壹般反垃圾郵件網關功能最簡單而言,就是阻斷不需要的郵件進入網絡及到達郵件服務器。這是壹般通過壹個多層次的過濾解決方案實現的。壹些反垃圾郵件網關僅采用壹個單壹技術來清除垃圾郵件,但由於垃圾郵件發送者會很容易繞過單壹技術的反垃圾郵件網關,我們不推薦單壹技術。比較專業的反垃圾郵件網關例:TurboGate郵件網關,作為品牌郵件服務器TurboMail郵件系統旗下壹款軟件網關產品,TurboGate郵件網關可以幫助企業和政府的郵件系統抵禦最新的垃圾郵件、釣魚郵件、欺詐性郵件、間諜程序郵件、病毒郵件等各類郵件威脅,是市場上客戶滿意度最高的軟件網關產品,該產品的實際項目應用反垃圾郵件的效率為穩定的98%以上,無誤判。包含的功能模塊如下: TurboGate產品核心功能模塊: TurboGate增值功能模塊: 1.反垃圾郵件引擎 9.收發限制管理 2.反病毒郵件引擎(ClamAV) 10.郵件監控 3.短信接口 11.多級郵件審核 4.統計分析 12.郵件列表 5.高級中繼(國際郵件) 13.系統日誌 6.郵件歸檔 14.郵件中轉站 7.系統監控 15.系統集成(exchange、Domino等)如下圖 8.郵件智能過濾 16.標準API開發包 與exchange郵件系統進行集成
實現反垃圾郵件的方式
TurboGate郵件網關同時支持發信認證(smtp-auth)、黑名單和系統級垃圾郵件過濾功能,為用戶郵箱提供三重保護。用戶可以隨時從國內外反垃圾 郵件組織獲得黑名單列表文件,導入郵件系統,從而使郵件管理員從被動變為主動。TurboGate郵件網關黑名單功能支持模糊匹配,可以屏蔽壹個域,也可以只屏蔽域內的壹個用戶。此外,提供多種方式的垃圾郵件過濾功能,防止賬戶被劫持來發垃圾郵件,防郵件攻擊等,全方位保障郵件服務器的安全。 第壹層:網絡控制層 經驗分析,發送垃圾郵件的服務器壹般都會同時大批量向某些域的多個帳號發送垃圾郵件,對於這些發送垃圾郵件方式,可通過設定壹定網絡訪問頻率控制進行有效 的阻隔。TurboGate郵件網關提供兩種設置方式對付這種攻擊,並可自動把發送垃圾郵件的IP歸為垃圾IP(SpamIP)列表。 通過smtp 服務層把明顯的發送垃圾郵件smtp 連接拒絕,大大減輕後臺投遞系統和反垃圾引擎的負擔。 通過統計分析,我們發現很多發送垃圾郵件的smtp 連接具有以下特點。 1.同壹IP同時的smtp連接數非常大。 2.同壹IP壹段時間內,smtp連接頻率非常高。 壹般出現這兩種情況,都表示源發件人非常有可能發送垃圾郵件。 通過設置以下這兩個參數可控制這類型的smtp連接,從而截斷發送垃圾郵件的源頭: 系統設置-》SMTP服務-》壹分鐘內同壹IP允許訪問次數。 同時設置: 系統設置-》SMTP服務-》啟用智能反垃圾IP功能參數,把符合以上兩個條件的IP地址自動加入系統的智能反垃圾IP列表中(SmartSpamIP),當以後系統碰到這些IP連接時,直接拒絕。 可通過: 系統監控-》智能反垃圾IP列表。 查看系統目前智能反垃圾IP 列表。 註意: 當互聯網是經過反垃圾網關再接入郵件系統的情況,由於郵件系統的所有smtp連接都來自反垃圾網關,所以基於Smtp服務反垃圾不再起作用,這裏需要把以上兩個參數設為-1,以免系統smtp服務故障。 第二層:來源分析 根據垃圾郵件發送者IP的地理位置,與 APNIC 的IP信息庫核對結果,看來源是否真實,如果真實則通過,否則可能為可疑郵件。因為IP 來源無法偽裝,所以這個反垃圾策略比較有效。 第三層:黑名單 通過黑名單,TurboGate郵件網關可設置屏蔽任何壹個IP,壹個網段;也可屏蔽任何壹個發信人,壹個域。 實時黑名單(RBL)主要利用互聯網公開的RBL資源判斷是否垃圾郵件。RBL 壹般都通過DNS 查詢的方式提供對某個IP或域名是否是垃圾郵件發送源進行判斷。另外,由於國外大多數RBL都對來自中國的I 有“歧視”,所以我們並不能完全依靠RBL 來判斷壹封郵件是否是垃圾郵件,只能根據RBL查詢結果判斷該郵件是否有垃圾郵件的可能性。可設置以下參數定制RBL:
