邮件反击战——6款反垃圾邮件网关产品评测计算机世界评测实验室秦钢李韬两三年前，还常听到有新网民抱怨“最近怎么没人给我发邮件？”如今，这批人多半已经在为满邮箱的垃圾邮件发愁了。

但更为发愁的却是企业的CIO和CSO们，由于垃圾邮件的泛滥，从员工到老板都在不断地向他们反映正常的信件收不到，而收到的却都是垃圾邮件。

并且企业的邮件服务器也经常由于垃圾邮件本身或垃圾邮件带来的病毒和安全攻击而瘫痪，对于非常依赖邮件的现代企业，这严重影响了它们业务的顺利进行。

如何采用技术手段来阻挡垃圾邮件，允许正常邮件通过，成为企业用户们普遍关心的问题。

为此，计算机世界评测实验室组织了我国媒体的第一次反垃圾邮件网关产品大型评测，旨在帮助广大用户了解市场的主流产品和技术，并加以有效地应用。

保护最后的端到端应用从诞生开始，电子邮件就是一种端到端的应用，简言之，是一种从用户A的发件箱到用户B的收件箱，反之亦然的应用。

电子邮件系统的简单结构和路由特性使其能够灵活地适应于各种网络，但同时也给垃圾邮件制造者们以可乘之机。

事实上，虽然早期的Internet应用中相当一部分具有端到端的特性，但随着网络发展，它们接二连三地成为安全性的牺牲品，被防火墙/NAT设备阻断。

今天，E-Mail已经成为仅存的端到端的主流Internet应用，也成为企业用户最难以控制的Internet流量。

在Internet中缺少控制就意味着混乱，这是由其(IPv4协议族)体系结构方面的缺陷造成的。

因此缺少控制的电子邮件已经成为黑客和病毒危害网络信息安全的主要途径。

对其进行控制势在必行。

对于企业用户来说，在用户桌面安装垃圾邮件过滤工具的作用有限，因为在过滤时垃圾邮件及其携带的有害流量已经进入了企业内部网络。

因此，必须采取更加积极的防御措施，在邮件服务器之前部署反垃圾邮件网关，将有害邮件挡在企业网络之外，是最有效的方法。

反垃圾邮件网关是一个第七层的逻辑概念，可以体现为一台专用设备，也可以是安装了专用软件的普通服务器。

在实施的时候，只要将用户现有的域MX纪录指向网关设备，再设置网关设备将邮件转发至原有邮件服务器即可。

在某些场合下，这类网关设备还可以工作在透明模式，串接在原有的邮件服务器的前面，这样做的好处是不需要对原有的网络结构和系统设置进行任何改变。

在透明模式下，网关也要对邮件的流量进行扫描处理。

总之，反垃圾邮件网关设备扮演了“邮件哨兵”的角色，在邮件抵达邮件服务器之前对其进行检查，并根据检查结果采取相应的措施。

关于垃圾邮件攻防的具体技术，可参考本报2004年第八期D8、D9版的文章《垃圾邮件技术分析》。

怎样评测反垃圾邮件产品对评测方法的考虑作为我国媒体首次进行的反垃圾邮件产品大型测试。

为了保证结果的客观性、准确性和科学性，我们在测试规划和测试方法方面进行了大量的准备，突破性地解决了很多问题。

测试反垃圾邮件的产品，要面临的第一个问题是如何界定垃圾邮件。

这往往是存在争议的，例如，对于多数用户毫无价值的广告信息，对个别用户可能是有用的。

目前，国际上对于垃圾邮件更为精确的称法是UCE（未经许可的有商业目的的邮件）和UBE（未经许可的批量发送的邮件）。

另外，从对于网络和邮件系统的危害程度来看，携带病毒与攻击代码的邮件是最大的。

考虑到绝大多数垃圾邮件制造者的邮件地址数据库都是从Internet网页中搜集整理而来的，我们使用了在网站上发布与背景同色的诱饵邮件地址的方法来收集垃圾邮件样本，这种地址是肉眼无法看到的，只能被工具搜索到。

我们可以确定，发送到这些信箱的邮件都是属于UCE或UBE范畴。

从2003年12月31日我们设立诱饵信箱开始，截止到2004年5月8日，我们的诱饵信箱共收到邮件20余万封，其中约1/4含有病毒或攻击代码。

经过处理，我们使用其中的9000封，加上采自其他途径的1538封邮件，对受测产品进行功能测试。

事实上，对于反垃圾邮件产品，采用在线测试也是一种有效的方法。

我们在收集样本的同时，也完成了在线测试的技术准备，但是在线测试需要受测设备进行足够长时间（至少2～4周）的持续测试，才能保证结果的有效性，而在测试周期内，会有各种潜在的、不可控的因素会对测试结果造成影响，可操作性较差。

因此，我们采取了尽量模拟真实环境、使用真实样本的折中方法。

这样既可以保证较客观地反映受测产品的功能，又可以保证测试可控、可重现、可操作。

功能测试方法在功能测试方面，我们采用了自行研发的测试工具，结合qmail系统进行邮件的发送。

虽然开发一个邮件发送程序非常简单，但单一的邮件发送模式无法模拟垃圾邮件多变的制造环境，而qmail是一种很常见的MTA，使用qmail可以有效地确保邮件发送的兼容性和真实性。

