1 引言
隨著信息技術(shù)的推廣和互聯(lián)網(wǎng)的普及����,電子郵件日益成為人們不可或缺的重要通信手段。電子郵件以其便捷、高效率和低成本受到人們的青睞,但與此同時一些別有用心的個人或組織恰恰利用了電子郵件的優(yōu)勢大肆發(fā)送未經(jīng)收件人許可的內(nèi)容���,傳播散布不受歡迎甚至違禁內(nèi)容。據(jù)中國互聯(lián)網(wǎng)協(xié)會反垃圾郵件中心2008年第1季度數(shù)據(jù)顯示�����,中國網(wǎng)民收到垃圾郵件的比例為56.7%�����,平均每周收到垃圾郵件的數(shù)量為17.64封���。這些垃圾郵件在互聯(lián)網(wǎng)的蔓延,污染了網(wǎng)絡(luò)環(huán)境����,消耗了大量網(wǎng)絡(luò)資源����,影響了網(wǎng)絡(luò)安全���,干擾了人們正常通信�。本文是基于參加互聯(lián)網(wǎng)協(xié)會反垃圾郵件工作組工作及反垃圾郵件項目實施經(jīng)驗�����,從保障網(wǎng)絡(luò)安全的角度討論了垃圾郵件的防范體系���。
2 垃圾郵件的定義
國際上對垃圾郵件并沒有統(tǒng)一的標準��,國際通常分別從發(fā)件行為是“未經(jīng)許可或未經(jīng)同意的高頻率�����、大量的電子郵件(Unsolicited Bulk E-mail�,UBE)”和發(fā)件內(nèi)容“未經(jīng)許可或未經(jīng)同意商業(yè)郵件(Unsolicited Commercial E-mail���,UCE)”兩種方式來定義垃圾郵件����。
我國《防范互聯(lián)網(wǎng)垃圾電子郵件技術(shù)要求》中對于垃圾郵件的定義是指收件人事先沒有提出要求或者同意接收的廣告、電子刊物�����、各種形式的宣傳品等宣傳性的電子郵件以及隱藏發(fā)件人身份�、地址或者含有虛假的信息源、發(fā)件人�、路由等信息的電子郵件。我國《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》中雖未明確提出“垃圾郵件”的定義����,但明確了禁止的行為和不允許使用電子郵件傳輸?shù)膬?nèi)容。該管理辦法第12條和第13條規(guī)定未經(jīng)授權(quán)不得利用他人的計算機系統(tǒng)發(fā)送電子郵件��,不得將采用在線自動收集����、字母或者數(shù)字任意組合等手段獲得的他人互聯(lián)網(wǎng)電子郵件地址用于出售、共享���、交換或者向這些電子郵件地址發(fā)送互聯(lián)網(wǎng)電子郵件����,不得隱匿或者偽造互聯(lián)網(wǎng)電子郵件信封信息����;不得未經(jīng)接收者明確同意,向其發(fā)送包含商業(yè)廣告內(nèi)容的互聯(lián)網(wǎng)電子郵件等��。第11條規(guī)定了電子郵件禁止傳播包含《中華人民共和國電信條例》第57條所禁止的9條內(nèi)容�。
3 垃圾郵件的分類
根據(jù)垃圾郵件的定義和垃圾郵件的特點可將垃圾郵件分為兩大類:第一類是信件由非法發(fā)件行為發(fā)出,主要是指違背協(xié)議����、隱匿偽造發(fā)件相關(guān)信息、不遵守常規(guī)模式(如以極高的頻率發(fā)送郵件���、用字符不同的排列組合猜測用戶名等)����,無論信頭信體是否為合法信息�,發(fā)件人的發(fā)送行為就是不符合規(guī)范的;第二類是信件包含法律法規(guī)所禁止的內(nèi)容�����,《中華人民共和國電信條例》第57條明確指出了9種不允許的信息���。