RBL 服務器,指定RBL 查詢域名後綴。 DNS 查詢類型,根據具體的RBL 要求指定DNS 查詢記錄類型。 匹配表達式,指定RBL 查詢結果的匹配模式,表達式格式采用perl 正則表達式,如果為空,則表示如果可查到RBL結果,就表示符合條件。 第四層:灰名單 灰名單技術源於: greylist 灰名單技術基本假設是:病毒和垃圾郵件,通常都是壹次性的,如果遇到錯誤,不會重試。 壹些發垃圾郵件的軟件,這些軟件基本上都不會對郵件服務器返回的錯誤做出任何重試,而只是簡單的在日誌裏記錄發送失敗而已。而病毒引發的郵件風暴則更加不會識別郵件服務器返回的錯誤,因為這些病毒僅僅是簡單的發送郵件,發送時根本不理會服務器的狀態。 Greylist的設計大體上是基於壹種重試的原則,即第壹次看到某個IP想給某個收件人發信,那麽 它將簡單的返回壹個臨時錯誤(4xx),並拒絕此請求,正常的郵件服務器都會在壹段時間內(如半小時)重發壹次郵件。Greylist發現還是剛才同樣的 ip地址和收件人,認為此ip是來自合法服務器的,予以放行。如果是非正常的郵件,那麽或者將永遠也不再進行重試,或者會瘋狂重試,但由於間隔太近,而遭 拒絕。因此,Greylist只要設置壹個合適的放行間隔,就可以在很大程度上對這類垃圾郵件有著良好的免疫能力。Greylist的壹大特點就是不會丟 信,正規的郵件服務器認為4xx錯誤只是臨時性、軟性的錯誤,會隔壹段時間重試,因此郵件還是可以投遞成功。但Greylist的壹大缺點是即時延遲 (delay),延遲從幾分鐘到幾個小時不等。對於壹些對郵件及時性很強的客戶,Greylist可能不是壹個很好的選擇。 第五層:趨勢分析 趨勢分析原理為,所有垃圾郵件都有目標指向,比如:賣藥廣告郵件都會在郵件內容裏指定賣藥的電話、郵件或網站,如果不指定這些信息,發送垃圾郵件也就沒有意義了。趨勢分析法就是通過分析郵件裏的電話、郵件或網站鏈接內容,通過匹配判斷他的指向從而判斷郵 件是否是垃圾郵件。 第六層:郵件來源判斷 主要通過分析郵件的來源,如:發件人IP ,發件人,發件域,等內容,來判斷垃圾郵件的可能行。 第七層:SpamFilter內容過濾 通過郵件內容關鍵字分析,可為符合內容分析結果的郵件打上相應的垃圾郵件評分。這類規則的判斷條件類似系統的過濾規則。可參考過濾規則設定來設定過濾評分內容,同時我們也會通過收集客戶反饋的垃圾郵件特點整理成規則內容,定期通知客戶更新。 第八層:主題分析引擎 主題分析原理是基於:同壹類垃圾郵件的內容大多都相似,通過相似度進行分析,以確定是否為垃圾郵件。 比如代開發票的垃圾郵件,內容部分大多都有 “代開”,“發票”,“稅”這類詞,通過對同壹類型垃圾郵件的統計分析,可以歸納這類垃圾郵件的主要關鍵字,通過關鍵字匹配度,確認是否是垃圾郵件。 第九層:TMSpamCheck引擎 TMSpamCheck技術是基於雲計算的反垃圾技術,TurboGate郵件網關通過收集終端用戶反饋的垃圾郵件,統壹分析,實時歸納為中心垃圾規則庫。同時當客戶服務器初步檢測到郵件可能為垃圾郵件時,即計算郵件的特征摘要,與中心規則庫比較,以確定是否為垃圾郵件。