觀點

量身打造防堵垃圾郵件武器

2005 / 11 / 04
陳佳溶
量身打造防堵垃圾郵件武器

根據 IDC 預測指出,2005 年全球資安產品市場規模約為 108 億美元,依各產品區隔來看,內容安全產品成長快速,由於消費市場面臨大量電子郵件的氾濫,因此反垃圾郵件市場成長也具潛力,且政府單位正努力立法來遏止垃圾郵件濫發者的囂張行徑,各家廠商也摩拳擦掌、蓄勢待發。
然而,目前國內、外廠商競爭激烈,為了獲得更大的客源,各家廠商使出渾身解數,因此,乃針對國內、外廠商客製化服務為核心,試圖了解各家廠商在這方面的做法,其中發現國內廠商提供的客製化服務除了24小時全天候的即時服務外,還提供與原有系統的整合服務,或小幅更動原有程式碼方面的服務,至於提供較多郵件系統整合的服務,不單只是防堵垃圾郵件的服務;另外,國外廠商多以標準化的技術來滿足客戶的需求,或儘量將產品做得更有彈性,以滿足更大的市場需求。
標準化產品下的客製化
目前廠商提供的垃圾郵件解決方案,以標準化產品為主,儘量將產品功能設計具有彈性,讓使用者依自己需求去做調整,此外,國內廠商郵件管理系統在語文語意方面的技術較國外深耕,且大多結合防毒軟體功能,目前市面上所提供防堵垃圾郵件產品有SPAM SQR、SpamTrap、Spam wall、ViruSherlock、AW-5200、SPS3.0、Premium AntiSpam、SpamKiller等,以下就是在標準化產品下,各家廠商對客製化的看法及做法。
以開發產品的角度而言,趨勢、寬華、賽門鐵克、眾至、桓基、McAfee等以標準化流程為主,倘若目前版本缺乏此功能,在下一個版本中即會依市場的需求狀況考慮升級,但在產品功能設計則可依個人需求去做調整,趨勢科技產品行銷經理李淳熙說:「由於垃圾郵件的判定,基本上是很主觀的,只要使用者不想收到的郵件,都可稱為垃圾郵件,因此,開放使用者管理自己所認定的垃圾郵件,可隨時調整設定。」
然而,國內廠商面對國外知名廠商一波波強大的攻勢,在圍堵垃圾郵件卻仍具有強而有力的優勢,除了垃圾郵件本身具有文化和區域特性之外,中華數位第一事業總經理劉孟達說:「因為網路架構複雜,所以會有特殊需求或客製化需求,客戶考量不只是價格問題,而是需要有即時的服務,國外廠商多半鞭長莫及,國產在這部分的支援就會比較具有優勢。」因此,為因應目前企業網路架構趨向複雜化、多平台整合的應用潮流,針對特殊市場需求,中華數位已進行客製化專案開發服務,例如:教育市場、金融市場、電信市場等,未來也將朝整合Mail SQR、SPAM SQR內容過濾服務,且提供深化服務的策略﹔針對電信等級市場推出內容過濾的專業整合服務,目前正朝中國、日本市場發展,進軍亞太市場。
碩琦科技品質管制處處長陳世文說:「雖然國外也提供郵件管理系統,但若找經銷商要來小幅修改、更動程式碼部分,必須要找到美國原廠,但我們則可即時處理客戶的需求。」碩琦科技在客製化的作法上,由2~3個客戶需求漸漸會轉化成產品標準功能,即是有3個客戶同時對此項功能有需求,代表著市場對此項功能需求的急迫,會將其做成產品標準化的功能,以同時解決更多客戶問題。
為了一次提供客戶完整的服務,寬華科技將軟體內建在硬體系統內,分階段將軟體版本升級,Spam wall將朝多國語系發展進軍國際市場,蒐集各國的垃圾郵件樣本,目前仍著重於雙位元組字元集的垃圾郵件,且將整合縱向式管理,將Spam wall、mail DVR和mail DVS等設計一個整合操控的中央管理平台來解決客戶管理上的難題。
