垃圾邮件类型
作为互联网用户的主要群体之一——企业,对垃圾邮件的痛恨可能甚于个人用户。自从垃圾邮件出现的那天起,垃圾邮件就一直伴随着互联网信息和带宽的增长而肆意膨胀。
对于企业来说,垃圾邮件不仅会浪费企业员工的时间和精力,威胁企业网络安全,消耗企业带宽和网络资源影响工作效率,更会影响到企业的整体声誉。为此,企业该如何既有效防范垃圾邮件又充分保证工作效率、采取何种策略来应对垃圾邮件的骚扰呢?
在讲述企业反垃圾邮件策略之前,我们有必要先了解垃圾邮件的不同类型。
中国反垃圾邮件联盟对近期来出现的垃圾邮件的形式做了一个排名,列出了垃圾邮件做常见的五种形式: 第一名:带有链接的垃圾邮件。此类形式的垃圾邮件数量最多,占整个垃圾邮件总量的50%。 第二名:带有图片的垃圾邮件。这周图片垃圾邮件的形式比较单一,占整个垃圾邮件总量的20%。 第三名:正文的垃圾邮件。占整个垃圾邮件总量的19%。 第四名:垃圾信息仅在附件里面的垃圾邮件(正文部分无内容或是无有价值信息)与正文和附件内容几乎一致的垃圾邮件本周的数量一致,各占整个垃圾邮件总量的 5%。 第五名:其他(没有有效信息)占整个垃圾邮件总量的1%。
1、带链接的垃圾邮件在近期最为泛滥,种类比较集中,这种垃圾邮件已经持续了一段时间,今后估计也将是占垃圾邮件比率较大的一个种类。
2、带图片的垃圾邮件,一直也都未间断,近期数量上不太大,但是这种垃圾邮件具有阵发性,要注意防范。
3、垃圾信息在附件里面的垃圾邮件,前段时间泛滥十分严重,自从想出解决办法后,一直处于时时有、但量很少的阶段。由于这种垃圾邮件的危害性也比较大,还是要注意防范。
4、正文和附件内容几乎一致的垃圾邮件,一般都是一些培训课程的垃圾邮件。这种垃圾,每种的量都不大、每次的量也不大,但是,间歇不断的出现不同内容,还是得加强防范。
5、正文的垃圾邮件,是最普通的垃圾邮件,也是最容易被识别的。但是发垃圾邮件的群体的技术也在不断更新,他们会在垃圾信息中间,加上一些没有意义的字符,例如空格、*、等等。这种垃圾邮件的总量也是比较大的。但是总类及其分散,不太具有代表性,也比较容易被截获。
众所周知,邮件是企业网络与外界信息交流的一个重要载体。如果仅仅是要保护企业网络安全,那完全可以通过禁用邮件来实现,但这一做法明显是行不通的。我们需要在企业网络安全和工作效率之间寻找一种平衡,在保证网络安全的同时也要能充分保证企业工作效率。
一开始,人们通常采用黑白名单策略来防范垃圾邮件,但现在信息量随着几何级数增长,这种黑白名单策略显然不能满足需要。于是,简单关键字搜索 成为一种简单有效地方式,比如国内某些邮局提供商会将一些重复性的、全英文的信件标示为垃圾邮件。紧接着就遭遇对手的挑战,垃圾邮件制造者采取内容插入和 随机数列来防止被搜索引擎捕获到。
插图1:反垃圾邮件历史
反垃圾邮件策略
时至今日,人们一般通过多种技术整合分层过滤来防范垃圾邮件的骚扰。对于企业用户来说,可以参考以下策略具体实施:
一、建立企业网络安全制度,培训员工安全意识
在不同的站点上,企业安全策略的设计与实施并不完全相同。在确定关键设备并对任务进行分析之后,就可以开始制定企业员工必须共同遵守的企业准 则和规程。除了制度层面,更重要的是员工要形成良好的安全意识。垃圾邮件制造者利用明星效应,不仅在热点明星新闻上大作文章,还恶搞虚假新闻,吸引人们好 奇心。因此反垃圾邮件需用户提高安全意识,不随意打开搜索引擎和他人从邮件和聊天窗口发来的链接。
二、统一管理企业邮箱,加强用户行为监测
网络管理员对每个企业员工的邮箱用户名进行统一管理,并根据工作职责的不同和岗位性质的差异设定不同的邮箱使用空间。同时,加强对企业员工邮 箱使用的监测,尤其是对Email广告营销销售人员的邮箱的监测,避免误入垃圾邮件发送源头的黑名单和引起垃圾邮件发送者的注意力。
