在如今這個互聯網通信占主導地位的年代,電子郵件已經成為最具價值的通信工具之一。但隨著病毒攻擊的日益頻繁以及垃圾郵件大量的流入,電子郵件正在逐漸失 去它原本該有的通信效率。位于美國加州Palo Alto的Radicati集團已經預言,到2009年,全世界每天將會有2280億封郵件,而這將占到郵件總量的絕大部分,這樣一個數字下,垃圾郵件將 從一個小煩惱升級為安全問題,消耗巨大財政資源。控制垃圾郵件,迫在眉睫!
近日,國際著名安全廠商梭子魚網絡技術公司宣布,其梭子魚垃圾郵件防火墻采用了多種最新郵件過濾技術,從而將防火墻設計為一個使用方便,企業級的硬件解決方案,適用于所有規模的企業。據悉該產品使用2種主流尖端算法——連接管理和郵件掃描,為企業提供全面的郵件評估。
在連接管理的過程,通過5層防護來確定信頭的認證信息,在接收郵件前,所有非法郵件都將被丟棄,這樣有助于大大節省流量。而首輪檢驗中通過連 接管理的郵件必須通過嚴格的郵件掃描,其中包括另外7層的郵件分析。我都知道大部分的安全防護其實都是事后防護,梭子魚垃圾郵件防火墻使用的算法和技術通 過動態更新實現每小時更新,這樣能夠始終第一時間站在郵件趨勢的最前端。
連接管理
連接管理過程不需要多長時間,但對于郵件處理過程的優化相當重要,對于一般規模的中小型企業,一半以上的郵件數量僅僅通過連接管理就將被阻 斷。絕大多數的ISP和小型WEB主機在遭受攻擊時,可以觀察到超過99%的郵件在連接管理層被阻斷。這是一個龐大的數字,如果沒有連接管理,海量郵件將 會耗費郵件服務器以及郵件防火墻的大量資源。
如此重要的管理技術,在梭子魚垃圾郵件防火墻中是怎么實現的呢?據梭子魚公司工程師介紹,主要依靠以下技術完成全部的連接管理:
速率控制
自動垃圾郵件軟件可以向一個郵件服務器發送大量垃圾郵件。為了保護郵件服務器免受這些攻擊,梭子魚垃圾郵件防火墻對從來自一個特定IP地址的連接進行計數,并在這個連接超出閥值時斷開連接。
通過已知服務器或與已知合作伙伴交流頻繁的公司應該將這些合法的IP地址和合法的郵件服務器加入速率控制的例外名單。
IP地址信譽評價
在對IP地址進行速率控制后,梭子魚垃圾郵件防火墻對其進行分析以決定這個IP地址的信譽度。
用戶可以自定義IP黑白名單,同時還可利用梭子魚榮譽庫以及某些組織維護著的外部黑名單。
發送者驗證
垃圾郵件通常會攜帶一個非法的來源IP地址。梭子魚垃圾郵件防火墻利用許多技術來同時驗證發送者并且提供策略。
其中包括協議匹配、DNS查詢、發送者欺騙保護、自定義策略以及發送者策略框架(SPF)。
收件人認證
許多垃圾郵件通過獲得郵件地址來攻擊郵件設施。梭子魚垃圾郵件防火墻通過許多技術來對收件人地址進行認證。
如協議匹配、用戶自定義策略、LDAP收件人認證、SMTP收件人認證等技術。
當郵件通過以上多層檢驗以后,它將有權進入下一層更加精準的掃描,即——
郵件掃描
由于垃圾郵件制造者越來越狡猾,垃圾郵件或者病毒郵件經常被裝扮成正常郵件,口吻,關鍵詞都模擬的像收件者的親朋發來的郵件,因此很能迷惑視線,致使郵件掃描技術的發展顯得非常重要。
郵件掃描最基本的就是病毒掃描,優先于所有的郵件掃描。一封帶毒郵件,即時收件人來自信任地址,梭子魚垃圾郵件防火墻的2層病毒掃描和自動解壓存檔文件技術,也會將它阻斷。
郵件掃描繼連接管理之后,承擔了郵件安全的重要任務。垃圾郵件的分類因人而異,因公司而異。能夠根據公司和使用者要求設置掃描規則的技術,才是郵件安全策略的主體。梭子魚用以下幾項策略構成這一主體“
用戶自定義策略
管理員可以選擇定義自己的策略,這些策略可以優先于梭子魚動態更新發布的阻斷規則。梭子魚垃圾郵件防火墻可以讓管理員設置基于主題,信頭,信 體,和附件類型的內容過濾。但大部分管理員不需要設置內容過濾,因為常用的規則形式都是通過梭子魚動態更新自動發布到梭子魚垃圾郵件防火墻的。
指紋分析
指紋分析是基于許多常見的垃圾郵件組成部分(比如圖片)。當前已爆發的垃圾郵件被定義后,生成指紋,以阻止進一步擴散,這是一種有效的阻斷機制。但需要技術支持團隊做24小時的跟蹤監測。
意圖分析
實現途徑為提取出郵件發送的url地址,與已知發送垃圾郵件地址數據庫中url相匹配,從而阻斷發垃圾郵件企圖的技術。包括簡單意圖分析、實 時意圖分析以及最新版本中提供的多層意圖分析。前者是針對郵件信體中的url進行匹配的,后者則需要直接連接梭子魚中心來實時檢測最新的垃圾郵件發送者列 表。
圖像分析
今天,圖像垃圾郵件占所有網絡中流量的三分之一。在指紋分析捕獲大量圖像的同時,梭子魚垃圾郵件防火墻也用圖像分析技術來阻斷新變異的垃圾圖像。技術包括圖像識別引擎(OCR),圖像處理,動態GIF分析。
貝葉斯分析
貝葉斯分析是一種語言算法,目的是對郵件中的語言進行分析,為了判定一封新郵件是垃圾郵件還是正常郵件,貝葉斯分析首先使用常規的分詞手段和程序將一段文字或內容切詞(tokenize)成一些單詞字符串(token串),并進行評分設置,用于對比待檢驗的郵件。
垃圾郵件評分
除了提供阻斷功能外,梭子魚垃圾郵件防火墻還包括一個完善的評分引擎。衡量多個因素,在單一過濾時可能導致對策略產生限制。通過把已知的權重和多重規則相結合,梭子魚可以發布一個及其可靠的垃圾郵件定義區間。
通過貝葉斯與垃圾郵件規則評分技術,往往可以進一步精確過濾掉20.71%的垃圾郵件。
梭子魚的十二層逐層攔截垃圾郵件技術獲得了美國專利認證,喇叭式的過濾機制,過濾流量最大的判別技術安置在最前面,人工職能和機器語言的過濾安排在最后。這樣能夠節省網絡資源,最大限度地保持準確性,降低誤判率。
