企業(yè)警惕垃圾郵件危機(jī)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

電子郵件是使用率最高的網(wǎng)絡(luò)應(yīng)用之一，現(xiàn)在已成為網(wǎng)絡(luò)交流溝通的重要途徑。但是，垃圾郵件的問題困擾著大多數(shù)人，近來(lái)的調(diào)查顯示，93%的被調(diào)查者都對(duì)他們經(jīng)常接收到的大 量垃圾郵件非常不滿。一些簡(jiǎn)單的垃圾郵件事件也造成了很有影響的安全問題。日益增加的垃圾郵件每年造成94億美元的損失，垃圾郵件可能會(huì)給一個(gè)公司內(nèi)每個(gè)用戶造成600到 1000美元的損失。

什么是垃圾郵件
某種程度上，對(duì)垃圾郵件的定義可以是:那些人們沒有意愿去接收到的電子郵件都是垃圾郵件。比如：
商業(yè)廣告——很多公司通過電子郵件的方式對(duì)新產(chǎn)品、新活動(dòng)等進(jìn)行宣傳。
政治言論——目前會(huì)收到不少來(lái)自其他國(guó)家或者反動(dòng)組織發(fā)送的這類電子郵件，這就跟垃圾的商業(yè)廣告一樣，銷售和販賣他們的所謂言論。
蠕蟲病毒郵件——越來(lái)越多的病毒通過電子郵件來(lái)迅速傳播，這也的確是一條迅速而且有效的傳播途徑。
惡意郵件——恐嚇、欺騙性郵件。比如phishing，這是一種假冒網(wǎng)頁(yè)的電子郵件，完全是一種詭計(jì)，藉以盜取用戶的個(gè)人信息、賬號(hào)甚至信用卡。

垃圾郵件的危害
垃圾郵件給互聯(lián)網(wǎng)以及廣大的使用者帶來(lái)了很大的影響，這種影響不僅僅是人們需要花費(fèi)時(shí)間來(lái)處理垃圾郵件、占用系統(tǒng)資源等，同時(shí)也帶來(lái)了很多的安全問題。

垃圾郵件占用了大量網(wǎng)絡(luò)資源，這是顯而易見的。一些郵件服務(wù)器因?yàn)榘踩圆?，被作為垃圾郵件轉(zhuǎn)發(fā)站，因此導(dǎo)致服務(wù)器被警告、甚至IP被封等事件時(shí)有發(fā)生，大量消耗的網(wǎng)絡(luò) 資源使得正常的業(yè)務(wù)運(yùn)作變得緩慢。隨著國(guó)際上反垃圾郵件的發(fā)展，組織間黑名單共享，使得無(wú)辜服務(wù)器被更大范圍屏蔽，這無(wú)疑會(huì)給正常用戶的使用造成嚴(yán)重問題。

垃圾郵件和黑客攻擊、病毒等結(jié)合也越來(lái)越密切。例如，SoBig蠕蟲就可以安裝于開放的，可以用來(lái)支持郵件轉(zhuǎn)發(fā)的代理服務(wù)器。隨著垃圾郵件的演變，用惡意代碼或者監(jiān)視軟件等 來(lái)支持垃圾郵件已經(jīng)明顯地增加了。2003年12月31日，巴西的一個(gè)黑客組織發(fā)送包含惡意javascript腳本的垃圾郵件給數(shù)百萬(wàn)用戶，那些通過Hotmail來(lái)瀏覽這些垃圾郵件的人們?cè)?不知不覺中已經(jīng)泄露了他們的賬號(hào)。另外一個(gè)例子就是，近來(lái)IE的URL顯示問題，在主機(jī)名前添加“%01”可以隱藏真實(shí)的主機(jī)地址，在被發(fā)布之后幾個(gè)星期內(nèi)就出現(xiàn)在垃圾郵件中 了。

越來(lái)越具有欺騙性的病毒郵件，讓很多企業(yè)深受其害，即便采取了很好的網(wǎng)絡(luò)保護(hù)策略，依然很難避免。越來(lái)越多的安全事件都是因?yàn)猷]件產(chǎn)生的，可能是病毒、木馬或者其他惡 意程序。Phishing的假冒詭計(jì)對(duì)于普通使用者來(lái)說，的確很難作出正確的判斷，但是造成的損失卻是很直接的。

其次，從個(gè)人用戶來(lái)看，垃圾郵件浪費(fèi)了人們的大量時(shí)間。一般人們需要至少10秒鐘時(shí)間來(lái)判斷是否為垃圾郵件，如果每天收到幾十份垃圾郵件，就得花大約十分鐘的時(shí)間來(lái)處理 它們，實(shí)在是比較痛苦的事情。

普通個(gè)人的電子郵箱怎么成為了垃圾郵件的目標(biāo)呢，造成這樣的結(jié)果有很多原因，比如在網(wǎng)站、論壇等地方注冊(cè)了郵件地址；病毒等在你的聯(lián)系人郵箱地址簿中找到了你的電子郵 箱；以及對(duì)郵件提供商進(jìn)行的用戶枚舉等等。通常情況下，越少暴露電子郵件地址越少接收到垃圾郵件，使用時(shí)間越短越少接收到垃圾郵件。故此，一些無(wú)奈的用戶就選擇了放棄 自己的郵箱而更換新的電子郵箱。

反垃圾郵件市場(chǎng)漸大
據(jù)統(tǒng)計(jì)，從目前到2008年，國(guó)際網(wǎng)絡(luò)安全行業(yè)發(fā)展最快的領(lǐng)域?qū)⑹莾?nèi)容網(wǎng)絡(luò)安全領(lǐng)域，其中電子郵件安全及網(wǎng)頁(yè)過濾將分別以33.6%及22.6%的年均復(fù)合增長(zhǎng)率高速增長(zhǎng)。

