觀點

反垃圾戰爭風起雲湧 傳輸行為解析領先防禦地位

2005 / 01 / 20
鄭志文
反垃圾戰爭風起雲湧 傳輸行為解析領先防禦地位

為了制止垃圾郵件的氾濫,英、美、義、法等國紛紛制定相關防治法案,期透過法律的規範,能降低非法或惡意的郵件濫發行為,但垃圾郵件濫發者利益至上,為尋求商業機會及謀取暴利,力求手法精進,想盡辦法鑽研各項法律漏洞,甚至為了逃避制裁而移師海外國家,立法成效緩不濟急,無法有效遏止垃圾信的氾濫;時至今日,垃圾郵件不減反增,在在考驗企業捍衛資訊安全的成效。

防禦技術備出,MIS 難以決定,反垃圾郵件主流技術為何?
垃圾郵件所造成的損失甚大,重視電子郵件績效的企業莫不急於尋覓適合的垃圾郵件解決方案,務求清除垃圾郵件,讓電子郵件系統徹底淨化瘦身。想當然爾,防禦技術決定防堵成效的優劣,而市面上目前存有十多家的反垃圾郵件產品,各家皆宣稱其效能優異,令 MIS 眼花瞭亂,不知如何做出判斷。
不可諱言的,目前防堵垃圾郵件產品以內容過濾、語意分析技術居多,顯示該技術的確存有一定成效,但垃圾駭客為了無限商機不斷苦思濫發手法,隨著垃圾郵件發送手法多變且語意內容不斷變化,擾亂了利用自行收集的字集庫或資料庫、語意模擬、陷阱帳號樣本進行的郵件內容過濾,更甭論是調整權重比例或利用 MIS 經驗喜好所逕行設定的黑白清單!


卓越技術禁得起時間驗證,ISP 齊聲靠攏,見證專業價值
過去曾經使用 BrightMail 內容過濾技術進行垃圾防堵的 Yahoo! 與 Microsoft 現將全面改採根源於全世界電子郵件標準的通訊協定的 Domain Key 與 Sender ID (寄件人身份)技術,作為垃圾防禦因應策略。為什麼 Yahoo! 與 Microsoft 會喜新厭舊?原因在於利用千變萬化的文字做為阻隔垃圾郵件的技術,防禦效果也是「千變萬化」,令人擔憂,且郵件的處理資料量如果過大也將對系統造成龐大負擔,因此兩大業者當機立斷改採標準通訊協定,試圖力挽狂瀾,顯示傳輸行為解析技術成效已備受矚目。


傳輸行為解析,應用技術百變,完整應用,防護方能無虞
利用網域認證鑰匙技術(Domain Key)的電子郵件信箱,透過對寄件者電子郵件伺服器的辯識,此項應用需發信和收信雙方的服務商都必須使用這項技術,且合作的企業需達一定數量,Domain Key 技術才能成功地發揮作用;而根據網際網路通訊協定記錄查核電子郵件來源的 Sender ID 技術,目前則存在技術不相容的問題;Domain Key 及 Sender ID 技術雖同以傳輸行為做為解析,但仍需完整考量研發技術的完整性及相容性,才能確實提供穩定實用的防禦設備。


恪遵 RFC 規定,符合國際共識,垃圾郵件通訊行為精確解析
以標準通訊協定作為垃圾郵件判斷標準,並利用國際法規為定義基礎,融合垃圾行為學、心理學、變遷因子論及資料庫分析等行為類型,進行細膩模擬,研發出「垃圾郵件行為解析」可判別出符合國際性共識的垃圾郵件-濫發、非法、匿名、偽造等行為,其定義如下:
•郵件濫發行為:機器連線查詢或遞送郵件,嘗試各種方式投遞郵件,寄件主機異常變動;
•郵件非法行為:借用各地郵件代轉 Open Relay 與多處郵件轉寄站 Received 寄送郵件;
•郵件匿名行為:寄件者、收件者、寄件主機或郵件傳輸資訊刻意隱匿,使無法追溯來源;
•郵件偽造行為:寄件者、收件者、寄件主機或郵件傳輸資訊刻意偽造,經查證不屬實者。
利用依法有據的阻擋規則,並有效阻絕垃圾郵件於匣道端口,才能減少企業頻寬浪費!


棄卻主觀判定,力主決定性阻擋, 阻絕連線要求,駭客入侵無門
「垃圾郵件行為解析」進行「決定性阻擋」,棄卻主觀判定及經驗喜好設定的清單比對所造成的誤判情況,並對「郵件傳輸資料」真假值進行重新解構、結構,反覆驗證,甚而進行點對點精密解析,不論垃圾郵件如何改變形式、標題或內容,均難逃辨視。此外,在辨識不合法的濫發電子郵件時,須能率先針對垃圾駭客濫發攻擊的手法 (Spamming Attack) 在連線初步建立時即智慧判定,「查詢延遲反制」以拒絕查詢、連線處理重來與嘗試錯誤延遲反制,阻斷來自濫發攻擊者 IP 位址的連線要求,促使濫發者放棄,提供企業網路管理與資訊安全保護的關鍵機制。


最佳垃圾防禦,成效斐然, 卓著效能,公認垃圾判斷關鍵
另就成效及管理心力面而言,「垃圾郵件通訊行為解析」技術是依國際性共識定義阻擋規則,不懼垃圾郵件變化,無須大費周張更改清單設定,阻擋率不會因時間而下降,維持既有成效;MIS 在建立初始設定後,後期無須費神費時不斷調校資料庫內容,不但可精省時間管理,更有效降低心力耗費。唯一能確實保障企業電子郵件系統安全,「垃圾郵件通訊行為解析」為電子郵件安全稽核與控管的關鍵技術。

註:RFC(Request For Comments),網際網路上各種標準化的通訊協定都保存在 RFC 文件中,內容包含所有關於 TCP/IP 和網際網路的規格、協定內容、會議記錄、發展歷史等文件資料,現由美國網路資訊中心(Network Information Center, 簡稱NIC)所收集。

本文作者鄭志文為碩琦科技總經理,如果您對「防堵垃圾郵件」或「郵件行為解析」議題有任何看法,筆者相當樂於透過email與讀者分享經驗或相關技術