IT安全魔与道的反复较量
据Radicati估计,2005年全球电子邮件安全产品和服务方面的收入将达到38亿美元,明年会增加12%。此后,增长的速度会更快一些。和市场的乐观预期相对应,反垃圾邮件的现实却令人头痛。尽管安全厂商已经和垃圾邮件进行了长期的斗争,但垃圾邮件并没有明显的减少。
因为无本万利的获利模式,使得垃圾邮件的制造者绞尽脑汁,想尽种种办法来逃避反垃圾邮件技术的过滤。根据计算,如果每个月,在每2000位垃圾邮件收件人中有一人回应,并向垃圾邮件发送者支付20美元(回应率为0.05%),那么,这个垃圾邮件发送者即可轻松赚取100万美元。为了获取暴利,垃圾邮件制造者将绞尽脑汁,不择手段。那么我们手边有什么样的武器呢 ?
反垃圾邮件武器库
不同的反垃圾邮件产品采用的技术有所不同,但总体来说,不外乎以下几种技术,其中,针对垃圾邮件的核心技术有贝叶斯智能分析、垃圾邮件评分、垃圾邮件指纹识别。
关键字
这是使用的最早的反垃圾邮件技术之一。它将一些会在垃圾邮件中经常出现的字符(例如:广告、化妆品、发票等)收集起来形成一个大的数据库,当一封邮件到来的时候对信头、信标题、主题和信体几部分进行检查,看里面是否有数据库中的字符,如果有就被认为是垃圾邮件,如果没有就判断不是垃圾邮件。主要采用的技术是关键词匹配。这种技术的优点是,技术比较容易实现,判断处理速度比较快;缺点是误判率比较高。
IP黑/白名单
这同样是较早的一种反垃圾邮件的技术,将经常发垃圾邮件的IP地址添加到IP黑名单中,以后再从同样的IP地址发来的信件都被判定为垃圾邮件。如果IP地址被加入到白名单中,则认为从那里来的任何邮件都不是垃圾邮件。后来出现的拒绝发件人、拒绝的域也都是类似的技术。这种技术的优缺点和“关键字”技术相同。
贝叶斯算法
贝叶斯算法是一种比较智能的技术,用户通过培训让反垃圾邮件产品认识什么样的邮件是垃圾邮件,什么样的邮件是正常的邮件,然后形成一个贝叶斯库。根据分析以前发生的事情频率和概率来预测将发生事情的频率和概率,判断垃圾邮件的依据就是贝叶斯库。贝叶斯算法的优点是,垃圾邮件的判断准确性大大提高;缺点是,需要用户进行干预,判别的速度较慢。
垃圾邮件评分
这种技术是建立在关键字技术基础之上的,单一的关键字会出现大量的误判情况,为了解决这个问题,出现了多关键字检测的方式—评分。为每个可能在垃圾邮件中出现的关键字赋予分数,分数的多少要根据关键字在垃圾邮件中出现的可能性和严重性来决定。对一封邮件进行扫描,其中有一个关键字就加一定的分数,最后将所有的得分同设置好的阀值进行比较。一般情况下阀值有两个,分成三种情况:第一种情况一定是垃圾邮件;第二种可能是垃圾邮件;第三种一定不是垃圾邮件。市场上大部分反垃圾邮件产品都运用了此项技术。
这种技术的优点是,比较容易实现,降低了一定的误报;缺点是,还是有比较多的误报情况。
指纹识别
听起来这应该是属于生物识别技术的内容,怎么会运用到反垃圾邮件上来了呢?在这里确实模仿了生物识别中指纹的概念。所谓邮件的指纹,就是邮件内容中的一些字符串的组合,又称为快照。就是从类似、但不相同的信息中,识别已经被确认为垃圾邮件的信息。举例来说:如果您经常受垃圾邮件的困扰,一定对下面的词汇不会陌生:代理服务、招生、现金,是不是你一看到它们就不免联想到垃圾邮件呢?其实这就是垃圾邮件的指纹,和反病毒技术的特征码识别的思想是共通的。反垃圾邮件产品通过确认邮件的指纹,完成对垃圾邮件的识别。
当然,指纹检查的准确性依赖于垃圾邮件的指纹库,反垃圾邮件产品先给邮件中出现的每一个字符赋予一个数值(这个数值的确定是按照特定垃圾的用词规律特点进行分类),再利用统计方法给这封邮件计算出一个综合的数值。也可以根据是否与其他多次收到的邮件相似来判定(多次收到相似的邮件很可能就是垃圾邮件)。指纹识别技术的缺点是,要经常维护指纹库。
实时黑名单列表
这种技术类似于前面所提到IP黑名单的方法,区别在于实时黑名单列表是借助于第三方机构,他们为用户提供,垃圾邮件的判断工作也是在Internet上进行的,不需要用户进行干涉和手动添加。
