首頁(yè)>>>技術(shù)>>>email

三個(gè)名單遏制垃圾郵件

博文 譯 2006/07/11

  垃圾郵件已成為一個(gè)日益嚴(yán)重的問題。為了打贏這場(chǎng)與垃圾郵件的戰(zhàn)爭(zhēng),我們用上十八般武器,其中的黑名單、白名單和灰名單應(yīng)該算是這場(chǎng)反垃圾郵件戰(zhàn)中最基本的工具,本文將詳細(xì)闡述企業(yè)應(yīng)該怎樣有效地利用它們。

  正如郵資成本在不停地上升,電子郵件的復(fù)雜性日益增加是必然趨勢(shì)。在垃圾郵件泛濫以前,互聯(lián)網(wǎng)很平靜,基于簡(jiǎn)單電子郵件傳輸協(xié)議(SMTP)連接的郵件系統(tǒng)運(yùn)轉(zhuǎn)得很好,郵件過濾器只是那些專門的郵件服務(wù)提供商才會(huì)使用。然而現(xiàn)在,郵件過濾器幾乎成了很多部門的必需品。

  那究竟該選什么樣的過濾器呢?如果你的企業(yè)每天收到電子郵件數(shù)量特別巨大,大多數(shù)情況下使用黑名單和白名單過濾垃圾效果不會(huì)太好,他們通常只能解燃眉之急。訂閱類似Postini這樣的服務(wù)可以從郵件接收的角度來(lái)緩解這個(gè)問題,但這也僅僅完成了反垃圾郵件戰(zhàn)的一半。

  免費(fèi)的域名服務(wù)器黑名單(blacklist)——如Spamhaus.org、Spamcop.net等網(wǎng)站有這項(xiàng)服務(wù),提供了一個(gè)交互式的服務(wù)。基于這項(xiàng)服務(wù),通過簡(jiǎn)單的DNS查詢,接受郵件的服務(wù)器可以把發(fā)送郵件服務(wù)器的IP地址與一個(gè)已知的垃圾郵件服務(wù)器名單進(jìn)行比較。如果IP地址在此名單中,這封郵件就會(huì)被拒絕。

  很多組織也依賴于白名單(white-list),這是一個(gè)可以接受它們發(fā)出郵件的域、IP地址以及SMTP轉(zhuǎn)發(fā)IP地址的簡(jiǎn)單列表。在大多數(shù)網(wǎng)絡(luò)中,這是一個(gè)與公司關(guān)系緊密的合作伙伴的域以及補(bǔ)充的IP地址,或者會(huì)被垃圾郵件過濾器捕獲而實(shí)際上應(yīng)該有效的域的名單。

  另有一種基于名單的保護(hù)方式是灰名單(greylist);颐麊谓橛诤诿麊魏桶酌麊蝺烧咧g,它用解釋型的后臺(tái)程序和SMTP狀態(tài)標(biāo)記來(lái)動(dòng)態(tài)創(chuàng)建黑名單和白名單。

  所有這三種方法在現(xiàn)代企業(yè)反垃圾郵件戰(zhàn)中都有它自己的位置,但是必須仔細(xì)規(guī)劃,特別是使用黑名單時(shí),一定要小心,以免傷及無(wú)辜。

  把好黑名單第一關(guān)

  盡管DNS黑名單有很多人在用,但是對(duì)于它們的使用一直存在爭(zhēng)議。如果這個(gè)黑名單太大的話,將會(huì)使郵件服務(wù)器根本沒有辦法工作,好在目前還沒有出現(xiàn)這種情況,而且DNS黑名單所列出的垃圾郵件服務(wù)器還很少發(fā)現(xiàn)“誤判”的情況。

  正常的郵件服務(wù)器是有可能被列入黑名單的,造成這種情況的原因有很多: 直接將垃圾郵件發(fā)送者的IP地址上報(bào)可能導(dǎo)致不僅僅是這個(gè)IP地址,甚至是這個(gè)IP地址所在的整個(gè)網(wǎng)段都被列入DNS黑名單。那些共享主機(jī)的用戶很容易成為受害者,由于使用的是同一個(gè)IP地址,因此如果一個(gè)用戶違規(guī)就會(huì)造成使用這個(gè)IP地址的所有網(wǎng)站受到影響; 另外一種情況就是ISP的終端用戶可能將合法的郵件發(fā)送清單中的郵件標(biāo)記為垃圾郵件,而不是取消自己的訂閱服務(wù)。這樣這臺(tái)服務(wù)器可能就會(huì)被列入黑名單,至少那個(gè)ISP會(huì)被列入黑名單。

