垃圾邮件的危害与防范
开篇:润墨网以专业的文秘视角,为您筛选了一篇垃圾邮件的危害与防范范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要:垃圾邮件对互联网的发展造成了严重的妨碍和危害,我们应了解邮件的发送和接收原理,并运用这些原理进行对垃圾邮件的防御,恰当的规则定义和使用RBL等服务是防御的主要手段。
关键词:垃圾邮件 电子邮件协议内容 过滤规则 RBL
中图分类号:TP393 文献标识码:A 文章编号:1007-3973(2013)001-103-02
随着互联网技术飞速发展,电子邮件应用范围也越来越广泛,成为企业、个人工作生活不可或缺的联络方式,随之而来垃圾邮件(SPAM)数量也与日俱增,大量的垃圾邮件压倒正规邮件,重复、毫无益处、喧宾夺主的邮件迅速成为互联网的重大顽疾之一。垃圾邮件泛滥:(1)危害了互联网的发展,占用了大量的传输、存储和运算资源,造成网络资源和存储的浪费。垃圾邮件又是病毒快速传播的主要载体。(2)由于垃圾邮件具有反复性、强制性、欺骗性和传播速度快等特点,严重干扰了个人的正常生活,浪费了用户的时间、精力和金钱。使得真正有用的E-mail要么因为信箱已满而进不来,要么淹没在一大堆Spam中。(3)垃圾邮件危害了现实社会,成为不良信息的主要传播载体。少数别有用心者利用垃圾邮件散播各种虚假信息或有害信息,严重危害了社会的稳定。在全球垃圾邮件重灾区的数据中,第一位一直是美国,而此前几年中国是仅次于美国的垃圾邮件大国,但这些年,在国内各方面共同努力下,中国的垃圾邮件占全球比例直线下降,在2010年份开始,已经从全球前5名的名单中脱离。然而虽占总比例下降,但垃圾邮件数量却不断增加,对国内信息化发展造成的危害依然很大,应对垃圾邮件的形势依然严峻。
电子邮件的发送接收流程相如图1所示。
电子邮件的协议和内容是由RFC文档规定而成的,这里SMTP协议,由RFC821所定义,控制如何传送电子邮件,通过Internet将其发送到目的服务器。POP3协议,由RFC1725所定义,它允许用户访问自己的邮件,然后将内容传送到他们本地的MUA。电子邮件的标准格式由RFC 822定义,除了由一个用户传递给另一个用户的信息之外,电子邮件中还包含附加的服务信息。SMTP利用这些信息来传递邮件,POP3则利用这些信息来对邮件进行分类接收。每封邮件都有两个部分:信头和主体。信头部分的字段可分为两类:一类是由你的电子邮箱程序产生的,另一类是邮件通过SMTP服务器时被加上的。在所有被SMTP服务器加上的字段中,对我们而言最重要的是Message-Id字段。这个字段是由你传向的SMTP服务器加上的。这是一个唯一的ID号。你可用这个号码作为邮件的编号。下面列出了可由用户的邮件程序控制的主要信头字段:From 邮件作者;Sender 发信人;Reply-To 回邮地址;To 收信人地址;CC 抄送:另一个收信人地址;BCC 密送:密送收信人地址。Subject 主题;In-Reply-To 被当前邮件回复的邮件的ID;Date 发信日期。现在电子邮件内容更加丰富,不仅传输各种文本内容,而且还需要传输各类非文本文件,如图像、视频、压缩文件等,根据这些需求,MIME协议被定义,它由RFC1521和RFC1522这两个标准构成,作为RFC822的补充。
垃圾邮件过滤的常用办法,是通过对发件人,收件人,邮件头,邮件正文等进行比较分析,通过白名单、黑名单结合,定义过滤规则对违规邮件进行过滤。简要说来,白名单就是设置一个允许规则,对其中的内容视作信任全部允许,黑名单则相反,对其中的内容视作不信任,不允许通过。黑白名单的内容可以和邮件地址地址、邮件头内容如发送者IP等相结合自由定义。过滤规则可以是一些规则的集合,对触发规则的动作就认为是垃圾邮件,规则内容可以灵活设置,根据不同的垃圾邮件特征综合考虑。这里举一些常用规则的例子来看一下。