为了有效地拒绝来自恶意的垃圾邮件来源站点和/或被利用的垃圾邮件来源站点所发来的垃圾邮件,最直接和有效的办法就是拒绝该来源的连接。通过将确认后的垃圾邮件来源站点(无论是否是恶意与否)放入一个黑名单(Blackhole List),然后通过发布该名单来保护邮件服务器不受到黑名单中站点的侵扰确实是一个目前对抗日益严重的垃圾邮件的行之有效的方法。
目前在黑名单技术上最流行的是实时黑名单(Realtime Blackhole List,简称RBL)技术。通常该技术是通过DNS方式(查询和区域传输)实现的。目前国外流行的几个主要的实时黑名单服务器都是通过DNS方式提供的,如Mail-Abuse的RBL、RBL+等。
黑名单服务的提供和黑名单的维护由黑名单服务提供者来承担,所以该名单的权威性和可靠性就依赖于该提供者。通常多数的提供者都是比较有国际信誉的组织,所以该名单还是可以信任的。
不过由于多数的黑名单服务提供者是国外的组织和公司,所以其提供的黑名单并不能有效地反映出国内的垃圾邮件情况,因此国内使用实时黑名单服务的邮件商很少。国内目前只有中国反垃圾邮件联盟提供实时黑名单服务。实时黑名单技术的优点是,减少用户的工作量和设置难度,降低一定的误报率;缺点是,有的RBL提供方提供的黑名单过于强硬。
意图检测
垃圾邮件的制造者变着法地想逃过反垃圾邮件产品的检测,所以各种各样的垃圾邮件也不断出现,现在有很多垃圾邮件其标题和信体都和非垃圾邮件一样。信体部分有个URL地址,恰恰就是这个URL地址链接的内容是垃圾内容。意图检测这项技术就是可以对URL进行检查,看其链接的内容来判断此邮件是否为垃圾邮件。这种技术的优点是,提高垃圾邮件的识别率;缺点是,要经常性地维护非法URL库。
DNS反向查找
在发邮件的时候,随意编造一个域名是非常容易的,如果采用阻断非法域名的方式来防止垃圾邮件的话。那么,用户可以说是被动到极点了,而且根本没有办法防止,因为那些域名都是根本不存在的。DNS反向查找技术就是在收到邮件时对发件人的地址的真实性进行核查,防止DNS欺骗。
防止字典攻击
在我们平时使用邮件系统给别人发信的时候遇到过这样的情况,一不小心将收件人的地址写错了,那么这样的邮件是不可能被正确地送到目的地的,将被退回来。一些垃圾邮件的发送者就利用了邮件系统这个特点,大量地向邮件系统发送信件,没有被退回来的信件就是邮件系统当前拥有的邮件地址,这样垃圾邮件的发送者就可以很轻松地得到发送垃圾邮件的对象了。采用防止字典攻击的技术就是让邮件系统在没有真实用户存在于系统当中时不退信,这样攻击者就不能够获得有效的用户列表。
垃圾邮件防火墙
在一个极短的时间里,向一个邮件服务器发送大量的邮件,占用邮件服务器的资源使邮件服务器不能正常地提供邮件服务,这就是针对于邮件系统的拒绝式服务攻击。
垃圾邮件防火墙可以有效抵御拒绝式服务攻击,它是只对邮件数据包进行过滤的防火墙,只负责侦听25端口(SMTP协议的端口)的数据包。有些垃圾邮件防火墙还兼有防病毒功能,跟一般意义上的防毒墙不同的是,这个病毒是作为附件发送的邮件病毒,其他病毒并不在它所关心的范围里面。它的病毒处理机制跟防毒墙类似。
邮件域名过滤
最近,IBM开发了代号为FairUCE(合理使用主动提供的商业电子邮件)的反垃圾邮件新技术。该技术使用网络领域的内置身份管理工具,通过分析电子邮件域名过滤并封锁垃圾邮件。FairUCE把收到的邮件同其源头的IP地址相连接,在电子邮件地址、电子邮件域和发送邮件的计算机之间建立起一种联系,以确定电子邮件的合法性。IP地址是固定不变的,因此FairUCE就能够识别信息是来自僵尸(Zombie)电脑、机器人(Bot)装置还是来自合法的电子邮件服务器。
选择武器的标准
每一种反垃圾邮件的技术几乎都有它自身的不足,如果只是仅仅依靠一项反垃圾邮件技术就梦想能够很好地解决垃圾邮件的困扰,那几乎是不可能的。如何才能有效地防范垃圾邮件呢?就是将多种反垃圾邮件的技术有效地结合在一起形成一个有效的整体,不同技术间互相弥补不足,这样才是上上策。所以,那些需要购买专用反垃圾邮件产品的用户一定要认清所购买的产品都有哪些技术,采用技术越多越完善,防范效果才能更好。
