企业中的邮件安全

　　2.3.3 集中的分领域内容分析

　　智能内容分析是根据目前垃圾邮件的主要内容特征认定其是垃圾的可能性。

　　2.4 辅助工作

　　2.4.1 打分机制

　　上面提到了大量的目前的反垃圾邮件方法，但除了黑名单、白名单，所有方法、包括可追查性检查在未完全实施前，都可能发生误判，而对于用户来说，少量的漏判是可以忍受的，但即使是极少量的误判可能用户都不愿接受，因此一般的反垃圾邮件产品都使用多种反垃圾技术，并对每种技术做加权打分，以总分值作为一封邮件是垃圾邮件的可能性高低的判断。

　　但仍然要强调的是：即使使用打分机制，仍然存在误判的可能性，只不过可以将分值极高的邮件认为是垃圾邮件，分值极低的邮件认为是正常邮件，而中间分值的邮件建议采用标记的方法，而不是直接拒绝，由收件人去判断它是否垃圾邮件。

　　2.4.2 降噪

　　智能降噪系统是指例如一个合法邮件发送者平时都是发送正常邮件、突然大量发送垃圾邮件时的情况，有可能是因为某种原因的错误判断，也就是可能是噪声，因此对其进行降噪处理，认为他发送的邮件是垃圾的概率相对降低。

　　2.4.3 互动

　　系统的所有引擎和子引擎应该是互动的，即包括可追查检查、智能实时黑名单、智能集中分析和智能内容分析得出的垃圾邮件和非垃圾邮件都会作为贝叶斯自学习的样本，同时贝叶斯过滤器认为是垃圾邮件的邮件会作为智能集中分析等子引擎的提交邮件，充实智能集中分析系统的特征库。

　　2.4.4 垃圾探针邮箱

　　首先，垃圾邮件发送者要得到邮件地址，他们可能这样得到：

　　从邮件列表得到

　　从网页得到

　　交换和购买

　　邮件地址收集软件可以自动扫描新闻组、邮件列表和网页，从中找到任何看起来象邮件地址的字符串，存入数据库或文件，作为发送垃圾邮件的目标地址列表，这个列表可能非常大。当你向新闻组提交一篇文章，或把邮件地址放到任何网页上时，就可能被邮件地址收集软件捕捉到。

　　根据垃圾邮件发送者搜集、共享邮件清单的方法，我们可以建立多种垃圾探针邮箱，这些探针邮箱有的可以100%保证是垃圾邮件，有些可能会引来一些正常邮件。

　　隐蔽邮件帐号：在邮件系统上建立完全不对外公开的隐蔽邮件帐号，开放不存在用户的退信。这样，邮箱地址搜索方式(例如随机发邮件等候退信或无退信)会得到这些隐蔽邮件帐号。由于隐蔽邮件帐号完全不对外，因此凡是向这些帐号发来的邮件肯定100%是垃圾邮件。

　　非显示邮件帐号：在网页上公布探针邮件帐号，但该邮件帐号的文字颜色与网页背景颜色相同，正常的人是无法看到该帐号地址的，但用于搜索垃圾邮件发送目标的软件可以发现(当然了，软件看的是网页源代码)，因此该探针邮件地址收到的邮件必然100%是垃圾邮件。

　　网站注册：使用专门的邮件帐号，不用于任何其他目的，仅用于在各网站上注册。对于不负责人的网站，会将注册用户的邮件地址泄漏出去，成为垃圾邮件发送者的目标。只要过滤掉网站来的邮件，剩下的就肯定是垃圾邮件。

　　订阅邮件列表：使用专门的邮件帐号，同样不用于其他目的，仅用于订阅邮件列表。对于不负责任的邮件列表，会将订阅人的邮件地址泄漏出去，成为垃圾邮件发送者的目标。收件系统只要将从邮件列表发来的邮件过滤掉，剩下的就肯定是垃圾邮件。另外，有些垃圾邮件发送者可能直接利用邮件列表发送垃圾邮件，这时正常的邮件列表邮件和利用邮件列表的垃圾邮件就更难以区分了，因此邮件列表应该要求必须使用列表的注册用户作为发件人才予以转发。

