垃圾邮件防护系统分析与应用方法【内容提要】: 随着联机上网费用日趋便宜，发送电子邮件广告几近零成本又有利可图，因此造成垃圾邮件如今日混乱猖獗的现况。

针对这种问题，许多公司研究出许多垃圾邮件防护和过滤机制产品，本文将对垃圾邮件的有关防护过滤技术和解决方法作一个基本介绍。

【关键词】：垃圾邮件、邮件防护、技术分析、AFS、华硕、过滤、机制引言----------随着互联网的蓬勃发展，E-mail信息的传播达到了前所未有的广度和深度。

同时不请自来的电子邮件也以各种形式闯入我们的邮箱- 商品推销、诈骗、政治或宗教抨击、病毒载体以及无法归类的稀奇古怪的形式。

有些人每天甚至要收到100 到200 封这样的垃圾电子邮件（甚至更多）。

因为更多的人开始使用英特网的关系（自因特网建立以来，人数飞速增长），对于商人、小贩、想入非非者以及蓄意破坏者而言，可以无偿地联系到数目巨大的各类人，诱惑力变得难以抵挡，自此大量的垃圾邮件在世界的各个角落产生，并瞬间传递到世界其他任何地方，这种费时且消耗CPU 的破坏行为迅速对经济产生了极大的负面影响。

现今越来越多的人开始意识到垃圾邮件的传递所带来的严重后果，并不断提出防治的新需求。

一垃圾邮件的定义一封完整的电子邮件包含以下项目：邮件信封Mail Envelope、邮件标题Mail Header、邮件本文Mail Body 与邮件附檔Mail Attachment。

电子邮件传输处理分为两阶段：邮件传输代理Mail Transfer Agent (简称MTA)，例如邮件服务器，以及与邮件使用代理Mail User Agent (简称MUA)，例如Outlook 或Outlook Express。

如果以邮件內容定义垃圾邮件，容易随个人主观认定而异；对银行业、娛乐业，广告业而言，包含其他银行贷款广告、色情广告的邮件，可能是种具有价值的市场资讯，而非垃圾邮件；因此，必需依邮件行为始能，依众人认知、法律规范与国际法规逐一精确定义何为垃圾邮件。

1. 众人认知：不请自來、来路不明、无法拒绝之邮件。

2. 法律规范：造成骚扰、匿名文书或嫁祸他人之邮件。

3. 国际法规：2003 年底美国立法明定「Can Spam」垃圾邮件法规「Can Spam」字面表示可以「Spam」，惟有「但书」，寄件者必须表明身分，让收件者可以追溯来源不可以匿名、伪造，或者刻意隐匿或篡改资讯等行为发送电子邮件；发送方式方式不可为垃圾邮件滥发者(Spammer) 慣用之垃圾邮件滥发方式或程式，如借用邮件代替(Open Relay)、出现过多邮件转(Received) 或机器自动发送，以及不断尝试各种进入企业信箱方法等，必须提供收件者「选择权」，具有「取消订阅」机制。

综上所述，垃圾邮件之所以恼人并不是因为內容无趣不吸引人，而在于大量滥发，任意长驱直入收信者电子邮件信箱。

二邮件信息安全的影响邮件是当前企业主要商务往来的沟通工具，根据Gartner 去年调查显示，每400封信件当中，就有一封就隐含着机密信息。

这些机密信息包含企业内部沟通与外部往来的信件，例如行政公告、业务信件、研发数据或重要政策命令等。

而在美国Brockmann & Company 研究顾问公司的2007 年8 月的调查显示，有近36% 企业的Email 曾经遗失或发生延迟，更发生平均超过40 次的邮件重寄或误判，造成企业成本提高。

