垃圾邮件呈现三大特别趋势 阻止行动迫在眉睫

发送大量邮件、钓鱼攻击以及其他形式的垃圾邮件攻击事件,构成了目前邮件威胁的主体，操纵者多为大量滥发电子营销邮件的商家、黑客和邮件犯罪组织。

任何邮件管理员都很清楚,一旦新的电子邮件服务器IP地址公布在互联网DNSMX纪录上，便会立即成为滥发电邮的对象。此外,最近一个全球非正式组织(http://www.spamhaus.org)组建了一个已知不良邮件帐户的外部阻断名单，显示出阻止垃圾邮件已迫在眉睫。

对于反滥发邮件措施,电子邮件管理者应该意识到三个特别趋势：

·互联网上增加了大量垃圾邮件

·身份验证的手段在不断变化

·图片垃圾邮件和它在邮件构成中的影响

只有依据这些趋势精心策划邮件防护部署，邮件管理员才能够保护他们的邮件在互联网不断变幻情况下的安全性。

网络上大量增加垃圾邮件

梭子鱼研发中心（http://www.barracudanetworks.com.cn）是一个先进的技术运营中心，工程师监听不断变化的邮件趋势并收集邮件，目前，全世界有3.5万台梭子鱼垃圾邮件防火墙部署在邮件服务器前端。根据梭子鱼中心最新分析，垃圾邮件占全部电子邮件总数的85％。

虽然近年来，被公认为最大的互联网服务提供商(ISPs)经历过垃圾邮件占邮件总数的99％的可怕事件，但更令人惊讶的是垃圾邮件的传播范围之广，波及小型ISPs、企业、教育机构、政府机构、甚至是个体商户。

总之，网络上垃圾邮件的总体数量在过去6个月 (2006年5月至2006年11月)里增加了15％。垃圾邮件的激增对小型企业产生了极大的影响。梭子鱼研发中心观察到多个电子邮件系统，垃圾邮件整体升幅达100～200％。

除了垃圾邮件总体数量增大，梭子鱼中心还观察到流量图反映垃圾邮件"爆发"趋势，预示垃圾邮件发送者集中发布攻击，虽然这只是个别典型，但在"爆发"期间大企业的邮件数也许会增长25～50％，梭子鱼中心负责观察垃圾邮件数量是处于正常级别或在高峰阶段超出标准，我们相信垃圾邮件发送者在高峰时间制造网络阻塞，是为了在垃圾邮件过滤器扫描大量的垃圾邮件时增加正常邮件的延迟时间。垃圾邮件发送者希望借此迫使管理员暂时性的关闭他们的垃圾邮件过滤装置，而变相的为垃圾邮件发送者大开方便之门。

发展意图分析技术

意图分析包括鉴别历史记录里的错误邮件发送基点、它们目前的行为和意图。许多防御策略用来鉴别垃圾邮件，而意图是一随时间而改变的特殊类别。

历史行为和黑名单

基于历史行为的意图分析是垃圾邮件防护的支柱。梭子鱼中心和其他外部组织，例如Spamhaus，数据库维护，或黑名单，有邮件发送双方的IP地址和被垃圾邮件发送者转发的IP地址。利用这些黑名单，垃圾邮件解决方案能拒绝已知无实际邮件发送的连接企图，从而节省处理量。例如梭子鱼垃圾邮件防火墙，基于简单的黑名单列表阻断垃圾邮件的连接达邮件总数的50～60％。

垃圾邮件发送者利用多重技术绕过黑名单。最简单的绕过黑名单的技术是简单的改变ISPs或者变更他们邮件服务器的IP地址。虽然垃圾邮件发送者的新的IP地址佷容易被发现，这是一项非常简单的技术，但是为了谋求商业利益，垃圾邮件发送者们认为值得这么做。

更先进的绕过技术利用或被感染的僵尸计算机绕过黑名单。垃圾邮件发送者利用大部分都是没有垃圾邮件发送史的僵尸机来代发邮件。此外，通过僵尸机的IP地址分发不良邮件，使他们能够隐蔽较长时间。

最近，梭子鱼中心发现一个关于"pulsing zombies"的新动向，狡猾的垃圾邮件发送者通过特殊僵尸机发出爆发邮件，允许它蛰伏一段时间，企图在IP地址从黑名单中解除之后恢复使用。虽然这些邮件最终会被下一层保护所阻断，这些层通常需要实际接收和扫描这些邮件，从而对处理能力有更高的要求。

