英国著名安全公司SOPHOS最新发布的监测报告显示，今年1季度，源于美国的垃圾邮件数量仍然位居全球首位，占全球垃圾邮件总量的13.1%。第二-五位分别是印度（7.3%）、巴西（6.8%）、韩国（4.8%）、越南（3.4%）。

　　源于中国的垃圾邮件数量仅占全球垃圾邮件总量的1.9%，排名第15位。Sophos高级技术顾问格雷厄姆·克拉莱（Graham Cluley）表示：“美国、印度、巴西和韩国四国在全球垃圾邮件总量的比率已超过30%。值得注意的是，过去12个月当中，源于中国的垃圾邮件数量呈稳步下降之势。”

　　迈克菲（McAfee）今日公布了一季度的威胁报告，称中国及其他亚洲国家的办证垃圾邮件呈增长趋势，另外，一种针对USB设备的蠕虫程序跃居全球最具威胁恶意软件之首。

　　报告显示，针对便携式存储设备的威胁是常见恶意软件中发展最快的一种，目前AutoRun相关的恶意软件名列第一位和第三位。前五名的其他木马均为窃取密码类的程序。

　　关于垃圾邮件，迈克菲表示这一类总量较为稳定，但在一季度，中国、韩国、越南检测到大量的办证垃圾邮件。

　　迈克菲高级副总裁兼全球威胁智能感知系统首席技术官Mike Gallagher表示：“最新的威胁报告显示，恶意软件和垃圾邮件的发展趋势依然在我们的意料之中。”

　　一、Grum（Tedroo）

　　Grum可以说是垃圾邮件僵尸网络的未来。它采用了内核模式的rootkit，因此很难被检测到。同时它还很狡猾，采用自动执行的注册项来感染文件。这保证了恶意代码可以被有效激活。对于安全研究人员来说，这个垃圾邮件僵尸网络是非常值得研究的。它的规模相对较小，仅有60万台僵尸电脑，但是它每天发送的垃圾邮件数量占每日总垃圾邮件数量的四分之一，即400亿条。Grum发送的垃圾邮件大部分跟制药行业有关。

　　二、Bobax（Kraken/Oderoor/Hacktool.spammer）

　　Bobax多多少少与Kraken僵尸网络有联系，这是让僵尸网络追踪者困惑的一点。最近Bobax又一次改写了代码，该作者将命令和控制流转变为了HTTP形式，使之更难以被拦截和追踪。

　　目前，Bobax仅拥有10万台僵尸电脑，但是每天发送的垃圾邮件数量达270亿条，占全球每日垃圾邮件数量的15%。更具体一点，每台僵尸电脑每分钟就能发送出1400封垃圾邮件。Bobax的垃圾邮件内容种类多样，看上去属于租用形式。

　　三、Pushdo（Cutwail/Pandex）

　　Pushdo是在2007年和另一个僵尸网络Storm同时出现的。Storm已经不复存在了，但Pushdo却越来越强大，每日从大约150万台僵尸电脑中发送190亿封垃圾邮件。Pushdo是一个下载器，通过它可以进入被感染的电脑系统，并下载垃圾邮件程序Cutwail。

　　Pushdo/Cutwail僵尸网络发送的垃圾邮件内容很杂，包括医药产品，网络赌博，网络钓鱼邮件以及链接到包含恶意代码网站的邮件。

　　四、Rustock（Costrat）

　　Rustock是另一个至今仍然幸存的僵尸网络。在2008年McColo关闭的时候，这个僵尸网络几乎被灭掉。但如今它不但卷土重来，还成为了规模最大的僵尸网络，拥有大约200万台僵尸电脑。在McColo之前，Rustock曾经发送了海量的垃圾邮件，然后进入了数个月的蛰伏期。如今，Rustock的特点是指在早上三点到七点间（美国东部时间）发送垃圾邮件。

　　Rustock以用图片文件伪装合法新闻邮件的方式广为人知。对于大多数垃圾邮件过滤软件来说，图片垃圾邮件都是难以检测的。另外，Rustock还发送常见的药品广告和基于Twitter的垃圾邮件，每日发送垃圾邮件总量在170亿封左右。

　　五、Bagle（Beagle/Mitglieder/Lodeight）

　　Bagle这个僵尸网络是因为其作者的勤奋而出名的。从2004年起，它被修改了上百次。两年前，这个僵尸网络的开发者决定要利用Bagle挣钱，于是开始兜售电子邮件地址库。