　　其他公开方式：例如在论坛上公开探针邮箱等。但这种方法可能引来合法的邮件，无法100%保证收到的是垃圾邮件。

　　在上述公开方式中，有可能引来正常邮件，因此针对垃圾邮件收集程序不可能理解邮件地址的情况，可以将用户名定义为人可以理解、看到这个邮件地址正常人就不会向这个地址发送邮件的用户名。

　　作为具体的方法，为了方便，可以使用一个垃圾邮件探针邮箱，给这个探针邮箱设置多个别名，这样所有的垃圾邮件都用这个邮箱保存，而对外仿佛是很多个邮箱，容易迷惑垃圾发送者。同时，在不同的发布地点使用不同的探针邮箱别名(或干脆不同的探针邮箱地址)还可以分析出垃圾邮件发送者如何收集邮件地址，这些地址又是如何被传播的。

　　2.5 彻底技术：源头认证

　　源头认证是防止邮件伪装的方案，保证了发件人不是伪装的，就断绝了垃圾邮件发送者躲避法律制裁的路，因此可以断绝大部分垃圾邮件。

　　2.5.1 可追查性检查

　　笔者在对于邮件协议、smtp协议漏洞、垃圾邮件产生及泛滥原因等进行分析后，考察了大量的垃圾邮件的发送路径、邮件头信息，认为基于黑名单(包括动态黑名单RBL)及内容分析等反垃圾邮件方案偏离了垃圾邮件产生的根本原因，无法根除垃圾邮件。在考虑的smtp服务器已经遍及全球的事实情况下，于2001年初提出了如下方案，命名为"可追查性检查"方案，但直到2003年初，才有人使用该方案产生了产品或雏形产品。

　　可追查检查方案是一个保证收到的邮件都是可以追查来源的方案。对于无法追查来源的邮件，用户无法回复(这些垃圾邮件也无需用户回复)、公安监管无法查找(使监管人员被大量无法追查的邮件淹没)、加大了反垃圾邮件其他技术的负荷(内容智能分析很耗系统资源)。

　　当然，存在未做伪装来源的垃圾邮件，但这种垃圾邮件经常是广告等发件人愿意负责的邮件，这样的垃圾邮件实际上定义不清，有些人认为是垃圾，有些人可能认为不是垃圾。这种垃圾邮件可以靠已有防垃圾技术(如黑名单)、投诉机制、法律法规等方法解决。

　　不可追查的邮件是伪造了邮件作者、发件人、邮件转发路径等信息的邮件，使接收人无法根据邮件找到发件人。原先的不可追查邮件曾使用不存在的域名，这样，有些MTA在接收邮件时，增加了域名解析，如果发现发件人域名不存在，则拒收邮件，这曾很大程度上阻止了垃圾邮件。

　　而如今的垃圾邮件(和病毒邮件)都使用存在的域名，病毒邮件经常还是在被感染者的通信簿中寻找发件人和收件人邮件地址，这样使垃圾邮件和病毒邮件更具迷惑性(因为收件人会认为邮件是从他所熟悉的发件人发来的)。

　　这样的垃圾邮件还导致一个恶劣后果，就是被冒用的发件人邮件地址可能要承担垃圾邮件导致的后果，例如可能被受害的收件人抱怨、被列入黑名单，甚至面临法律问题。

　　可追查性检查的基本理念

　　把关注重点放在中国互联网协会的最后一个定义上

　　重新定义垃圾邮件：做了任何伪装的、不愿承担邮件后果的邮件是垃圾邮件；反之：负责任的邮件服务器上的负责任的合法用户发出的邮件为合法邮件。

　　有效性和易实施性的统一

　　不企图追查所有邮件的来源，拒绝不可追查的邮件，只接收可追查的邮件，如需追查来源也只追查可追查的邮件。

　　凡是不符合诚信规定的邮件和服务器，我们都认为它是垃圾邮件予以拒收。

　　我们不认为所有的广告邮件都是垃圾邮件，如果广告邮件出自负责任的服务器和用户，我们可以知道该服务器的固定IP和托管地点，如果我们不厌烦则允许接收，如果我们厌烦了，只需要增加黑名单即可。