  不同的服務(wù)提供商提供的名單本身在側(cè)重點(diǎn)和范圍上都各不相同。最大的sorbs.net、spamhaus.org和spamcop.net 這3個(gè)網(wǎng)站使用通用的垃圾郵件指南來(lái)確定一個(gè)服務(wù)器的狀態(tài)。而Rfc-igno-rant.org則更進(jìn)一步,它把違反RFC 821和2821條款的郵件服務(wù)器列入黑名單中(RFC 821和2821是SMTP通信的主要規(guī)范)。不幸的是,有相當(dāng)多合法的郵件服務(wù)器由于設(shè)計(jì)不好或者實(shí)現(xiàn)不正確而違反了這些規(guī)范。凡是使用了這些郵件服務(wù)器的用戶都可能被rfc-ignorant.org列入黑名單,即使他們并不是垃圾郵件發(fā)送者。盡管這些網(wǎng)站應(yīng)該使用符合規(guī)范的服務(wù)器,但是它們被列入DNS黑名單可能會(huì)妨礙與其他合法的交流。

  盡管如此,不可否認(rèn)的是,在過去幾年里最流行的DNS黑名單已經(jīng)有了很大的改進(jìn),給用戶提供了比以前更準(zhǔn)確的結(jié)果。事實(shí)上,spamhaus.org和sorbs.net等免費(fèi)提供的黑名單中不僅僅列出了人們常見的垃圾郵件服務(wù)器所在的網(wǎng)段,也列出了通過家用寬帶連接的垃圾郵件發(fā)送者的動(dòng)態(tài)IP網(wǎng)址以及被黑客們控制來(lái)發(fā)送垃圾郵件的僵尸網(wǎng)絡(luò)和僵尸機(jī)。

  這些黑名單到底有多流行呢?據(jù)在spamhaus.org工作的Steve Linford估計(jì), spamhaus網(wǎng)絡(luò)每秒收到8萬(wàn)到10萬(wàn)條搜索請(qǐng)求。這還不包括那些沒有使用公共服務(wù)器的大型組織的成員單位,這些大型組織按照計(jì)劃定期從公共服務(wù)器上獲得DNS黑名單,然而放到自己網(wǎng)絡(luò)中供下級(jí)成員使用,這樣大大地減少了用戶對(duì)公共服務(wù)器的請(qǐng)求數(shù)量。

  黑名單的誤判

  但是誤判率怎么樣?一位用戶的話很有代表性,他說(shuō): “直到昨天晚上,由于害怕誤判我們一直沒有用DNS黑名單。然而,在過去的幾個(gè)月里,我們收到的垃圾郵件數(shù)量增加很快。不得已,我最終決定將njabl.org的黑名單用于我們的郵件過濾器里。在剛過去的15小時(shí)里我們已經(jīng)阻止了3100多個(gè)連接!

  如果DNS黑名單流行,誤判就永遠(yuǎn)客觀存在,但是由于使用黑名單的好處遠(yuǎn)遠(yuǎn)大于壞處,這種擔(dān)心相對(duì)于不斷增長(zhǎng)的垃圾郵件問題也不算什么了。

  當(dāng)一個(gè)服務(wù)器被列入黑名單后,網(wǎng)站管理人員通常不知道,直到大量被拒絕的郵件退回到用戶手中。大多數(shù)情況下,返回的信息包括郵件為什么被阻止、被誰(shuí)阻止等信息。警告信中通常包括了URL,用來(lái)指導(dǎo)管理人員如何申請(qǐng)將自己的郵件服務(wù)器從黑名單中去除。據(jù)估計(jì),spamhaus.org每天有50萬(wàn)個(gè)服務(wù)器被列入黑名單。

  每個(gè)DNS黑名單在收集和維護(hù)其數(shù)據(jù)庫(kù)方面都有它自己獨(dú)特的方法。很多使用蜜網(wǎng)技術(shù)(Honeynet)自動(dòng)對(duì)來(lái)自僵尸網(wǎng)絡(luò)的攻擊進(jìn)行分類,如果發(fā)現(xiàn)了僵尸網(wǎng)絡(luò),它們就會(huì)將源IP地址添加到數(shù)據(jù)庫(kù)中?斩薙MTP服務(wù)器(Dead-end SMTP)技術(shù)也經(jīng)常被用到,它們沒有真正的郵箱,但是會(huì)收取那些發(fā)送給根本不存在的用戶的郵件來(lái)鑒別垃圾網(wǎng)站和系統(tǒng)。

  盡管在今天的互聯(lián)網(wǎng)上,開放式轉(zhuǎn)發(fā)(Open relay)的威脅已經(jīng)遠(yuǎn)不比過去了,但是它仍然存在。有幾個(gè)提供DNS黑名單的機(jī)構(gòu)會(huì)主動(dòng)搜索開放式轉(zhuǎn)發(fā),一旦發(fā)現(xiàn),就把它們列入黑名單。