因此�,電子郵件基于行為和內(nèi)容可以分為非法行為發(fā)出合法內(nèi)容的信件(簡稱A型),非法行為發(fā)出非法內(nèi)容的信件(簡稱B型)���,合法行為發(fā)出非法內(nèi)容的信件(簡稱C型)�����,正常郵件4種情況進行判斷(見圖1)�。
圖1 電子郵件的4中類型
3.1 非法行為發(fā)出合法內(nèi)容的信件和非法行為發(fā)出非法內(nèi)容的信件(A型和B型)
A型和B型判斷垃圾郵件的主要判斷依據(jù)是“非法行為發(fā)出的信件”�����,也就是圖1中大橢圓所包含的部分����。發(fā)送垃圾郵件的主要目的包括商業(yè)、政治輿論�����、破壞網(wǎng)絡(luò)安全及其他目的�����。垃圾郵件只有達到較大的發(fā)件數(shù)量且針對某個特定群體有較高的覆蓋率才能達到發(fā)件人的目的。垃圾郵件發(fā)送者在制造垃圾郵件的時候就要考慮發(fā)送效率問題�,因此絕大多數(shù)的垃圾郵件制造者采用自動化程度較高的群發(fā)腳本、程序在短時間內(nèi)高頻率發(fā)送大量郵件����,與此同時垃圾郵件發(fā)送者通常采取隱匿或偽造發(fā)件信息的辦法逃避處罰和規(guī)避接收者溯源針對源頭防范垃圾郵件��。其中�,A型非法行為發(fā)出合法內(nèi)容的信件在一定程度上是可以容忍的,比如某些合法機構(gòu)或個人為了提高大量信件的發(fā)件效率或者進行商業(yè)推廣采取一些投機取巧的辦法�����,而B型非法行為發(fā)出非法內(nèi)容的信件是法理難容的�。A型垃圾郵件主要包括商業(yè)廣告、推廣信息等����。B型垃圾郵件主要包括病毒、欺詐信息���、色情暴力�����、政治敏感信息等����。
3.2 合法行為發(fā)出非法內(nèi)容的信件(C型)
目前,該類垃圾郵件占全部垃圾郵件的比例是比較低的�,但危害極大。這類垃圾郵件的發(fā)件行為從技術(shù)上講完全遵循相關(guān)協(xié)議�,由于發(fā)件行為是合乎規(guī)范的(沒有高頻率、偽造隱匿等特征)����,所以不可能大肆制造廣泛傳播,此類垃圾郵件主要是針對某個確定的小群體�����,某些十分確定的人進行傳播非法信息或危害網(wǎng)絡(luò)安全的活動���,收件人與發(fā)件人有可能是較為熟識的關(guān)系�����。C型垃圾郵件主要包括政治敏感信息���、色情暴力���、病毒與網(wǎng)絡(luò)欺詐等內(nèi)容。
4 垃圾郵件對網(wǎng)絡(luò)安全的威脅
發(fā)送垃圾郵件的非法發(fā)件行為嚴重浪費網(wǎng)絡(luò)資源�����,影響正常網(wǎng)絡(luò)服務(wù)�����。當(dāng)有限的網(wǎng)絡(luò)帶寬上充斥著大量非正常郵件流量����,其他業(yè)務(wù)流量勢必受到影響�,大量的垃圾郵件短時間內(nèi)爆發(fā)會造成網(wǎng)絡(luò)擁塞,使互聯(lián)網(wǎng)不堪重負�。垃圾郵件的存儲和處理占用消耗大量的郵件服務(wù)器的資源��,導(dǎo)致郵件系統(tǒng)服務(wù)性能下降�。
如圖2所示����,A和B具備非法發(fā)件的特征�����,B和C具備非法內(nèi)容的特征。其中��,B是具備兩種特征的垃圾郵件���,該類型危害最大�����。
圖2 垃圾郵件非法行為與非法內(nèi)容危害程度
4.1 A型垃圾郵件對網(wǎng)絡(luò)安全的威脅
