用三元分类阻止垃圾邮件误报


  调高垃圾邮件过滤器级别的确可以减少收到的垃圾邮件数量,但是这样做往往以误报为代价。而调低过滤器级别,用户将被垃圾邮件、网络钓鱼和恶意插件所淹没。

  过滤垃圾邮件,企业的更好选择也许是放弃传统的二元分类法(恶意或未知),转而采用三元分类法:恶意、未知、已知善意。利用三元分类法,恶意信件(如垃圾邮件和网络钓鱼)仍可以被阻止或隔离,而进入收件箱的所有其他信件将根据所感知的合法性进一步分类。

  大型服务提供商已经开始将收件箱划分为已知善意和未知信件。反消息滥用工作组建议为用户提供视觉提示:得到认证、鉴定、声誉和监测服务支持的信件应当在收件箱中用高亮色彩显示,以表明信件是真实和安全的。

  高亮色彩显示信件涉及建立与电子邮件声誉和鉴定服务的关系。以下是一些术语:

  认证:证实信件来自其所称来源。发信人的域常常被认证,一些服务将范围扩大到了域之外,认证整个发信人信息。

  鉴定:在声誉服务开始跟踪发信人的声誉前,它鉴定发信人:这是家能够承担责任的真正公司吗?它有发送电子邮件的确定声誉吗?一些服务只是根据鉴定过程的结果给出最初的声誉分。另一些服务则采用更复杂的技术,可以授予发信人与鉴定结果相适应的特权。

  声誉:一旦经过鉴定,发信人的最初声誉得以建立。这个声誉将根据发信人的行为和其遵守声誉服务定义的情况上下浮动。

  监测:声誉服务监测经过鉴定的发信人。最好的服务实时监测发信模式和投诉,并提供准确的数量和投诉数据。因此,它们能够为监测的发信人打出极其准确的声誉分。

  正如 DKIM(DomainKeys Identified Mail)和CertifiedEmail所证明的那样,采用SHA-1或SHA-256散列和RSA-512到RSA-2048密码签名的公共密钥密码是上述过程认证部分的首选方法。声誉数据可以被嵌入在签名的认证部分(CertifiedEmail就是如此),或利用通信传送来补充纯认证协议(如 DKIM和SenderID)。目前还没有这种声誉检查的标准,不过大多数专家建议依靠声誉鉴定机构保存和维护的TXT记录的DNS进行查询。

  一旦信件的善意被确定,实际用户界面处理的实现取决于部署的邮件用户代理程序或电子邮件客户程序:对基于Web的电子邮件阅读器的代码修改或用于现成客户程序的插件。

  采用三元分类法后,最佳信件将绕过垃圾邮件过滤器,只有没有得到声誉服务支持的信件或普通信件,接受自动的垃圾邮件过滤。通过过滤器的信件将出现在收件箱中,不加任何特殊的标记。信任图标被保留给已知的、善意的、享有良好声誉的电子邮件(它们都绕过过滤器)。


过半机构发生过信息网络安全事件


  公安部公共信息网络安全监察局近日发布的一项调查报告显示,在被调查的13000多家单位中,54%的被调查单位发生过信息网络安全事件,比去年上升5%,其中发生过3次以上的占 22%,比去年上升7%。

  今年6月,公安部公共信息网络安全监察局对我国2005年5月至2006年5月发生的网络安全事件和安全管理中存在的问题进行了调查,8月25日发布了2006年全国信息网络安全状况与计算机病毒疫情调查报告。

  调查报告显示,感染计算机病毒、蠕虫和木马程序仍然是最突出的网络安全情况,占发生安全事件总数的84%,“遭到端口扫描或网络攻击”和“垃圾邮件”分别占36%和35%。

  调查显示,在发生的安全事件中,攻击或传播源来自外部的占50%,比去年下降7%,内外部均有的占34.5%,比去年上升10.5%。73%的安全事件是由于未修补或防范软件漏洞所导致。 融证券行业发生网络安全事件的比例最低,商业贸易、制造业、广电和新闻、教育科研、互联网和信息技术等行业发生网络安全事件的比例较高。网络用户的安全防范意识在不断增强并切实采取了措施。

  据了解,防火墙和计算机病毒防治产品是使用最多的网络安全产品,近八成的被调查单位使用了防火墙和计算机病毒防治产品。


Linux操作系统下防垃圾邮件基本功


  垃圾电子邮件成为了人们最头疼的问题之一。在Windows操作系统中也许您已经尝够了垃圾邮件给您带来的苦头,不要以为在Linux操作系统平台中就能避免垃圾电子邮件给我们带来的骚扰,反击和过滤垃圾电子邮件是一件很重要的工作。下面介绍一些在Linux中广泛使用的防垃圾邮件技术。

