6款反垃圾郵件產(chǎn)品橫向比較測試

申請免費試用、咨詢電話：400-8352-114

中國互聯(lián)網(wǎng)協(xié)會2006年第一次中國反垃圾郵件狀況調(diào)查顯示，從2005年11月到2006年3月期間，中國互聯(lián)網(wǎng)用戶收到的垃圾郵件比例由61.53%上升到63.97%，上升了2.44個百分點，遠(yuǎn)遠(yuǎn)高于上次調(diào)查的0.9個百分點。中國網(wǎng)民平均每周收到垃圾郵件數(shù)量已達(dá)19.33封,比2005年10月的每周17.25封上升了2.08封。垃圾郵件形勢日益嚴(yán)重！

面對這些令人厭惡的垃圾郵件，我們損失的不僅僅是時間，而郵件服務(wù)器處理垃圾郵件的額外付出和用于處理垃圾郵件的技術(shù)人力付出所造成的損失則更為巨大。面對這些不請自來的垃圾郵件，如何采用技術(shù)手段進(jìn)行治理，成為我們普遍關(guān)心的問題。為此，《計算機世界》評測實驗室于近期進(jìn)行了反垃圾郵件產(chǎn)品橫向比較評測。本次測試得到了業(yè)界的普遍關(guān)注，最后共有來自冠群金辰、IronPort Systems、SurfControl、敏訊科技、趨勢科技以及碩琦科技等6家國內(nèi)外廠商的6款優(yōu)秀的軟硬件產(chǎn)品參加了本次測試。另外，在本次測試中，我們采用了業(yè)界先進(jìn)的測試儀器，并選擇了盡量貼近用戶實際應(yīng)用的測試標(biāo)準(zhǔn)，為幫助讀者了解反垃圾郵件技術(shù)、產(chǎn)品以及應(yīng)用，并為用戶選擇反垃圾郵件產(chǎn)品提供有益的指導(dǎo)。

垃圾郵件不請自來

說起垃圾郵件，我們有必要先回顧一下它的發(fā)展歷史。首次關(guān)于垃圾郵件的記錄是1985年8月出現(xiàn)的一封通過電子郵件發(fā)送的連鎖信，該信一直持續(xù)流傳到1993年。1993年6月，在Internet上出現(xiàn)了“發(fā)財之道（Make Money Fast）”的電子郵件。1994年4月，Canter和Siegel的法律事務(wù)所把一封信發(fā)給了6000 多個新聞組，宣傳獲得美國國內(nèi)綠卡的法律支持。這是歷史上第一次使用Spam (垃圾郵件)一詞描述新聞或電子郵件的主動性發(fā)布。同時，垃圾郵件也開始引起了人們的注意和反感。

一些觸覺敏銳的商人立刻意識到了電子郵件帶來的商機，許多人開始利用電子郵件做商業(yè)廣告，1995年5月有人寫出了第一個專門的應(yīng)用程序 Floodgate，一次可以自動把郵件發(fā)給很多人。同年8月，有人拿200萬個郵件地址出售，垃圾郵件越來越多地與商業(yè)聯(lián)系起來。1996年4月，人們開始使用“未經(jīng)許可的商業(yè)郵件”（UCE，Unsolicited Commercial E-mail）來稱呼垃圾郵件，并開始積極想辦法阻止垃圾郵件在Internet上泛濫。

后來，垃圾郵件的發(fā)送技術(shù)也開始被黑客攻擊程序和病毒程序所利用，為了施行攻擊甚至僅僅為了浪費網(wǎng)絡(luò)帶寬資源，而發(fā)送的垃圾郵件大量出現(xiàn)。因此，業(yè)界也開始使用“未經(jīng)許可的大宗郵件（UBE，Unsolicited Bulk E-mail）”這種稱謂。雖然垃圾郵件的稱謂很多，但有一點是可以肯定的，即它們都是不請自來，并且多半是不懷好意的不速之客。

應(yīng)該說垃圾郵件的泛濫只是互聯(lián)網(wǎng)快速發(fā)展的一個副產(chǎn)品。究其根源在于，目前互聯(lián)網(wǎng)上普遍應(yīng)用的發(fā)送郵件的基礎(chǔ)協(xié)議——SMTP（簡單郵件傳輸協(xié)議）在安全性方面存在明顯不足。SMTP協(xié)議的締造者之一Sluizer曾經(jīng)表示，SMTP協(xié)議無法杜絕垃圾郵件，因為SMTP是基于默認(rèn)信任的原則設(shè)計的，缺乏核實發(fā)送者身份的有效機制。雖然后來經(jīng)過層層彌補，但是畢竟SMTP先天不足，“補丁”終究只是“補丁”。