　　如今的Bagle僵尸网络扮演者中继代理服务器的角色，它将上家的垃圾邮件转发给最终的用户。Bagle最多拥有大约50万台僵尸电脑 ，但是每天的垃圾邮件发送量高达140亿封。

　　六、Mega-D（Ozdok）

　　Mega-D是否是一个有名的僵尸网络，这取决于你的观点。在2009年11月，FireEye的研究人员本可以通过注销该僵尸网络命令和控制服务器域名的方式关停这个网络。但是由于Mega-D软件有一定的智能性，不断的重新生成新的域名，最终使得开发者重新控制了这个网络。

　　在前十大僵尸网络中， Mega-D算是规模最小的了，它只有大约5万台僵尸电脑。但从每日发送110亿封电子邮件的数量看，它一点也不小。如果用每台电脑每分钟发送的垃圾邮件数量来排名，Mega-D仅次于Bobax。Mega-D的垃圾邮件内容包括网上药店的广告，以及男性功能增强药物广告。

　　七、Maazben

　　Maazben是在2009年6月才出现的新僵尸网络，不过它也引起了研究人员的高度兴趣。Maazben是第一个既可以基于代理服务器也可以基于模板的僵尸网络。垃圾邮件发送者们喜欢使用基于代理服务器的模式，因为代理服务器可以将发送源隐藏起来。但是如果被感染的僵尸电脑位于NAT设备后方，基于代理服务器的方式就无法工作了。

　　而新的技术肯定是有效的，因为Maazben的扩张速度惊人，其规模每月增长5%，在前十大僵尸网络中属于增长最快的僵尸网络。目前Maazben拥有约30万台僵尸电脑，每天发送关于赌博的垃圾邮件25亿封。

　　八、Xarvester（Rlsloup/Pixoliz）

　　Xarvester是在McColo关停后浮现在人们视野里的。研究者认为Xarvester僵尸网络是从关停的前辈那里继承了不少僵尸电脑。研究人员还发现了Xarvester和另一个僵尸网络Srizbi（McColo数据中心关停后受到影响的一个僵尸网络）之间的很多类似之处。

　　目前Xarvester僵尸网络拥有6万台僵尸电脑，每日发送垃圾邮件25亿封。其中主要内容是药品广告，虚假文凭，山寨手表以及针对俄罗斯的垃圾邮件。

　　九、Donbot（Buzus）

　　Donbot僵尸网络相当独特，它是第一批使用缩短网址的僵尸网络，目的是隐藏垃圾邮件中恶意链接地址。这么做可以有效增加邮件中链接的点击率。另外Donbot看上去还被分割成了几个独立的小部分，每个小的僵尸网络负责发送不同类型的垃圾邮件。

　　Donbot拥有10万台僵尸电脑，每天发送的垃圾邮件量为8亿封。邮件的内容多样，从减肥药到股票债券等都有。

　　十、Gheg（Tofsee/Mondera）

　　第十大僵尸网络拥有三个明显的特点。首先，该僵尸网络发送的垃圾邮件按中，大约85%的垃圾邮件源自韩国。其次，Gheg 是为数不多的从命令和控制服务器到终端电脑间通过443端口采用非标准SSL连接和加密数据传输的僵尸网络。第三，Gheg可以选择如何发送垃圾邮件。它可以作为传统的代理式垃圾邮件发送电脑，也可以通过被感染的网络电子邮件服务器发送垃圾邮件。Gheg拥有6万台僵尸电脑，每天发送4亿封垃圾邮件，内容集中在制药行业。

　　Symantec的Daren Lewis为MessageLabs持续跟踪多个僵尸网络，他总结出了一些令人惊讶的数字。下面是几个主要数字：

　　1、全球80%的垃圾邮件来自以上十大僵尸网络

　　2、以上十大僵尸网络每天发送1350亿封垃圾邮件

　　3、以上十大僵尸网络包含了500万台被感染的电脑

　　赛门铁克公司旗下在线信息和网络安全服务商MessageLabs最新的研究报告称，相比其他操作系统，Linux 垃圾邮件数量与其市场份额极不相称。

　　通过被动特征探测（Passive Fingerprinting）方法，MessageLabs监测了2009年11月份至2010年3月份间各类操作系统的垃圾邮件传播情况。

　　MessageLabs分析师Paul Wood（保罗-伍德）表示，Windows系统占据着90%以上的市场份额，因此绝大部分的垃圾邮件仍然来自Windows系统。

