解析 Anti-Spam 產品技術 精確防堵日新月異的垃圾郵件

垃圾郵件手法日益更新，結合了駭客級技術進階演化，新一波垃圾郵件特徵包括： 1. 郵件內容稀少，圖片化垃圾郵件無終極辨識技術，該類郵件防不勝防； 2. 以圖片連結網址，使用者開啟郵件點選後才知進入已設定為黑名單的網站； 3. 採用少量發放，以避開系統追查。

市面上各家 Anti-Spam 產品莫不強調「演算法」、「強大管理功能」、「完整統計報表」、「個人化設定」與「垃圾郵件隔離區」，使企業 MIS 在選購與彙集產品資訊時，感嘆大同小異且眼花瞭亂。本文將從垃圾郵件產品技術著眼，以協助企業精確評估效益與適用方案，徹底杜絕垃圾郵件。
郵件通訊行為判斷垃圾郵件
對於位居模糊地帶難以果決判定的垃圾郵件，各家業者推出貝式演算、正負分演算乃至混合式的雞尾酒演算法來作判定，不過，雖然創對於位居模糊地帶難以果決判定的垃圾郵件，各家業者推出貝式演算、正負分演算乃至混合式的雞尾酒演算法來作判定，不過，雖然創新演算方式輩出但卻無定論呢？原因即在於演算方式越繁複，判斷歧異性與模糊地帶越高。

事實上，80% 的垃圾郵件可依據「郵件通訊行為」是否具匿名、非法、偽造、濫發行逕來進行決定性判定，定義如下：

*郵件濫發行為：機器連線查詢或遞送郵件，嘗試各種方式投遞郵件，寄件主機異常變動。 ?郵件非法行為：借用各地郵件代轉 Open Relay 與多處郵件轉寄站 Received 寄送郵件。

*郵件匿名行為：寄件者、收件者、寄件主機或郵件傳輸資訊刻意隱匿，使無法追溯來源。

*郵件偽造行為：寄件者、收件者、寄件主機或郵件傳輸資訊刻意偽造，經查證不屬實者。

剩下20% 非決定性的垃圾郵件再藉由語意或郵件形式認定；避免「錯誤的判斷」是最重要考量；垃圾郵件帶來最大的影響在於蠶食鯨吞網路頻寬與系統資源浪費，因此可決定性判斷的 80% 垃圾郵件，都盡可能在郵件閘道入口封殺。

傳輸值解析、防堵於 MTA 端
垃圾郵件阻擋方式一般分為兩層，一為在閘道端阻擋網路黑名單和已知黑名單，另一為在伺服器解析，判斷是否具垃圾郵件行為 Pattern 。實而言之，企業要落實垃圾郵件不佔據企業頻寬，伺服器需在 MTA 處理階段，藉由全面掌握完整郵件傳輸值，尤其是郵件標題 Header，而非簡易絕對比對或反解查詢，解析判斷是否具垃圾郵件行為予以防堵，落實系統導入成效。

規劃「垃圾郵件隔離區」
由於垃圾郵件判定具灰色模糊地帶，業者提出「垃圾郵件隔離區」以提供使用者自行判斷。企業需堅定自身政策立場，並考量硬體效能，以決定是否 藻獢u垃圾郵件隔離區」機制。業者倡行的「垃圾郵件隔離區」多位在匣道端口，除了匣道端，可行的「垃圾郵件隔離區」尚有「企業稽核隔離區」與「使用者端隔離區」兩種方案。

一、分散式「使用者端隔離區」：

MUA 軟體如 Outlook、Outlook Express 以及 Notes 皆有郵件規則功能。企業可切換「垃圾郵件防護模式」為「於郵件主旨加蓋疑似垃圾郵件戳記」，再予以放行至使用者端。使用者利用 MUA 軟體郵件規則功能將具上述主旨戳記的郵件歸檔至特定資料夾，並定期清空瀏覽，同時回報遭誤擋的正常來信資訊，供 MIS 進行例外管理。

此模式適用於初期導入階段，供 MIS 與使用者觀察是否有友善單位來信遭誤判，並提醒使用者，E-Mail 是企業資源，使用者需自負部份管理責任。

二、中央分權式「企業稽核隔離區」：

企業可在專用型郵件垃圾禦產品後端加裝備份過濾伺服器，垃圾郵件防護模式選擇於郵件主旨加蓋疑似垃圾郵件戳記，例如「我是垃圾信」或 [Spam Mail] 等，再予以放行至後端的備份過濾伺服器。備份過濾伺服器一般具有依「特定主旨」設定阻隔來信，由管理者瀏覽後始「確認放行」或「逕行刪除」的功能。

建置「企業稽核隔離區」的優勢是使用者可享淨空的電子郵件收件匣，垃圾郵件的「判定」與「隔離」分流，分散系統負荷，同時進行電子郵件稽核工作。

三、中央集權式「匣道端隔離區」：

通常由垃圾郵件防堵產品擔綱，為直接易發想的解決方案。然而作為匣道端的隔離區，該產品需具備下列優勢，否則垃圾郵件「隔離區」的良善立意，徒然拖垮企業電子郵件傳輸效能。

*硬體效能必須更精銳，軟硬體需經公信單位驗證為具高度整合性。

*誤判率必需極低，以免大量誤判為垃圾郵件的正常信件，與日益增加的垃圾郵件一同壅塞在郵件佇列中；更避免使用者頻頻連線撈回重要電子郵件，而加重系統負荷，並浪費使用者辦公時間。

*判斷技術上不宜採用龐大「資料庫比對」與「數值權重調整」方式，以免加重系統負荷。

*如果該產品兼具使用者調整個人政策的個人化設定中心，判斷率必需極其精確，以免多名使用者反覆連線存取以調整政策權值設定，造成龐大系統負擔。

*檢測要點為該產品硬體規格、軟硬體整合性、誤判率、垃圾郵件資料判定方式，以及系統判決速度。

黑白清單的例外管理更重要　
運用黑白清單應考量企業的適用性，具備企業自行定義的功能，黑白名單也應衍生更重要的意義：「例外管理」。一般垃圾郵件防堵產品皆宣稱具有高阻擋率，但「誤判率」與「漏接率」並非各家廠商均一，因此企業需特別重視「例外管理」，所選擇 漫U圾郵件防堵產品必需能夠靈活進行「例外管理」的機制與介面。

「例外管理」並非僅止於傳統認知的黑白名單，落實且有執行效力的「例外管理」應包括下列範疇：「免檢禮遇」、「拒絕往來」、「服務免用」。

*「免檢禮遇」係指讓往來廠商一勞永逸，免通關檢驗。其中設定方式建議可包含兩種，一為簡易迅速，一為嚴謹審慎。為求商務溝通不受阻礙，可先以簡易迅速方式放行；待確認對方網路資訊以後，則以嚴謹審慎方式放行，以免遭電子郵件濫發者盜用。

*「拒絕往來」是鎖定鑽漏洞垃圾郵件濫發者，無論任何言論形式或寄件方式，皆無法進入企業郵件通訊系統。

*「服務免用」則是針對部份不需使用垃圾郵件防堵服務的帳號，放行所有往來郵件。

若有任何關於「防堵垃圾郵件」或「郵件行為解析」需要討論的議題，筆者相當樂於以E-Mail與讀者分享經驗或相關技術繼續深入討論。