  不久前,在許多銷售的商業(yè)SMTP服務(wù)器中,開放式轉(zhuǎn)發(fā)還是默認(rèn)的設(shè)置。但今天已不再用它了。然而,Sun公司首批員工之一、EFF的Cygnus方案的創(chuàng)始人及UseNet alt新聞組之父John Gilmore還堅(jiān)持保留受限的開放式轉(zhuǎn)發(fā)功能。對(duì)他來(lái)說(shuō),這是一個(gè)言論自由問題。但對(duì)于我們來(lái)說(shuō),它并不是一個(gè)好做法,會(huì)使電子郵件基本上無(wú)效。

  灰名單開始流行

  灰名單可以機(jī)智地阻截大多數(shù)垃圾郵件。它的主要功能基于SMTP錯(cuò)碼(error-code),這個(gè)代碼的意思是要發(fā)送方在把剛才發(fā)送的電子郵件重新發(fā)送一次之前先等幾分鐘。

  通常這個(gè)代碼在接受郵件服務(wù)器收到的請(qǐng)求太多而來(lái)不及處理時(shí)才會(huì)發(fā)出。灰名單基于這樣一個(gè)事實(shí),就是大多數(shù)的垃圾郵件服務(wù)器和僵尸網(wǎng)絡(luò)的郵件只發(fā)送一次,而會(huì)忽略要求它們?cè)谝欢ǖ臅r(shí)間間隔后再次發(fā)送的請(qǐng)求。因?yàn)閷?duì)它們來(lái)說(shuō),重發(fā)每封郵件會(huì)大大減少他們總的業(yè)務(wù)量。

  最初被郵件服務(wù)器拒絕接收、并被要求“稍后重發(fā)”的所有郵件都會(huì)進(jìn)入灰名單過濾器。如果在10分鐘左右,遠(yuǎn)程服務(wù)器再次發(fā)送了這封郵件,它則會(huì)毫無(wú)障礙地被通過,而且以后與這封郵件頭一致的郵件也會(huì)順利通過。

  近來(lái)灰名單越來(lái)越流行。這種方法能夠大大地減少垃圾郵件數(shù)量,但是它因?yàn)橐蠓⻊?wù)器再次發(fā)送郵件也延遲了郵件的接收。不過,這種延誤對(duì)于區(qū)分是否是垃圾郵件是必要的。

  盡管如此,灰名單加上一個(gè)和多個(gè)的DNS黑名單、再加上垃圾和病毒過濾器可以給我們提供一個(gè)相對(duì)清潔的郵件系統(tǒng),今天,它們已經(jīng)成為SMTP服務(wù)器防治垃圾郵件和病毒的必不可少的標(biāo)準(zhǔn)方法。盡管丟失郵件的機(jī)會(huì)還是存在的,但并不是致命的問題。

  垃圾郵件的最終解決

  要真正解決垃圾郵件對(duì)我們的困擾,還需要一些真正突破性的技術(shù)。一種可能真正應(yīng)對(duì)垃圾郵件的技術(shù)就是SPF(Sender Policy Framework)。SPF本質(zhì)上就是對(duì)接收的每一封郵件進(jìn)行逆向確認(rèn)。

  正如每個(gè)互聯(lián)網(wǎng)郵件服務(wù)器都需要一份接收郵件的MX DNS記錄,SPF要求每個(gè)服務(wù)器必須有一個(gè)發(fā)送MX的記錄。也就是在一個(gè)域的DNS記錄中有一條記錄可以用來(lái)證實(shí)某個(gè)服務(wù)器負(fù)責(zé)發(fā)送某個(gè)郵件。如果使用SPF的一個(gè)郵件服務(wù)器發(fā)現(xiàn)某個(gè)發(fā)送郵件的服務(wù)器在域的DNS中沒有記錄,它發(fā)送的郵件就會(huì)被退回,或者會(huì)被標(biāo)記為疑似垃圾郵件。例如,服務(wù)器收到一封聲稱是來(lái)自aol.com的郵件,但SPF在aol.com中根本找不到這個(gè)郵件服務(wù)器, 那么這封郵件很有可能是偽造的。

  這種解決方案有利也有弊。比如說(shuō),MTA(Mail Transfer Agent,郵件傳輸代理)轉(zhuǎn)發(fā)郵件失敗,使用SPF過濾器這時(shí)候會(huì)要求服務(wù)器重新發(fā)送郵件,而不是再次轉(zhuǎn)發(fā)。對(duì)于這點(diǎn)有待相關(guān)技術(shù)來(lái)解決,這些技術(shù)現(xiàn)在仍處于發(fā)展過程中。

  另一個(gè)選擇就是用x.509證書來(lái)保護(hù)SMTP。這種方法要求互聯(lián)網(wǎng)上的每一個(gè)有效的SMTP服務(wù)器都有一個(gè)對(duì)應(yīng)的身份證書。只有具備有效證書的服務(wù)器才允許發(fā)送郵件到另一個(gè)服務(wù)器。這種解決方案需要大多數(shù)目前運(yùn)行的郵件服務(wù)器都有證書,否則不允許發(fā)送或者被列入待查的行列。