根据法务部调查局资安鉴识实验室表示，无论是民事或刑事诉讼，左证数据必须先通过「真实性」要件的检验。

简而言之就是证明真有其证物，但多数企业往往只着重系统还原（System Recovery），却忽略数字证据的保存流程，往往造成举证成本提高。

因此数字证据的保全，不只要求保存作业流程，更着重于调阅复原。

随着防制数据外泄（Data Leak Prevention, DLP）的观念日益普及，企业更需要落实安全稽核管理，完整保护企业的数字资产。

三什么是邮件防护根据2006年IDC「企业安全调查」指出，包含病毒、垃圾邮件等安全内容管理(SCM)，仍是企业认为最严重的资安威胁。

这听起来像是平常的消息报导却正是全球所有企业主所必须正视的挑战，且比以往更加险峻。

这不仅局限于垃圾邮件，包含钓鱼邮件、木马、蠕虫、间谍程序、网络型病毒、网络黑客的威胁等也都变本加厉不断变形为更难辨识的样貌，其中以结合病毒的垃圾邮件变形影响最为全面。

垃圾邮件发送者不再只是单纯的发送文字或图片化的垃圾邮件，反之发送带有间谍僵尸程序的垃圾邮件，利用被病毒控制的僵尸计算机网络来当作攻击或发送垃圾邮件的中继站，这意味有许多垃圾邮件是由许多不知情的用户计算机所发送的，目前全球正以每日25万台的速度再增加。

虽然目前有关图片式垃圾邮件的话题不断，但必须注意的是这股热潮仅是众多混合式攻击的其中一种。

面对邮件安全层出不穷的信息威胁和翻成出新的发送技术，企业主必须更全面的思考导入方案的防护效能。

根据Forrester Research调查报告指出，35%的企业怀疑员工会透过电子邮件泄漏机密数据，其中外寄邮件中有高达25%的信件带有财务或法律性的管理风险。

由此可见，邮件安全仅单单被动防护外对内( Incoming ) 信息传递所造成的可能威胁是不够的，更应主动控管来自于内对外( Outgoing ) 讯息往来的潜藏危机。

同时，企业在考虑邮件防护安全架构时，也需评估邮件监察(Email Supervision)的应用概念，同时结合邮件主动防护(Email Active Protection)、邮件政策执行(Mail Policy Enforcement)与邮件稽核(Mail Audit)，才能有效达到全方位邮件防护的目的。

四. 一般垃圾邮件防堵技术分析垃圾邮件防堵技术分为两个层面：辨识与判断。

常见的垃圾邮件辨识技术包含内容过滤扫描、黑名单与浅层垃圾邮件行为解析。

由于上述技术具不确定性与非精确性，需要进行数学统计运算以判断一封电子邮件是垃圾邮件的可能性，因而衍生出市面上纷歧但实则大同小异的垃圾邮件防堵技术，比较分析如下：1. 内容过滤扫描技术特征：根据系统开发者所认定的「垃圾邮件关键词眼」判断垃圾邮件；而邮件内容依IETF/RFC 规定，为MUA 如Outlook Express 处理；因此内容过滤扫描技术如同邮件病毒扫描，需建立庞大的「垃圾邮件关键词」数据库。

技术缺点：以此方式扫描往来电子邮件往往耗费大量CPU 资源，且无法扫出JEPG、如果遇到滥发者攻击，每10 分钟传送100 封大型攻击邮件，会造成邮件队列、系统效能低落。

再者，在这类机制下，各家厂商宣称语意分类为六种、十种或十六种不等，收集各国语言四国、十六国或三十二国不等；这类技术要做到垃圾邮件阻挡，必须每日不断更新数据库，研究各种文字变形，以极受限于语言与系统仿真误差。

2. 启发式语意学习技术特征：启发式语意学习技术乃内容过滤扫描技术的进阶，所谓启发式技术为告知计算机「具特定特征」的邮件为垃圾邮件，亦即累积特定数量的垃圾邮件以后，该技术自动记忆新增的垃圾邮件特征，并加入其关键词数据库。