三、使用最新的反垃圾邮件技术
1、国际同步垃圾邮件黑名单、关键字、自定义、IP地址、域策略过滤;
同步于国际垃圾邮件黑名单,被动的阻止垃圾邮件进入邮件系统;通过策略来过滤关键字,自定义的域,IP地址;通过内容、散列值过滤;这种过滤规则误判率很高,绕过规则很容易;管理员必须手动更新过滤规则。
另外,全文内容或散列值过滤方法,也有打分制。对自定义的关键字设定一个分值,然后设定一个阀值,如果此封邮件所触犯的所有规则分数总和大于 这个阀值,则判定为垃圾邮件。这种过滤规则的要通过长时间来观测其企业的主要垃圾邮件的内容,频率来定义分值。对于新型的垃圾邮件管理员要手动快速准确的 判断并定义其关键字的分值。对于没有任何可以触犯的关键字的邮件,这邮件只是为了堵塞通道或者增加邮件服务器的转发压力,使得正常邮件也产生很长的延迟, 影响正常工作。如果用智能的处理这些问题,那就是更方便用户。从行为识别模式来判断垃圾邮件,就如贝叶斯模型来处理垃圾邮件。我们引入下面的模型。
2、 行为识别模型
一种通过分析统计“小偷的行为心理异于常人”的原理,行为模式识别模型包含邮件发送过程中的各类行为要素,主要包括:时间,频度,发送IP, 协议声名特征、发送指纹等。贝叶斯过滤是通过统计过滤的方式实现防垃圾邮件的。统计过滤技术使用规则来衡量邮件消息的频率和模式,产生置信区间。同时把相 应判定为垃圾邮件的关键字自动更新到关键字库中。
3、电子邮件认证技术
这种技术主要基于发件人策略框架,发件人标识,域密钥和互联网邮件标识等技术实现的。电子邮件认证技术主要是针对垃圾邮件伪造域或者回复地址有效阻断技术。这种技术实现和应用费用比较高。不适合有自己邮件服务器和邮件网关的企业。
以上几种方法都是以防为主,是被动模式下的运算。而现在比较新的方法则是把被动变为主动;也就是主要利用垃圾邮件发送的特点来处理垃圾邮件。垃圾邮件一般 只发送一次;当正常邮件发送时,一般都是投递一次不成功,则在一定时间后继续投递,如果我们设定投递三次为正常邮件的阀值,那前两次都发送方申请连接时, 直接拒绝掉。这样就可以处理到那些群发的垃圾邮件了。
四、选用企业级物理安全平台
对于企业而言,将邮件在到达邮件服务器或企业网关之前予以过滤,是最有效的防垃圾邮件的方法。
趋势科技防毒墙网关版 eManager通过垃圾邮件过滤器、内容过滤器、电子邮件管理三个管理组件实现电子邮件的安全管理。Symantec Web Security集成网关,作为一个将内容过滤与病毒防护结合、基于DDR(列表)技术和启发技术的集成产品,采用病毒防护和Web过滤技术,可以对病 毒、垃圾邮件和不当的Web内容进行一次性扫描。McAfee WebShield 每小时扫描逾13万封电子邮件。在对来往邮件进行扫描之前,将整个邮件及附件下载并进行病毒检查,封堵垃圾邮件,为企业节省网络资源。以及提供强大、易于 使用、成本效益高的企业级垃圾与病毒邮件解决方案的梭子鱼垃圾邮件防火墙产品,都可以为企业反垃圾邮件提供强大保障。
五、使用第三方解决方案
企业也可以通过引入外部第三方服务商来实现反垃圾邮件的目的。目前,国内外主要企业邮箱解决方案提供商都采用了比较先进的反垃圾邮件技术。其 中,Hotmail提供了防垃圾邮件措施(即只接收指定邮箱的发件人邮件)。yahoo.com采用SpamGuard反垃圾邮件技术,同时运用了邮件列 表排查、用户设置、用户反馈等多种技术和方法。国外最着名的企业邮箱提供服务提供商Mirapoint则运用了邮件栏杆新技术,可以在网络边缘拦截不受欢 迎的链接和邮件信息。来自第三方机构的相关数据显示,这一技术突破达到了98%以上的垃圾邮件截获率