垃圾邮件的防御与治理课程内容:垃圾邮件的概念随着因特网的不断普及,国内的用户数呈指数级增长.
其中电子邮件是Internet所有服务中最基本的服务,超过百分之八十的用户使用电子邮件服务.
它为人们的工作、生活、娱乐提供了极大的便利.
在充分享受电子邮件带来的便捷、实时和廉价的同时,网络时代的人们也饱尝垃圾邮件带来的烦恼.
几乎每个人的信箱都充斥着大量来历不明的邮件,垃圾邮件像瘟疫一样蔓延、污染网络环境,影响网络的正常通信.
而在我国,由于成百上千的开放邮件中继服务器被国外不法分子利用,国外许多邮件服务商曾一度封杀了中国邮件服务器的IP地址,致使中国用户蒙受不可估量的损失.
垃圾邮件数量的增长速度如此之快的原因在于,第一,垃圾邮件一直被吹捧为是一种最有效却最廉价的广告形式.
邮件地址列表很容易买到,也很容易从英特网搜集,特别是为了工作的需要,企业一般都在Web站点列出了员工的电子邮件地址.
这使得编辑一个邮件地址数据库变得非常的廉价和容易.
然后,再使用一个廉价的邮件软件按数据库中的邮件地址自动发送出去即可,非常简单.
其次,传统的控制方法无法有效地过滤垃圾邮件,使得终端用户经常收到来自不同地方的商业广告.
垃圾邮件制造者是通过邮件报头欺骗,对邮件主题和内容进行处理以及利用第三方服务器进行转发来达到目的的.
一个常见的垃圾邮件伪装方法是利用网络中的开放式SMTP服务器进行转发.
如果网络中的一台SMTP服务器没有被配置为禁止转发电子邮件,那么它将可能成为被垃圾邮件制造者利用的对象.
概括起来说,垃圾邮件是指一切通过非法手段和非正常手段发送的以破坏邮件系统网络或宣传反动,色情的电子邮件统称垃圾邮件.
垃圾邮件在网络中的破坏性与对业务系统的影响美国东部时间10月9日(北京时间10月10日)消息根据Brightmail公司的衡量指标,9月份垃圾邮件的比率由50%上升到了54%,这表明前个月垃圾邮件减退的现象只是暂时的,新一轮的冲击正在酝酿中.
据Gartner公司预测,到明年中期垃圾邮件的比率很可能会达到60%.
根据Brightmail公司的统计数字,9月份垃圾邮件中突出的一点是政治类垃圾邮件数量在增加.
特别是近期加州旅长竞选是比较能够吸引注意力的事件,因此垃圾邮件制造者纷纷利用这一点.
仅在8月份,美国与此相关的垃圾邮件就达到了2000万,估计在10月7日竞选日,这一数量可能超过了1亿.
Brightmail公司总裁兼CEO艾恩瑞克-沙勒姆(EnriqueSalem)认为,也许等到州长竞选之后政治类垃圾邮件的数量会下降,但不要忘记2004年的总统竞选可能会带来更多的垃圾邮件.
随着企业对邮件交流方式的日益信赖,邮件过滤技术变得越来越重要,这方面的投资也在增加.
InformationWeek对550名商业技术人员进行过一项调查,结果表明58%的人2003在反垃圾邮件上的投资都比2002年提高了5-20%,39%保持不变,只有3%会减少投资.
而Radicati集团公司的一项调查显示,2003年第二季度,企业通过邮件交流的数量比去年同期增长了80%.
与垃圾邮件同样令人烦恼的是通过邮件传播的病毒.
在CentralCommand公司2003年9月的病毒排行榜上,Worm/Sobig.
F名列第一,在全部病毒中的比例高达67.
5%,Worm/Gibe.
C以8.
6%名列第二.
公司产品及服务副总裁史蒂文-山德梅尔(StevenSundermeier)称,"Worm/Sobig.
F名列第一不是偶然的,它对全世界的计算机构成了重大冲击,导致了众多计算机系统的瘫痪.
Worm/Gibe.
C则是一种非常狡猾的病毒,伪装成微软的累积安全补丁,从而误导用户中毒".
我们将垃圾邮件或可能传播病毒的邮件定义为以下几类:健康类:通常是宣传与健康有关的产品或者服务,比如中草药治疗等;产品导向类:主要是传递产品或者服务广告;成人类:提供一些粗俗不雅的内容,一般针对18岁以上人群;金融销售类:提供一些与金钱、股票、信贷和投资相关的内容;网络或计算机类邮件:与网络托管或者网站设计等相关的产品或服务广告;娱乐类邮件:比如说中奖、打折旅游、在线游戏等;精神导向类:比如说宗教宣传、心理学、占星术等.
诡计故事类:主要包括欺骗或误导用户的内容;其他:不包括在上述分类中的内容.
