网关介绍
垃圾邮件的产生垃圾邮件的定义
2000年8月,中国电信制定了垃圾邮件处理办法,并将垃圾邮件定义为:向未主动请求的用户传送的电子邮件广告、刊物或其他资料;没有明确的退信方法、发信人、回信地址等的邮件;利用中国电信的网路从事违反其他ISP的安全策略或服务条款的行为;其他预计会导致投诉的邮件。
2002年5月20日,中国教育和科研计算机网公布了《关于制止垃圾邮件的管理规定》,其中对垃圾邮件的定义为:凡是未经用户请求强行发到用户信箱中的任何广告、宣传资料、病毒等内容的电子邮件,一般具有批量传送的特徵。
反垃圾网关定义
反垃圾邮件网关是设定在企业邮件系统伺服器之前的硬体设备。该设备接收所有进入到企业内部的邮件,对邮件进行处理,让良性邮件进入企业邮件伺服器。反垃圾邮件网关通常建立在基于Linux或者BSD的加固的作业系统之上,也有个别厂商基于其他作业系统製作解决方案。硬体的形式及加固作业系统使垃圾邮件防火墙更加不容易被黑客等攻击。一个良好的垃圾邮件防火墙不仅可以阻断垃圾邮件,而且可以保护邮件伺服器不受其他形式的攻击。
很多人不知道,其实反垃圾邮件网关还有软体形式的,即嵌入式的,像Rich firewall反垃圾安全网关就是一种软体网关。软体式的反垃圾邮件网关的优势在于价格便宜,部署简易,与邮件系统一起绑定安装,可以减少额外配置的麻烦,也可以摆脱反垃圾邮件网关对高速网路的影响,而且反垃圾效果不亚于硬体设备。
网关功能
一般反垃圾邮件网关功能最简单而言,就是阻断不需要的邮件进入网路及到达邮件伺服器。这是一般通过一个多层次的过滤解决方案实现的。一些反垃圾邮件网关仅採用一个单一技术来清除垃圾邮件,但由于垃圾邮件传送者会很容易绕过单一技术的反垃圾邮件网关,我们不推荐单一技术。常有功能模组如下:
| 核心功能模组: | 增值功能模组: |
1.反垃圾邮件引擎 | 9.收发限制管理 |
2.反病毒邮件引擎(ClamAV) | 10.邮件监控 |
3.简讯接口 | 11.多级邮件审核 |
4.统计分析 | 12.邮件列表 |
5.高级中继(国际邮件) | 13.系统日誌 |
6.邮件归档 | 14.邮件中转站 |
7.系统监控 | 15.系统集成(exchange、Domino等)如下图 |
8.邮件智慧型过滤 | 16.标準API开发包 |
集成Exchange
与exchange邮件系统进行集成
集成 Domino
与domino邮件系统进行集成
反垃圾实现方式
实现反垃圾邮件的方式
反垃圾安全网关同时支持发信认证(smtp-auth)、黑名单和系统级垃圾邮件过滤功能,为用户信箱提供三重保护。用户可以随时从国内外反垃圾 邮件组织获得黑名单列表档案,导入邮件系统,从而使邮件管理员从被动变为主动。Rich firewall反垃圾安全网关黑名单功能支持模糊匹配,可以禁止一个域,也可以只禁止域内的一个用户。此外,提供多种方式的垃圾邮件过滤功能,防止账户被劫持来发垃圾邮件,防邮件攻击等,全方位保障邮件伺服器的安全。第一层:网路控制层经验分析,传送垃圾邮件的伺服器一般都会同时大批量向某些域的多个帐号传送垃圾邮件,对于这些传送垃圾邮件方式,可通过设定一定网路访问频率控制进行有效 的阻隔。反垃圾安全网关提供两种设定方式对付这种攻击,并可自动把传送垃圾邮件的IP归为垃圾IP(SpamIP)列表。通过smtp 服务层把明显的传送垃圾邮件smtp 连线拒绝,大大减轻后台投递系统和反垃圾引擎的负担。