(1)SMTP用户认证

  目前常见并十分有效的方法是,在邮件传送代理(Mail Transport Agent,MTA)上对来自本地网络以外的互联网的发信用户进行SMTP认证,仅允许通过认证的用户进行远程转发。这样既能够有效避免邮件传送代理服务器为垃圾邮件发送者所利用,又为出差在外或在家工作的员工提供了便利。如果不采取SMTP认证,则在不牺牲安全的前提下,设立面向互联网的Web邮件网关也是可行的。此外,如果SMTP服务和POP3服务集成在同一服务器上,在用户试图发信之前对其进行POP3访问验证(POP before SMTP)就是一种更加安全的方法,但在应用的时候要考虑到当前支持这种认证方式的邮件客户端程序还不多。

(2)逆向名字解析

  无论哪一种认证,其目的都是避免邮件传送代理服务器被垃圾邮件发送者所利用,但对于发送到本地的垃圾邮件仍然无可奈何。要解决这个问题,最简单有效的方法是对发送者的IP地址进行逆向名字解析。通过DNS查询来判断发送者的IP与其声称的名字是否一致,例如,其声称的名字为mx.hotmail.com,而其连接地址为20.200.200.200,与其DNS记录不符,则予以拒收。这种方法可以有效过滤掉来自动态IP的垃圾邮件,对于某些使用动态域名的发送者,也可以根据实际情况进行屏蔽。但是上面这种方法对于借助Open Relay的垃圾邮件依然无效。对此,更进一步的技术是假设合法的用户只使用本域具有合法互联网名称的邮件传送代理服务器发送电子邮件。例如,若发件人的邮件地址为someone@yahoo.com,则其使用的邮件传送代理服务器的Internet名字应具有yahoo.com的后缀。这种限制并不符合SMTP协议,但在多数情况下是切实有效的。 需要指出的是,逆向名字解析需要进行大量的DNS查询。

(3)实时黑名单过滤

  以上介绍的防范措施对使用自身合法域名的垃圾邮件仍然无效。对此比较有效的方法就是使用黑名单服务了。黑名单服务是基于用户投诉和采样积累而建立的、由域名或IP组成的数据库,最著名的是RBL、DCC和Razor等,这些数据库保存了频繁发送垃圾邮件的主机名字或IP地址,供MTA进行实时查询以决定是否拒收相应的邮件。但是,目前各种黑名单数据库难以保证其正确性和及时性。例如,北美的RBL和DCC包含了我国大量的主机名字和IP地址,其中有些是早期的Open Relay造成的,有些则是由于误报造成的。但这些迟迟得不到纠正,在一定程度上阻碍了我国与北美地区的邮件联系,也妨碍了我国的用户使用这些黑名单服务。

(4)内容过滤

  即使使用了前面诸多环节中的技术,仍然会有相当一部分垃圾邮件漏网。对此情况,目前最有效的方法是基于邮件标题或正文的内容过滤。其中比较简单的方法是,结合内容扫描引擎,根据垃圾邮件的常用标题语、垃圾邮件受益者的姓名、电话号码、Web地址等信息进行过滤。更加复杂但同时更具智能性的方法是,基于贝叶斯概率理论的统计方法所进行的内容过滤,该算法最早由Paul Graham提出(http://www.paulgraham.com/spam.html),并使用他自己设计的Arc语言实现。这种方法的理论基础是通过对大量垃圾邮件中常见关键词进行分析后得出其分布的统计模型,并由此推算目标邮件是垃圾邮件的可能性。这种方法具有一定的自适应、自学习能力,目前已经得到了广泛的应用。最有名的垃圾邮件内容过滤是Spamassassin,它使用Perl语言实现,集成了以上两种过滤方法,可以与当前各种主流的MTA集成使用。内容过滤是以上所有各种方法中耗费计算资源最多的,在邮件流量较大的场合,需要配合高性能服务器使用。


  本栏目是我们将用户反馈至院邮件系统技术支持邮箱中的问题进行筛选,将其中具有代表性的问题及其解决方法刊登出来,希望在与您共享信息的同时,也能够使您有所收获。

1、如果在收到的系统退信中,退信提示为“用户拒绝收信”,是什么意思?

  答:如果退信提示为“用户拒绝收信”,则说明收件人在邮箱中设置了过滤规则,误将您的邮件地址列入了“黑名单”,从而拒绝接收从您的邮箱发送给他的邮件。如果遇到这种情况,应采用其他方式与收件人联系,请他将您的邮件地址从他邮箱中设置的“黑名单”中删除。

2、如果在收到的系统退信中,退信提示为“user unknow”,是什么意思?

  答:如果退信提示为“user unknow”,则说明收件人地址不正确,使得邮件无法成功投递而被退信。如果遇到这种情况,请您先确认收件人地址的正确性,修改收件人地址后,再发送邮件试一下。



网络前沿技术

  
  大学和实验室是很多网络新概念和新技术的发源地,虽然这些概念和技术还不太可能很快进入眼下的企业网络,但是其中有些东西是企业在制定长期发展计划时应该加以考虑的。

一,主动Cookie。

二,共享Wi-Fi。

三,光网络图像处理。

四,无线流量加速。

五,VoIP安全。

六,对抗“垃圾僵尸”。

七,虚拟社会人。

八,自旋电子芯片。

九,DWT搜索。

十,新一代互联网。



©1994-2006 版权所有:中国科技网网络中心 意见反馈: support@cstnet.cn