当前行为分析和速率控制

新的垃圾邮件发送者无论做何手段，永远为了发送垃圾邮件，所以重要的是基于当前的行为分析其意图，阻止和邮件服务器的连接，以及将试图对不存在的收件人发送大量邮件的请求延期，是一个分析DHAs的很好的办法。阻止与不可信的邮件服务器的连接，或者将同一时间内发送超过流量极限的大量邮件的请求延期，也是一个很好的抵抗办法。

尽管如此，僵尸机还是会给当前行为制造更多的挑战。由于受制于网络规模，狡猾的垃圾邮件发行者会通过不同的路径向相同的EAMIL域名发送相同的邮件，以使他们的流量控制在特定限额以下。

虽然，梭子鱼中心用速率控制和收件人验证持续观察垃圾邮件阻断的上限。这些校验方法适用于网络攻击活动的增加。大多数狡猾的垃圾邮件发送者似乎有意逃避邮件通过速率控制。

意图分析

大部分垃圾邮件背后的动机是使其接受某物，例如登陆某个站点，拨打某个电话，或者买只股票。这些动机被成为邮件"意图"，观察邮件的这些特点叫做"意图分析"。目前为止，大部分垃圾邮件的意图都是让用户点击一个网页或链接。

即使邮件发送者试图通过新IP地址掩盖他们的不良记录，他们最终还是需要驱使用户去特定的网站。梭子鱼中心维护着垃圾邮件发送者常用网站地址库，能够基于邮件中插入的站点地址阻断邮件。

某些垃圾邮件倾向需要梭子鱼垃圾邮件防火墙本身进行一些额外的处理。例如，提供免费的主机服务已是一种趋势，利用免费邮箱好处是垃圾邮件发送者能够轮流使用自己的邮件地址且没有费用。通过高效的意图分析，梭子鱼垃圾邮件防火墙能够跟踪链接并尝试确定是否链接免费站点最终确定垃圾邮件者的网站。

意图分析是阻断垃圾邮件非常有效的手段，它的有效性随着黑名单有效性的相对减少而增加。梭子鱼中心分析在梭子鱼垃圾邮件防火墙的过滤邮件中，意图分析过滤占10～20％。

通过传统的扫描，有效文本扫描，包括意图分析，梭子鱼中心观察到链接图片邮件和图片附件有增大趋势。图片垃圾邮件的比率占到了垃圾邮件总数的15～25％。

博威特研发了几项能有效地阻止图片垃圾邮件的方法，包括图片分析，OCR技术和指纹识别技术。所有的邮件主体部分包括图片，梭子鱼垃圾邮件防火墙生成邮件指纹。梭子鱼中心维护已知图片垃圾邮件数据库来阻断邮件。图片对应已知的指纹法对付图片邮件佷有效。

另外，梭子鱼中心开发OCR防护层，这是集合多种指纹分析的有效技术，包括破解图片构成，变更象素，更改密码设置。基于这些技术，梭子鱼垃圾邮件防火墙分解图片，运行OCR技术提取文本进行分析。这一技术对付图片垃圾邮件非常有效。

一些垃圾邮件发送者利用GIFs动画文件试图回避OCR技术，然后交换技术发送这些邮件。梭子鱼垃圾邮件防火墙改造GIFs动画文件结构，分析合成图片和行为，利用特定规则判定动画文件。

虽然梭子鱼垃圾邮件防火墙能够有效阻断图片垃圾邮件，如OCR技术，它们需要更高的处理能力。这些处理能力占用了某些文本扫描进程。尽管如此，梭子鱼垃圾邮件防火墙的消费者仍需要系统增加对图片垃圾邮件和其他新型垃圾邮件的处理能力。

梭子鱼垃圾邮件防火墙的型号

活跃邮件用户规格应该与具有典型的邮件扫描选项设置的最终用户相匹配.具有大量电子商务应用,独立的互联网邮件流量模式或者存在高流量Web应用的组织可能需要更高型号的系统。

在确定了活跃邮件用户规格后,用户需要检查邮件处理能力的峰值,这个规格描述了梭子鱼垃圾邮件防火墙连接管理的有效性参数。暴力连接管理层在被攻击的情况下,不但对高级的ISPs,而且对小公司都非常重要。

在这种情况下,典型的99%的这种邮件连接企图都可以通过比如速率控制、IP黑名单和收件人验证等技术来阻断。由于大多数公司的活跃邮件用户很少会与邮件处理容量的峰值情况相一致,因此，实际使用中还要为被攻击的情况下的上限值考虑余量。（SY）