垃圾邮件的产生与破坏方式垃圾邮件的破坏方式:堵塞邮件服务器的出口大量处理导致邮件服务器拒绝服务利用后台内容过滤数据库的更新不及时及内容过滤上的缺陷不断更换关键字利用图片作为反动信息的主要传播源中携带大量危险病毒文件利用邮件中的超级连接弹射黄色站点等黑客与非法组织利用垃圾邮件破坏网络系统的手段分析踩点技术分析发垃圾邮件软件的大量出现利用TCP/IP的认证漏洞利用邮件服务器的大量OPENRELAY情况的存在群发与欺骗技术介绍垃圾邮件的客星——反垃圾邮件系统介绍反垃圾邮件系统是指建设在邮件服务器之前,代替邮件服务器在第一时间接收邮件,并对邮件性质做评分检查,从而对邮件的性质和内容做出判断,达到遏制垃圾邮件泛滥的组件,同时反垃圾邮件系统还包括与防火墙的同步规则添加,垃圾邮件专用IDS的引入等一整个体系结构.
反垃圾邮件系统技术分析从反垃圾邮件系统的原理上分别阐述当前最流行和通用的内容过滤技术与行为识别技术的技术基本原理和优缺点;从反垃圾邮件系统的部署特点上分别阐述代理型反垃圾邮件系统和透明型反垃圾邮件系统技术基本原理和优缺点.
借此,先详细介绍传统反垃圾邮件技术实时黑名单技术为了有效地拒绝来自恶意的垃圾邮件来源站点和/或被利用的垃圾邮件来源站点所发来的垃圾邮件,最直接和有效的办法就是拒绝该来源的连接.
虽然从理论上说,这样也有可能会拒绝掉来自该站点的正常邮件,从而造成邮件不能正常的投递,但是有以下理由支持我们这样做:接收任何来源的邮件则有可能导致邮箱中充满了垃圾邮件,影响了邮件服务器的性能和容量以及带来高额的带宽费用,而且导致了收取邮件的人浪费了不必要时间处理这些垃圾邮件;通过程序过滤垃圾邮件不但从技术上不能保证完全可靠,而且会对服务器带来很多负载;通过人工一一分拣邮件基本上是不可行的,不但从工作量上不可承受,而且有可能会带来隐私问题;通过拒绝恶意的垃圾邮件站点的连接,可以使垃圾邮件的实际发送量下降,从而缩小了垃圾邮件市场和压制了垃圾邮件的发展;通过拒绝被利用的垃圾邮件来源站点的连接,可以使该站点的管理员能充分认识到被利用所带来的后果,从而消除被利用的条件.
综合以上利弊,我们认为,通过将确认后的垃圾邮件来源站点(无论是否是恶意与否)放入一个黑名单(BlackholeList),然后通过发布该名单来保护邮件服务器不受到黑名单中站点的侵扰确实是一个目前对抗日益严重的垃圾邮件的行之有效的方法.
目前在黑名单技术上最流行和最有前景的是实时黑名单(RealtimeBlackholeList,简称RBL)技术.
通常该技术是通过DNS方式(查询和区域传输)实现的.
目前国外流行的几个主要的实时黑名单服务器都是通过DNS方式提供的,如Mail-Abuse的RBL、RBL+等.
国内目前尚未出现比较大的RBL服务(本站即将发布一个RBL服务).
实时黑名单实际上是一个可供查询的IP地址列表,通过DNS的查询方式来查找一个IP地址的A记录是否存在来判断其是否被列入了该实时黑名单中.
举例来说,比如如果要判断一个地址111.
222.
333.
444是否被列入了黑名单,那么使用黑名单服务的软件会发出一个DNS查询到黑名单服务器(如cbl.
anti-spam.
org.
cn),该查询是这样的:444.
333.
222.
111.
cbl.
anti-spam.
org.
cn是否存在A记录如果该地址被列入了黑名单,那么服务器会返回一个有效地址的答案,按照惯例,这个地址是127.
0.
0.
2(之所以使用这个地址是因为127/8这个地址段被保留用于打环测试,除了127.
0.
0.
1用于打环地址,其它的地址都可以被用来做这个使用,比如有时候还用127.
0.
0.
3等.
).
如果没有列入黑名单,那么查询会得到一个否定回答.
有时候,由于邮件服务器非常繁忙,而且这个查询结果是不缓存的,那么对黑名单服务器的查询会非常多,导致查询响应迟缓.
在这种情况下,可以使用DNS的区域传输,将黑名单服务器的数据传输到本地的DNS服务器,然后对本地的DNS服务器进行查询即可.
区域传输可以设置为手工更新、定时更新或自动更新等方式,这依赖于你的应用.
黑名单服务器的DNS查询和区域传输,并不是都可以随意使用的.
有些服务器可供任何人查询和区域传输,而有些只对特定的用户开放.