桓基科技為了加強客製化的服務,除了提供ViruSherlock企業在閘道端提供防堵垃圾信機制外,也推出了在Mail server端提供C&C Mail的反垃圾郵件軟體,可過濾POP3的垃圾郵件,更著重使用者個人化的需求可自由調整,除了防毒、防垃圾信外,可設定個人的行事例、名片簿及建立資源共同分享。

複合式的攔截垃圾郵件技術
目前廠商提供的防堵垃圾郵件方式通常使用黑名單比對、域名反查及DoS或連線限制防禦等連線層阻斷方式,再進入企業郵件伺服器進行條件過濾(Rules Filter)、關鍵字過濾、內容過濾、貝氏分析法(Bayesian)、啟發式偵測(Heuristic)等技術,各家廠商多提供複合式的阻擋技術,讓垃圾郵件由多種技術來判斷其為垃圾信的可能性,以降低誤判機率。
然而,國內大多廠商在技術上所提供的客製化功能服務多為與原有系統的整合服務,通常以不要更動核心技術為主,外加一支程式串聯整合原有系統,提供的服務與原有E-Mail伺服器整合(如:非標準的帳號同步、Exchange多帳號整合)、個人化認證結合(例如:與 EIP企業資訊入口網站或企業網站平台結合)、搭配部分特殊人員需求(如:代收外部信、個人化白規則)、特殊負載平衡(Loading Balance)或分流需求(dispatching)、搭配企業政策的需求(如:特殊病毒報表、特殊需求報表);以國外廠商而言,則支援多種導入模式,儘量以標準化技術來達到個別的需求。
中華數位以郵件內容安全起步,對於內容過濾的技術熟悉,此技術被廣泛的運用在內容安全(Content Security)管理及資料探索分類(Data Mining)領域,因此,可將收到的郵件做二十七種分類;以內容過濾防堵垃圾郵件當然不可能只是簡單的定義幾個敏感字眼,或以字串處理的方式加以比對,還需搭配語意模擬、解碼技術、垃圾郵件Header比對、自動學習機制及其它特徵模擬等進行複雜的運算比對,所以內容資料庫長期不斷地蒐集、更新最新垃圾信的樣本,並將其分類以便比對,此外,也依產業類別提供各別的內容過濾資料庫,以縮短系統導入,協助企業再最短時間適應;在客製化方面,針對企業本身對產品應用的需求,或產業特性針對產品應用有特別的需求,中華數位會依這兩大方向去延伸客製化的開發服務。
面對垃圾郵件濫發、詐騙手法層出不窮,碩琦科技垃圾郵件防禦伺服器遵守國際規範 IRTF/IETF/RFC,研發『垃圾郵件通訊行為解析』技術,開發『郵件傳輸資料』真假值解析處理平台,以『垃圾郵件通訊行為解析』技術,反覆驗證郵件真假傳輸值,針對垃圾郵件的匿名、偽造、濫發與非法等行為進行處理;垃圾郵件行為解析技術是在伺服器 MTA 處理,藉由全面掌握郵件傳輸值,尤其是郵件標題 Header,解析判斷是否具垃圾郵件行為,此外,一般 Outlook等 MUA 軟體所解析的郵件傳輸值僅達 Level 4,而碩琦郵件垃圾防禦伺服器深度驗證郵件傳輸值、郵件標題、郵件信封至少 Level 25,其無機率或然運算較能準確的判斷率可降低誤判疑慮,且可在快速於在短時間處理企業內部大量的垃圾郵件,系統定期發送垃圾信的處理狀況一覽表給使用者,倘若垃圾信有判斷錯誤狀況,可在這表格中點選即可收到,使用者可自己將郵件找回,不需透過MIS人員處理;另外,為了客戶方便管理,有些企業需要這樣的服務,例如︰當一台機器的黑名單更新時,其餘機器資料也要隨著更新,這時就會小幅更改程式碼,其餘機器資料才能隨著自動更新。
