金笛郵件系統(tǒng)空中攔截反垃圾引擎

Administrator User

2022.07.01 12:59 pm

JDMail采用空中攔截反垃圾綜合評分引擎，空中攔截的特點是郵件不落地，郵件在存儲到硬盤之前進行過濾，可以大大提高效率，并降低服務器負載。

根據(jù)垃圾郵件的各種特征對郵件建立各項可信度分值，根據(jù)不同單位郵件內(nèi)容的特點來靈活調(diào)整每個特征的權重，同時結(jié)合金笛云反垃圾規(guī)則庫，對每封進出郵件進行綜合評分，根據(jù)分值判斷是否為垃圾郵件，垃圾郵件的攔截率超過98%。

JDMail系統(tǒng)同時支持發(fā)信認證(smtp-auth)、黑名單和系統(tǒng)級垃圾郵件過濾功能，為用戶郵箱提供三重保護。用戶可以隨時將從國內(nèi)外反垃圾郵件組織獲得的黑名單列表文件自動定時導入郵件系統(tǒng),從而使郵件管理員的反垃圾維護工作從被動變?yōu)橹鲃?。JDMail系統(tǒng)黑名單功能支持模糊匹配，可以屏蔽一個域如@usa.com ,也可以只屏蔽域內(nèi)的一個用戶如spam@usa.com 。此外，系統(tǒng)提供多種方式的垃圾郵件過濾功能，防止賬戶被劫持來發(fā)垃圾郵件，防郵件攻擊等，全方位保障郵件服務器的安全。

采取哪些反垃圾技術

網(wǎng)絡控制層

經(jīng)驗分析，發(fā)送垃圾郵件的服務器通常會同時大批量向某些域的多個帳號發(fā)送垃圾郵件，對于這種發(fā)送垃圾郵件方式，可通過設定一定的網(wǎng)絡訪問頻率控制進行有效的阻隔。JDMail針對這種攻擊提供兩種設置方式，并自動將發(fā)送垃圾郵件的IP歸為垃圾IP（SpamIP）列表。

通過smtp 服務層拒絕明顯的發(fā)送垃圾郵件smtp 連接，大大減輕后臺投遞系統(tǒng)和反垃圾引擎的負擔。

通過統(tǒng)計分析，我們發(fā)現(xiàn)發(fā)送垃圾郵件的smtp 連接具有以下特點。

同一IP同時的smtp連接數(shù)非常大。
同一IP一段時間內(nèi)，smtp的連接頻率非常高。

一般出現(xiàn)這兩種情況，都表示源發(fā)件人極有可能在發(fā)送垃圾郵件。

通過設置這兩個參數(shù)可控制這類型的smtp連接，從而截斷發(fā)送垃圾郵件的源頭，默認已經(jīng)適合大部分場景，無需單獨配置。

根據(jù)垃圾郵件發(fā)送者IP的地理位置，與 APNIC 的IP信息庫核對結(jié)果，確定來源是否真實，如果真實則通過，否則可能為可疑郵件。因為IP 來源無法偽裝，所以這個反垃圾策略比較有效。

黑名單

通過黑名單, JDMail系統(tǒng)可設置屏蔽任何一個IP，一個網(wǎng)段；也可屏蔽任何一個發(fā)信人，一個域。

實時黑名單(RBL)主要利用互聯(lián)網(wǎng)公開的RBL資源判斷是否為垃圾郵件。RBL 一般是通過DNS 查詢的方式提供判斷某個IP或域名是否是垃圾郵件發(fā)送源的服務。另外，由于國外大多數(shù)RBL都對來自中國的ip 有“歧視”，所以我們并不能完全依靠RBL 來判斷一封郵件是否是垃圾郵件，只能根據(jù)RBL查詢結(jié)果判斷該郵件是否垃圾郵件的可能性。

RBL 服務器：指定RBL 查詢域名后綴。
DNS 查詢類型：根據(jù)具體的RBL 要求指定DNS 查詢記錄類型。
匹配表達式：指定RBL 查詢結(jié)果的匹配模式，表達式格式采用perl 正則表達式，如果為空，則表示如果可查到RBL結(jié)果，則符合條件。

目前所知比較有效的RBL服務器為：

xbl.spamhaus.org
bl.spamcop.net
cbl.anti-spam.org.cn
cdl.anti-spam.org.cn

灰名單

灰名單技術源于：http://www.greylisting.org/ 。

灰名單技術基本假設是：病毒和垃圾郵件，通常都是一次性的，如果遇到錯誤，不會重試。

發(fā)垃圾郵件的軟件不會對郵件服務器返回的錯誤做出任何重試，而只是簡單的在日志里記錄發(fā)送失敗而已。而病毒引發(fā)的郵件風暴則更加不會識別郵件服務器返回的錯誤，因為這些病毒僅僅是簡單的發(fā)送郵件，發(fā)送時根本不理會服務器的狀態(tài)。

Greylist的設計大體上是基于一種重試的原則，即當收到某個IP想給某個收件人發(fā)信的會話時，它先簡單的返回一個臨時錯誤（4xx），并拒絕此請求，正常的郵件服務器都會在一段時間內(nèi)（如半小時）重發(fā)一次郵件。如還是相同的ip地址和收件人，則判斷此ip地址為合法服務器，予以放行。如果是非正常的郵件，那么或者將永遠也不再進行重試，或者會瘋狂重試，但由于間隔太近，而遭拒絕。因此，Greylist只要設置一個合適的放行間隔，就可以在很大程度上對這類垃圾郵件有著良好的免疫能力。Greylist的一大特點就是不會丟信，正規(guī)的郵件服務器認為4xx錯誤只是臨時性、軟性的錯誤，會隔一段時間重試，因此郵件還是可以投遞成功。但Greylist的主要缺點是即時延遲（delay），延遲從幾分鐘到幾個小時不等。對于一些對郵件及時性要求高的客戶，Greylist可能不是一個很好的選擇。

趨勢分析

趨勢分析原理為，所有垃圾郵件都有目標指向，比如：賣藥廣告郵件都會在郵件內(nèi)容里指定賣藥的電話、郵件或網(wǎng)站，如果不指定這些信息，發(fā)送垃圾郵件也就沒有意義了。趨勢分析法就是通過分析郵件里的電話、郵件或網(wǎng)站鏈接內(nèi)容，通過匹配判斷他的指向從而判斷郵件是否是垃圾郵件。

郵件來源判斷

主要通過分析郵件的來源，如：發(fā)件人ip ，發(fā)件人，發(fā)件域等內(nèi)容，來判斷垃圾郵件的可能性。

內(nèi)容過濾

通過郵件內(nèi)容關鍵字分析，可為符合內(nèi)容分析結(jié)果的郵件打上相應的垃圾郵件評分。這類規(guī)則的判斷條件類似系統(tǒng)的過濾規(guī)則?？蓞⒖歼^濾規(guī)則設定來設定過濾評分內(nèi)容，同時金笛云反垃圾規(guī)則庫會通過收集客戶報告的垃圾郵件的特點不斷更新規(guī)則庫，定期推送到客戶郵件服務器更新。

主題分析引擎

主題分析原理是基于：同一類垃圾郵件的內(nèi)容大多都相似，通過相似度進行分析，以確定是否為垃圾郵件。比如代開發(fā)票的垃圾郵件，內(nèi)容都有 “代開”，“發(fā)票”，“稅”這類詞，通過對同一類型垃圾郵件的統(tǒng)計分析，可以歸納這類垃圾郵件的主要關鍵字，通過關鍵字匹配度，確認是否是垃圾郵件。