戴德科技实现防病毒、防垃圾邮件技术

　在宽带普及的今天，电子邮件的收发是企业对外交流的重要手段，但是垃圾邮件的泛滥，不单单给企业邮件服务器带来负担，同时还带来安全的威胁，因为目前网络病毒90%是通过垃圾邮件来传播。如何去防范垃圾邮件，是企业用户十分关心的问题。我们通过实际案例，让大家了解戴德科技ShareTech AW系列防病毒，防垃圾邮件多功能网关是如何解决垃圾邮件的问题。

　　某集团公司原来是固定IP，申请了相关域名，2M的出口带宽，内部架设了邮件服务器。在没有使用ShareTech AW网关之前，一直存在几大邮件问题。一：许多垃圾邮件通过该邮件服务器转发；二：垃圾邮件严重；三：病毒随垃圾邮件进入内部计算机，破坏内部数据。针对以上三大问题，根据该集团公司的网络状况，我们使用了ShareTech AW 系列的中高端设备AW-5100。

　　AW-5100具有邮件代转的功能，界面如下：

　　通过邮件代转的功能，当邮件要进入内部邮件服务器的时候，AW-5100会根据已经汇入的内部邮件帐号来做比较，不是内部用户的全部被拒绝，这样就解决垃圾邮件通过内部邮箱转发。

　　对于垃圾邮件，AW-5100通过以下几种综合的方式来实现：

　　阻挡垃圾邮件的方法有很多，最简单的是在收信软件或防毒、垃圾网关上设定过滤条件，阻挡某些特定的寄件者、主旨文件、内容关键词。但是【道高一呎、魔高一丈】发广告信者随时更换那些资料就可以轻易通过这些过滤条件，往往设了一大堆的过滤条件，无法真正滤掉信件，反而导致收、送信件缓慢。

　　ShareTech AW系列防毒、垃圾网关采用专门的垃圾邮件过滤软件SpamAssassin，他跟防毒、垃圾网关紧密结合，在收信的第一时间就套用过滤条件，判断是否为垃圾邮件，他采取下列方法来判断：

A、表头分析(header analysis)：分析表头资料可以找出一些专门寄广告信件业者的信息。
B、文件内容分析(text analysis)：文件内容一样含有一些垃圾邮件的特征值存在，例如内容是100% HTML 格式或纯文字模式，分别代表不同意义。
C、黑名单(blacklists)：除了自建的黑名单外，ShareTech 防毒、垃圾网关也会参考mail-abuse.org, ordb.org等网站的黑名单内容。
防毒、垃圾网关依据上面的3种分类，不同特征值给予不同的评分，例如，如果收到的内容90~100%都是HTML格式，就给1.1分，加总所有特征值的分数就可以推论是否为广告信件，使用者可以自行设定1到10种不同的等级，宽松或严格的对待邮件评断标准。

一个典型的瓶评分表如下：

X-Spam-Report:
* 0.1 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
* 0.0 HTML_MESSAGE BODY: HTML included in message
* 2.2 HTML_IMAGE_ONLY_02 BODY: HTML: images with 0-200 bytes of words
* 0.7 MIME_HTML_NO_CHARSET RAW: Message text in HTML without charset
* 1.9 MIME_HEADER_CTYPE_ONLY 'Content-Type' found without required MIME headers
* 1.6 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook
X-Spam-Status: Yes, hits=6.5 required=6.0 tests=FORGED_MUA_OUTLO

　　范例中，设定垃圾邮件分数是6分，因为加总为6.5分，所以归类为Spam-Mail，当然也可以用自定垃圾邮件过滤条件，如下图：

垃圾信件自我学习机制

　　如果经ShareTech防毒、垃圾网关判断为垃圾邮件，会在其主旨最前面上加入【Spam-Mail】字样，只要在收信软件上再做一些过滤条例，就可以将扰人的垃圾邮件归类，集中看管。如下图：

　　通过AW-5100的邮件通知功能，AW会把收到的垃圾邮件清单发给用户，可以让用户选择是否要取回被判断为垃圾邮件的信件。这样既可以使用户收不到垃圾信件（不取回），又可以避免误判（可以看见清单，需要的就取回）。如下图：

　　对于内部病毒，我们提供两套杀毒引擎来查杀，CLAM和SOPHOS ，CLAM是终身免费升级，SOPHOS是按相关使用人数来付费。
ShareTech AW系列防毒、垃圾网关所使用的防毒软件，ClamAV 全名是 Clam AntiVirus，它跟Liunx一样强调公开程序代码、免费授权等观念，ClamAV 目前可以侦测超过20,000 种病毒、蠕虫、木马程序，并且随时更新数据库，有一组分布在世界各地的病毒专家，24小时更新及维护病毒数据库，任何人发现可疑病毒也可以随时跟她们取得联系，立刻更新病毒码，在极短的时间内，网际网络上采用ClamAV防毒技术的设备就完成最新的防护动作。

　　 ClamAV是专门提供给防毒、垃圾网关在UNIX平台下使用，所以跟其它商业运转的防毒软件有区隔。在网际网络线路方面有一家线路供货商http://sourceforge.net 提供免费的线路给ClamAV的网站，同时在全世界有许多网站提供映像(Mirroring) 的站台，甚至使用者也可以自己架设一个 Mirroring 的网站，提供线上病毒码更新，集合蚂蚁雄兵的力量，汇聚成免费及持久的网络环境。

　　在2003年11月从Google 搜寻引擎上可以找到59,300个 ClamAV 字眼，但是到了2005年8月却可找到863,000个，短短2年多的时间成长将近15倍，证明有越来越多的防毒、垃圾网关器使用ClamAV 的技术，公开程序代码、免费授权程序的观念是愈多人参与使用，系统越稳定，越安全，那么多人使用下，ShareTech MS系列防毒、垃圾邮件安全网关内建的ClamAV防毒软件越有价值。
中毒纪录：

　　事实上，线上邮件防毒软件牵涉到使用者的信心问题，有时候考虑的不只是费用问题，ShareTech AW系列也帮使用者考虑到这个问题，所以我们在在未来防毒、垃圾网关器上会预先安装商业运转的防毒程序。