1发件人IP地址伪造检查
在邮件发送的时候,中间会经过若干台服务器,每经过一台服务器,会在邮件头加入一条received信息,按照经过服务器顺序由后向前添加,邮件中的from和to是可以由发件人自己定义的,一些垃圾邮件发送者为了掩饰身份经常伪造from地址,伪装发件人,但是邮件头的received信息是邮件服务器自己添加的,通过比较received域,我们可以确定邮件是从哪个邮件服务器发出来的,而确认真实发送人的来源,识别伪造信息。在邮件中用户自己就可以查看到邮件头的信息,如163提供的免费邮箱里,查看邮件时选择邮件上方的更多就有“查看邮件头”的选项。
2大量相似群发邮件检查
在短时间内,邮件服务器收到了大量来自同一IP地址发送的电子邮件,就可以认为此IP地址可能是垃圾邮件发送服务器或者被垃圾邮件攻陷利用的发送服务器,可以针对这一IP地址做行为过滤。还有种情况在短时间内收到大量由不同IP地址发送,但是投递的邮件内容基本相同,这时也可以认为此邮件可能是由自动程序发出,可以针对邮件内容作行为过滤。
3垃圾邮件目的词汇检查
现在无目的垃圾邮件已经很少了,大部分垃圾邮件都和经济利益相关,这要求垃圾邮件的用词有一定规律,有些词汇在垃圾邮件中是出现次数比较高的,如free、免费、实惠、发票、供应等等,当在邮件主题或内容中匹配若干条嫌疑词汇,可以认为此邮件可能为垃圾邮件。现在反垃圾邮件系统已经向智能化识别发展,如发票一词,虽然频繁出现在垃圾邮件中,但在正常邮件里也是有的,简单的限制发票,会把正常邮件也拒之门外,这时我们可以赋予其智能规则,如出现发票一词,威胁度加1,如在此基础上再出现优惠、代开等字样再加1,当威胁度到达一个值如3时,智能识别就可以认为此邮件为垃圾邮件,进行相应处理了。
与垃圾邮件的对抗在持续不断的进行着,现实中垃圾邮件来源千变万化,仅靠管理员个人的力量参与辨认,是不可能完成的任务。所以RBL服务器也随之而生,RBL是Realtime Blackhole List的缩写,译作实时黑名单列表。这个列表一般由专门的组织负责维护,企业可以免费或有偿使用。防御垃圾邮件最彻底有效的手段就是拒绝一切来自恶意的或被利用的垃圾邮件来源站点的连接,这样就能杜绝一切疑似的垃圾邮件了。当然这样做也有可能会拒绝掉来自该站点的正常邮件,但利远大于弊。(1)通过拒绝恶意站点的连接,可以使垃圾邮件的发送量下降,缩小了垃圾邮件市场和压制了垃圾邮件的发展;(2)那些被利用的来源站点一旦被拒绝,可以使站点管理员能发现被利用的情况进行整改。否则,接收任何来源的邮件,不但会影响邮件服务器的性能和容量、带来高额带宽费用,浪费了不必要的时间和人力,而且单纯利用过滤技术会带来很多负载,并且不能保证100%过滤。RBL服务器就是通过将确认后的垃圾邮件来源站点放入一个黑名单,然后通过该名单来保护邮件不受黑名单中站点的侵扰。后的实时黑名单实际上就是一个可供查询的IP列表。举例来说,比如要判断地址11.22.33.44是否被列入了黑名单,使用RBL服务的软件会发出一个查询到RBL服务器,查询是否存在这条记录,如果该地址在黑名单里,服务器会返回一个肯定的回答,如果没有列入黑名单,会得到一个否定回答。目前大多数的主流邮件服务器都支持RBL,RBL提供者一般都是有国际信誉的组织,所以对于该名单是完全可以信任的。
在垃圾邮件的阻挡中,只用某一项或几项单独的技术往往很难实现较好的效果,需要将白名单、黑名单,规则过滤、邮件文本过滤、RBL服务等相关技术共同实施,反垃圾邮件网关的智能过滤和企业的自定义规则互相补充,病毒扫描引擎和邮件网关关联互动等手段相结合,魔高一尺,道高一丈,有着利益因素在驱动,垃圾邮件越来越花样百出,但综合运用各种方法防治垃圾邮件的手段也会向更高处发展。