A型垃圾郵件主要特點是采取高頻率大量群發(fā)郵件��,其主要危害是威脅網(wǎng)絡(luò)及郵件服務(wù)正常運行���,鑒于其內(nèi)容有一定的合法信息量,這類垃圾郵件主要是商業(yè)廣告����、推廣信息等,其危害主要集中在網(wǎng)絡(luò)及郵件服務(wù)上���,如針對年輕人的電子產(chǎn)品推介信息���,針對女性的美容信息等�����。最終用戶對此類郵件在某種程度上是可以適當(dāng)容忍的��。
4.2 B型垃圾郵件對網(wǎng)絡(luò)安全的威脅
B型垃圾郵件既采用了非法的發(fā)件行為危害網(wǎng)絡(luò)及郵件正常運行�,同時發(fā)送的又是法律法規(guī)明令禁止的虛假的�����、不健康的����、反動的內(nèi)容等信息��。此類垃圾郵件無論從法律上還是情理上都是無法容忍的���,該類郵件對網(wǎng)絡(luò)及郵件服務(wù)和用戶均有嚴重影響�。此郵件危害最大��。
4.3 C型垃圾郵件對網(wǎng)絡(luò)安全的威脅
C型垃圾郵件具備了B型垃圾郵件內(nèi)容上非法的特點�,但是對網(wǎng)絡(luò)和服務(wù)器的影響較小,C型垃圾郵件的危害主要集中在用戶身上�。C與B相比��,C對網(wǎng)絡(luò)和郵件服務(wù)影響較小�,但是造成的不良危害與B是相同的�����。此類也是無法容忍的��。
中國互聯(lián)網(wǎng)協(xié)會反垃圾郵件中心2008年4月發(fā)布的《2008年第一次中國反垃圾郵件狀況調(diào)查報告》中指出�,在18類垃圾郵件中,國內(nèi)用戶最難以忍受的垃圾郵件內(nèi)容前4位分別是:病毒�����、欺詐內(nèi)容�、色情暴力、政治敏感信息��;后4位分別是:房源信息��、IT產(chǎn)品推銷�、訂票/訂房/旅游、其他��。顯然����,用戶難于接受的垃圾郵件主要集中在非法內(nèi)容上�����,即B和C兩類垃圾郵件���,能一定程度容忍的垃圾郵件體現(xiàn)在有一定合法信息量的A中。盡管最終用戶對于A類型的垃圾郵件是可以適度容忍的�,但是A類垃圾郵件對于互聯(lián)網(wǎng)服務(wù)負載的負面影響是不可低估的。
5 垃圾郵件防范技術(shù)
目前���,垃圾郵件呈現(xiàn)如下特點:發(fā)件人地址隨著郵件主題隨機變化��、偽造郵件頭干擾信息��、信體內(nèi)容隨機變化、正文以圖片方式顯示等���。而反垃圾郵件目前尚無國際標準��,有缺陷的協(xié)議應(yīng)用極為廣泛����,很難有一種新協(xié)議新技術(shù)立刻取代現(xiàn)有協(xié)議,所以現(xiàn)階段無法徹底根治垃圾郵件問題�。但我們可以基于3種類型的垃圾郵件進行分類討論分析,在今后的垃圾郵件治理過程中針對不同類型的垃圾郵件進行疏堵結(jié)合�����,盡可能降低垃圾郵件對網(wǎng)絡(luò)安全的威脅���。從垃圾郵件的產(chǎn)生與傳播特征入手�,防范技術(shù)可分為預(yù)防技術(shù)與過濾攔截技術(shù)����。廣為熟知的防范新技術(shù)有修補服務(wù)器漏洞,關(guān)閉開放式轉(zhuǎn)發(fā)(Open Relay)���,針對IP�����,域名和郵件地址設(shè)置黑白名單等���。目前,熱點的預(yù)防性技術(shù)主要有:挑戰(zhàn)應(yīng)答模式(Challenge-Response),Domain Keys��,SPF (Sender Policy Framework)�����,SenderID�����,電子郵票等����。這些基于完善協(xié)議加強認證思路的防范技術(shù)需要MTA(Mail Transport Agent郵件傳輸代理)與MDA(Mail Deliver Agent郵件投遞代理)配合應(yīng)用才能起效,但由于目前標準不統(tǒng)一����,普及度有限,所以從防范技術(shù)入手收效甚微�����。垃圾郵件過濾是目前使用最為廣泛的防范垃圾郵件手段�。從垃圾郵件的分類基于行為和基于內(nèi)容的角度來看����,判別過濾垃圾郵件技術(shù)也可以分為基于發(fā)件進行“行為識別”和基于內(nèi)容進行“內(nèi)容過濾”���。