眾至資訊則採用內容過濾技術與貝式分析法,貝式分析法利用程式讓電腦自動找出垃圾信和非垃圾信中最常出現的字句,將信件切分成許多小的單詞(token),再利用統計、機率學上各種機率公式來計算該封信件是垃圾信的機率有多高而加以判定的,其內容過濾技術主要以指紋辨識資料庫(fingerprinting,或稱特徵資料庫,其為第三方所提供的過濾內容,主要以特徵進行比對)為主,指紋辨識資料庫乃蒐集垃圾郵件的行為、內容、標頭等特徵,進行過濾比對。
寬華科技判斷垃圾郵件的核心技術,採用智慧學習判斷方式,乃利用基因演算法及貝式定理,提供使用者可送出垃圾郵件樣本的功能至寬華郵件處理中心,並將使用者送出的郵件樣本和寬華所蒐集的垃圾郵件的樣本結合,供客戶每星期自動更新一次垃圾郵件的樣本,其內建大概有1000多條判斷的規則,垃圾郵件每條判斷規則之輕重則從大量垃圾郵件樣本中學習,其積分高低也由此而來;另外導入初期,提供客戶指揮參考模式,避免郵件誤判機率,並提供被阻擋的垃圾郵件報表,讓使用者可將郵件從隔離區撈回。
趨勢科技在2年前就投入研發反垃圾郵件掃描引擊技術,PC-cillin內建就具有反垃圾郵件的功能,SPS3.0為企業端產品,其使用趨勢研發的反垃圾郵件掃描引擊技術,將在今年6、7月間推出,此外,位於菲律賓的TrendLab,也成立反垃圾郵件中心,專門蒐集垃圾郵件的樣本,趨勢反垃圾郵件過濾引擎採用雞尾酒過濾法的技術,以智慧型偵測為技術核心,綜合黑名單比對、郵件標頭、寄件者、收件者等混合式的過濾法,研發在單一引擎混合式的過濾功能,與多層次過濾的效能相比較佳,節省使用者的時間。
一般廠商所提供的技術就是啟發過濾法或貝式分析法,啟發過濾法是利用人工比對去找出垃圾郵件中常出現的字句;然而,賽門鐵克在反垃圾郵件技術也包含這兩種,但利用此兩種技術將面臨到一定問題就是其必須經過一段時間的學習,所以造成誤判問題,此外,垃圾郵件的樣貌多變,可能要重新訓練過濾引擎,更改郵件過濾規則才能有效攔截,因此,賽門鐵克在反垃圾郵件技術上採取多層次過濾的策略,目前全球設有四座BLOC(Brightmail Logistic and Operation Center)中心,包括舊金山、都柏林、雪梨及去年在台北成立了最新的BLOC營運中心,提供全球即時性的網路防護,來判別各式新興的垃圾郵件,然後指示過濾器進行判定及攔截相似的垃圾郵件訊息,均提供當地語系的過濾技術;另外,賽門鐵克更提供垃圾郵件特徵檢查(Signatures),依個別垃圾郵件來擬寫特徵,就像病毒特徵辨識一樣,誤判率可降到最低,且使用者可加入客制化白名單及黑名單。
McAfee 的SpamKiller引擎乃以啟發式偵測、貝氏過濾法及內容過濾技術等多種技術結合,內容過濾技術方面則開放使用者可以加入自己的黑白名單,McAfee台灣區技術經理沈志明說:「是不是垃圾郵件,通常使用者的判斷是關鍵,不管系列程式再怎麼修改、建置,與使用者的認知之間都會有誤差,為了解決誤差的認知,使用者也可將垃圾郵件樣本送到McAfee的垃圾郵件研究中心即可自動化做分析,在進一步計畫中,則將研發另一種技術,即當使用者傳送垃圾郵件樣本時,可以直接由使用端垃圾郵件引擎接收,並自動學習垃圾郵件樣本,以更符合使用者的需求。」
然而,在以上廠商所提出的解決方案中,多以某項核心技術為主,在以另一項技術來輔助核心技術之弱點,其中包含策略性的分階段導入或使用方式,使其系統的整體效能表現能達到最佳。