通过统计分析,我们发现很多传送垃圾邮件的smtp 连线具有以下特点。1.同一IP同时的smtp连线数非常大。2.同一IP一段时间内,smtp连线频率非常高。一般出现这两种情况,都表示源发件人非常有可能传送垃圾邮件。通过设定以下这两个参数可控制这类型的smtp连线,从而截断髮送垃圾邮件的源头:系统设定-》SMTP服务-》一分钟内同一IP允许访问次数。同时设定:系统设定-》SMTP服务-》启用智慧型反垃圾IP功能参数,把符合以上两个条件的IP位址自动加入系统的智慧型反垃圾IP列表中(SmartSpamIP),当以后系统碰到这些IP连线时,直接拒绝。可通过:系统监控-》智慧型反垃圾IP列表。查看系统目前智慧型反垃圾IP 列表。注意:当网际网路是经过反垃圾网关再接入邮件系统的情况,由于邮件系统的所有smtp连线都来自反垃圾网关,所以基于Smtp服务反垃圾不再起作用,这里需要把以上两个参数设为-1,以免系统smtp服务故障。第二层:来源分析根据垃圾邮件传送者IP的地理位置,与 APNIC 的IP信息库核对结果,看来源是否真实,如果真实则通过,否则可能为可疑邮件。因为IP 来源无法伪装,所以这个反垃圾策略比较有效。第三层:黑名单通过黑名单,反垃圾安全网关可设定禁止任何一个IP,一个网段;也可禁止任何一个发信人,一个域。实时黑名单(RBL)主要利用网际网路公开的RBL资源判断是否垃圾邮件。RBL 一般都通过DNS 查询的方式提供对某个IP或域名是否是垃圾邮件传送源进行判断。另外,由于国外大多数RBL都对来自中国的I 有“歧视”,所以我们并不能完全依靠RBL 来判断一封邮件是否是垃圾邮件,只能根据RBL查询结果判断该邮件是否有垃圾邮件的可能性。可设定以下参数定製RBL:
RBL 伺服器,指定RBL 查询域名后缀。DNS 查询类型,根据具体的RBL 要求指定DNS 查询记录类型。匹配表达式,指定RBL 查询结果的匹配模式,表达式格式採用perl 正则表达式,如果为空,则表示如果可查到RBL结果,就表示符合条件。第四层:灰名单灰名单技术源于: greylist灰名单技术基本假设是:病毒和垃圾邮件,通常都是一次性的,如果遇到错误,不会重试。一些发垃圾邮件的软体,这些软体基本上都不会对邮件伺服器返回的错误做出任何重试,而只是简单的在日誌里记录传送失败而已。而病毒引发的邮件风暴则更加不会识别邮件伺服器返回的错误,因为这些病毒仅仅是简单的传送邮件,传送时根本不理会伺服器的状态。Greylist的设计大体上是基于一种重试的原则,即第一次看到某个IP想给某个收件人发信,那么 它将简单的返回一个临时错误(4xx),并拒绝此请求,正常的邮件伺服器都会在一段时间内(如半小时)重发一次邮件。Greylist发现还是刚才同样的 ip地址和收件人,认为此ip是来自合法伺服器的,予以放行。如果是非正常的邮件,那么或者将永远也不再进行重试,或者会疯狂重试,但由于间隔太近,而遭 拒绝。因此,Greylist只要设定一个合适的放行间隔,就可以在很大程度上对这类垃圾邮件有着良好的免疫能力。Greylist的一大特点就是不会丢 信,正规的邮件伺服器认为4xx错误只是临时性、软性的错误,会隔一段时间重试,因此邮件还是可以投递成功。但Greylist的一大缺点是即时延迟 (delay),延迟从几分钟到几个小时不等。对于一些对邮件及时性很强的客户,Greylist可能不是一个很好的选择。