反垃圾郵件市場(chǎng)將在未來(lái)以每年33.6%的復(fù)合增長(zhǎng)率高速增長(zhǎng)，到2008年全球反垃圾郵件市場(chǎng)規(guī)模將達(dá)到17億美元；中國(guó)反垃圾郵件市場(chǎng)目前占全球市場(chǎng)總額為3%左右，有巨大的發(fā) 展空間，而到2008年中國(guó)反垃圾郵件市場(chǎng)將達(dá)到全球市場(chǎng)的5%，規(guī)模將達(dá)到6億元人民幣，已經(jīng)超過現(xiàn)在的5億元人民幣左右的反病毒產(chǎn)品市場(chǎng)，逼近目前10億元人民幣的防火墻產(chǎn) 品市場(chǎng)。

隨著垃圾郵件勢(shì)頭日漸猛烈，風(fēng)險(xiǎn)投資商發(fā)現(xiàn)，向反垃圾郵件的新興企業(yè)投資是值得一試的。2006年，反垃圾郵件廠商們會(huì)給互聯(lián)網(wǎng)行業(yè)創(chuàng)造怎樣的價(jià)值呢？從各種業(yè)界數(shù)據(jù)，和 主要廠商的發(fā)展方向來(lái)看，我們可以相信，反垃圾郵件市場(chǎng)是一個(gè)方興未艾的市場(chǎng)。

垃圾郵件隨著互聯(lián)網(wǎng)的不斷發(fā)展而大量增長(zhǎng)，現(xiàn)在的垃圾郵件可以說是鋪天蓋地。最初，垃圾郵件主要是一些不請(qǐng)自來(lái)的商業(yè)宣傳電子郵件，而現(xiàn)在更多的有關(guān)色情、政治的垃圾 郵件不斷增加，甚至達(dá)到了總垃圾郵件量的40%左右，并且仍然有持續(xù)增長(zhǎng)的趨勢(shì)。另一方面，垃圾郵件成了計(jì)算機(jī)病毒新的、快速的傳播途徑。

目前世界上60%的郵件都是垃圾郵件，只有少數(shù)組織承擔(dān)責(zé)任。很多反垃圾郵件的措施都被提出來(lái)，但是只有非常少的被實(shí)施了。不幸的是，這些解決辦法也都還不能完全阻止垃圾 郵件，而且還對(duì)正常的郵件來(lái)往產(chǎn)生影響。

當(dāng)前產(chǎn)品的局限性和缺點(diǎn)
現(xiàn)行的很多采用過濾器技術(shù)的反垃圾郵件產(chǎn)品通常都采用了多種過濾器技術(shù)，以便使產(chǎn)品可以更為有效過濾垃圾郵件。過濾器通過他們的誤報(bào)和漏報(bào)來(lái)分等級(jí)，漏報(bào)就是指垃圾郵 件繞過了過濾器的過濾，而誤報(bào)則是將正常的郵件判斷為了垃圾郵件。完美的過濾器系統(tǒng)應(yīng)該是不存在漏報(bào)和誤報(bào)的，但這只是理想情況。

一些基于過濾器原理的反垃圾郵件系統(tǒng)通常有下面的三種局限性：

可能被繞過 垃圾郵件發(fā)送者和他們用的發(fā)送工具也不是靜態(tài)的，他們會(huì)很快適應(yīng)過濾器。例如，針對(duì)關(guān)鍵字列表，他們可以隨機(jī)更改一些單詞的拼寫，比如“強(qiáng)槍”，可以改寫為 “弓雖木倉(cāng)”或“強(qiáng)-槍”。Hash-buster（在每個(gè)郵件中產(chǎn)生不同的HASH）就是來(lái)繞過hash過濾器的，當(dāng)前普遍使用的貝葉斯過濾器可以通過插入隨機(jī)單詞或句子來(lái)繞過，而多數(shù) 過濾器都最多只能在少數(shù)幾周才最有效。為了保持反垃圾郵件系統(tǒng)的實(shí)用性，過濾器規(guī)則就必須不斷更新，比如每天或者每周更新。

誤報(bào)問題 最頭痛的問題就是將正常郵件判斷為垃圾郵件。比如，一封包含單詞sample的正常郵件可能因此被判斷為垃圾郵件。某些正常服務(wù)器不幸包含在不負(fù)責(zé)任的組織發(fā)布的 block list對(duì)某個(gè)網(wǎng)段進(jìn)行屏蔽中，而不是因?yàn)榘l(fā)送了垃圾郵件（xfocus的服務(wù)器就是這樣的一個(gè)例子）。但是，如果要減少誤報(bào)問題，就可能造成嚴(yán)重的漏報(bào)問題了。

過濾器復(fù)查 由于誤報(bào)問題的存在，通常被標(biāo)記為垃圾郵件的消息一般不會(huì)被立刻刪除，而是被放置到垃圾郵件箱里面，以便日后檢查。不幸的是，這也意味著用戶仍然必須花費(fèi)時(shí) 間去察看垃圾郵件，即便僅僅只針對(duì)郵件標(biāo)題。

目前更嚴(yán)重的問題是，人們依然認(rèn)為過濾器能有效阻止垃圾郵件。實(shí)際上，垃圾郵件過濾器并不能有效阻止垃圾郵件，在多數(shù)案例中，垃圾郵件依然存在，依然穿過了網(wǎng)絡(luò)，并且 被傳播。除非用戶不介意存在被誤報(bào)的郵件，不介意依然會(huì)瀏覽垃圾郵件。過濾器可以幫助我們來(lái)組織并分隔郵件為垃圾郵件和正常郵件，但是過濾器技術(shù)并不能阻止垃圾郵件， 實(shí)際上只是在“處理”垃圾郵件。盡管過濾器技術(shù)存在局限，但這也是目前最為廣泛使用的反垃圾郵件技術(shù)。

