跳到主要內容區塊

搜尋
手機板瀏覽
::: 資安新聞 活動訊息 手機資安 法規介紹
我是連結

郵件過濾

2018-11-08 fb  

郵件過濾[1]

〔一〕IP位址過濾法

1.經由外送SMTP伺服器:

  這種方法因為是在所屬服務提供者之伺服器發送,很容易可以抓到發送者並予以懲處,現在已經很少人使用這種方法送廣告信。

2.經由開放轉寄服務主機:

  透過「黑白名單」技術能對特定的網域、郵件來源或IP位址做有效的阻擋,一經比對確認即阻擋此來源方式之郵件。這種技術的優勢在於不佔用系統資源,容易部署;缺點是需要用戶手動維護,而且垃圾郵件發送者可以通過更改相關資訊來規避過濾。對於來自開放轉寄主機的垃圾郵件即可使用「黑名單」的方式將 其表列出來。但是自己維護這張表格實在太累,而且網際網路上的資訊是共享的──同樣的事情可以不要一直重複的做,於是IP-based DNSBL(DNS BlackList)就產生了。
  IP-based DNSBL是一份以DNS為基礎架構的黑名單系統,運作方法如下:
當ccca.nctu.edu.tw (140.113.27.50)連到你的SMTP伺服器時,你的SMTP伺服器會向DNSBL詢問50.27. 113.140.relays.ordb.org是否有A record,如果有則代表在黑名單內,這時候就Reject掉。
其中比較有名的DNSBL有*.mail-abuse.com及bl.spamcop.net及relays.ordb.org[2]。

透過DNS查詢有以下的好處:
●Low Overhead:主要是以DNS當作後端應用的效率比起MySQL或其他資料庫架構的還高。
●Existence Protocol:郵件伺服器本來就會透過DNS查詢一些資訊,現在再透過DNS多查一些東西,並不需要特地在防火牆上設定其他的東西。
●High Hit-Rate Cache for DNS:因為廣告信會透過同一IP位址持續發送一段時間,所以前例中同樣一筆50.27.113.140.relays.ordb.org會在短時間內被查很多次,但這會被DNS伺服器攔截,所以效率很高。
另外補充的一點,ORDB會自動偵測是否為開放轉寄的主機,不需要擔心誤判。

3.直接連接伺服器:

  幸好目前在台灣幾乎所有網際網路服務提供者都有正確的將靜態及動態IP位址範圍設定在反解上,所以在郵件伺服器上可以指定拒收透過動態IP位址所寄來的信件。國外有人曾經嘗試以IP-based DNSBL的方式將動態IP位址區段列表,不過這項資訊在許多網際網路服務提供者被列為商業機密,並不容易取得。

bl.spamcop.net是其中一個少數採用動態IP位址區段列表的例子,他們嘗試利用時問差,希望能成功減少廣告信,說明其概念如下:
●數千萬筆的垃圾郵件發送一次需要幾個小時。
●有些人會先收到,有些人會後收到。
●先收到的人趕快連上spamcop.net報告。
●spamcop.net在收到以後將IP位址列入bl.spamcop.net的黑名單內。
於是垃圾郵件發到一半的時候,就很有可能可以在bl.spamcop.net的IP-based DNSBL內查到,而將後續的垃圾郵件擋下。

4.經由代理伺服器:

  這些Open Proxy及Open Socks同時也是IRC的敵人,所以這部分有國外的IRC Group列入IP-based DNSBL。可以參考使用opm.b1itzed. org[3]過濾之。

5.透過彊屍電腦:

  前述四種方式都有技術上防治的途徑,但透過Bot程式感染的主機發送時,並沒有比較簡單的方式可以抵抗。

〔二〕郵件內容過濾法

  所述垃圾郵件內容,可使用下述兩種郵件內容分析方式:

1. Pattern filter

  此種過濾方式屬於一種「條件過濾」,根據郵件內容的主題名稱、文本、附加檔案名稱…等等條件來過濾。針對郵件的內容,利用邏輯的判別來達到分析處理,可設定接收、阻檔、轉寄等各項動作。
  透過廣告信內常出現的特徵如「隱形圖片」會有WITDH=0 & HEIGHT=0 的IMG標籤:這種標籤常常是拿來確認信箱的(用以確定這個電子郵件有人在讀),那麼過濾軟體可以設定「有這類標籤的信件我給3.5分」。知名的郵件過濾軟體「SpamAssassin」即提供大量的過濾規則(Test Rules),每條規則都設定有一個分數,當分析完一封信後若有符合者則計算該規則的分數,當積分超過預設限制的時候,就可認定這封信是廣告信。