除了SMTP安全性不高這一內(nèi)因之外，還有很多外界的因素造成了垃圾郵件日益泛濫。

第一，帶寬問題。近年來寬帶網(wǎng)絡(luò)快速發(fā)展，為垃圾郵件的泛濫提供了帶寬支持；

第二，成本問題。隨著網(wǎng)絡(luò)通信成本不斷下降，計算機硬件性能不斷提升以及軟件群發(fā)技術(shù)的不斷成熟，發(fā)送垃圾郵件的成本變得極低;

第三，利益問題。對于垃圾郵件發(fā)送者來說，他們低廉的投入成本，往往能夠換取豐厚的回報；

第四，監(jiān)督問題。對于鋪天蓋地的垃圾郵件，我們還缺乏相關(guān)法律、規(guī)范的約束。

垃圾郵件防范有術(shù)

郵件過濾是目前對付垃圾郵件的主要方法，它按照在郵件系統(tǒng)結(jié)構(gòu)中的不同角色可以分為三類：MTA（郵件傳輸代理）過濾、MDA（郵件遞交代理）過濾，以及MUA（郵件用戶代理）過濾。

MTA過濾是指MTA在會話過程中對會話的數(shù)據(jù)進(jìn)行檢查，對于符合過濾條件的郵件進(jìn)行過濾處理。MDA過濾是指MDA在從MTA中接收到信件，在本地或遠(yuǎn)程進(jìn)行遞交時進(jìn)行檢查，對于符合過濾條件的郵件進(jìn)行過濾處理。而MUA過濾是郵件客戶端的過濾，多數(shù)流行的郵件客戶端，如Outlook、Outlook Express、Netscape Mail、Foxmail等都支持MUA過濾。下面所涉及的過濾技術(shù)都是基于MTA或MDA的過濾，也就是說都基于郵件服務(wù)器端的。

1. 黑白名單

黑白名單是垃圾郵件過濾最傳統(tǒng)的方式，它通過基于IP地址、域名以及郵件地址等信息的黑名單技術(shù)對垃圾郵件進(jìn)行屏蔽，通過白名單技術(shù)對允許的郵件進(jìn)行放行。這種技術(shù)的優(yōu)勢在于不占用系統(tǒng)資源，易部署; 缺點是需要用戶手動維護(hù)，而且垃圾郵件發(fā)送者可以通過更改相關(guān)信息來逃避過濾。

RBL（實時黑名單）技術(shù)是從黑名單技術(shù)發(fā)展而來的，它可以通過RBL運營服務(wù)商提供的公共RBL數(shù)據(jù)進(jìn)行更新，彌補了單純黑名單需要手工維護(hù)的缺陷。遺憾的是，目前很多黑名單數(shù)據(jù)庫具有很強的區(qū)域歧視性，例如，北美的RBL包含了我國大量的主機名字和IP地址，其中有些是早期的Open Relay造成的，有些則是由于誤報造成的。但這些遲遲得不到糾正，在一定程度上阻礙了我國與北美地區(qū)的郵件聯(lián)系，也妨礙了我國的用戶使用這些黑名單服務(wù)。

2. SMTP連接頻度控制

垃圾郵件發(fā)送者經(jīng)常會在一段時間內(nèi)發(fā)送大量的垃圾郵件，阻塞郵件服務(wù)器。SMTP連接頻度控制可以保證郵件服務(wù)器不響應(yīng)異常的連接請求，保證正常郵件的順利通行。

3. 逆向域名驗證

無論哪一種認(rèn)證，其目的都是避免MTA被垃圾郵件發(fā)送者所利用，但是對于發(fā)送到本地的垃圾郵件可能仍然無可奈何。要解決這個問題，最簡單有效的方法是對發(fā)送者的IP地址進(jìn)行逆向域名驗證。

通過DNS查詢來判斷發(fā)送者的IP與其聲稱的名字是否一致，例如其聲稱的名字為mx.yahoo.com，而其連接地址為10.10.10.10，與其DNS記錄不符，則予以拒收。這種方法可以有效過濾掉來自動態(tài)IP的垃圾郵件，對于某些使用動態(tài)域名的發(fā)送者，也可以根據(jù)實際情況進(jìn)行屏蔽。

