在如今这个互联网通信占主导地位的年代,电子邮件已经成为最具价值的通信工具之一。但随着病毒攻击的日益频繁以及垃圾邮件大量的流入,电子邮件正在逐渐失 去它原本该有的通信效率。位于美国加州Palo Alto的Radicati集团已经预言,到2009年,全世界每天将会有2280亿封邮件,而这将占到邮件总量的绝大部分,这样一个数字下,垃圾邮件将 从一个小烦恼升级为安全问题,消耗巨大财政资源。控制垃圾邮件,迫在眉睫!
近日,国际着名安全厂商梭子鱼网络技术公司宣布,其梭子鱼垃圾邮件防火墙采用了多种最新邮件过滤技术,从而将防火墙设计为一个使用方便,企业级的硬件解决方案,适用于所有规模的企业。据悉该产品使用2种主流尖端算法——连接管理和邮件扫描,为企业提供全面的邮件评估。
在连接管理的过程,通过5层防护来确定信头的认证信息,在接收邮件前,所有非法邮件都将被丢弃,这样有助于大大节省流量。而首轮检验中通过连 接管理的邮件必须通过严格的邮件扫描,其中包括另外7层的邮件分析。我都知道大部分的安全防护其实都是事后防护,梭子鱼垃圾邮件防火墙使用的算法和技术通 过动态更新实现每小时更新,这样能够始终第一时间站在邮件趋势的最前端。
连接管理
连接管理过程不需要多长时间,但对于邮件处理过程的优化相当重要,对于一般规模的中小型企业,一半以上的邮件数量仅仅通过连接管理就将被阻 断。绝大多数的ISP和小型WEB主机在遭受攻击时,可以观察到超过99%的邮件在连接管理层被阻断。这是一个庞大的数字,如果没有连接管理,海量邮件将 会耗费邮件服务器以及邮件防火墙的大量资源。
如此重要的管理技术,在梭子鱼垃圾邮件防火墙中是怎么实现的呢?据梭子鱼公司工程师介绍,主要依靠以下技术完成全部的连接管理:
速率控制
自动垃圾邮件软件可以向一个邮件服务器发送大量垃圾邮件。为了保护邮件服务器免受这些攻击,梭子鱼垃圾邮件防火墙对从来自一个特定IP地址的连接进行计数,并在这个连接超出阀值时断开连接。
通过已知服务器或与已知合作伙伴交流频繁的公司应该将这些合法的IP地址和合法的邮件服务器加入速率控制的例外名单。
IP地址信誉评价
在对IP地址进行速率控制后,梭子鱼垃圾邮件防火墙对其进行分析以决定这个IP地址的信誉度。
用户可以自定义IP黑白名单,同时还可利用梭子鱼荣誉库以及某些组织维护着的外部黑名单。
发送者验证
垃圾邮件通常会携带一个非法的来源IP地址。梭子鱼垃圾邮件防火墙利用许多技术来同时验证发送者并且提供策略。
其中包括协议匹配、DNS查询、发送者欺骗保护、自定义策略以及发送者策略框架(SPF)。
收件人认证
许多垃圾邮件通过获得邮件地址来攻击邮件设施。梭子鱼垃圾邮件防火墙通过许多技术来对收件人地址进行认证。
如协议匹配、用户自定义策略、LDAP收件人认证、SMTP收件人认证等技术。
当邮件通过以上多层检验以后,它将有权进入下一层更加精准的扫描,即——
邮件扫描
由于垃圾邮件制造者越来越狡猾,垃圾邮件或者病毒邮件经常被装扮成正常邮件,口吻,关键词都模拟的像收件者的亲朋发来的邮件,因此很能迷惑视线,致使邮件扫描技术的发展显得非常重要。
邮件扫描最基本的就是病毒扫描,优先于所有的邮件扫描。一封带毒邮件,即时收件人来自信任地址,梭子鱼垃圾邮件防火墙的2层病毒扫描和自动解压存档文件技术,也会将它阻断。
邮件扫描继连接管理之后,承担了邮件安全的重要任务。垃圾邮件的分类因人而异,因公司而异。能够根据公司和使用者要求设置扫描规则的技术,才是邮件安全策略的主体。梭子鱼用以下几项策略构成这一主体“
用户自定义策略
管理员可以选择定义自己的策略,这些策略可以优先于梭子鱼动态更新发布的阻断规则。梭子鱼垃圾邮件防火墙可以让管理员设置基于主题,信头,信 体,和附件类型的内容过滤。但大部分管理员不需要设置内容过滤,因为常用的规则形式都是通过梭子鱼动态更新自动发布到梭子鱼垃圾邮件防火墙的。
指纹分析
指纹分析是基于许多常见的垃圾邮件组成部分(比如图片)。当前已爆发的垃圾邮件被定义后,生成指纹,以阻止进一步扩散,这是一种有效的阻断机制。但需要技术支持团队做24小时的跟踪监测。
意图分析
实现途径为提取出邮件发送的url地址,与已知发送垃圾邮件地址数据库中url相匹配,从而阻断发垃圾邮件企图的技术。包括简单意图分析、实 时意图分析以及最新版本中提供的多层意图分析。前者是针对邮件信体中的url进行匹配的,后者则需要直接连接梭子鱼中心来实时检测最新的垃圾邮件发送者列 表。
图像分析
今天,图像垃圾邮件占所有网络中流量的三分之一。在指纹分析捕获大量图像的同时,梭子鱼垃圾邮件防火墙也用图像分析技术来阻断新变异的垃圾图像。技术包括图像识别引擎(OCR),图像处理,动态GIF分析。
贝叶斯分析
贝叶斯分析是一种语言算法,目的是对邮件中的语言进行分析,为了判定一封新邮件是垃圾邮件还是正常邮件,贝叶斯分析首先使用常规的分词手段和程序将一段文字或内容切词(tokenize)成一些单词字符串(token串),并进行评分设置,用于对比待检验的邮件。
垃圾邮件评分
除了提供阻断功能外,梭子鱼垃圾邮件防火墙还包括一个完善的评分引擎。衡量多个因素,在单一过滤时可能导致对策略产生限制。通过把已知的权重和多重规则相结合,梭子鱼可以发布一个及其可靠的垃圾邮件定义区间。
通过贝叶斯与垃圾邮件规则评分技术,往往可以进一步精确过滤掉20.71%的垃圾邮件。
梭子鱼的十二层逐层拦截垃圾邮件技术获得了美国专利认证,喇叭式的过滤机制,过滤流量最大的判别技术安置在最前面,人工职能和机器语言的过滤安排在最后。这样能够节省网络资源,最大限度地保持准确性,降低误判率。