反垃圾郵件需要綜合技術(shù)
2004年，比爾.蓋茨曾信誓旦旦地預(yù)言微軟能夠在未來(lái)消滅垃圾郵件，他所期望的就是Sender ID技術(shù)，但最近他收回了他的預(yù)言。這也就是標(biāo)準(zhǔn)之爭(zhēng)，微軟希望IETF能夠采用 Sender ID技術(shù)作為標(biāo)準(zhǔn)，并且得到了大量支持，比如Cisco、Comcast、IBM、Cisco、Port25、Sendmail、Symantec、VeriSign等，也包括后來(lái)又倒戈的AOL的支持。但是在開源社 區(qū)，微軟一直沒有得到足夠的支持，IETF最終否決了微軟的提議。

Sender ID技術(shù)主要包括兩個(gè)方面：發(fā)送郵件方的支持和接收郵件方的支持。其中發(fā)送郵件方的支持主要有三個(gè)部分：發(fā)信人需要修改郵件服務(wù)器的DNS，增加特定的SPF記錄以表明 其發(fā)信身份。接收郵件方的支持有：收信人的郵件服務(wù)器必須采用Sender ID檢查技術(shù)，對(duì)收到的郵件檢查PRA或MAIL FROM，查詢發(fā)件者DNS的SPF紀(jì)錄，并以此驗(yàn)證發(fā)件者身份。

現(xiàn)在很多反垃圾郵件方案都不會(huì)只采用一種技術(shù)，而是多種多類技術(shù)的綜合體。要想從根本上解決反垃圾郵件的技術(shù)難題，必須從事先原理出發(fā)，從郵件內(nèi)容進(jìn)一步往前提一步， 做到主動(dòng)性垃圾郵件行為模式識(shí)別的技術(shù)，這樣才能做到主動(dòng)型的郵件攻擊行為防御、主動(dòng)型的垃圾郵件阻斷，從而最大程度地提高垃圾郵件識(shí)別率、攔截率，降低資源消耗，真 正達(dá)到電信級(jí)的網(wǎng)關(guān)處理速度。

ISP提供的虛擬主機(jī)服務(wù)，一旦某個(gè)用戶被認(rèn)定發(fā)送垃圾郵件，就會(huì)導(dǎo)致整個(gè)IP區(qū)域被列入黑名單，其它的用戶也會(huì)受到牽連。

與殺毒軟件類似，通過建立“垃圾郵件特征庫(kù)”的方法來(lái)阻止垃圾郵件，通過對(duì)郵件的信封、信頭、信體等內(nèi)容進(jìn)行對(duì)比檢測(cè)，從而對(duì)垃圾郵件進(jìn)行阻止。但是，隨著垃圾郵件制造者的技術(shù)水平不斷提高，這種方法很容易失效。另外，可以通過相互認(rèn)證的服務(wù)器和用戶之間建立信任關(guān)系，以此來(lái)避免垃圾郵件的發(fā)送。當(dāng)然，由于郵件服務(wù)器的數(shù)量非常巨大，這種做法實(shí)現(xiàn)起來(lái)比較困難。不過，現(xiàn)在已經(jīng)有一些郵件服務(wù)器之間建立了關(guān)聯(lián)，并且采用了一些全新的技術(shù)。如針對(duì)垃圾郵件傳播者慣用的偽造成同域用戶的伎倆，就可以利用同域認(rèn)證技術(shù)，經(jīng)過該技術(shù)的過濾，凡是那些偽裝成同域用戶的郵件，都會(huì)被打入垃圾郵件的黑名單，以保證郵件的安全。

除此之外，人們還采用了HASH 技術(shù)以及貝葉斯（Bayesian）算法。貝葉斯算法可以學(xué)習(xí)單詞的頻率和模式，這樣可以同垃圾郵件和正常郵件關(guān)聯(lián)起來(lái)進(jìn)行判斷。這是一種相對(duì)于關(guān)鍵字來(lái)說，更復(fù)雜和更智能化的內(nèi)容過濾技術(shù)。

黑白名單存在弊端
大部分情況下，郵件服務(wù)商和企業(yè)還是主要通過服務(wù)器過濾垃圾郵件，利用在反病毒軟件中單獨(dú)或者增加了防范垃圾郵件的功能或者購(gòu)買專業(yè)的反垃圾郵件產(chǎn)品。目前安全廠商所提供的反垃圾郵件產(chǎn)品一般分為兩種：一種是在防病毒軟件或安全網(wǎng)關(guān)當(dāng)中集成反垃圾郵件功能；另一種就是專門的反垃圾郵件產(chǎn)品。由于安全廠商都是從信息安全起家的，雖然安全技術(shù)堪稱一流，但是，他們對(duì)郵件的認(rèn)識(shí)還存在一些盲點(diǎn)。因此，大多數(shù)的反垃圾郵件功能，還是基于黑名單或關(guān)鍵詞過濾等方法。雖然實(shí)時(shí)黑名單、內(nèi)容過濾看上去的確不錯(cuò)，但關(guān)鍵字的規(guī)則有幾萬(wàn)條，對(duì)網(wǎng)絡(luò)資源消耗過大。