4. 內(nèi)容過濾

即使使用了前面諸多環(huán)節(jié)中的技術(shù)，仍然會有相當(dāng)一部分垃圾郵件漏網(wǎng)。對此情況，目前常用的方法是基于郵件標(biāo)題或正文的內(nèi)容過濾。本次參加測試的廠家除了碩琦科技一家之外，其他均具備內(nèi)容過濾能力。

關(guān)鍵詞過濾法是通過郵件內(nèi)容掃描引擎，對郵件的常用標(biāo)題語，垃圾郵件受益者的姓名、電話號碼等信息進(jìn)行過濾。由于不同時期垃圾郵件的關(guān)鍵詞會發(fā)生變化，因此需要定期更新關(guān)鍵詞過濾集。

基于貝葉斯概率理論的統(tǒng)計方法更加復(fù)雜，但又同時更具智能性。這種方法的理論基礎(chǔ)是通過對大量垃圾郵件中常見關(guān)鍵詞進(jìn)行分析后得出其分布的統(tǒng)計模型，并由此推算目標(biāo)郵件是垃圾郵件的可能性。這種方法具有一定的自適應(yīng)、自學(xué)習(xí)能力，目前已經(jīng)得到了廣泛的應(yīng)用。

還有一種基于規(guī)則評分的過濾技術(shù)，目前比較有代表性的是SpamAssassin，它是一種人工智能技術(shù)應(yīng)用系統(tǒng)，它對郵件中發(fā)現(xiàn)的每一個關(guān)鍵詞進(jìn)行打分，分?jǐn)?shù)越高，垃圾郵件的可能性就越高，當(dāng)所有關(guān)鍵詞得分超過一定數(shù)值時，該郵件將被判定為垃圾郵件。

需要指出的是，內(nèi)容過濾是以上所有各種方法中耗費系統(tǒng)資源最多的。因此，在郵件流量較大的場合，最好配合高性能服務(wù)器使用。

5. 病毒掃描

很多垃圾郵件往往是由病毒程序產(chǎn)生的，而且病毒會隨郵件在網(wǎng)絡(luò)上傳播。因此病毒掃描也是減少垃圾郵件的一個重要手段。本次參測的所有產(chǎn)品均具備殺毒引擎。

6. 行為分析技術(shù)

行為分析技術(shù)是最近興起的一種郵件過濾技術(shù)，它的優(yōu)勢在于可以對垃圾郵件進(jìn)行空中攔截，減少了因接收郵件并進(jìn)行內(nèi)容分析所占用的系統(tǒng)資源和網(wǎng)絡(luò)帶寬。雖然目前行為過濾技術(shù)還不完全成熟，而且對網(wǎng)絡(luò)環(huán)境要求較高，但是行為分析技術(shù)憑借其良好的應(yīng)用前景還是引起了各大安全廠商的關(guān)注。本次參加測試的產(chǎn)品或多或少均具備一定的行為分析能力，特別是碩琦科技的SpamTrap 120，是一款完全基于行為分析的產(chǎn)品。

我們?nèi)绾螠y試

1. 關(guān)于郵件樣本的說明

測試反垃圾郵件產(chǎn)品，我們要面臨的首要問題就是如何界定垃圾郵件，這往往是存在爭議的?？紤]到目前絕大多數(shù)垃圾郵件制造者的郵件地址數(shù)據(jù)庫都是從Internet網(wǎng)頁中搜集整理而來的，所以我們使用了在網(wǎng)站上發(fā)布與背景同色的誘餌郵件地址的方法來收集垃圾郵件樣本。由于這種地址是肉眼無法看到的，因此我們可以確定，發(fā)送到這些信箱的郵件都是垃圾郵件范疇。經(jīng)過處理，我們使用其中的12072封垃圾郵件（其中包含50封病毒郵件），并加上其他途徑得到的100封正常郵件，總計12172封樣本郵件對參測產(chǎn)品進(jìn)行郵件過濾能力測試。

事實上，對于反垃圾郵件產(chǎn)品，采用在線測試也是一種有效的方法。但是在線測試需要被測設(shè)備進(jìn)行足夠長時間（至少2～4周）的持續(xù)測試，才能保證結(jié)果的有效性，而且在測試周期內(nèi)，各種潛在的、不可控的因素都會對測試結(jié)果造成影響，可操作性較差。因此，我們采取了盡量模擬真實環(huán)境、使用真實郵件樣本的折衷方法。這樣既可以保證較客觀地反映受測產(chǎn)品的能力，又可以保證測試可控、可重現(xiàn)、可操作。

