各樣的垃圾郵件也不斷出現(xiàn)，現(xiàn)在有很多垃圾郵件其標(biāo)題和信體都和非垃圾郵件一樣。信體部分有個(gè)URL地址，恰恰就是這個(gè)URL地址鏈接的內(nèi)容是垃圾內(nèi)容。意圖檢測(cè)這項(xiàng)技術(shù)就是可以對(duì)URL進(jìn)行檢查，看其鏈接的內(nèi)容來(lái)判斷此郵件是否為垃圾郵件。這種技術(shù)的優(yōu)點(diǎn)是，提高垃圾郵件的識(shí)別率；缺點(diǎn)是，要經(jīng)常性地維護(hù)非法URL庫(kù)。

DNS反向查找

在發(fā)郵件的時(shí)候，隨意編造一個(gè)域名是非常容易的，如果采用阻斷非法域名的方式來(lái)防止垃圾郵件的話。那么，用戶可以說(shuō)是被動(dòng)到極點(diǎn)了，而且根本沒有辦法防止，因?yàn)槟切┯蛎际歉静淮嬖诘?。DNS反向查找技術(shù)就是在收到郵件時(shí)對(duì)發(fā)件人的地址的真實(shí)性進(jìn)行核查，防止DNS欺騙。

防止字典攻擊

在我們平時(shí)使用郵件系統(tǒng)給別人發(fā)信的時(shí)候遇到過(guò)這樣的情況，一不小心將收件人的地址寫錯(cuò)了，那么這樣的郵件是不可能被正確地送到目的地的，將被退回來(lái)。一些垃圾郵件的發(fā)送者就利用了郵件系統(tǒng)這個(gè)特點(diǎn)，大量地向郵件系統(tǒng)發(fā)送信件，沒有被退回來(lái)的信件就是郵件系統(tǒng)當(dāng)前擁有的郵件地址，這樣垃圾郵件的發(fā)送者就可以很輕松地得到發(fā)送垃圾郵件的對(duì)象了。采用防止字典攻擊的技術(shù)就是讓郵件系統(tǒng)在沒有真實(shí)用戶存在于系統(tǒng)當(dāng)中時(shí)不退信，這樣攻擊者就不能夠獲得有效的用戶列表。

垃圾郵件防火墻

在一個(gè)極短的時(shí)間里，向一個(gè)郵件服務(wù)器發(fā)送大量的郵件，占用郵件服務(wù)器的資源使郵件服務(wù)器不能正常地提供郵件服務(wù)，這就是針對(duì)于郵件系統(tǒng)的拒絕式服務(wù)攻擊。

垃圾郵件防火墻可以有效抵御拒絕式服務(wù)攻擊，它是只對(duì)郵件數(shù)據(jù)包進(jìn)行過(guò)濾的防火墻，只負(fù)責(zé)偵聽25端口（SMTP協(xié)議的端口）的數(shù)據(jù)包。有些垃圾郵件防火墻還兼有防病毒功能，跟一般意義上的防毒墻不同的是，這個(gè)病毒是作為附件發(fā)送的郵件病毒，其他病毒并不在它所關(guān)心的范圍里面。它的病毒處理機(jī)制跟防毒墻類似。

郵件域名過(guò)濾

最近，IBM開發(fā)了代號(hào)為FairUCE（合理使用主動(dòng)提供的商業(yè)電子郵件）的反垃圾郵件新技術(shù)。該技術(shù)使用網(wǎng)絡(luò)領(lǐng)域的內(nèi)置身份管理工具，通過(guò)分析電子郵件域名過(guò)濾并封鎖垃圾郵件。FairUCE把收到的郵件同其源頭的IP地址相連接，在電子郵件地址、電子郵件域和發(fā)送郵件的計(jì)算機(jī)之間建立起一種聯(lián)系，以確定電子郵件的合法性。IP地址是固定不變的，因此FairUCE就能夠識(shí)別信息是來(lái)自僵尸（Zombie）電腦、機(jī)器人（Bot）裝置還是來(lái)自合法的電子郵件服務(wù)器。

選擇武器的標(biāo)準(zhǔn)

每一種反垃圾郵件的技術(shù)幾乎都有它自身的不足，如果只是僅僅依靠一項(xiàng)反垃圾郵件技術(shù)就夢(mèng)想能夠很好地解決垃圾郵件的困擾，那幾乎是不可能的。如何才能有效地防范垃圾郵件呢？就是將多種反垃圾郵件的技術(shù)有效地結(jié)合在一起形成一個(gè)有效的整體，不同技術(shù)間互相彌補(bǔ)不足，這樣才是上上策。所以，那些需要購(gòu)買專用反垃圾郵件產(chǎn)品的用戶一定要認(rèn)清所購(gòu)買的產(chǎn)品都有哪些技術(shù)，采用技術(shù)越多越完善，防范效果才能更好。