傳統(tǒng)的反垃圾郵件方法沒有節(jié)省流量和存儲(chǔ)資源，反而增加了計(jì)算的難度。垃圾郵件不是在空中攔截，而是通過把郵件縮小，截獲樣本來(lái)尋找關(guān)鍵字，經(jīng)過分析之后再判斷是否是垃圾郵件。然而，這樣的模式卻對(duì)流量和網(wǎng)絡(luò)資源產(chǎn)生了較大的影響。其次，關(guān)鍵字的規(guī)則是一種被動(dòng)的思路，需要根據(jù)不斷變化的垃圾郵件特征進(jìn)行變化，就像防病毒技術(shù)一樣，需要針對(duì)新病毒的特征，才能更新病毒庫(kù)，對(duì)其進(jìn)行防護(hù)。Mirapoint公司亞太區(qū)總監(jiān)任兆雄說：“每天不同內(nèi)容的垃圾郵件有幾千萬(wàn)，甚至上億封，沒有哪家安全廠商有足夠的實(shí)力和時(shí)間來(lái)分析和把握這些關(guān)鍵字的特征。而且，垃圾郵件內(nèi)容特征變化很快，比病毒變化快得多?！?/FONT>

另外，以內(nèi)容過濾為主導(dǎo)的技術(shù)，容易受到內(nèi)容的干擾，容易造成誤判斷。任兆雄舉了一個(gè)例子，社會(huì)科學(xué)院的一些教授和臺(tái)灣的一些學(xué)者有學(xué)術(shù)往來(lái)，因此在郵件來(lái)往過程中會(huì)針對(duì)一些敏感問題進(jìn)行探討和辯論。因?yàn)檫@些內(nèi)容涉及需要過濾的關(guān)鍵字，所以郵件經(jīng)常被刪除。相反，各種垃圾郵件則往往采取更加隱秘的手段，反而有可能順利通過網(wǎng)關(guān)。任兆雄認(rèn)為，“傳統(tǒng)反垃圾郵件技術(shù)，基本上還是沿用了黑白名單的方式，基本遵循‘截獲樣本—解析特征—生成規(guī)則—分發(fā)規(guī)則—內(nèi)容過濾’的原理。這種十幾年來(lái)一直沿用的方法，無(wú)法跟上不斷變化和發(fā)展的垃圾郵件技術(shù)，也為網(wǎng)絡(luò)資源造成了較大的影響?！?/FONT>

判斷垃圾郵件靠行為
據(jù)統(tǒng)計(jì)，我國(guó)目前已經(jīng)成為全球第二大垃圾郵件受害國(guó)，我國(guó)用戶平均每周收到的垃圾郵件數(shù)超過郵件總數(shù)的60%，部分企業(yè)每年為此投入上百萬(wàn)元的設(shè)備和人力。巨大的市場(chǎng)需求驅(qū)動(dòng)了各安全廠家在防垃圾郵件產(chǎn)品方面的研發(fā)投入逐漸加大。目前國(guó)內(nèi)市場(chǎng)上已經(jīng)有了數(shù)十個(gè)防垃圾郵件產(chǎn)品，分別采用三代不同的反垃圾郵件技術(shù)。這三代技術(shù)目前同時(shí)存在于市場(chǎng)上，但是，到底哪種技術(shù)更適合解決垃圾郵件問題呢？

從下表中可以看出，由于第一代和第二代的過濾技術(shù)始終沒有跳出內(nèi)容匹配過濾的技術(shù)局限，僅僅是對(duì)孤立的詞語(yǔ)進(jìn)行匹配，拋棄了連貫性，從而無(wú)法正確對(duì)郵件進(jìn)行判別，于是造成郵件的大量誤判。同時(shí)，這兩種技術(shù)需要進(jìn)行大量的匹配運(yùn)算，對(duì)CPU和內(nèi)存的占用極高，這樣就很容易成為處理瓶頸。

而最新的防范垃圾郵件的方法是通過行為判斷垃圾郵件。行為識(shí)別技術(shù)能夠高效、準(zhǔn)確地區(qū)分垃圾郵件與正常郵件，使得采用任何垃圾郵件發(fā)送技術(shù)發(fā)出的垃圾郵件都無(wú)法躲過它的檢測(cè)。很多安全廠商相繼推出了基于行為識(shí)別技術(shù)的第三代防垃圾郵件網(wǎng)關(guān)。該技術(shù)對(duì)大量的垃圾郵件樣本進(jìn)行了統(tǒng)計(jì)、分析和計(jì)算，并且根據(jù)RFC.822標(biāo)準(zhǔn)，建立了垃圾郵件發(fā)送的行為識(shí)別模型。這一模型能夠在MTA通信階段就判斷出所接收郵件是否為垃圾郵件，不需要接受全部的郵件內(nèi)容進(jìn)行相應(yīng)的內(nèi)容匹配，從而提高了郵件過濾速度，減少了網(wǎng)絡(luò)延遲，同時(shí)還避免了內(nèi)容過濾技術(shù)不可避免的高誤報(bào)率問題，也提高了對(duì)垃圾郵件的識(shí)別精度。

MailHurdle+RAPID技術(shù)出現(xiàn)
正當(dāng)人們對(duì)傳統(tǒng)技術(shù)一籌莫展的時(shí)候，Mirapoint公司推出了郵件網(wǎng)關(guān)的連接層攔截技術(shù)，使得垃圾郵件和病毒郵件在消耗系統(tǒng)資源和管理資源之前就已經(jīng)被攔截。在Mirapoint的技術(shù)當(dāng)中，Mirapoint MailHurdle郵件欄桿技術(shù)是核心，提供了一種業(yè)界領(lǐng)先的連接控制手段。它能夠在垃圾郵件產(chǎn)生網(wǎng)絡(luò)帶寬、存儲(chǔ)、處理器、管理資源浪費(fèi)前，將80％以上的垃圾郵件和病毒郵件直接攔截在網(wǎng)絡(luò)外層。MailHurdle策略基于對(duì)郵件發(fā)送者心理行為的縫隙，因此對(duì)大量新爆發(fā)的垃圾或者正在變異的垃圾威脅具有非常出色的攔截效果。