第五层:趋势分析趋势分析原理为,所有垃圾邮件都有目标指向,比如:卖药广告邮件都会在邮件内容里指定卖药的电话、邮件或网站,如果不指定这些信息,传送垃圾邮件也就没有意义了。趋势分析法就是通过分析邮件里的电话、邮件或网站连结内容,通过匹配判断他的指向从而判断邮 件是否是垃圾邮件。第六层:邮件来源判断主要通过分析邮件的来源,如:发件人IP ,发件人,发件域,等内容,来判断垃圾邮件的可能行。第七层:SpamFilter内容过滤通过邮件内容关键字分析,可为符合内容分析结果的邮件打上相应的垃圾邮件评分。这类规则的判断条件类似系统的过滤规则。可参考过滤规则设定来设定过滤评分内容,同时我们也会通过收集客户反馈的垃圾邮件特点整理成规则内容,定期通知客户更新。第八层:主题分析引擎主题分析原理是基于:同一类垃圾邮件的内容大多都相似,通过相似度进行分析,以确定是否为垃圾邮件。 比如代开发票的垃圾邮件,内容部分大多都有 “代开”,“发票”,“税”这类词,通过对同一类型垃圾邮件的统计分析,可以归纳这类垃圾邮件的主要关键字,通过关键字匹配度,确认是否是垃圾邮件。第九层:TMSpamCheck引擎TMSpamCheck技术是基于云计算的反垃圾技术,Rich firewall反垃圾安全网关通过收集终端用户反馈的垃圾邮件,统一分析,实时归纳为中心垃圾规则库。同时当客户伺服器初步检测到邮件可能为垃圾邮件时,即计算邮件的特徵摘要,与中心规则库比较,以确定是否为垃圾邮件。
网关特点
12层过滤模型速率控制
Dos防护
三层病毒防护
IP信誉库(含梭子鱼信誉防护)
发件人认证
收件人验证
用户自定义策略
垃圾邮件指纹分析,支持最新图片指纹过滤技术和支持邮件指纹过滤技术
意图分析,能识别最新图形化的垃圾邮件
贝叶斯分析,支持贝叶斯智慧型分析垃圾邮件过滤技术
图像识别,支持最新图片内容识别技术Optical Content Reading(OCR)
垃圾邮件的规则评分,支持基于规则的评分系统过滤技术,规则可按小时自动更新,规则库包含中文简体、繁体字元规则
全面防护
垃圾邮件及病毒邮件过滤
使用双层病毒扫描引擎,彻底查杀各种来自邮件的病毒,不加收病毒系统费用
支持病毒特徵码按小时自动更新功能。病毒管理与反垃圾邮件管理在同一界面,降低管理成本
支持全局及分用户隔离功能
阻止欺诈、钓鱼及恶意软体邮件
反退信攻击
SMTP/TLS加密传输
支持SMTP及LDAP邮件认证功能
外发邮件过滤功能
策略遵从
支持多域多邮件伺服器,支持多达50个域
能够应对各种专门针对邮件系统的Dos/DDos攻击,洪水式攻击,字典攻击
支持连线埠转发功能,支持多IP,支持静态路由
支持web的安全登入(HTTPS/SSL)
病毒过滤
压缩档案扫描
梭子鱼实时病毒防护
三层病毒防御
档案类型阻断
邮件安全标準
支持外部DNSBL
SPF,
DomainKeys
部署方式
反垃圾网关安装
反垃圾邮件网关通常安装在非军事区(DMZ),装在Internet路由器及企业邮件伺服器之间,根据企业的不同需求,反垃圾邮件网关有很多种安装及部署方法。标準的部署方法是将反垃圾邮件网关与企业网路简单联接,分配一个新IP位址。一旦该IP位址分配好,企业MX记录指向反垃圾邮件网关的IP位址。反垃圾邮件网关的预设设定自动启动,开始过滤邮件,不需要人进一步设定。用户可以以后通过基于Web的管理界面进行进一步设定或者使用其他功能。反垃圾邮件网关也可以用于支持在不同地点的多邮件伺服器。
主要部署模式
