https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

解析 Anti-Spam 產品技術 精確防堵日新月異的垃圾郵件

2004 / 11 / 15
鄭志文
解析 Anti-Spam 產品技術 精確防堵日新月異的垃圾郵件

垃圾郵件手法日益更新,結合了駭客級技術進階演化,新一波垃圾郵件特徵包括: 1. 郵件內容稀少,圖片化垃圾郵件無終極辨識技術,該類郵件防不勝防; 2. 以圖片連結網址,使用者開啟郵件點選後才知進入已設定為黑名單的網站; 3. 採用少量發放,以避開系統追查。

市面上各家 Anti-Spam 產品莫不強調「演算法」、「強大管理功能」、「完整統計報表」、「個人化設定」與「垃圾郵件隔離區」,使企業 MIS 在選購與彙集產品資訊時,感嘆大同小異且眼花瞭亂。本文將從垃圾郵件產品技術著眼,以協助企業精確評估效益與適用方案,徹底杜絕垃圾郵件。
郵件通訊行為判斷垃圾郵件
對於位居模糊地帶難以果決判定的垃圾郵件,各家業者推出貝式演算、正負分演算乃至混合式的雞尾酒演算法來作判定,不過,雖然創對於位居模糊地帶難以果決判定的垃圾郵件,各家業者推出貝式演算、正負分演算乃至混合式的雞尾酒演算法來作判定,不過,雖然創新演算方式輩出但卻無定論呢?原因即在於演算方式越繁複,判斷歧異性與模糊地帶越高。

事實上,80% 的垃圾郵件可依據「郵件通訊行為」是否具匿名、非法、偽造、濫發行逕來進行決定性判定,定義如下:

*郵件濫發行為:機器連線查詢或遞送郵件,嘗試各種方式投遞郵件,寄件主機異常變動。 ?郵件非法行為:借用各地郵件代轉 Open Relay 與多處郵件轉寄站 Received 寄送郵件。

*郵件匿名行為:寄件者、收件者、寄件主機或郵件傳輸資訊刻意隱匿,使無法追溯來源。

*郵件偽造行為:寄件者、收件者、寄件主機或郵件傳輸資訊刻意偽造,經查證不屬實者。

剩下20% 非決定性的垃圾郵件再藉由語意或郵件形式認定;避免「錯誤的判斷」是最重要考量;垃圾郵件帶來最大的影響在於蠶食鯨吞網路頻寬與系統資源浪費,因此可決定性判斷的 80% 垃圾郵件,都盡可能在郵件閘道入口封殺。

傳輸值解析、防堵於 MTA 端
垃圾郵件阻擋方式一般分為兩層,一為在閘道端阻擋網路黑名單和已知黑名單,另一為在伺服器解析,判斷是否具垃圾郵件行為 Pattern 。實而言之,企業要落實垃圾郵件不佔據企業頻寬,伺服器需在 MTA 處理階段,藉由全面掌握完整郵件傳輸值,尤其是郵件標題 Header,而非簡易絕對比對或反解查詢,解析判斷是否具垃圾郵件行為予以防堵,落實系統導入成效。

規劃「垃圾郵件隔離區」
由於垃圾郵件判定具灰色模糊地帶,業者提出「垃圾郵件隔離區」以提供使用者自行判斷。企業需堅定自身政策立場,並考量硬體效能,以決定是否 藻獢u垃圾郵件隔離區」機制。業者倡行的「垃圾郵件隔離區」多位在匣道端口,除了匣道端,可行的「垃圾郵件隔離區」尚有「企業稽核隔離區」與「使用者端隔離區」兩種方案。

一、分散式「使用者端隔離區」:

MUA 軟體如 Outlook、Outlook Express 以及 Notes 皆有郵件規則功能。企業可切換「垃圾郵件防護模式」為「於郵件主旨加蓋疑似垃圾郵件戳記」,再予以放行至使用者端。使用者利用 MUA 軟體郵件規則功能將具上述主旨戳記的郵件歸檔至特定資料夾,並定期清空瀏覽,同時回報遭誤擋的正常來信資訊,供 MIS 進行例外管理。

此模式適用於初期導入階段,供 MIS 與使用者觀察是否有友善單位來信遭誤判,並提醒使用者,E-Mail 是企業資源,使用者需自負部份管理責任。

二、中央分權式「企業稽核隔離區」:

企業可在專用型郵件垃圾禦產品後端加裝備份過濾伺服器,垃圾郵件防護模式選擇於郵件主旨加蓋疑似垃圾郵件戳記,例如「我是垃圾信」或 [Spam Mail] 等,再予以放行至後端的備份過濾伺服器。備份過濾伺服器一般具有依「特定主旨」設定阻隔來信,由管理者瀏覽後始「確認放行」或「逕行刪除」的功能。

建置「企業稽核隔離區」的優勢是使用者可享淨空的電子郵件收件匣,垃圾郵件的「判定」與「隔離」分流,分散系統負荷,同時進行電子郵件稽核工作。

三、中央集權式「匣道端隔離區」:

通常由垃圾郵件防堵產品擔綱,為直接易發想的解決方案。然而作為匣道端的隔離區,該產品需具備下列優勢,否則垃圾郵件「隔離區」的良善立意,徒然拖垮企業電子郵件傳輸效能。

*硬體效能必須更精銳,軟硬體需經公信單位驗證為具高度整合性。

*誤判率必需極低,以免大量誤判為垃圾郵件的正常信件,與日益增加的垃圾郵件一同壅塞在郵件佇列中;更避免使用者頻頻連線撈回重要電子郵件,而加重系統負荷,並浪費使用者辦公時間。

*判斷技術上不宜採用龐大「資料庫比對」與「數值權重調整」方式,以免加重系統負荷。

*如果該產品兼具使用者調整個人政策的個人化設定中心,判斷率必需極其精確,以免多名使用者反覆連線存取以調整政策權值設定,造成龐大系統負擔。

*檢測要點為該產品硬體規格、軟硬體整合性、誤判率、垃圾郵件資料判定方式,以及系統判決速度。

黑白清單的例外管理更重要 
運用黑白清單應考量企業的適用性,具備企業自行定義的功能,黑白名單也應衍生更重要的意義:「例外管理」。一般垃圾郵件防堵產品皆宣稱具有高阻擋率,但「誤判率」與「漏接率」並非各家廠商均一,因此企業需特別重視「例外管理」,所選擇 漫U圾郵件防堵產品必需能夠靈活進行「例外管理」的機制與介面。

「例外管理」並非僅止於傳統認知的黑白名單,落實且有執行效力的「例外管理」應包括下列範疇:「免檢禮遇」、「拒絕往來」、「服務免用」。

*「免檢禮遇」係指讓往來廠商一勞永逸,免通關檢驗。其中設定方式建議可包含兩種,一為簡易迅速,一為嚴謹審慎。為求商務溝通不受阻礙,可先以簡易迅速方式放行;待確認對方網路資訊以後,則以嚴謹審慎方式放行,以免遭電子郵件濫發者盜用。

*「拒絕往來」是鎖定鑽漏洞垃圾郵件濫發者,無論任何言論形式或寄件方式,皆無法進入企業郵件通訊系統。

*「服務免用」則是針對部份不需使用垃圾郵件防堵服務的帳號,放行所有往來郵件。

若有任何關於「防堵垃圾郵件」或「郵件行為解析」需要討論的議題,筆者相當樂於以E-Mail與讀者分享經驗或相關技術繼續深入討論。