圖1：垃圾郵件對(duì)企業(yè)的影響

圖2：垃圾郵件對(duì)個(gè)人的影響

　　理論上，垃圾郵件過濾器可以攔截垃圾郵件，允許“良好”或者“真實(shí)”郵件進(jìn)入郵件系統(tǒng)。但是過濾器也有出錯(cuò)的時(shí)候，垃圾郵件過濾器不可避免的一個(gè)副作用就是誤報(bào)(false positive)和漏報(bào)(false negative)。

　　一般而言，當(dāng)垃圾郵件過濾器檢測(cè)出某個(gè)郵件為垃圾郵件時(shí)，要么阻止其進(jìn)入郵件系統(tǒng)，要么對(duì)其進(jìn)行隔離，放置在一個(gè)專門的文件夾里，以供用戶手動(dòng)識(shí)別并刪除。對(duì)于后一種方法，它需要人工的參與，會(huì)消耗用戶一定的精力。實(shí)際情況是，有一些用戶從來都不會(huì)去檢查這些隔離區(qū)。

　　另外，F(xiàn)erris研究指出，用戶刪掉垃圾郵件所承擔(dān)的成本大約在0.04美元每封。但是該研究所分析師Richi Jennings 也指出，查找丟失的有用郵件所承擔(dān)的成本遠(yuǎn)遠(yuǎn)大于刪除所花費(fèi)的成本，大約每封為3.5美元。更糟糕的是，過濾器漏報(bào)、誤報(bào)給用戶帶來的損失則會(huì)更大。下面，我們將先淺述有關(guān)垃圾郵件過濾器方面的技術(shù)。

為了盡量減少過濾器導(dǎo)致的誤報(bào)，我們需要先了解它們的工作原理。

圖3：垃圾郵件過濾體系結(jié)構(gòu)中的郵箱過濾

　　●基于關(guān)鍵字和 Bayesian 過濾器

　　最早的過濾器，主要是檢索郵件主題和正文中的關(guān)鍵字，更高級(jí)些的過濾器，則采用了Bayesian算法，可以針對(duì)郵件提高過濾準(zhǔn)確率。

圖4：貝葉斯垃圾郵件過濾

　　●Captcha技術(shù)

　　CAPTCHA 是“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自動(dòng)區(qū)分計(jì)算機(jī)和人類的圖靈測(cè)試)的縮寫，是一種區(qū)分用戶是計(jì)算機(jī)和人的公共全自動(dòng)程序。在一個(gè)CAPTCHA測(cè)試中，作為服務(wù)器的計(jì)算機(jī)會(huì)自動(dòng)生成一個(gè)問題由用戶來解答。這個(gè)問題可以由計(jì)算機(jī)生成并評(píng)判，但是必須只有人類才能解答。由于計(jì)算機(jī)無法解答CAPTCHA的問題，所以回答出問題的用戶就可以被認(rèn)為是人類。此種技術(shù)可以防止通過軟件自動(dòng)發(fā)送垃圾郵件的產(chǎn)生。

圖5: CAPTCHA驗(yàn)證碼

　　●建立垃圾郵件黑白名單

　　與剛才講的技術(shù)不同，這個(gè)是根據(jù)郵件服務(wù)而不是根據(jù)信息進(jìn)行評(píng)估篩選，尤其是根據(jù)發(fā)件人以往行為記錄進(jìn)行分類管理：

　　黑名單是由世界各地?cái)?shù)據(jù)庫(kù)搜集來的，過濾器會(huì)根據(jù)這些黑名單檢查每個(gè)進(jìn)入的郵件，如果符合，那么就會(huì)拒絕接收郵件。

　　白名單同樣也是來源于各地IP匯總。郵件過濾器一般既擁有黑名單又擁有白名單，以提高過濾效率。

　　在某些情況下，過濾器廠商會(huì)使用“信譽(yù)服務(wù)”或者“聲譽(yù)名單”來區(qū)別他們的名單。

圖6：先進(jìn)的黑、白名單機(jī)制

　　●Graylisting系統(tǒng)

　　收件人郵件系統(tǒng)暫時(shí)性攔截未名郵件，然后對(duì)該郵件發(fā)送者發(fā)送一封要求自動(dòng)回復(fù)的郵件。一般而言，通過這種方式可以一定程度上阻止垃圾郵件的侵入，畢竟他們可沒有耐心再發(fā)送一封回復(fù)郵件。

　　●Tarpitting

　　tarpitting是降低發(fā)送垃圾郵件的發(fā)件人大量發(fā)送電子郵件信息的方法。該方法的目的是維持合法用戶在發(fā)送郵件時(shí)服務(wù)的高質(zhì)量，但是由于這個(gè)方法的低反映率，使它不適用于發(fā)送垃圾郵件的人。

　　●循環(huán)模式檢測(cè)(RPD)

　　著重分析垃圾郵件發(fā)送的樣式，RPD技術(shù)主要用在垃圾郵件偵測(cè)中心內(nèi)，主動(dòng)偵測(cè)與收集垃圾因特網(wǎng)上的郵件爆發(fā)行為樣本，實(shí)時(shí)動(dòng)態(tài)更新垃圾郵件攻擊信息，發(fā)布給企業(yè)端的垃圾郵件網(wǎng)關(guān)服務(wù)器。Commtouch對(duì)于不安全行為引起的網(wǎng)絡(luò)爆發(fā)有著直接的最有效的效果。

圖7：循環(huán)模式檢測(cè)