邮件过滤技术邮件过滤按照邮件系统的角色结构可以分为三类:MTA(邮件传输代理)过滤MDA(邮件递交代理)过滤MUA(邮件用户代理)过滤MTA过滤是指MTA在会话过程中对会话的数据进行检查,对于符合过滤条件的邮件进行过滤处理.
邮件会话过程中有两个阶段可以进行过滤:邮件发送邮件数据前,即在发送DATA指令前的过滤.
在发送DATA指令前,邮件对话可以在SMTP连接开始、HELO/EHLO指令、MAILFROM指令和RCPTTO指令中对会话数据进行检查.
SMTP连接时,可以检查客户端IP地址是不是特定不允许连接的地址,如被列入黑名单IP就会被立刻拒绝连接.
对HELO/EHLO指令所提供的身份,可以检查是不是FDQN(完全限定域名,包括完整的主机名、域名的地址)、是不是要求的身份等.
对MAILFROM指令所提供的邮件来源,可以检查是不是有效域(可以通过DNS反向查询检查)、是不是FDQN、是不是符合RFC822格式等.
对RCPTTO指令所提供邮件接收者,可以检查是不是属于允许转发的域、是不是符合RFC822格式、是不是通过认证的发信人等.
如果在检查中该会话符合过滤的条件,就可以按照规则采取相应的动作,如直接在会话阶段断开连接、发出警告代码等.
邮件发送邮件数据前的检查也叫做信封检查.
邮件发送邮件数据后,即在发送DATA指令后的过滤.
在通过一个点的单行结束DATA指令后,可以对DATA指令接收到的数据进行检查,这包括信头检查和信体检查.
在DATA指令所传送的数据中,信头和信体是通过一个空行分隔开的.
信头检查.
通常垃圾邮件在信头中都有一定的特征可供识别.
通过这些特定信头字段可以很快地识别为垃圾邮件.
信体检查.
有时候通过信头检查还不足以判断一封邮件是否是垃圾邮件,往往还要针对情况进行信体检查.
信头一般都比较小,通常在1KB-10KB之间,检查信头也比较快.
而信体检查就要检查大量的数据,会给邮件服务器带来很大的负载.
所以通常不做信体检查.
邮件发送邮件数据后的检查实际上是在邮件数据传输基本完毕后进行的,因此并不能节省下被垃圾邮件占用的带宽和处理能力,只是可以让用户不再收到这些已被过滤的垃圾邮件.
MDA过滤是指MDA在从MTA中接收到信件,在本地或远程进行递交时进行检查,对于符合过滤条件的邮件进行过滤处理.
很多的MDA都支持在这个过程进行过滤,如Procmail、Maildrop和Cyrus-IMAP等,甚至它们本身就是作为过滤器使用的.
这些过滤器使用过滤语言(如Sieve,它是一个标准化的邮件过滤语言,现在已成为IETF标准)来制订过滤规则,因此配置比较灵活、功能强大.
但是由于是在邮件递交阶段进行过滤,同MTA的邮件发送邮件数据后的检查一样,并不能节省下被垃圾邮件占用的带宽和处理能力,只是可以让用户不再收到这些已被过滤的垃圾邮件.
MTA和MDA过滤都是邮件服务器端的过滤,而MUA过滤是邮件用户的客户端的过滤.
多数流行的邮件客户端,如Outlook、OutlookExpress、NetscapeMail、Foxmail等都支持MUA过滤.
邮件过滤技术作为一个有效的对抗垃圾邮件的手段,就如同杀毒软件对病毒的查杀一样,也是需要不断根据情况更新邮件过滤规则的.
通常都是管理员自行根据垃圾邮件监测情况来更新过滤规则.
不过本站即将推出一个推荐的信头过滤规则和信体过滤规则,并不断根据情况进行更新.
用户可以订阅这些规则并参考应用到自己的邮件系统中.
邮件过滤是一项应用的相当早的技术,因而也发展的比较完善.
已经有很多主流的邮件系统支持邮件过滤,一些不直接支持该功能的邮件系统也可以通过补丁或外置的邮件过滤器来实现邮件过滤.
Open-RelayOpen-Relay(开放转发或匿名转发)是指由于邮件服务器不理会邮件发送者或邮件接受者的是否为系统所设定的用户,而对所有的入站邮件一律进行转发(RELAY)的功能.
通常,若邮件服务器的此功能开放,则我们一般称此邮件服务器是Open-Relay的.
Open-Relay在互联网起步阶段时曾经作为邮件服务器的一项重要的功能,当时互联网中的邮件服务器不多,带宽与线路并不是很好,很多信件需要通过一个或多个中转服务器来发送.
较早版本的邮件系统(如Sendmail的早期版本)的Open-Relay功能默认设置均是开放的.