技术缺失：以启发式语意学习技术固然可弥补数据库不不足，然而此举只能被动响应垃圾邮件层出不穷的滥发手法。

3. Linux Open Source特征：部份产品采用免费的Linux Open Source 软件并建立使用者管理介面予以商品化，其中以SpamAssasin为最。

4.黑名单分享特征：为最早的垃圾邮件反制技术，名列黑名单数据库者多以滥发邮件或允许代转所有邮件(即Open Relay) 而遭检举。

可在联机初期直接阻断来信，较内容过滤扫描技术而言具决定性且不耗费系统资源。

技术缺失：依赖社群检举与统计，无公正性；部份黑名单数据库甚至将来自亚洲多数国家的电子邮件均列为拒绝往来名单。

5.浅层垃圾邮件行为解析由于内容过滤技术缺失较多，近来渐有开发商诉求垃圾邮件行为解析。

特征：包含联机次数分析、发送IP 地址、发送时间、发送频率、收件者数目、浅层电子邮件标头检查、发送行为侦测与检验Handshaking 连线阶段信息。

技术缺失：仅由浅层邮件行为解析无法全面防堵多数垃圾邮件，因此采用此技术的开发者多诉求整合内容过滤、黑名单分享与各式演算技术，为四层至十层过滤网，仍然非决定性过滤方式，更无法独立单机作业达到高效垃圾邮件阻挡率。

6.各式演算技术：知名技术如贝式算法、正负分演算与鸡尾酒过滤。

贝式算法：透过机率统计的分析，达到最小误判。

正负分演算：以正面关键词为正分，负面关键词为负分，并订定达特定分数者为垃圾邮件。

「道高一尺、魔高一丈」，有心滥发者只要内容撰写正常，「正分文字」超过「负分文字」，就可以轻松躲过这类权重计算产品。

鸡尾酒过滤法：为混合式复杂运算的过滤法，以达到最小误判。

综上所述，市场上何以有如此众多演算技术，系由于上述过滤技术无法精准且效率判定垃圾邮件，因此发展出复杂的各式算法以降低误判可能性，导入后却可能带来两大缺点造成庞大的系统管理负担：庞大的数据库与繁复运算技术，耗费系统效能至鉅，造成垃圾防堵设备后方的邮件服务器负担加重，时有邮件队列壅塞之虞；要维持长效的阻隔率，关键词数据库必需时时更新，且管理人员必需持之以恒地进行关键词设定与政策调校。

五应用实例AFS华硕邮件过滤先锋技术A. AFS可对邮件附档内文，进行多重条件式过滤，精确扫描附档类型，判断分析档案类型，完整扫描邮件和邮件附档全文，是企业过滤、审核、前稽核，预防泄密与资讯风险控管的最佳利器。

B. AFS是企业邮箱的防火墙，将互联网上的垃圾邮件、病毒邮件、钓鱼邮件、DoS攻击等恶意攻击都阻绝在外，提供企业更全面而且完善的邮件安全防护，还您一个安全、干净、高效的邮箱环境C. AFS采用网关架构建置于邮件系统前端，可搭配市面上所有电子邮件系统，整合既有的邮箱帐号，让管理者轻松导入防护系统，瞬间启动最高防护效能。

D. AFS提供简单易用的Web 接口及快速向导功能，使用者只需按照向导指引，三步轻松完成系统整合，以最低的成本打造最高效能的企业邮箱环境。

E. 华硕邮件过滤先锋与全球知名Anti-Spam软件开发商Openfind合作，搭配已获全球知名大厂认可采用的内容分析核心及行为分析引擎，并拥有强大中英文信内容过滤机制为企业建构实时、安全之「双核心邮件防护系统」。

F. AFS为了提高广告信判断的效率、降低系统资源与宽带的消耗，AFS在SMTP联机的阶段就可以直接阻挡大量的广告信。

即使是在内文格式检查的阶段，只要AFS比对黑白名单、确认信件是广告信或是正常信之后，就会直接跳出过滤的流程，将信传送给后方的邮件主机，而不需继续往下通过重重的过滤机制。

G. AFS 内建多层式过滤核心引擎，透过系统完整的防护功能可有效防阻垃圾信件，独特大量信息比对技术更可在巨量信件传输情况下，不影响正常信件收发。