  在SpamAssassin判斷電子郵件是否為垃圾郵件的大量過濾規則中,每個規則都會對應一個正分或負分,如果郵件加總後是正分,就視為垃圾郵件,如果是負分,那就是合法郵件。「負分」機制讓SpamAssassin比其他垃圾郵件過濾軟體來得準確,因為大多數的垃圾郵件過濾軟體僅使用黑白名單和關鍵字加權計分,卻忽略誤判的問題,許多合法郵件內容可能包含過濾的關鍵字,例如「性」和「廣告」等字,都有可能讓合法郵件因評分而變成垃圾郵件,此種正負分機制因而能有效降低正常郵件的誤攔率。

2. Statistical filter

  相對於使用大量的「過濾規則」設計Pattern filter,有另外一批人希望透過統計學的模型。這個想法中,先由訓練軟體分辨「這是廣告信」以及「這不是廣告信」大約各兩百封信,以後就由這些學習模型分析信件。會發展Statistical filter,最主要的原因有二:「個人化需求」及「轉移負荷」。
  個人化需求的部分是因為「自己認為是垃圾郵件的信件,他人並不一定認為是」,所以必須設計一種方式讓使用者調整。而且,對一封信點選「這是廣告信」,比起設計一組Pattern filter是簡單許多。而轉移負荷的部分,則是將設置大量「過濾規則」的時間及人力,由軟體發展者的責任移轉成為由使用者自己訓練的責任。
  著名的貝氏過濾法使用貝氏定理,利用統計分析方式對大量垃圾郵件中常見的單詞進行分析後得出其統計分佈模型,由此推算目標郵件為垃圾郵件的機率。 簡單來說,它是結合事前機率與條件機率導出事後機率的過程。若能持續訓練「貝氏過濾法資料庫」,此方法即能隨著濫發者手法不斷翻新而進步,因而能將偵測垃圾郵件的準確度維持在一定水準之上。

〔三〕SMTP協定過濾法

  無法透過前述「IP位址」或「郵件內容」過濾法而成功抵檔的垃圾郵件仍有下列三種:
●由國外直接連接伺服器
●經由代理伺服器但不在IP-based DNSBL內
●經由彊屍電腦
  我們可以得知這三種方式大多是經由垃圾郵件發送軟體直接發送,而非透過正常郵件伺服器來進行轉送,還好這類的垃圾郵件發送軟體多未依照標準的 SMTP格式撰寫,只求送的到就好。因此就可以利用一些SMIP的技巧來「抵抗」,而灰名單的機制即是有效的防堵方式。

  灰名單主要是針對單獨發送垃圾郵件的程式做有效的防堵。一般垃圾信的發送是直接採用程式或透過彊屍電腦對郵件主機發送,灰名單的作法是讓郵件主機判斷來信是否以偽裝主機發送,還是真正有電子郵件主機的來源,若為真實主機則保留進入的授權。灰名單的原理是依據SMTP協定而來,正常的郵件伺服器若遭遇短暫的傳送失敗,會在一段時間後重送。這個技術即是對這類郵件伺服器送出error code 45x,正常的郵件伺服器在看到error code 45x後會在一段時間後重送,但目前大多數垃圾郵件軟體為加速發送,在看到error code 45x就會放棄。於是就可以利用這個方法降低廣告信的量。

  除上述所提三種過濾法外,附帶提另一種阻擋垃圾郵件的過濾機制,稱之為「互動式郵遞驗證」 (Challenge-Response)。此法採用的處理程序為彈性「正向表列」作法,可限定只收某些特定來源的郵件,再加上可由非預定寄信者以線上登錄、驗證的機制,處理不在白名單中的郵件。其運作方式如下:

1. 開始啟用互動式郵遞驗證時可以開放「自動將寄出郵件的收件者們加入『已核准名單』」之功能,等一陣子以後關閉此功能(或繼續保持開放)。
2. 在名單以外的寄件者,會收到一封來自郵件伺服器所寄發的通知函,提示該寄件者依循該信中的說明將所屬郵件地址列入「已核准名單」中。

  雖有反垃圾郵件軟體號稱其有效攔阻率達99%,但也因為此種收信方式需要寄件人若干程度的配合,對於電子報或線上交易後的自動回覆郵件等電子商務自動化發展造成阻礙,影響電子郵件在促進資訊流通上的原始初衷,也因此有反對使用此種郵件過濾機制的聲音出現。

____________________________________
[1]佚名;"Anti Spam”;newzilla線上版雜誌。
[2]*.mail-abuse.corn已於2005年6月由趨勢科技併購、relays.ordb.org已於2006年12月31日關站、 bl.spamcop.net仍提供免費服務。
[3]opm.blitzed.org已於2006年5月序止維護,可使用www.dronebl.org。