Mirapoint的RAPID防垃圾引擎，是一種全新概念的防垃圾郵件引擎，它改變了傳統(tǒng)基于內(nèi)容關(guān)鍵字技術(shù)的局限，真正實(shí)現(xiàn)了和內(nèi)容無(wú)關(guān)、語(yǔ)言類型無(wú)關(guān)的垃圾郵件實(shí)時(shí)檢測(cè)。RAPID技術(shù)是基于全球的、實(shí)時(shí)的、相同郵件的數(shù)字DNA進(jìn)行重復(fù)模式檢測(cè)并進(jìn)行實(shí)時(shí)判斷的技術(shù)，RAPID不是對(duì)每封單獨(dú)的郵件進(jìn)行內(nèi)容關(guān)鍵字分析，而是根據(jù)郵件的數(shù)字DNA進(jìn)行大批量實(shí)時(shí)處理，能夠在最短的時(shí)間內(nèi)檢測(cè)到最新爆發(fā)的垃圾郵件甚至是病毒郵件。利用Mirapoint的RAPID引擎和郵件欄桿技術(shù)，在不影響網(wǎng)絡(luò)資源的情況下，能夠阻止98%的垃圾郵件。
RazorGate為RSA保護(hù)郵件
RSA公司一直使用微軟公司的Exchange郵件系統(tǒng)，為全球的用戶提供及時(shí)的在線郵件服務(wù)。為了確保其郵件系統(tǒng)的安全性，RSA在網(wǎng)絡(luò)邊緣部署了一套防病毒套件，希望以此來(lái)保障 郵件服務(wù)器的安全。在防病毒套件安裝初期，對(duì)阻止病毒起到了一定的作用，但是，在當(dāng)時(shí)垃圾郵件并未成為一個(gè)非常嚴(yán)重的問題。

不久之后，情況發(fā)生了改變。垃圾郵件泛濫成災(zāi)，每天充斥著RSA信息安全公司的郵件系統(tǒng)，使他們無(wú)法正常工作。RSA信息安全公司IT技術(shù)服務(wù)經(jīng)理Torsten Guttenberger這樣說 ：“防病毒套件對(duì)垃圾郵件根本不起作用，無(wú)法使我們免受垃圾郵件之苦，垃圾郵件已經(jīng)成為我們的用戶碰到的實(shí)際問題?！盧SA信息安全公司認(rèn)識(shí)到必須采用更好的、更全面的安 全解決方案去阻止垃圾郵件、病毒以及SMTP 端口安全。

微軟公司的Exchange郵件系統(tǒng)是一套基于軟件的郵件服務(wù)器，它必須運(yùn)行在硬件服務(wù)器上，再加上適當(dāng)?shù)拇鎯?chǔ)、數(shù)據(jù)庫(kù)等解決方案才能構(gòu)成一套完整的郵件體系。而且，在這套郵 件架構(gòu)中，沒有隨機(jī)附帶的安全措施。因此，RSA信息安全公司必須額外為郵件體系配置安全措施。在防病毒軟件失效之后，RSA信息安全公司開始尋找能夠?yàn)猷]件服務(wù)器提供保護(hù) 的產(chǎn)品。Guttenberger開始測(cè)試一些替代方案，他和他的小組成員認(rèn)為最佳的方案必須完全兼容微軟Exchange服務(wù)器，提供足夠的處理大流量郵件吞吐的能力，并保持非常低的誤 判率。同時(shí)，Guttenberger也希望這個(gè)解決方案是他能夠完全管理的系統(tǒng)。

經(jīng)過對(duì)市場(chǎng)上主流解決方案的比較，在最終用戶控制、報(bào)表能力、易用性和總擁有成本等方面，RSA選中了Mirapoint公司的RazorGate郵件安全網(wǎng)關(guān)解決方案。Mirapoint提供了一 個(gè)更加全面的方案，包括通過郵件欄桿、策略實(shí)施、SMTP 連接管理、內(nèi)容過濾等先進(jìn)的郵件流量管理，以及詳細(xì)的日志和報(bào)表。

RSA信息安全公司把Mirapoint的RazorGate郵件安全網(wǎng)關(guān)置于郵件服務(wù)器的前端，從外部進(jìn)入網(wǎng)絡(luò)的郵件首先經(jīng)過RazorGate郵件安全網(wǎng)關(guān)，然后才能到達(dá)郵件服務(wù)器系統(tǒng)。 Mirapoint郵件網(wǎng)關(guān)的連接層攔截技術(shù)，能夠?qū)⒉《竞屠]件盡可能在郵件系統(tǒng)的對(duì)話層進(jìn)行攔截，使得垃圾郵件和病毒郵件在消耗系統(tǒng)資源和管理資源之前就已經(jīng)被處理掉 。Mirapoint MailHurdle郵件欄桿技術(shù)提供了一種連接控制手段，它能夠在垃圾郵件產(chǎn)生網(wǎng)絡(luò)帶寬、存儲(chǔ)、處理器、管理資源浪費(fèi)前，將80％以上的垃圾郵件和病毒郵件直接攔截 在網(wǎng)絡(luò)外層。MailHurdle通過阻斷非RFC兼容連接的方式，在SMTP層攔截了大量的惡意郵件。通過基于發(fā)件人信譽(yù)的評(píng)估策略技術(shù)，MailHurdle能夠讓好的發(fā)件人暢通無(wú)阻而將惡意 發(fā)送者阻擋在網(wǎng)絡(luò)之外。MailHurdle策略基于實(shí)時(shí)數(shù)據(jù)實(shí)時(shí)變更，因此對(duì)新爆發(fā)的垃圾郵件或者正在變異的垃圾威脅具有非常強(qiáng)大的攔截效果。