2. 郵件過濾能力測試

在郵件過濾能力測試中，我們采用了自行研發(fā)的測試工具，結(jié)合qmail系統(tǒng)進(jìn)行郵件的發(fā)送。雖然開發(fā)一個郵件發(fā)送程序非常簡單，但單一的郵件發(fā)送模式無法模擬垃圾郵件多變的制造環(huán)境，而qmail是一種很常見的MTA，使用qmail可以有效地確保郵件發(fā)送的兼容性和真實性。例如，所有垃圾郵件的郵件路由信息都被保留，其中往往包括了假的IP、主機名或E-mail地址信息。這些信息都可以成為被測設(shè)備判別垃圾郵件的條件。

我們所采用的測試環(huán)境，如圖1所示。通過一臺配有MTA的發(fā)信服務(wù)器向被測設(shè)備發(fā)送樣本郵件，被測設(shè)備對郵件進(jìn)行過濾處理后再發(fā)給收信服務(wù)器。我們在收信服務(wù)器上建立了若干專用于收信的郵件賬號，每次測試完畢后對處理結(jié)果進(jìn)行統(tǒng)計和分析。

我們在測試環(huán)境中建立了實驗域ccwtlab.com，為測試環(huán)境中的郵件服務(wù)器建立相應(yīng)的A紀(jì)錄，并將MX紀(jì)錄指向被測設(shè)備，然后設(shè)置被測設(shè)備將郵件轉(zhuǎn)發(fā)到收信服務(wù)器。我們使用的樣本郵件共12172封，其中80%為漢字編碼郵件，著重考察設(shè)備對于中文垃圾郵件的處理能力。郵件樣本的平均長度為16KB，其中約30%含有附件。全部樣本郵件中，除了垃圾郵件外，有100封正常郵件，包括普通的工作往來信函和訂閱的郵件列表,以及朋友間的群發(fā)郵件等。

3. 郵件處理性能測試

本項測試，我們將重點放在考察被測設(shè)備對于SMTP連接的處理能力上。測試中，我們使用思博倫公司的Avalanche 2500和Reflector 2500流量發(fā)生器來模擬一定流量的郵件壓力，考察反垃圾郵件產(chǎn)品所支持的SMTP處理速率、延遲等重要參數(shù)。

在該項測試中，我們所采用的拓?fù)浣Y(jié)構(gòu)與郵件過濾能力測試類似，如圖2所示。我們以Avalanche 2500模擬客戶端向反垃圾郵件網(wǎng)關(guān)發(fā)送郵件，然后由反垃圾郵件網(wǎng)關(guān)轉(zhuǎn)投給由Reflector 2500模擬的郵件服務(wù)器。

為了避免重復(fù)IP的出現(xiàn)，我們采用了一個A類地址來模擬源發(fā)送IP，為了模擬真實的環(huán)境，模擬郵件的大小是在0.3～30KB之間平均分布的（即每封郵件的平均大小為15.15KB）。

通過Reflector 2500，我們設(shè)置了接收郵件服務(wù)器的域名（ccwtest.com）、IP地址。在Avalanche 2500發(fā)送測試郵件的同時，Reflector 2500開始對從反垃圾郵件產(chǎn)品轉(zhuǎn)投過來的郵件進(jìn)行分析統(tǒng)計，一直到反垃圾郵件網(wǎng)關(guān)結(jié)束整個投遞過程時停止測試。

需要說明的是，我們測得的參數(shù)是在反垃圾郵件產(chǎn)品開啟默認(rèn)過濾策略時的數(shù)據(jù)，它們較好地反映了反垃圾郵件產(chǎn)品在實際應(yīng)用環(huán)境中能夠達(dá)到的能力。

4. 如何看待評測結(jié)果

對于用戶來說，部署反垃圾郵件產(chǎn)品時除了盡量減少垃圾郵件的侵?jǐn)_外，最重要的是不能導(dǎo)致正常郵件的丟失。事實上，對于少量無惡意的垃圾郵件，多數(shù)用戶并無反感，如果大部分垃圾郵件能夠被有效過濾掉，即可認(rèn)為產(chǎn)品的正常作用已經(jīng)發(fā)揮。

