赛门铁克Brightmail6.0专业阻击垃圾邮件

如果说人们与蠕虫的较量是一场道与魔的斗争的话，那么，人们阻击垃圾邮件的过程就好像是一场“猫捉老鼠”的游戏。到今天，这场游戏已经进行了十余年，“老鼠”变得越来越狡猾，人们意识到，要对付“硕鼠”，需要一只机敏的“猫”。

　　垃圾邮件的严重危害

　　垃圾邮件的泛滥，浪费了企业的公共资源。这包括消耗了企业的网络带宽以及邮件服务器的CPU和存储资源，而且，还会直接消耗企业员工，包括网管和每个收件人的时间和精力,垃圾邮件正在蚕食企业的生产力。



图1 2003年-2004年间垃圾邮件的增长势头

　　反垃圾邮件技术在不断进步，垃圾邮件制造者们的水平也在发展，他们开始在垃圾中掺杂“新技术”——某些垃圾邮件中甚至还携带蠕虫病毒或者网络钓鱼（Phishing）等欺诈手段，使得垃圾邮件变得愈来愈危险，它们正在变成“炸弹”，一旦不小心接触了它，瞬间你就可能被炸得遍体鳞伤。

　　而且，这种 “炸弹”的危险增长势头非常猛，据赛门铁克公司统计，仅在2003年5月到2004年6月这13个月的时间里，全球垃圾邮件的比例就增长了10%，达到65%（如图1所示）。如果我们不及时采取措施，任其发展的话，照此速度，三年后的某一天，垃圾邮件阻塞Internet的事件就可能发生，这绝不是耸人听闻。

　　如何有效阻击垃圾邮件

　　暴利是垃圾邮件发送者的原动力。据《Business 2.0》杂志介绍，如果每个月，在2000位垃圾邮件收件人中有一人回应，并向垃圾邮件发送者支付20美元（回应率为0.05%），那么，这个垃圾邮件发送者即可轻松赚取100万美元。这几乎是无本万利，再加上制裁垃圾邮件的法律全球也是凤毛麟角，因此，垃圾邮件经济短期内是不可能消亡的。现在，有效阻止这种损人利己的“一夜暴富”的武器是反垃圾邮件过滤器。但是，狡猾的“硕鼠”却通过种种方法加以躲避。

　　隐藏邮件来源和修改主题。大量的垃圾邮件发送者通过假冒域名和改变主题行的方式，绕过过滤器，他们做得如此巧妙，以至于当旧的反垃圾邮件策略可以辨别其模式时，损害业已形成。

　　使用URL干扰。垃圾邮件发送者频繁使用基于 URL 的反过滤技术，引诱收件人执行进一步的操作，而非简单阅读邮件。为此，垃圾邮件发送者经常在邮件中包含指向某网站的 URL。鼓动收件人单击 URL 的垃圾邮件常常是反垃圾邮件过滤器难以处理的邮件。最近的电子邮件“品牌欺骗”攻击便证明了这种策略的威力。

　　掩饰身份的中继代理。特殊用途的电子邮件服务器设备每小时可以发送多达一百万封电子邮件。然而，为了避免法律惩罚或根据 IP 地址的来源禁止，垃圾邮件发送者需采用某种机制来隐藏其身份。隐藏的常用方法是使用“掩饰身份的中继”，其应用技术之一就是滥用开放代理服务器（Open Proxy）。据统计，三分之二的垃圾邮件是从这些不安全的服务器发出的，最近的群发邮件计算机蠕虫（如Sasser、Netsky和SoBig）就是例证。

　　解决方案的评估标准

　　评估反垃圾邮件解决方案的主要标准是有效性、准确度和易于管理性。先进的解决方案可以提供综合性技术，并减少管理员在部署和持续维护等方面的繁琐工作。

　　有效性。反垃圾邮件解决方案效用的根本衡量标准就是有效性，保持高有效性难度很大。垃圾邮件发送者的适应能力很强，因此，反垃圾邮件供应商必须不断地监视并调整其过滤器，且具有与垃圾邮件发送者同步发展所必需的承诺和基础架构。
　　准确度。反垃圾邮件解决方案必须具备很高的准确度，某些误报对于很多用户来说就表示产品的失败。如果用户无法依赖反垃圾邮件过滤器的准确度，他们将不得不进入隔离区手动删除垃圾邮件，这样做既危险又无效。反垃圾邮件供应商首先要致力于消除误报，而后再逐渐提高产品的有效性。

　　主动性和响应能力。理想情况下，反垃圾邮件解决方案应该是 100% 准确并有效的。但是许多供应商不得不权衡其利弊，要禁止足够多的垃圾邮件，解决方案必须严格，但是由此又很可能造成误报。反垃圾邮件解决方案应谨慎地将主动性和响应过滤技术结合起来，响应过滤器是提供防御误报的重要壁垒，从而弥补了主动过滤器的有效性问题。