Mirapoint提供的郵件安全技術(shù)，不僅僅只是在郵件服務(wù)器外層實(shí)現(xiàn)，而是一整套全面的、內(nèi)置集成的、多層次的郵件安全系統(tǒng)。整個(gè)安全解決方案貫穿整個(gè)郵件的生命周期，包括 連接控制、防攻擊、防垃圾、防病毒、策略控制、安全存儲(chǔ)、安全訪問、郵件歸檔、數(shù)據(jù)備份和災(zāi)難恢復(fù)以及其他的保護(hù)服務(wù)。Mirapoint提供的安全郵件架構(gòu)，涵蓋了從操作系統(tǒng) 、硬件設(shè)備以及數(shù)據(jù)和服務(wù)范疇，是最全面的、最徹底的安全解決方案。

與一般郵件安全網(wǎng)關(guān)不同的是，Mirapoint郵件網(wǎng)關(guān)能夠同時(shí)提供多層殺毒引擎。一般來(lái)說，再好的殺毒引擎，也不能實(shí)現(xiàn)100％的病毒查殺。但如果同時(shí)提供多個(gè)引擎，引擎之間 優(yōu)勢(shì)互補(bǔ)，就能夠大大提高殺毒的效果，最大限度地保護(hù)系統(tǒng)安全。

Mirapoint還提供了基于RAPID技術(shù)的RAPID AV引擎。該引擎充分利用了RAPID防垃圾引擎的特點(diǎn)，為常規(guī)殺毒引擎提供了一層全新的互補(bǔ)殺毒引擎。Mirapoint的RAPID AV引擎，能 夠?qū)崟r(shí)監(jiān)控全球相同郵件的重復(fù)爆發(fā)模式和爆發(fā)特點(diǎn)，通過郵件的重復(fù)模式檢測(cè)而不是具體內(nèi)容進(jìn)行識(shí)別，從而最快能夠在0.5～3分鐘之內(nèi)就識(shí)別出突然爆發(fā)的病毒郵件。

Mirapoint的RAPID防垃圾引擎，是一種全新概念的防垃圾引擎。提供了非常高的攔截率和極低的誤判率。它改變了傳統(tǒng)基于內(nèi)容關(guān)鍵字技術(shù)的局限，真正實(shí)現(xiàn)了和內(nèi)容無(wú)關(guān)、語(yǔ)言 類型無(wú)關(guān)的垃圾郵件實(shí)時(shí)檢測(cè)。能夠同時(shí)攔截垃圾郵件、病毒郵件、欺騙郵件、釣魚郵件以及惡意郵件。

據(jù)Guttenberger反映，Mirapoint的RazorGate 設(shè)備運(yùn)行狀態(tài)非常良好。他說：“我們的用戶是RazorGate設(shè)備的最大受益者，他們不必每天應(yīng)付垃圾郵件。這不僅不會(huì)丟掉用戶的 郵件，也不會(huì)增加郵件給網(wǎng)絡(luò)帶來(lái)的負(fù)擔(dān)。我們不再收到用戶的投訴和抱怨。事實(shí)上，我們經(jīng)常接到客戶的贊譽(yù)，這些都是自從系統(tǒng)安裝后而發(fā)生的變化?！?/FONT>

梭子魚助中集集團(tuán)阻擋垃圾郵件
中集集團(tuán)是我國(guó)具備向世界名牌進(jìn)軍實(shí)力的16強(qiáng)企業(yè)之一，目前是世界最大、品種最全的國(guó)際海運(yùn)集裝箱生產(chǎn)企業(yè)。和其他大型企業(yè)一樣，中集集團(tuán)的郵件系統(tǒng)也飽受垃圾郵件的 騷擾：

大量占用網(wǎng)絡(luò)資源。上百萬(wàn)垃圾郵件降低中集集團(tuán)網(wǎng)絡(luò)運(yùn)行效率，占用網(wǎng)絡(luò)帶寬，造成郵件服務(wù)器擁塞，進(jìn)而降低整個(gè)網(wǎng)絡(luò)的運(yùn)行效率。

消耗員工時(shí)間，降低工作效率。中集集團(tuán)泛濫成災(zāi)的垃圾信件半年數(shù)量翻倍，員工只好每天耗費(fèi)大量的時(shí)間、精力來(lái)過濾清除這些不請(qǐng)自來(lái)的垃圾郵件，專家預(yù)計(jì)每封垃圾郵件所 抵消的生產(chǎn)力成本在1美元左右。

間諜軟件的入口。據(jù)網(wǎng)絡(luò)安全專家分析猜測(cè)，目前80%以上的計(jì)算機(jī)都被裝有間諜軟件，而間諜軟件的一個(gè)重要發(fā)送渠道就是傳播廣泛，無(wú)處不在的垃圾郵件。作為具有國(guó)際競(jìng)爭(zhēng)力 的大公司，如果公司機(jī)密信息被競(jìng)爭(zhēng)對(duì)手竊取，造成的損失將無(wú)法估計(jì)。