  盡管SPF最近變得越來(lái)越流行,但是真正完善的解決方案不太可能會(huì)很快出現(xiàn)。除非幾個(gè)主要的開源和商業(yè)的MTA產(chǎn)品提供商在共同的標(biāo)準(zhǔn)上開始合作,否則,基于黑名單的郵件接收系統(tǒng)仍然將是一種主要的方法。(譯自美國(guó)《Inforworld雜志》)

  鏈接:魔道斗法

  盡管主要的DNS黑名單網(wǎng)站免費(fèi)向大多數(shù)用戶提供他們的服務(wù),但是這些服務(wù)是需要成本的。隨著DNS黑名單越來(lái)越流行、越有效,它對(duì)那些大規(guī)模發(fā)送垃圾郵件者及其客戶的利益造成很大威脅。因此,DNS黑名單的提供者發(fā)現(xiàn)他們自己已經(jīng)卷入一場(chǎng)與垃圾郵件發(fā)送者的戰(zhàn)斗,但并不是如何對(duì)付垃圾郵件。

  Sorb.net的一位工作人員說(shuō): “這的確是一場(chǎng)戰(zhàn)爭(zhēng),而且正在升級(jí)。我們積極地試圖發(fā)現(xiàn)并且阻止垃圾郵件的制造者,而他們也在想盡辦法來(lái)破壞我們!彼e例說(shuō),“比如,我們會(huì)對(duì)由惡意軟件產(chǎn)生的開放式轉(zhuǎn)發(fā)(open relay)進(jìn)行掃描,一些惡意軟件的程序員就通過回復(fù)無(wú)效的信息來(lái)迷惑我們的掃描程序,從而導(dǎo)致重復(fù)掃描。這樣就降低了掃描的有效性,我們只好對(duì)掃描程序進(jìn)行修改以避免這種問題。”

  這場(chǎng)戰(zhàn)爭(zhēng)中也不乏間諜和雙重間諜的故事。這位Sorb.net的工作人員還回憶起一件事,曾經(jīng)有人給Sorb.net發(fā)了一封匿名信,信中說(shuō)如果發(fā)送某個(gè)特定的24個(gè)字節(jié)的數(shù)據(jù)到TCP端口,這臺(tái)電腦上的一些Windows惡意軟件將自動(dòng)卸載。收到這個(gè)消息后,Sorb.net對(duì)掃描程序進(jìn)行了修改,添加上了這個(gè)序列,后來(lái)果然發(fā)現(xiàn)有成千上萬(wàn)被感染的計(jì)算機(jī)上的病毒得到了清除。

  盡管DNS黑名單使用各種各樣的方法來(lái)編譯他們的數(shù)據(jù)庫(kù),但垃圾郵件發(fā)送者仍然能識(shí)別出來(lái)并設(shè)法逃避。比如,垃圾郵件的制造者會(huì)專門開發(fā)一些惡意軟件來(lái)阻止來(lái)自知名的DNS黑名單的連接以避免被掃描。其他的技術(shù)包括DNS黑名單的“反黑名單”,即垃圾郵件的制造者整理出DNS黑名單服務(wù)的提供方常用來(lái)掃描的服務(wù)器地址名單,這樣他們就可以有針對(duì)性地預(yù)防。

  DNS黑名單與垃圾郵件發(fā)送者之間除了進(jìn)行貓捉老鼠的游戲之外,垃圾郵件發(fā)送者還通過DDoS來(lái)攻擊一些較大的DNS黑名單。前不久spamhaus.org就深受其害,最后被迫采取反DDoS來(lái)維持它的服務(wù)。

  現(xiàn)在的局面就是躲避與攻擊、躲避與迂回行進(jìn),一方千方百計(jì)想勝過另一方。如果Windows XP SP2和即將推出的Vista安全性更高些,也許垃圾郵件制造者們的詭計(jì)就不會(huì)那么容易得成,然而這終究只是“如果”。目前看來(lái),雙方的斗爭(zhēng)還將繼續(xù)下去。

計(jì)算機(jī)世界網(wǎng)(www.ccw.com.cn)


相關(guān)鏈接:
期待Email 2.0 2006-07-11
語(yǔ)音、傳真與電子郵件走向融合 2006-06-05
觀察:移動(dòng)電郵會(huì)成為下一個(gè)殺手級(jí)應(yīng)用嗎 2006-04-12
使用CommuniGate Pro 5.0進(jìn)行通信 2005-12-07
PUSH郵件——電信運(yùn)營(yíng)商郵件業(yè)務(wù)新方向 2005-09-27

相關(guān)頻道:           文摘   技術(shù)_email_文摘