5.1 “行為識別”技術(shù)
“行為識別”技術(shù)是指根據(jù)郵件發(fā)送行為判斷其是否是合法的技術(shù)。采用這種技術(shù)�,可以不用考慮郵件內(nèi)容,僅僅根據(jù)其發(fā)送的行為判斷此郵件是否屬于垃圾郵件�。郵件傳輸遵循SMTP協(xié)議的,任何不滿足該協(xié)議規(guī)范的郵件都有理由判斷為垃圾郵件������!靶袨樽R別”通過對郵件發(fā)件行為與若干條規(guī)則進行比對,同時還需要通過大量統(tǒng)計發(fā)送垃圾郵件行為特征�,不斷分析正常和異常的發(fā)件行為特點,將垃圾郵件特征形成行為識別模型������!靶袨樽R別”技術(shù)模型中包含了發(fā)件源頭信譽的檢查、SMTP連接頻率���、反向域名解析驗證等諸多要素����,“行為識別”是針對協(xié)議進行的掃描,不涉及信體內(nèi)容�����,有效地避免了內(nèi)容圖片化���,正文文字變造引起的過濾失效����!靶袨樽R別”技術(shù)所作的判斷過程基本在開始傳輸DATA之前結(jié)束�。采用垃圾郵件行為模式識別模型不僅大大提高了垃圾郵件辨別的準確率���,而且不需要對信件的全部內(nèi)容進行掃描��,無需接受完整郵件��,節(jié)約了網(wǎng)絡(luò)和郵件服務(wù)器資源���。
5.2 “內(nèi)容過濾”技術(shù)
除去網(wǎng)絡(luò)攻擊目的垃圾郵件外,其他的垃圾郵件都需要通過郵件內(nèi)容達到其目的�。因此�����,針對內(nèi)容過濾的“內(nèi)容過濾”技術(shù)應(yīng)運而生。早期的內(nèi)容過濾是根據(jù)關(guān)鍵字庫中的關(guān)鍵字��,將信件正文進行分詞�����,一旦分詞與關(guān)鍵字匹配一致即判斷為垃圾郵件�。但是,相同的詞語在不同的語境中語義會有很大差異����,因此關(guān)鍵字過濾誤判率很高。目前�,內(nèi)容過濾技術(shù)主要采用基于統(tǒng)計的方法,是指對郵件內(nèi)容進行分詞統(tǒng)計然后對內(nèi)容進行主題分類����,從而實現(xiàn)過濾。目前����,常用的文本分類統(tǒng)計技術(shù)有貝葉斯算法��,該方法在進行過濾之前��,需要龐大的垃圾數(shù)據(jù)樣本庫����。過濾時先通過統(tǒng)計獲得特征項在垃圾郵件中出現(xiàn)的先驗概率��,再利用統(tǒng)計中的貝葉斯公式���,求得含有這些特征項的郵件是垃圾郵件的后驗概率��,該過濾方法是以先驗概率進行內(nèi)容評分��,從而判定其所屬類型����。此外����,還有基于SVM(支撐向量基)的過濾,基于神經(jīng)網(wǎng)絡(luò)的過濾等��。
盡管我國《防范互聯(lián)網(wǎng)垃圾電子郵件技術(shù)要求》給出垃圾郵件客戶機防范功能要求和防范垃圾郵件的方法��,并明確了電子郵件的格式,但是垃圾郵件發(fā)送者在利益的驅(qū)動下不斷改進發(fā)送垃圾郵件的方法�����,因此急需專業(yè)�����、系統(tǒng)的防范體系與設(shè)備支撐反垃圾郵件工作���。
6 垃圾郵件防范體系