　　据统计，92.65%的垃圾邮件来自Windows PC，2.22%的垃圾邮件来自其他系统，而苹果系统几乎没有任何垃圾邮件。值得注意的是，5.14%的垃圾邮件来自市场份额仅为1.03%的Linux系统。

　　MessageLabs还统计了每款系统的垃圾邮件传播比率。结果显示Linux的传播比率最高，为4.99%。

　　Windows传播比率仅为1.01%，苹果系统为0，其他系统为1.0%。伍德表示：“Windows系统应该是最容易被用于传播垃圾邮件，但Linux系统的统计结果出乎我们的意料。”

　　中国反垃圾邮件联盟对近期来出现的垃圾邮件的形式做了一个排名，列出了垃圾邮件做常见的五种形式：

　　第一名：带有链接的垃圾邮件。此类形式的垃圾邮件数量最多，占整个垃圾邮件总量的50%。

　　第二名：带有图片的垃圾邮件。这周图片垃圾邮件的形式比较单一，占整个垃圾邮件总量的20%。

　　第三名：正文的垃圾邮件。占整个垃圾邮件总量的19%。

　　第四名：垃圾信息仅在附件里面的垃圾邮件（正文部分无内容或是无有价值信息）与正文和附件内容几乎一致的垃圾邮件本周的数量一致，各占整个垃圾邮件总量的5%。

　　第五名：其他（没有有效信息）占整个垃圾邮件总量的1%。

　　1、带链接的垃圾邮件在近期最为泛滥，种类比较集中，这种垃圾邮件已经持续了一段时间，今后估计也将是占垃圾邮件比率较大的一个种类。

　　2、带图片的垃圾邮件，一直也都未间断，近期数量上不太大，但是这种垃圾邮件具有阵发性，要注意防范。

　　3、垃圾信息在附件里面的垃圾邮件，前段时间泛滥十分严重，自从想出解决办法后，一直处于时时有、但量很少的阶段。由于这种垃圾邮件的危害性也比较大，还是要注意防范。

　　4、正文和附件内容几乎一致的垃圾邮件，一般都是一些培训课程的垃圾邮件。这种垃圾，每种的量都不大、每次的量也不大，但是，间歇不断的出现不同内容，还是得加强防范。

　　5、正文的垃圾邮件，是最普通的垃圾邮件，也是最容易被识别的。但是发垃圾邮件的群体的技术也在不断更新，他们会在垃圾信息中间，加上一些没有意义的字符，例如空格、*、等等。这种垃圾邮件的总量也是比较大的。但是总类及其分散，不太具有代表性，也比较容易被截获。

　　众所周知，邮件是企业网络与外界信息交流的一个重要载体。如果仅仅是要保护企业网络安全，那完全可以通过禁用邮件来实现，但这一做法明显是行不通的。我们需要在网络安全和工作效率之间寻找一种平衡，在保证网络安全的同时也要能充分保证企业工作效率。

　　一开始，人们通常采用黑白名单策略来防范垃圾邮件，但现在信息量随着几何级数增长，这种黑白名单策略显然不能满足需要。于是，简单关键字搜索成为一种简单有效地方式，比如国内某些邮局提供商会将一些重复性的、全英文的信件标示为垃圾邮件。紧接着就遭遇对手的挑战，垃圾邮件制造者采取内容插入和随机数列来防止被搜索引擎捕获到。

　　时至今日，人们一般通过多种技术整合分层过滤来防范垃圾邮件的骚扰。对于企业用户来说，可以参考以下策略具体实施：

　　一、建立企业网络安全制度，培训员工安全意识

　　在不同的站点上，企业安全策略的设计与实施并不完全相同。在确定关键设备并对任务进行分析之后，就可以开始制定企业员工必须共同遵守的企业准则和规程。除了制度层面，更重要的是员工要形成良好的安全意识。垃圾邮件制造者利用明星效应，不仅在热点明星新闻上大作文章，还恶搞虚假新闻，吸引人们好奇心。因此反垃圾邮件需用户提高安全意识，不随意打开搜索引擎和他人从邮件和聊天窗口发来的链接。

　　二、统一管理企业邮箱，加强用户行为监测

　　网络管理员对每个企业员工的邮箱用户名进行统一管理，并根据工作职责的不同和岗位性质的差异设定不同的邮箱使用空间。同时，加强对企业员工邮箱使用的监测，尤其是对Email广告营销销售人员邮箱的监测，避免误入垃圾邮件发送源头的黑名单和引起垃圾邮件发送者的注意力。