　　2.5.2 国外类似可追查性检查的技术

　　可追查性检查方案已经在国内近十家的反垃圾邮件产品中应用或即将应用，类似的方案，在国内一直无人提出，亦无人重视，甚至笔者与一些同业者交流、探讨后，依然有许多人不理解其意义所在，令笔者十分诧异。

　　在国外的类似技术中，名声最大的当属微软公司的SenderID，2004年7月Bill Gates来北京，宣称微软有最先进的反垃圾邮件技术，同时微软向IETF提交了RFC建议标准的申请，但被IETF拒绝。

　　SenderID使用XML格式定义，并兼容SPF。SPF是新加坡Pobox公司于2003年12月10日公布的类似方案，目前已经有一定规模的使用。

　　国外最早的类似技术是德国人于2002年12月提出RMX(反向MX)方案，目的就是要指出一个邮件域的合法发件服务器。该作者曾多次抱怨后来的许多方案，尤其是美国人提出的类似方案和他的方案完全类似，而美国媒体在宣扬这种方案是反垃圾邮件的有效方案的同时却从不曾提及他的功劳。

　　2.5.3 其他源头认证方法

　　其他一些源头认证，例如DomainKey、Challenge-Response及一些基于密码技术的源头认证，由于法律问题(比如有些国家不可以随便使用密码技术)、易用性问题(对SMTP协议改动过大)等诸多原因，推广起来有一定的难度。

　　多种反垃圾算法在系统中存在协同问题。同时，各种网络安全设备之间也存在协同问题。例如，当垃圾邮件、病毒邮件大量泛滥时，应该凭借防火墙分流，将邮件流量交由邮件安全系统处理，而将非邮件流量交IDS监控，否则大量的邮件流量会淹没IDS，甚至导致IDS死机。

　　优化的引擎控制流程：

　　【动态引擎】－【同时连接数】：动态控制引擎的同时连接数在网络层限制大量同一IP的SMTP连接，并可能阻挡未知病毒和垃圾的泛滥程度；

　　【动态引擎】－【重复控制】：动态控制引擎的用户重复、邮件重复和连接频率三个重复控制引擎限制同一发件人、同一主题、同一IP的邮件的发送频率，并可能阻挡未知病毒和垃圾的泛滥程度；

　　【垃圾引擎】－【黑白名单】：垃圾引擎的黑白名单将已知的垃圾发送者摒弃、放进已知的非垃圾发送者，黑白名单匹配的项不会再做其他垃圾检测工作；

　　【垃圾引擎】－【可追查检查】：垃圾引擎的可追查性检查高效地发现伪造了来源、路由的邮件，这样的垃圾邮件占所有垃圾邮件的95$\%$以上，阻挡的同时降低了高负荷的内容过滤和智能垃圾分析所需要的系统资源要求；

　　【垃圾引擎】－【智能检测】－【智能实时黑名单】：智能实时黑名单将这些黑名单列入的匹配邮件(注意：不仅是最早的RBL的IP列表)判断为垃圾邮件；

　　【内容过滤引擎】：内容过滤引擎发现内容匹配的邮件，主要针对政治、色情邮件，这些邮件一般不会再发给垃圾智能检测去分析或让贝叶斯过滤器去学习；

　　【垃圾引擎】－【智能检测】－【贝叶斯/集中分析/内容分析/降噪】：最后上述方法都认为是正常的邮件经过负荷要求最高、但人工智能因素也最高的邮件特征智能集中分析和智能内容分析来判断该邮件是否垃圾邮件，同时提交贝叶斯过滤器学习，相辅相成地，贝叶斯过滤器也可以判断该邮件是否垃圾邮件，如果认为是，会自动提交智能集中分析服务器。同时智能降噪系统降低突发因素导致误判的可能。

