Protocol Scan™ 技术对图像型垃圾邮件的过滤

出处：硕琦科技作者：硕琦科技时间：2007-6-21 21:15:05

2006年12月18日知名的ORDB.org反垃圾邮件组织，正式对外宣布将完全终止垃圾邮件发信主机黑名单数据库的持续供应及运作，曾几何时，被视为全球最具公信力与完备性的实时垃圾邮件黑名单（Real Black List）之一的公开代理服务器黑名单数据库（Open Relay Database；ORDB）竟然于日前正式划下休止符，结束了其长达4年7个月力抗反垃圾邮件的风光岁月；长久以来，免费公开的ORDB RBL数据库一直是各大反垃圾邮件厂商之垃圾邮件过滤技术所抑赖的主要来源之一，如今ORDB.org基金会的正式宣布收山，对于反垃圾邮件业界无异是一大震撼，更彷佛在昭告RBL黑名单技术正式走入历史。

尽管垃圾邮件业者宣称，当前反垃圾邮件技术的拦截率可达96％以上，但事实上，随着垃圾邮件殭尸（Spam Zombie）及图像式垃圾邮件（Image Spam）技术的崛起，全球垃圾邮件泛滥的状况不但未曾明显抑止，甚至有愈演愈烈的趋势，尤其是专门锁定滥发垃圾邮件代理主机及IP地址的RBL黑名单过滤法，不但渐有不敷所需的情形，在因应藉由绕道方式，及数以百万计的殭尸计算机为发信跳板的邮件殭尸技术攻击下，更显露出捉襟见肘的窘态。

在预见这样的窘况下，硕琦科技研发团队在从事垃圾邮件研发之际，便有感于随着黑名单不断的发展而可能产生的防御乏力与效率不彰，率先提出有别于内容过滤的解决方案－Protocol Scan™ (通信协议扫描)技术，藉由匿名、伪造、滥发、非法的邮件行为判别，在不比对邮件内容/黑名单下，进行垃圾邮件行为解析，透过SMTP联机实时Protocol通信协议分析判断与实时回溯追踪寄件者真实身份以判断其通讯行为，对于图像式、垃圾邮件殭尸或绕道方式发送的垃圾邮件，皆可效率阻挡。

Protocol Scan™ (通信协议扫描)技术

硕琦科技专注于邮件安全产品的研发，Protocol Scan™ (通信协议扫描)技术就是硕琦科技在邮件安全方面重要成就之一，是防垃圾邮件技术领域的一种新型技术，主要针对垃圾邮件的发信行为，进行对发件人的监控、阻挡，以达到减少垃圾邮件。P_Scan™技术针对SMTP协议进行扫描，安全无需依赖关健字，无论是垃圾邮件，图像邮件，超连接类型的垃圾邮件都能有效的阻隔。

以贝叶期算法为代表的内容关健字过滤技术曾经在邮件安全方面发挥了重要的作用，但是随着发垃圾邮件技术的提高，此项技术已经不能满足当前的需求，特别是对图像类型的垃圾邮件以及带超连接类型的垃圾邮件，内容过滤技术无法阻挡此类邮件，当前只有P_Scan™技术完全能阻挡此类邮件。

实例说明

下面就以一封邮件来说明P_Scan™技术对图像类型的垃圾邮件过滤

以下代码是一封邮件的Mail Header:

Received:via dmail-2002(12) for it; Thu, 24 May 2007 10:47:55 +0800 (CST)

Return-Path:mykane@126.com %发件人的地址%

Received:from mail.hofung-technology.com ([192.168.0.210]) %接收端的BOX卫士邮的IP地址%

by smtp.hofung-technology.com (8.13.6/8.13.6) with ESMTP id l4O2lpuK016566

for <it@hofung-technology.com>; Thu, 24 May 2007 10:47:51 +0800

X-SpamFilter-By:BOX Solutions SpamTrap 1.1 with qID l4O2kf9N023741, This message is to be released by code: bkfkfr5952 %此封邮件被BOX卫士邮判为垃圾邮件%