众多的主流反垃圾邮件网关,主提供了一种部署方式(旁路部署)。该部署方式安装最为简单,而且基本不会对客户造成影响。直接将公网25连线埠映射给反垃圾邮件网关。
一般客户邮件伺服器有以下两种情况:
1、邮件伺服器通过防火墙做SMTP连线埠映射。
2、邮件伺服器直接是公网IP,通过MX记录把域名和IP绑定。
网关技术
邮件指纹技术
垃圾邮件传送的商业模型是大规模的发出同样的邮件,通常几天或者几周内甚至几个月内传送数以百万计的邮件,这些邮件虽然可能在细微处有所变化,但是通过特定的算法,却可以将这些邮件的共同特徵提取出来。为此,反垃圾邮件网关厂家设定了大量“蜜罐”,或者说诱骗邮件地址,是用于收集大量的垃圾邮件。再依靠特定的算法,将这些邮件的共同特徵――邮件指纹提取出来,邮件指纹库。反垃圾邮件网关厂家收到邮件后,传送相关的信息到远程的邮件指纹资料库中进行核对,从而迅速的确认这封邮件是否是垃圾。
这种指纹分析的方法和当前反病毒体系中病毒特徵码的原理是一样的。在面对一些最新出现的或罕见的垃圾邮件时,它没有多大效用。但是对于哪些大量传送的相同的垃圾邮件,这种方法却具有最高的效率。而且这种方法几乎不会产生误判。
意图分析技术
垃圾邮件技术如今变得愈加複杂,许多垃圾邮件变得与正常的邮件几乎一样,在这些邮件中含有URL连结,这个连结往往指向一些不健康的网站,或某个商品促销的网站。反垃圾邮件网关厂家为此创建了意图分析技术,构建了垃圾邮件URLS地址资料库。它检查邮件中的URL连结,确定邮件是否为垃圾邮件。
贝叶斯过滤技术
贝叶斯分析:命名于着名数学家托马斯▫贝叶斯(1702-1761),他发展了一个数学领域全新的可能性推论理论。贝叶斯分析採用过去事件的知识预测未来事件。套用到反垃圾邮件领域,贝叶斯过滤与以前收到的垃圾邮件与合法邮件的中相同词语与短语出现的频率对比此邮件中有问题的词语与短语的来确定垃圾邮件的可能性。他能自动适应垃圾邮件变化。是一种动态的智慧型过滤技术。
贝叶斯过滤技术,它採用了全新的分词技术,同时支持单位元组和双位元组语种,需要学习的样本数量更少。贝叶斯能保正系统始终具有较高的过滤率,其它的过滤技术是一种静态的技术,依赖于规则库或特徵库的更新。而贝叶斯是智慧型的技术,他能自动学习新的垃圾邮件,调整自己的字词频度表,使得系统始终维持较高的过滤水準。
採用了分用户贝叶斯后,使得不同邮件用户个性化的需求得以真正的实现。一般反垃圾邮件分用户个性化设定仅限于个人黑白名单。无法满足不同用户对邮件的不同偏好,然而用户通过调整培训自己的分用户贝叶斯资料库,就可以简单的实现这一功能。
评分系统
垃圾邮件製造者清楚反垃圾邮件的原理,因此也越来越狡猾,其中常用的一种办法经常将一些单词拼错,“Viagra”可能被有意地拼写为“V1agra”或者任何一种可能的变体,这样普通的词语过滤器就无法识别。
基于规则的评分系统也被称为人工智慧(AI)系统,每一条规则对应一定的评分,一封邮件与规则库进行比较,每符合一条规则加上该规则评分,获得的分数越高,该邮件是垃圾邮件的可能性就越高。如果一封邮件超过一定得分门槛(阈值),该邮件将被分类为垃圾邮件。
在这些规则中,可以用来识别变化的词语或短语,例如垃圾邮件引擎侦测到变化型文字,垃圾邮件引擎会自动回复到原先字词,例如V.I.A.G.R.A回复为VIAGRA。这些规则不仅包括语义分析,还包括对垃圾邮件传送工具的检测、对邮件中含有图片形态和比重的检测,对于HTML格式的各种特徵的规则等。通过对一封邮件所有相关的信息都进行相关的智慧型分析,最终能够準确的判定一封邮件。