在地化深化服務
垃圾郵件管理系統廠商大多提供客製化的服務,只是提供客製化的服務、程度不盡相同,以下則是廠商所提供的客製化服務:
1.網路環境提升到最佳化
系統導入前期廠商通常會去了解客戶網路架構,並輔導改善客戶網路架構,因為目前的Spammer對於網路架構瞭若指掌,常利用繞道方式躲避企業的安全防護,倘若這個層面不做調整,又如何得知企業的網路有哪些漏洞呢?因此,中華數位在這方面也提供顧問服務。
碩琦科技也輔導客戶將網路架構調整至最佳狀況,會依客戶目前頻寬、安全控管及防火牆的設計上給予建議,並依現有的設備去決定系統架構,陳世文說:「要提升防堵垃圾郵件的效能,並不是單一的服務,其非常依賴網路、防火牆之間的設定及用戶端配合,才能促使整個防垃圾信的流程更為順暢,因涉及到整個網路及Client端,相對的也比較複雜。」
此外,寬華科技也提供這方面的服務,McAfee則將產品製作成多種導入模式,不需特別修改客戶原本系統即可導入,而賽門鐵克也由專業的顧問群提供此方面的服務,使得客戶的垃圾郵件能從源頭的地方開始著手,才能有效防制。
2. 24小時全天候的服務
中華數位提供客戶遠端郵件管理服務,倘若企業裡的MIS人員無法分身乏術,沒有時間管理垃圾郵件,其系統24小時與企業系統做連線,代為客戶做郵件的管理,倘若出現資安事件,會立即回覆給客戶,寬華科技也提供24小時監控機制,協助客戶管理系統,倘若系統當機,則由值班人員可即時處理;然而,國外廠商賽門鐵克部分合作夥伴提供此服務,但在美國地區已有此服務,McAfee美國地區也有此服務,在台未有此服務。
桓基科技也提供維護約客戶24小時全天候的服務專線,只要客戶在任何時間有問題,都可來電告知,立即馬上有維護人員到府服務,以解決客戶系統突然不能運作,能在最短的時間系統回覆。
趨勢科技為了提升服務品質,在2004年培養趨勢合作服務夥伴,提供客戶更好的服務,李淳熙說:「不管是做防毒產品或反垃圾郵件產品,我們非常重視對客戶的服務部分,趨勢因為總部在台灣,所以大部分的RD及技術人員分布在台灣的也比其它地方多,因此,資源也比較多,提供客戶立即性服務及品質,都佔有一定優勢。」
3.其它
桓基科技每月會針對經銷商、已成交客戶及未成交客戶定期舉辦教育訓練,使其了解產品的使用提供即時的服務;寬華科技也提供教育訓練服務,針對客戶的特質提供教育訓練,依客戶需求做功能性的調整,一般客戶會先試用,再安排工程師做教育訓練,將設備裝置完成。
碩琦科技除了教育訓練外,也保持與客戶之間的聯繫,定期提供客戶技術通報服務,發送一些使用的小技巧、最近駭客攻擊手法及防垃圾信發送的新手法等給客戶,提供客戶長期服務,只要有新的功能、服務,客戶都可在第一時間內知道,陳世文說:「我們希望成為客戶的夥伴,由於每家企業、公司都會不斷的成長,對於郵件管理需求也會不斷成長,我們保持和客戶的密切互動與服務,倘若客戶有任何需求,則會再回來找我們。」

結語
根據以上報導,發現國內與國外廠商在客製化做法方面不盡相同,國產除了依客戶需求去調整產品功能外,還提供與原有企業內部系統整合服務,方便管理人員管理,否則一個企業體內,同時擁有多套不同功能的設備、系統,也將造成管理上的沉重負擔,因此,已不是單純的防堵垃圾郵件服務,而是將服務範圍擴展到任何與郵件相關的服務,然而,國外廠商則儘量以自動化、標準化流程及產品來符合市場需求,至於哪一種服務方式最佳,這得看使用者的需求!