在郵件過濾方面，參測產(chǎn)品各有特色，最適合的應(yīng)用環(huán)境也各不相同，用戶在選擇產(chǎn)品時，應(yīng)根據(jù)自身的實際情況來進(jìn)行取舍。另外，我們測試的是受測設(shè)備處在默認(rèn)的反垃圾郵件功能啟用時的過濾情況，即測試用戶剛進(jìn)行完畢產(chǎn)品部署時的過濾情況（各廠家產(chǎn)品的默認(rèn)過濾級別并不完全相同）。在實際應(yīng)用中，經(jīng)過定制契合自身需要的策略和優(yōu)化系統(tǒng)，通常過濾的成功率會更高。

在轉(zhuǎn)發(fā)能力方面，由于我們設(shè)定的郵件負(fù)載較大，這對于受測設(shè)備提出了較高的要求。因此，我們測試得到的性能數(shù)據(jù)可能會比廠商標(biāo)稱的數(shù)據(jù)低。

表1和表2為我們的測試結(jié)果。

經(jīng)過一個多月的緊張測試，SurfControl的E-30以及冠群金辰的KSG-M 3000最終憑借其在郵件過濾、處理性能等多方面的出色表現(xiàn)，脫穎而出，獲得了本次《計算機世界》評測實驗室反垃圾郵件產(chǎn)品橫向比較測試的編輯選擇獎。

鏈接一：我國對垃圾郵件的定義

2000年8月，中國電信制定了垃圾郵件處理辦法，并將垃圾郵件定義為：向未主動請求的用戶發(fā)送的電子郵件廣告、刊物或其他資料；沒有明確的退信方法、發(fā)信人、回信地址等的郵件；利用中國電信的網(wǎng)絡(luò)從事違反其他ISP的安全策略或服務(wù)條款的行為；其他預(yù)計會導(dǎo)致投訴的郵件。

2002年5月20日，中國教育和科研計算機網(wǎng)公布了《關(guān)于制止垃圾郵件的管理規(guī)定》，其中對垃圾郵件的定義為：凡是未經(jīng)用戶請求強行發(fā)到用戶信箱中的任何廣告、宣傳資料、病毒等內(nèi)容的電子郵件，一般具有批量發(fā)送的特征。

中國互聯(lián)網(wǎng)協(xié)會在《中國互聯(lián)網(wǎng)協(xié)會反垃圾郵件規(guī)范》中是這樣定義垃圾郵件的：本規(guī)范所稱垃圾郵件，包括下述屬性的電子郵件：（一）收件人事先沒有提出要求或者同意接收的廣告、電子刊物、各種形式的宣傳品等宣傳性的電子郵件；（二）收件人無法拒收的電子郵件；（三）隱藏發(fā)件人身份、地址、標(biāo)題等信息的電子郵件；（四）含有虛假的信息源、發(fā)件人、路由等信息的電子郵件。

鏈接二：個人反垃圾郵件技巧

對付垃圾郵件除了各方共同努力外，對于普通用戶來講，還需要注意以下幾點：

① 不要響應(yīng)不請自來的電子郵件或者垃圾郵件，絕對不要回復(fù)垃圾郵件。即使垃圾郵件上寫有“如果不需要此郵件的話請回信告知”等句子，也決不要回復(fù)，這一點非常重要。

② 不要試圖點擊垃圾郵件中的任何鏈接。

③ 不要把您的郵件地址在互聯(lián)網(wǎng)頁面上到處登記。

④ 不要登錄并注冊那些許諾在垃圾郵件列表中刪除你名字的站點。

⑤ 保管好自己的郵件地址，不要把它告訴給你不信任的人。

⑥ 不訂閱不健康的電子雜志，以防止被垃圾郵件收集者收集。

⑦ 謹(jǐn)慎使用郵箱的“自動回復(fù)”功能。

⑧ 用專門的郵箱進(jìn)行私人通信，而用其他郵箱訂閱電子雜志。

鏈接三：測試指標(biāo)說明

SMTP連接處理速率：SMTP連接處理速率反映了郵件系統(tǒng)對SMTP連接請求的能力。在測試中，我們選取在不丟失SMTP連接前提下60秒鐘的平均值，其結(jié)果表示為每秒處理的連接數(shù)。

平均延遲時間：是指從發(fā)送SMTP連接請求開始，到收信服務(wù)器成功接受到郵件第一位數(shù)據(jù)時的時間間隔。

（計算機世界報 2006年07月03日 第25期 C5、C6、C7）