根據(jù)中集集團(tuán)的郵件情況，博威特公司建議其使用梭子魚300型號(hào)產(chǎn)品。由于傳統(tǒng)的防垃圾郵件方案只是在郵件服務(wù)器上安裝防垃圾郵件軟件，常常導(dǎo)致郵件服務(wù)器系統(tǒng)不堪重負(fù)， 增加管理負(fù)擔(dān)，而且由于防垃圾郵件軟件系統(tǒng)的本身缺陷和BUG更會(huì)造成整個(gè)服務(wù)器的不穩(wěn)定因素，浪費(fèi)用戶時(shí)間以及造成巨大的財(cái)務(wù)損失。而且無(wú)法在垃圾郵件的主要入口處進(jìn)行 防垃圾防病毒處理，也就是只有在垃圾郵件到達(dá)服務(wù)器后，才通過本地已經(jīng)安裝的防垃圾郵件軟件進(jìn)行分析和病毒查殺。因此根據(jù)大型行業(yè)的網(wǎng)絡(luò)實(shí)際情況，在網(wǎng)關(guān)處進(jìn)行防垃圾 郵件和病毒保護(hù)的實(shí)際意義尤為顯著。

梭子魚300型號(hào)產(chǎn)品架設(shè)在網(wǎng)關(guān)處，并單獨(dú)分配一個(gè)IP地址，將原有IP地址分配給梭子魚反垃圾郵件防火墻。解決方案實(shí)施之后，通過梭子魚垃圾郵件防火墻自動(dòng)生成的報(bào)表可以看 出，中集集團(tuán)收到的收信人不明和內(nèi)容疑似垃圾郵件的信大大減少。

反垃圾郵件硬件欲為王
最近備受關(guān)注的“反垃圾郵件”領(lǐng)域，硬件也發(fā)揮出無(wú)盡的活力，下面就是一些硬件反垃圾郵件的代表產(chǎn)品：

美國(guó)博威特網(wǎng)絡(luò)技術(shù)公司的產(chǎn)品Barracuda Spam Firewall（梭子魚垃圾郵件防火墻）：Barracuda Networks公司旗下的產(chǎn)品分為BSF200，BSF300，BSF400，BSF600，BSF800五個(gè)不同型號(hào)，每日郵件處理能力從100萬(wàn)封到千萬(wàn)封不等。從電信級(jí)用戶到中小企業(yè)都是其服務(wù)對(duì)象。公司年底推出的BSF800型號(hào)，允許熱插拔的電源供應(yīng)，設(shè)有5個(gè)磁盤存儲(chǔ)器，雙重千兆以太網(wǎng)端口，是一款運(yùn)營(yíng)商級(jí)別的產(chǎn)品。 梭子魚垃圾郵件防火墻獨(dú)創(chuàng)的十層過濾檢測(cè)，分別是拒絕服務(wù)攻擊及安全防護(hù)層；IP封鎖清單；速率控制；第一層病毒防護(hù)；第二層病毒防護(hù)；用戶自定義規(guī)則；垃圾郵件指紋檢查；郵件意圖分析；貝葉斯分析；基于規(guī)則的評(píng)分系統(tǒng)。

Tumbleweed Communications的產(chǎn)品Tumbleweed Email Firewall：產(chǎn)品主要基于Linux系統(tǒng)，公司預(yù)測(cè)增長(zhǎng)最快的反垃圾郵件市場(chǎng)應(yīng)該是基于Linux系統(tǒng)的基礎(chǔ)之上的，誰(shuí)能夠更好地適用和服務(wù)該系統(tǒng)，誰(shuí)就能在反垃圾郵件領(lǐng)域發(fā)展得更快。防御黑客攻擊的功能使這款產(chǎn)品安全性能更高，廣泛應(yīng)用于金融和政府行業(yè)。Anti－Phishing功能，有效防止網(wǎng)絡(luò)經(jīng)濟(jì)犯罪。不少郵件通過假冒銀行或者金融機(jī)構(gòu)的信件，騙取用戶的密碼信息，Anti－Phishing功能檢測(cè)到這類犯罪活動(dòng)每月50％的速度在增長(zhǎng)，eBay、花旗銀行、AOL、雅虎等公司都被監(jiān)測(cè)到曾被仿冒過郵件。

美國(guó)Ironport公司的產(chǎn)品IronPort C-Series：Ironport公司的產(chǎn)品C系列分C10 、C30、C60三個(gè)型號(hào)分別服務(wù)于中小企業(yè)級(jí)用戶、企業(yè)級(jí)用戶和電信級(jí)用戶。IronPort公司專有可信度過濾功能能夠根據(jù)可信度自動(dòng)實(shí)施郵件傳輸策略，生成IronPort SenderBase—信譽(yù)服務(wù)。但是該技術(shù)有一點(diǎn)需要注意，即從不掃描可信賴的郵件，目的是消除誤報(bào)幾率。如果郵件是由于進(jìn)入電腦的病毒自動(dòng)外發(fā)的，發(fā)件人雖然是可信任的（相當(dāng)于處于“白名單”中），但是郵件本身卻是危險(xiǎn)郵件。

Mirapoint公司的RazorGate郵件安全網(wǎng)關(guān)：全新的RazorGate郵件安全網(wǎng)關(guān)在性能和存儲(chǔ)容量上都得到了大幅度提升，流量處理能力提升了40%，但大大減少了產(chǎn)品的尺寸，提供了每天可處理900多萬(wàn)條郵件的強(qiáng)大功能，幫助企業(yè)跟上對(duì)郵件安全的更高需求。