例如，所有垃圾邮件的邮件路由信息都被保留，其中往往包括了假的IP、主机名或E-mail 地址信息。

这些信息都可以成为受测设备判别垃圾邮件的条件。

在功能测试中，我们所采用的拓扑结构，如图3所示。

通过一台配有MTA（邮件传输代理）的发信服务器A向受测设备发送样本邮件，受测设备对邮件进行过滤处理后再发给收信服务器B。

我们在服务器B上建立了若干专用于收信的邮件账号，每次测试完毕后对处理结果进行统计和分析。

我们在测试环境中建立了实验域，为测试环境中的主机建立相应的A纪录，并将MX纪录指向受测设备，然后设置受测设备将邮件转发到收信服务器B。

我们使用的样本邮件共10538封，其中80%为汉字编码邮件，着重考察设备对于中文垃圾邮件的处理能力。

邮件样本的平均长度为14KB，其中约30%含有附件。

全部样本邮件中，除了垃圾邮件外，有500封正常邮件，包括普通的工作往来信函和订阅的邮件列表、以及朋友间的群发邮件等。

性能测试方法在性能测试方面，经过对用户实际需要的分析，我们将重点放在考察受测设备对于邮件的处理能力上。

不管是工作在转发模式还是透明模式，各种受测设备最终还是要在本地处理SMTP命令和维护邮件队列。

因此我们使用Spirent公司最新的Avalanche 2500和Reflector 2500设备来模拟一定的流量压力，考察反垃圾邮件网关所支持的邮件处理能力等重要参数。

在性能测试中，我们所采用的拓扑结构与功能测试类似：以Avalanche 2500模拟客户端向反垃圾邮件网关发送邮件，然后由反垃圾邮件网关转投给由Reflector 2500模拟的邮件服务器。

根据反垃圾邮件网关在不同工作模式下支持的网卡数目，我们测试的拓扑结构会有所变化，即在支持双网卡时，让它分别连接Avalanche 2500和Reflector 2500；在使用单网卡时，把它、Avalanche 2500和Reflector 2500一起连接到交换机上。

通过Avalanche 2500，我们可以对模拟邮件的源发送IP地址、目的IP地址、发件人、收件人、邮件的长度等参数进行设置。

测试时，我们采用了一个C类地址来模拟源发送IP，为了模拟真实的邮件环境，模拟的邮件中有25%的邮件大小为300KB，其余邮件的大小是在0.3～30KB之间平均分布的（即每封邮件的平均大小为15.15KB）。

具体测试过程分为五个阶段：第一阶段是准备阶段，Avalanche 2500准备发送模拟邮件；第二阶段是预热阶段，Avalanche 2500模拟的邮件发送人数从0缓慢升到10；第三阶段是逐步加压阶段，我们分十个步，每个步增长50个用户；第四阶段是维持阶段，即保持有510个用户同时做发信请求；第五阶段是结束阶段，用户数逐步减少到0。

整个模拟发信过程时长为220秒。

通过Reflector 2500，我们设置了接收邮件服务器的域名（）、IP地址和端口号。

在Avalanche 2500发送测试邮件的同时，Reflector 2500开始对从反垃圾邮件网关转投过来的邮件进行分析统计，一直到反垃圾邮件网关结束整个投递过程时停止测试。

通过测试，我们可以得到反垃圾邮件网关每秒提供SMTP服务的能力——最大并发连接处理数，同时可以得到发送邮件的连接请求数、成功发送的邮件数、成功转发邮件的百分比及平均响应时间等重要参数。

需要说明的是，这些参数是在反垃圾邮件网关没有开启任何过滤策略时的数据，它们在一定程度上反映了反垃圾邮件网关在极限工作时能达到的状态。

为了保证测试的精确性，我们对每款产品在相同模式下都进行了三次测试，测试结果取平均值。

怎样分析评测结果对于用户来说，部署反垃圾邮件产品时除了尽量减少垃圾邮件的危害外，最重要的是不能导致正常邮件的丢失。

事实上，对于少量无恶意的垃圾邮件，多数用户并无反感，如果大部分垃圾邮件能够被有效过滤掉，即可认为产品的正常作用已经发挥。

在邮件过滤方面，参测产品各有特色，最适合的应用环境也各不相同，用户在选择产品时，应根据自身的实际情况来进行取舍。

在功能测试方面，我们测试的是受测设备处在默认的反垃圾邮件功能启用时的过滤情况，即测试用户刚进行完毕产品部署时的过滤情况（各厂家产品的默认过滤级别并不完全相同）。

在实际应用中，经过定制切合自身需要的策略和优化系统，通常过滤的成功率会更高。

在性能测试时，由于我们设定的邮件负载较大，这对于受测设备提出了较高的要求。

因此，我们测试得到的性能数据通常要比厂商标称的数据低。

事实上，这次测试中有两款设备平均每秒可以处理邮件80封以上，这意味着每小时可以处理近29万封，这已经是非常惊人的数字了。

需要指出的是，这次评测的所有产品包括软件和设备，其硬件配置并没有严格处于同一个水平线上，因此我们的测试结果不具有横向比较的意义，而是用来反映各家产品在相应的配置上所能达到的性能表现。

性能测试所用设备为Spirent Avalanche 2500和Reflector 2500，其接口均为1000 Base-T/1000Base-FX(SFP) Combo，以及三层千兆交换机。

功能测试使用计算机世界评测实验室开发的专用测试软件。

评测的基准网络环境为百兆交换以太网环境。

软件组的测试中，所用服务器平台为双P4 Xeon 2.2GHz CPU、1GB DDR SDRAM、240GB SATA RAID0硬盘组及100Base-Tx+1000Base-T双网络接口，可满足受测软件的推荐要求。

软件组的测试用的操作系统平台为Red Hat Linux 9.0，在典型服务器安装的基础上，再根据受测软件的要求添加一定的软件包。

功能测试中，发信服务器的配置为P4 Celeron 2.0G CPU、1GB DDRSDRAM、120GB PATA 硬盘，双1000Base T网络接口。

采用的操作系统平台为Trustix 2.1，这是一种在Red Hat Linux系统基础上开发的、针对Server应用、强调安全性的Linux发行版。