Received:from unkown ([218.249.231.205]) %P_Scan技术追溯到的来源路由%

by mail.hofung-technology.com (8.13.6/8.13.6) with SMTP id l4O2kf9N023741

for <it@hofung-technology.com>; Thu, 24 May 2007 10:46:42 +0800

Received:from 4pzqe268pjp2pko (unknown [218.249.231.205])

by smtp6 (Coremail) with SMTP id wKjSj7CLgwaM_FRGt1hLGA==.39524S2;

Thu, 24 May 2007 10:46:37 +0800 (CST)

Date:Thu, 24 May 2007 10:46:41 +0800

From:"mykane" <mykane@126.com>

To:"it" <it@hofung-technology.com>

Subject:=?gb2312?B?KMjw0MfM4cq+LbTL08q8/r/JxNzKx8Csu/jTyrz+KQ==?==?gb2312?B?tPq/qreixrE=?=

Message-ID:<200705241046407966763@126.com>

X-mailer:Foxmail 6, 4, 104, 20 [cn]

Mime-Version:1.0

Content-Type:multipart/related;

boundary="=====002_Dragon458600800628_=====";

type="multipart/alternative"

X-Coremail-Antispam:1U3Yxn0WfASr-VFAUDIcSsGvfJ-p4xvF2IEb7IF0Fy264kE64

k0F24l7I0Y64k_M4xvF2IEb7IF0Fy26I8I3I1lFcxC0VAqx4xG64xE4I8GawAv7VC0I7IY

x2IY67AKxVWUJVWUGwCF72vE52k0Y41lYx0Ex4A2jsIE14v26r1j6r4UM7AC8VAFwI0_Jr

0_Gr1lb4IE77IF4wAFIxvE14AKwVWUJVWUGwAqx4xG6cxCj2AI64AKrsI_JF1lb7Iv0xC_

CrUanT9S1TB71UUUUUUa7-sFnT9fnUUI43ZEXa7IUYZVy3UUUUUFnT9fnUU==

X-Loop:it@hofung-technology.com

Status

透过蓝色字体的标注与红色字体的说明，可以看到此封邮件所提供的IP地址，经来源实际追踪发现与实际IP地址不符合。

而此封信的内容却是一封图像文件,如下图：

所以这封邮件被BOX卫士邮Bkbfbr5952策略所阻隔，无法查看此封邮件的真实来源路由，或者说此封邮件的来源路由是假的，所以被阻隔了。这说明P_Scan™技术对图像类型垃圾邮件有效的阻隔。

对图像式垃圾邮件的防御更「实时」有效

2006 年的后半年，硕琦原厂调查客户的垃圾邮件量发现，含有图像的垃圾邮件有直线上升趋势；同期，在 2006 年 7 月 31 日，资安厂商 Sophos 的报告表示，图像式的垃圾邮件总数剧增，由 1 月份的 18.2% 增长到了 35.9%；另外，近期愈来愈多的资安研究报告也都显示 2007 年图像式垃圾邮件将大行其道。面对图像式垃圾邮件的侵袭，您做好万全准备了吗？

硕琦科技Protocol Scan™ (通信协议扫描)技术，因为不需比对邮件内容或黑名单过滤，进行邮件行为判断，更能有效防堵图像式垃圾邮件；在 MTA 收信的执行阶段，实时监控、分析邮件传送时的信息，并回溯追踪寄件者的真实身分以判断其邮件通讯行为，针对滥发、非法、匿名、伪造的寄件行为进行阻挡，在不拆开邮件本文和附档情况下，即可判断是否为垃圾邮件，此外，没有国家和语言限制，可以防堵来自全球的垃圾邮件，对于今日新兴演变的图像式垃圾邮件的防御，更「实时」有效。

分享到：