但随着互联网的快速发展,网络中独立运行的邮件服务器越来越多,且架设也越来越简洁,此时,已不需要通过中转服务器来发送邮件;相反,对发送的邮件不进行核实,一律发送的Open-Relay特性非常容易被用作为发送垃圾邮件的中转站.
这样,不仅浪费了大量的网络资源和带宽,其邮件服务器的IP地址还可能因为发送大量垃圾邮件被反垃圾邮件组织列入黑名单,成为其他邮件服务器的拒绝对象,影响正常的邮件联系.
因此,当前架设一个安全的邮件服务器,必须将Open-Relay功能关闭.
如何判断一个邮件服务器是否为Open-Relay的呢,我们可以尝试模拟一个邮件服务器的连接过程来判断它:一个架设好的邮件服务器会监听其25端口,等待着其他邮件服务器或远程客户端对其25端口的连接.
进行邮件发送的请求.
>telnetmailhostname25220ESMTPPOSTFIX(屏幕回显,通常指明邮件服务器类型)MailFrom:user1@this.
domain.
tld(输入模拟用户)服务器既显示250.
.
.
okRCPTTO:服务器会显示250.
.
.
RecipientokData.
quit退出>如果用户user2接受无误,你的服务器即具有Open-Relay功能,可能被别人作为中转服务器.
同上,若服务器在RCPTTO命令后显示"554:Recipientaddressrejected:Accessdenied"回应则表明此台服务器关闭了Open-Relay功能.
行为识别技术垃圾邮件在发送阶段处于活动的状态,恶意的行为特征远比内容特征要明显,经过清华大学学者和科研人员的两年来,对大量垃圾邮件进行了实时的行为观察,并有效地发现了垃圾邮件的协议特征.
依靠"行为识别"的创新技术,可以智能在线识别针对电子邮件系统的各种恶意攻击、病毒攻击、垃圾攻击.
基于这种新一代的"行为识别"技术开发的智能反垃圾邮件系统,可以不需要把垃圾信全部收下来,也不需要做内容过滤,就可以直接拦截垃圾邮件和病毒邮件,并且极大提高垃圾邮件的处理速度,并节省大量的系统资源和网络带宽但是这种技术仍然处于发展阶段,在技术成熟性上还有待进一步发展壮大.
反垃圾邮件系统在各种规模网络系统中的部署技术反垃圾邮件系统在网络拓扑中的位置与各种受影响因素;子网的逻辑分布防火墙的设置和位置邮件服务器的数量和位置反垃圾邮件系统的备份路由设计;通过DNS的MX记录和反垃圾邮件网关的SMTP路由指定(演示)反垃圾邮件系统自身安全性和稳定性部署设计;尽量采用UNIX或Linux系统作为反垃圾邮件系统服务器的操作系统,在内核上做大量精简和压缩,最大限度删除所有无须使用的服务,将出口服务数量降至最低.
反垃圾邮件系统中防止绕过的技术原理与实现方法;指定邮件服务器只接收来自反垃圾邮件网关的邮件,从而从根源上防止垃圾邮件的直接传入,同时,需要在反垃圾邮件服务器端和邮件服务器端启用IP认证功能,以防止黑客或不法组织的IP欺骗或域名欺骗攻击.
妮妮云的来历妮妮云是 789 陈总 张总 三方共同投资建立的网站 本着“良心 便宜 稳定”的初衷 为小白用户避免被坑妮妮云的市场定位妮妮云主要代理市场稳定速度的云服务器产品,避免新手购买云服务器的时候众多商家不知道如何选择,妮妮云就帮你选择好了产品,无需承担购买风险,不用担心出现被跑路 被诈骗的情况。妮妮云的售后保证妮妮云退款 通过于合作商的友好协商,云服务器提供2天内全额退款,超过2天不退款 物...
LOCVPS(全球云)发布了新上韩国机房KVM架构主机信息,提供流量和带宽方式,适用全场8折优惠码,优惠码最低2G内存套餐月付仅44元起。这是一家成立较早的国人VPS服务商,目前提供洛杉矶MC、洛杉矶C3、和香港邦联、香港沙田电信、香港大埔、日本东京、日本大阪、新加坡、德国和荷兰等机房VPS主机,基于KVM或者XEN架构。下面分别列出几款韩国机房KVM主机配置信息。韩国KVM流量型套餐:KR-Pl...
昔日数据,国内商家,成立于2020年,主要销售湖北十堰和香港HKBN的云服务器,采用KVM虚拟化技术构架,不限制流量。当前夏季促销活动,全部首月5折促销,活动截止于8月11日。官方网站:https://www.xrapi.cn/5折优惠码:XR2021湖北十堰云服务器托管于湖北十堰市IDC数据中心,母鸡采用e5 2651v2,SSD MLC企业硬盘、 rdid5阵列为数据护航,100G高防,超出防...