　　最低限度的管理，虽然许多反垃圾邮件解决方案声称可即装即用，但事实上，它们还是把很多任务甩给了管理员和最终用户。反垃圾邮件解决方案应该为管理员和最终用户实现易管理性。

　　Brightmail Antispam 6.0 专业阻击垃圾邮件

　　应对垃圾邮件，赛门铁克同样采取了过滤器的技术，不同的是，其过滤器通过 BLOC（Brightmail 分析和操作中心）可以做到高效、准确，同时，该中心负责对赛门铁克的过滤器进行实时优化和调整。BLOC 由分布在全球四个城市的分中心组成（包括旧金山、都柏林、悉尼和台北），这些中心协同工作，形成了全球24小时不间断的防护体系。

　　BLOC以专利技术的 Probe Network（垃圾邮件探针网络或蜜罐网络）为前端，它由分布在全球超过两百万个诱饵邮件地址和域的大型数据库组成，如果再加上客户提交的垃圾邮件信箱，它包含的收件箱将超过3亿个。这个电子邮件账户网可以每月收集数千万个电子邮件。Probe Network拥有六年多的相关经验，它不需要调整期，可以实时生效。由此，造就了赛门铁克过滤器的及时响应性和准确性。

　　当邮件抵达BLOC时，自动处理程序和专家级的技术人员就会采取行动，分析其中的垃圾邮件，并得出有效的应对措施。BLOC会不断提供更新的过滤器，以便过滤在客户站点上运行的软件。通过结合自动操作和人工干预，Symantec Brightmail AntiSpam 可以实时适应不断变化的垃圾邮件发送技术，为垃圾邮件过滤器带来无与伦比的灵活性和准确度。

　　赛门铁克垃圾邮件分析过程的另一个重要组成部分是业务情报小组，它始终处于反垃圾邮件斗争的前沿，其主要活动包括：持续分析垃圾邮件通信以发现新威胁和新防御方法；分析垃圾邮件发送者经常使用的网站和群发邮件软件；监视垃圾邮件发送者经常光顾的论坛和聊天室；与不断改进的垃圾邮件发送技术保持同步，以便在将来的版本中采用相应的防御方法。

　　多层过滤技术应对“硕鼠”

　　赛门铁克采用了多层过滤技术，来抵御垃圾邮件，某些过滤器检查电子邮件的来源，另一些检查邮件内容。

　　Brightmail Reputation Service采用的是基于信誉的过滤技术，它对发送来源或邮件服务器的信誉进行检查。每天，赛门铁克监视着数十万个邮件来源，通过跟踪邮件发送模式、是否存在开放的代理（Open Proxy）服务或不安全（Open Relay）的邮件服务器、邮件发送量、投诉等数据，由此确定特定电子邮件发件人或 IP 地址的信誉值。并可以根据此值来允许或禁止发件人，也可以将此值与其他过滤器结合使用。

　　特征签名分析技术使得赛门铁克拥有业界领先的反垃圾邮件准确率。垃圾邮件发送者对付第一代特征分析技术的方法是大量使用个性化特征和 HTML 干扰。对此，赛门铁克用其获得专利的 BrightSig2 技术进行回击。该技术使用专有的算法来获得垃圾邮件攻击的特征，然后将其加入已知垃圾邮件数据库。BrightSig2 现在已具有应对 HTML 垃圾邮件的特定防御措施，专门应付随机化和垃圾邮件发送者为避开过滤器而加入邮件的 HTML 干扰因素。

　　Symantec Brightmail AntiSpam具有优越的基于 URL的过滤技术。当前的 URL过滤器可以有效应对“mailto”URL链接，防止最终用户通过电子邮件回复垃圾邮件发送者。同时通过升级URL 过滤器特征代码，还可以针对垃圾邮件发送者在近几个月开发的URL伪装和干扰技术，改进产品的识别能力。

　　据赛门铁克统计，全球有 10%～20%的垃圾邮件是用非英语写成的Symantec Brightmail AntiSpam 6.0具备了语言识别功能和仅适用于某种语言的新启发式技术系列，通过识别12 种语言的邮件，Symantec Brightmail AntiSpam可以仅运行适用于邮件语言的过滤器，从而获得更佳的性能。

　　垃圾邮件的活动周期在不断地进化，垃圾邮件发送者在使用新的过滤规避技术和传播技术，从而不断升级围绕垃圾邮件的战争。作为回应，赛门铁克改进了过滤引擎以及解决垃圾邮件问题的方法，为解决垃圾邮件问题提供了准确、有效且独特的方法。



图2 由赛门铁克BLOC支持的垃圾邮件防护原理图,