利用高達(dá)225G的本地存儲(chǔ)容量，全新RazorGate郵件安全網(wǎng)關(guān)通過擴(kuò)展，可以支持幾百萬(wàn)個(gè)用戶以及隔離的垃圾郵件。當(dāng)垃圾郵件繼續(xù)增長(zhǎng)和發(fā)展時(shí)，Mirapoint集成的Junk Mail Manager可以提供個(gè)人隔離郵箱，把垃圾郵件從核心郵件服務(wù)器上隔離出來(lái)，存放在收件箱之外的隔離郵箱。為了降低誤判和確保正常郵件的收發(fā)，用戶可以查看被隔離的電子郵件，并且做出保留或刪除的決定。

郵件欄桿技術(shù)（MailHurdle）能夠在SMTP層阻止80%的垃圾郵件和病毒。RazorGate的特別之處在于能夠識(shí)別垃圾郵件發(fā)件人，并且在SMTP層阻斷他們。在垃圾郵件進(jìn)入網(wǎng)絡(luò)之前阻止它們，可以保護(hù)和節(jié)省網(wǎng)絡(luò)和處理器資源。采用定制的基于信譽(yù)的技術(shù)，郵件欄桿可以阻斷已知的惡意發(fā)信人，一旦他們開始一些不良行為，就可以被阻斷，極大地提高了安全性。另外，通過使用SMTP協(xié)議層技術(shù)識(shí)別收件人和發(fā)信人， 能夠識(shí)別收件人，并且拒絕非針對(duì)真正用戶的信息。

這種方法可以有效地防范垃圾郵件發(fā)送者實(shí)施賬號(hào)搜集攻擊，以及向用戶名單發(fā)送大量的電子郵件。當(dāng)病毒和垃圾郵件開始傳播之后，Mirapoint的RAPID防病毒和防垃圾郵件引擎可以在幾分鐘之后實(shí)現(xiàn)“零時(shí)刻”阻止這些病毒和垃圾郵件的傳播。通過采用一種同內(nèi)容無(wú)關(guān)的，對(duì)郵件進(jìn)行一種重復(fù)模式的監(jiān)測(cè)的功能，如果企業(yè)沒有傳統(tǒng)的基于內(nèi)容簽名的保護(hù)方案，借助RAPID完全可以保護(hù)自己的郵件網(wǎng)絡(luò)。采用RAPID技術(shù)，Mirapoint RazorGate郵件安全網(wǎng)關(guān)能夠攔截98%以上的垃圾郵件，而誤判率非常之小幾乎可以忽略不計(jì)。RazorGate郵件安全網(wǎng)關(guān)還可以同時(shí)運(yùn)行多個(gè)防病毒解決方案，為企業(yè)提供對(duì)已知和未知病毒的更多防護(hù)。

McAfee Secure Internet Gateway（SIG）設(shè)備：McAfee SIG內(nèi)置電子郵件內(nèi)容過濾功能，能對(duì)電子郵件和300多種附件進(jìn)行詞匯掃描。因此，如果電子郵件含有違反內(nèi)容規(guī)則的特定詞匯或詞組，SIG就可以對(duì)它們進(jìn)行攔截或修改。McAfee的垃圾郵件防護(hù)模塊與McAfee SIG完全集成，可通過一個(gè)可選許可證使用該模塊。垃圾郵件防護(hù)模塊采用極其復(fù)雜的技術(shù)來(lái)檢測(cè)并攔截垃圾郵件和網(wǎng)絡(luò)釣魚詐騙攻擊：完整性分析、啟發(fā)式檢測(cè)、內(nèi)容過濾、黑名單和白名單支持、DNS攔截列表支持和貝葉斯過濾。時(shí)常更新，確保您的保護(hù)始終處于最新狀態(tài)。用戶不僅可以獲取作為垃圾郵件被攔截的郵件的每日摘要，還可以管理他們的垃圾郵件隔離、黑名單和白名單。

碩琦科技SpamTrap垃圾郵件防御服務(wù)器：采用“垃圾郵件行為模式解析技術(shù)”，預(yù)設(shè)上百種“垃圾郵件行為類型Pattern”，無(wú)需依賴關(guān)鍵詞和演算，避免了因主觀判斷垃圾郵件內(nèi)容引發(fā)的誤判。SpamTrap垃圾郵件防御服務(wù)器具有ST220、ST500和ST800等型號(hào)，分別為1U、2U機(jī)架式，采用Intel處理器和主板。SpamTrap可以針對(duì)匿名、偽造、濫發(fā)和非法行為的郵件進(jìn)行認(rèn)證和阻隔，并且提供多種防護(hù)模式進(jìn)行選擇處理這些垃圾郵件。在MTA執(zhí)行階段，In-Job監(jiān)控SMTP信息，可偵測(cè)出在SMTP方面的各種攻擊收發(fā)，并達(dá)到有效防御。瑞星公司的反垃圾郵件產(chǎn)品：是國(guó)內(nèi)第一款面向個(gè)人用戶的、獨(dú)立的反垃圾郵件產(chǎn)品，該產(chǎn)品對(duì)垃圾郵件的攔截率達(dá)到97%以上，誤報(bào)率低于1%。

瑞星反垃圾郵件產(chǎn)品綜合使用了多種垃圾郵件判定技術(shù)，如貝葉斯分析、關(guān)鍵詞過濾、動(dòng)態(tài)規(guī)則升級(jí)、黑白名單控制等，提高了判定垃圾郵件的準(zhǔn)確度。該產(chǎn)品還可以和瑞星殺毒軟件、防火墻相配合，更好地防范蠕蟲郵件、網(wǎng)絡(luò)釣魚郵件等垃圾郵件的攻擊。瑞星還把反垃圾郵件與保護(hù)用戶信息安全有機(jī)地結(jié)合起來(lái)，可以更好地保護(hù)用戶利益。(zdnet)