　　可追查性检查引擎排除了绝大部分非正常邮件，使进入高负荷的智能检测引擎和较高负荷的内容过滤引擎的邮件量只占全部邮件的5%，相当于使整个系统的性能提高了20倍。

　　由于基于内容分析的反垃圾邮件方法占用相对多的系统资源，因此一台平时负荷不大、完全满足应用的邮件安全产品可能在邮件病毒爆发或垃圾邮件极度泛滥时系统资源被充满，对于自身防护不好的邮件安全产品甚至可能导致自身崩溃，因此在这时可以关闭高负荷的反垃圾引擎，只使用负荷最低的可追查性检查，仍然能保证较好的反垃圾邮件效果。

　　4. 反-反垃圾技术方法

　　上述内容已覆盖所有已有技术，但大部分这些技术在防止垃圾邮件时效果都不理想，有些方案虽然能够达到一定的理想程度，但原因是目前的垃圾群发邮件尚不够好，如果再优化一下，完全有可能躲过上述所有方法。

　　利用动态IP：利用动态分配的IP地址、国外的OpenRelay隐藏来源，前者尤其在宽带网、智能社区高速发展的今天会很有效，因为基于IP的封堵技术会导致殃及无辜。

　　反内容分析

　　1. 信头、正文随机化：使用随机内容产生器产生随机的信头、内容和附件名

　　2. 内容图片化：将真正要传送的内容放入附件图片

　　3. 图片加噪：对附件图片做随机的、不影响图片阅读效果的噪声处理，可以躲避所有内容分析。

　　分散发布源：垃圾发送者合作相互转发

　　结合蠕虫的功能，将垃圾发送分散到世界各地可被蠕虫侵染的机器，可防止智能分析中对发送邮件IP的分析。

　　5. 反垃圾邮件立法

　　5.1 立法实施的技术问题

　　反垃圾邮件立法存在实施

　　难度，对于不可追查的邮件，不仅占用了大量网络带宽，而且使用内容监控提交管理机关时，会导致大量无法或难以查找的邮件充塞管理机关的监控存储，而管理机关又无法追查邮件来源，或者追查邮件来源时需要消耗很大的精力，无法保证立法的顺利实施，损害了法律的威严。

　　同时，对于国外的、管理机关无法监管的计算机发出的垃圾邮件，如果不基于可追查检查，则黑名单方案很难奏效，可能导致殃及无辜，而且垃圾发送者可以躲避黑名单方案。而使用了可追查检查方案后，对于正常的邮件服务器和邮件发送人，如果因为当地没有使用全面可追查方案而被误判，可以从错误反馈信息中得到原因，使用另外的、可追查方案可接受的邮件发送方式和国内使用了可追查检查方案的系统通邮。如果国外计算机使用可追查检查方案可接受的方式发送垃圾邮件，黑名单方案就可以起作用了。

　　立法以后无法实施、难以实施，对违法的人难以查找和制裁，必然损害法律的威严。

　　5.2 可追查后的立法实施

　　使用了可追查性检查后，所有能够在网络上传输的邮件都是可以追查来源的，这是内容监控也可以起作用了，一方面可追查体系保证了邮件发件人的可追查性，一般人慑于法律威严不敢乱发垃圾邮件；另一方面内容监控提交的信息都是可追查到的，管理机关可以很容易地有的放矢，对需要制裁的邮件发送人可以很容易地找到他、制裁他。

　　立法的可实施、易实施性，提高了管理机关的工作效率，维护了法律的威严。