根據(jù)目前垃圾郵件的現(xiàn)狀與特征,我們根據(jù)實際工作經(jīng)驗總結(jié)出了基于預(yù)防與過濾攔截相結(jié)合的多層防范體系(見圖3)�����。
圖3 垃圾郵件防范體系圖
一封郵件的送達需要從郵件用戶代理(MUA)到郵件傳輸代理(MTA)再到郵件投遞代理(MDA)多個環(huán)節(jié)�,我們可以針對每個環(huán)節(jié)進行多層次的防范。垃圾郵件發(fā)送者制造一封垃圾郵件要通過MTA傳播出去�����,因此首先關(guān)閉MTA到MTA之間開放式轉(zhuǎn)發(fā)(Open Relay)�����,不給垃圾郵件跳轉(zhuǎn)傳播的機會。在MTA(Mail Transport Agent����,郵件傳輸代理)將電子郵件傳送至MDA(Mail Deliver Agent,郵件投遞代理)的時候����,應(yīng)該采取行為過濾的方式對垃圾郵件進行過濾,通過行為過濾可以去除A型和B型垃圾郵件����,此后再將剩余的郵件采取“內(nèi)容過濾”的方式進行過濾。從網(wǎng)絡(luò)分層的角度講�����,可以在網(wǎng)絡(luò)層進行如IP并發(fā)連接限制����、IP連接頻率限制、IP連接速率控制��、動態(tài)黑白名單等行為識別過濾���。在會話層進行DNS反向查詢����、HELO域名有效性查詢、行為模式判斷等行為識別����。最后,在應(yīng)用層進行基于自定義規(guī)則庫����、貝葉斯過濾或其它算法的內(nèi)容過濾等�����。如果相關(guān)發(fā)件源頭認證技術(shù)能夠形成統(tǒng)一的標準并予以廣泛推廣���,從MTA到郵件MDA之間引入適當(dāng)?shù)恼J證也會大大抑制垃圾郵件���。
在進行攔截過濾的同時,用戶應(yīng)及時向郵件服務(wù)提供商提供個人垃圾郵件樣本和反饋過濾情況�����,以便郵件服務(wù)提供商適時做出適當(dāng)調(diào)整��。各個具備內(nèi)容過濾功能的產(chǎn)品需要大量垃圾郵件樣本,豐富自己的規(guī)則庫��,理論上垃圾郵件樣本庫趨于無限大����,過濾效果趨近于100%。同時�����,各個具有過濾功能的服務(wù)器或其他設(shè)備應(yīng)定期將本系統(tǒng)垃圾郵件動態(tài)信息逐級上報���,并根據(jù)上一級垃圾郵件信息處理中心下發(fā)的策略對本系統(tǒng)進行調(diào)整(見表1)��。
表1 垃圾郵件分層過濾表
先采取“行為模式”識別后采取“內(nèi)容過濾”的好處是��,“行為模式”在協(xié)議掃描時是不接受郵件信體數(shù)據(jù)的��,也就是說付出較小的代價進行初篩���,過濾掉大部分垃圾郵件后再采取“內(nèi)容過濾”的方式分析剩余信件的內(nèi)容進行再次篩查。
郵件服務(wù)器過濾的效果無法達到絕對準確���,當(dāng)用戶收到通過過濾的信件時����,可以根據(jù)個人偏好判斷、分辨出漏判信件����,并通過查看過濾報表找出誤判信件并將信息反饋至過濾設(shè)備,過濾設(shè)備根據(jù)用戶反饋信息進行調(diào)整��。
7 結(jié)束語
本文從垃圾郵件的產(chǎn)生原因與傳播特點論述了垃圾郵件的技術(shù)防范體系����。我國《中華人民共和國電信條例》明確把電子郵件服務(wù)歸類為增值服務(wù),鑒于垃圾郵件對網(wǎng)絡(luò)安全的巨大危害和對廣大用戶工作生活的侵擾���,應(yīng)積極推動電子郵件技術(shù)及其相關(guān)標準和協(xié)議的演進,加大對與發(fā)送垃圾郵件者的懲處力度����。