　　三、使用最新的反垃圾邮件技术

　　1、国际同步垃圾邮件黑名单、关键字、自定义、IP地址、域策略过滤；

　　同步于国际垃圾邮件黑名单，被动的阻止垃圾邮件进入邮件系统；通过策略来过滤关键字，自定义的域，IP地址；通过内容、散列值过滤；这种过滤规则误判率很高，绕过规则很容易；管理员必须手动更新垃圾邮件过滤规则。

　　另外，全文内容或散列值过滤方法，也有打分制。对自定义的关键字设定一个分值，然后设定一个阀值，如果此封邮件所触犯的所有规则分数总和大于这个阀值，则判定为垃圾邮件。这种过滤规则的要通过长时间来观测其企业的主要垃圾邮件的内容，频率来定义分值。对于新型的垃圾邮件管理员要手动快速准确的判断并定义其关键字的分值。对于没有任何可以触犯的关键字的邮件，这邮件只是为了堵塞通道或者增加邮件服务器的转发压力，使得正常邮件也产生很长的延迟，影响正常工作。从行为识别模式来判断垃圾邮件，就如贝叶斯模型来处理垃圾邮件。我们引入下面的模型。

　　2、行为识别模型

　　一种通过分析统计“小偷的行为心理异于常人”的原理，行为模式识别模型包含邮件发送过程中的各类行为要素，主要包括：时间，频度，发送IP，协议声名特征、发送指纹等。贝叶斯过滤是通过统计过滤的方式实现防垃圾邮件的。统计过滤技术使用规则来衡量邮件消息的频率和模式，产生置信区间。同时把相应判定为垃圾邮件的关键字自动更新到关键字库中。

　　3、电子邮件认证技术

　　这种技术主要基于发件人策略框架，发件人标识，域密钥和互联网邮件标识等技术实现的。电子邮件认证技术主要是针对垃圾邮件伪造域或者回复地址有效阻断技术。这种技术实现和应用费用比较高。不适合有自己邮件服务器和邮件网关的企业。

　　以上几种方法都是以防为主，是被动模式下的运算。而现在比较新的方法则是把被动变为主动；也就是主要利用垃圾邮件发送的特点来处理垃圾邮件。垃圾邮件一般只发送一次；当正常邮件发送时，一般都是投递一次不成功，则在一定时间后继续投递，如果我们设定投递三次为正常邮件的阀值，那前两次都发送方申请连接时，直接拒绝掉。这样就可以处理到那些群发的垃圾邮件了。

　　四、选用企业级物理安全平台

　　对于企业而言，将邮件在到达邮件服务器或企业网关之前予以过滤，是最有效的防垃圾邮件的方法。

　　趋势科技防毒墙网关版eManager通过垃圾邮件过滤器、内容过滤器、电子邮件管理三个管理组件实现电子邮件的安全管理。Symantec Web Security集成网关，作为一个将内容过滤与病毒防护结合、基于DDR（列表）技术和启发技术的集成产品，采用病毒防护和Web过滤技术，可以对病毒、垃圾邮件和不当的Web内容进行一次性扫描。McAfee WebShield每小时扫描逾13万封电子邮件。在对来往邮件进行扫描之前，将整个邮件及附件下载并进行病毒检查，封堵垃圾邮件，为企业节省网络资源。以及提供强大、易于使用、成本效益高的企业级垃圾与病毒邮件解决方案的梭子鱼垃圾邮件防火墙产品，都可以为企业反垃圾邮件提供强大保障。

　　五、使用第三方解决方案

　　企业也可以通过引入外部第三方服务商来实现反垃圾邮件的目的。目前，国内外主要企业邮箱解决方案提供商都采用了比较先进的反垃圾邮件技术。其中，Hotmail提供了防垃圾邮件措施（即只接收指定邮箱的发件人邮件）。yahoo.com采用SpamGuard反垃圾邮件技术，同时运用了邮件列表排查、用户设置、用户反馈等多种技术和方法。国外最着名的企业邮箱提供服务提供商Mirapoint则运用了邮件栏杆新技术，可以在网络边缘拦截不受欢迎的链接和邮件信息。来自第三方机构的相关数据显示，这一技术突破达到了98%以上的垃圾邮件截获率。