評(píng)估反垃圾郵件解決方案的主要標(biāo)準(zhǔn)是有效性、準(zhǔn)確度和易于管理性。先進(jìn)的解決方案可以提供綜合性技術(shù)，并減少管理員在部署和持續(xù)維護(hù)等方面的繁瑣工作。

有效性。衡量反垃圾郵件解決方案效用的根本衡量標(biāo)準(zhǔn)就是有效性，但保持高有效性難度很大。垃圾郵件發(fā)送者的適應(yīng)能力很強(qiáng)，因此，反垃圾郵件供應(yīng)商必須不斷地監(jiān)視并調(diào)整其過(guò)濾器，且具有與垃圾郵件發(fā)送者同步發(fā)展所必需的承諾和基礎(chǔ)架構(gòu)。

準(zhǔn)確度。反垃圾郵件解決方案必須具備很高的準(zhǔn)確度，某些誤報(bào)對(duì)于很多用戶來(lái)說(shuō)就表示產(chǎn)品的失敗。如果用戶無(wú)法依賴反垃圾郵件過(guò)濾器的準(zhǔn)確度，他們將不得不進(jìn)入隔離區(qū)手動(dòng)刪除垃圾郵件，這樣做既危險(xiǎn)又無(wú)效。反垃圾郵件供應(yīng)商首先要致力于消除誤報(bào)，而后再逐漸提高產(chǎn)品的有效性。

主動(dòng)性和響應(yīng)能力。理想情況下，反垃圾郵件解決方案應(yīng)該是 100% 準(zhǔn)確并有效的。但是許多供應(yīng)商不得不權(quán)衡其利弊，要禁止足夠多的垃圾郵件，解決方案必須嚴(yán)格，由此又很可能造成誤報(bào)。反垃圾郵件解決方案應(yīng)謹(jǐn)慎地將主動(dòng)和響應(yīng)過(guò)濾技術(shù)結(jié)合起來(lái)，響應(yīng)過(guò)濾器是提供防御誤報(bào)的重要壁壘，從而彌補(bǔ)了主動(dòng)過(guò)濾器的有效性問(wèn)題。

最低限度的管理。雖然許多反垃圾郵件解決方案聲稱可即裝即用，但事實(shí)上，它們還是把很多任務(wù)甩給了管理員和最終用戶。反垃圾郵件解決方案應(yīng)該為管理員和最終用戶實(shí)現(xiàn)易管理性。

面對(duì)眾多相互競(jìng)爭(zhēng)的供應(yīng)商和解決方案，選擇出正確的反垃圾郵件產(chǎn)品是相當(dāng)艱巨的。評(píng)估過(guò)程應(yīng)該從明確了解解決方案的評(píng)判標(biāo)準(zhǔn)開始。準(zhǔn)確性、有效性和低管理開銷目前仍是最重要的決策因素?，F(xiàn)場(chǎng)評(píng)估（反垃圾郵件解決方案在生產(chǎn)環(huán)境中工作）時(shí)，應(yīng)該密切跟蹤這些因素。

編看編想：治標(biāo)更要治本

垃圾郵件泛濫，讓我聯(lián)想到了泛濫的污水。如果等污水都排放到了江河湖海里，再想治理就是難上加難了。所以，治理污水排放要從源頭抓起，不讓污水流出來(lái)才是理想的狀態(tài)。反垃圾郵件的道理和治理污水很相似。

反垃圾郵件產(chǎn)品的市場(chǎng)這么紅火，說(shuō)明了用戶的反垃圾郵件意識(shí)很強(qiáng)；市場(chǎng)的紅火還映襯出了另一個(gè)問(wèn)題：我們是在家門口和垃圾郵件作戰(zhàn)，我們?cè)诒粍?dòng)的防御。此時(shí)的垃圾郵件，已經(jīng)流過(guò)了互聯(lián)網(wǎng)，已經(jīng)將整個(gè)社會(huì)治理垃圾郵件的綜合成本大大抬高。

要想扭轉(zhuǎn)被動(dòng)的局面，就要抓垃圾郵件的源頭，讓它根本發(fā)不出來(lái)，這才是成本最低的治理方法。令人興奮的是，ISP已經(jīng)將反垃圾郵件的重點(diǎn)放在了不讓垃圾郵件發(fā)出來(lái)方面。如果在這方面的技術(shù)取得突破性進(jìn)展，再輔以相關(guān)法律的支持，垃圾郵件這個(gè)互聯(lián)網(wǎng)的“頑疾”將有望得到徹底的根治。