评估反垃圾邮件解决方案的主要标准是有效性、准确度和易于管理性。先进的解决方案可以提供综合性技术,并减少管理员在部署和持续维护等方面的繁琐工作。
有效性。衡量反垃圾邮件解决方案效用的根本衡量标准就是有效性,但保持高有效性难度很大。垃圾邮件发送者的适应能力很强,因此,反垃圾邮件供应商必须不断地监视并调整其过滤器,且具有与垃圾邮件发送者同步发展所必需的承诺和基础架构。
准确度。反垃圾邮件解决方案必须具备很高的准确度,某些误报对于很多用户来说就表示产品的失败。如果用户无法依赖反垃圾邮件过滤器的准确度,他们将不得不进入隔离区手动删除垃圾邮件,这样做既危险又无效。反垃圾邮件供应商首先要致力于消除误报,而后再逐渐提高产品的有效性。
主动性和响应能力。理想情况下,反垃圾邮件解决方案应该是 100% 准确并有效的。但是许多供应商不得不权衡其利弊,要禁止足够多的垃圾邮件,解决方案必须严格,由此又很可能造成误报。反垃圾邮件解决方案应谨慎地将主动和响应过滤技术结合起来,响应过滤器是提供防御误报的重要壁垒,从而弥补了主动过滤器的有效性问题。
最低限度的管理。虽然许多反垃圾邮件解决方案声称可即装即用,但事实上,它们还是把很多任务甩给了管理员和最终用户。反垃圾邮件解决方案应该为管理员和最终用户实现易管理性。
面对众多相互竞争的供应商和解决方案,选择出正确的反垃圾邮件产品是相当艰巨的。评估过程应该从明确了解解决方案的评判标准开始。准确性、有效性和低管理开销目前仍是最重要的决策因素。现场评估(反垃圾邮件解决方案在生产环境中工作)时,应该密切跟踪这些因素。
编看编想:治标更要治本
垃圾邮件泛滥,让我联想到了泛滥的污水。如果等污水都排放到了江河湖海里,再想治理就是难上加难了。所以,治理污水排放要从源头抓起,不让污水流出来才是理想的状态。反垃圾邮件的道理和治理污水很相似。
反垃圾邮件产品的市场这么红火,说明了用户的反垃圾邮件意识很强;市场的红火还映衬出了另一个问题:我们是在家门口和垃圾邮件作战,我们在被动的防御。此时的垃圾邮件,已经流过了互联网,已经将整个社会治理垃圾邮件的综合成本大大抬高。
要想扭转被动的局面,就要抓垃圾邮件的源头,让它根本发不出来,这才是成本最低的治理方法。令人兴奋的是,ISP已经将反垃圾邮件的重点放在了不让垃圾邮件发出来方面。如果在这方面的技术取得突破性进展,再辅以相关法律的支持,垃圾邮件这个互联网的“顽疾”将有望得到彻底的根治。
来源:CCW
- 1小专题:VoIP企业级应用
- 2安全网关的“硬”道理
- 3沈阳OA系统技术交流会等系列会议
- 4计算机辅助工业设计技术发展状况与趋势
- 5布线系统智能化发展
- 6小心拨号连接欺骗
- 7确保Linux环境下文件共享的安全性
- 8用围棋理论指导布线施工
- 9自动化的虚拟环境中的安全威胁
- 10全新的业务连续性思路
- 11千兆网综合布线系统设计与测试
- 12天堂与地狱仅“容灾”一墙之隔
- 13路由器中的管理间距和量度参数
- 14信息化技术: 有关WBS的三个基本问题
- 15刺向僵尸网络的剑
- 16计世解读企业安全风险评估
- 17IT项目经理怎么样进行项目跟踪
- 18管理新型存储系统的7点提示
- 19数据“集线器”开始抬头
- 20信息安全:过去五种影响最大的攻击
- 21可重构计算为何获芯片业集体追捧
- 22中小连锁零售企业信息化优势一念之间
- 23网站构建十大技术准则
- 24泛普协同OA系统的后台设置和前台使用
- 25沈阳OA软件的收(发)文单位维护
- 26泛普OA软件可设置权限以保护机密资料安全
- 27沈阳哪个公司做中小企业的OA办公管理系统?售后服务好的!
- 28OA软件的新增功能:系统基础数据导出功能扩展
- 29中国的灾备建设从探索到实践
- 30怎样编织家中“线网”