八種消除過濾器誤報(bào)的方法

　　一、使用垃圾郵件過濾器

　　誤報(bào)，會(huì)讓你不明確到底哪些是垃圾郵件哪些不是。如果沒有過濾器的話，更會(huì)有誤報(bào)、漏報(bào)的發(fā)生。當(dāng)你收到很多類似垃圾郵件標(biāo)題的郵件時(shí)，很可能會(huì)全部選中進(jìn)行刪除，而事實(shí)上，這其中很有可能有你需要的郵件。因此，要消除誤報(bào)的發(fā)生，更應(yīng)該使用過濾器。

　　二、在非保護(hù)區(qū)安裝垃圾郵件過濾器

　　在計(jì)算機(jī)網(wǎng)絡(luò)世界中，非保護(hù)區(qū)(Demilitarized Zone ，DMZ) 指的是通過防火墻而獨(dú)立于其它系統(tǒng)的部分網(wǎng)絡(luò)，為了實(shí)現(xiàn)在保護(hù)內(nèi)部網(wǎng)絡(luò)的安全同時(shí)，又可以保證需要放置在 Internet 上的服務(wù)器的安全，防火墻只允許部分類型的網(wǎng)絡(luò)流量進(jìn)入或離開。

　　在包含 DMZ 的網(wǎng)絡(luò)中，所有互聯(lián)網(wǎng)流量通過互聯(lián)網(wǎng)或外部防火墻進(jìn)行傳送。這里的防火墻只允許 Web 流量和 Internet 郵件通過 DMZ 區(qū)域。內(nèi)部防火墻允許電子郵件流量和數(shù)據(jù)庫(kù)連接通過 DMZ 服務(wù)器。這樣，系統(tǒng)管理員可以確保只有從安全 DMZ 服務(wù)器上調(diào)用的電子郵件流量和數(shù)據(jù)庫(kù)能訪問公共信息。

圖8：DMZ：非保護(hù)區(qū)(DeMilitarized Zone in Networks)

　　三、放棄使用過時(shí)的垃圾郵件過濾技術(shù)

　　道高一尺，魔高一丈。傳統(tǒng)的垃圾郵件過濾技術(shù)已經(jīng)不能勝任現(xiàn)在的需要了，我們建議用戶采用最新的過濾技術(shù)，以保證郵件安全。

　　四、適時(shí)更新白名單

　　白名單是動(dòng)態(tài)的，每個(gè)用戶在社會(huì)生活中總會(huì)有新的聯(lián)系，相應(yīng)的可信任名單也會(huì)有一定的變化。這就要求對(duì)白名單進(jìn)行不定期地更新。

　　五、使用實(shí)時(shí)黑名單

　　如果你是通過使用黑名單來阻止垃圾郵件的話，那么你必須慎重對(duì)待。因?yàn)檫^時(shí)的黑名單，很可能會(huì)讓你錯(cuò)過一些有用郵件。實(shí)時(shí)黑名單(realtime blackhole list，簡(jiǎn)稱rbl)技術(shù)是一個(gè)可供查詢的ip地址列表，通過dns的查詢方式來查找一個(gè)ip地址的記錄是否存在來判斷其是否被列入了該實(shí)時(shí)黑名單中。

　　六、保證自身不發(fā)送垃圾郵件

　　如果你不幸發(fā)送了垃圾郵件，想必你的聲譽(yù)肯定大受影響，而且很可能會(huì)被加入到黑名單之列。進(jìn)而，可能會(huì)影響到你發(fā)送一些日常郵件。為此，下面三種方法可以幫助你保持良好聲譽(yù)：

　　使用某個(gè)可信任安全廠商的Web檢測(cè)或過濾軟件，并制訂所使用的環(huán)境政策。

　　及時(shí)安裝安全補(bǔ)丁，并定期查殺病毒。

　　使用出站過濾機(jī)制，全面扼殺垃圾郵件。

　　七、使用用三元分類技術(shù)

　　過濾垃圾郵件，企業(yè)的更好選擇也許是放棄傳統(tǒng)的二元分類法(惡意或未知)，轉(zhuǎn)而采用三元分類法:惡意、未知、已知善意。利用三元分類法，惡意信件(如垃圾郵件和網(wǎng)絡(luò)釣魚)仍可以被阻止或隔離，而進(jìn)入收件箱的所有其他信件將根據(jù)所感知的合法性進(jìn)一步分類。

　　采用三元分類法后，最佳信件將繞過垃圾郵件過濾器，只有沒有得到聲譽(yù)服務(wù)支持的信件或普通信件，接受自動(dòng)的垃圾郵件過濾。通過過濾器的信件將出現(xiàn)在收件箱中，不加任何特殊的標(biāo)記。信任圖標(biāo)被保留給已知的、善意的、享有良好聲譽(yù)的電子郵件(它們都繞過過濾器)。

圖9：用三元分類阻止垃圾郵件誤報(bào)

　　八、留心關(guān)鍵字

　　假設(shè)你在機(jī)場(chǎng)排隊(duì)等候安全檢查的時(shí)候，與朋友討論武器炸彈或者劫機(jī)，那么你肯定會(huì)遇到麻煩。同樣的，在你的郵件中也應(yīng)該避免使用類似的關(guān)鍵字。

　　雖然基于關(guān)鍵字的垃圾郵件過濾效果并不太理想，但是，這并不能讓我們心存僥幸而濫用一些關(guān)鍵字。理智的做法就是，盡量避免使用這些危險(xiǎn)關(guān)鍵字，否則，你的郵件就很可能被過濾器識(shí)別為垃圾郵件。

　　反過來說，你的郵件中也應(yīng)盡量避免包括收件人信息的關(guān)鍵字，比如個(gè)人的私密信息。這樣做的好處是，可以減 少被Bayesian分析并標(biāo)記為非法郵件的可能。

yajing