多过滤器安全邮件网关的设计.docVIP

多过滤器安全邮件网关的设计 刘幸辉 等 [摘 要] 针对传统邮件网关不能真正面向用户和处理垃圾邮件性能差等缺陷，设计一种个性化安全邮件网关，该邮件网关与邮件服务器协同工作，可以实现多过滤器过滤功能。对其体系结构进行详细设计和分析，通过与普通的邮件过滤网关进行对比测试，结果表明：多过滤安全邮件网关过滤效果好，性能高。 [关键词] 邮件网关 体系结构 垃圾邮件 一、传统邮件网关的缺陷 常见的邮件过滤系统通常只能对邮件内容进行过滤，无法防御网络层的DoS 攻击，而且大多数需要修改邮件服务器的配置或者DNS 服务器的MX 记录，对原有系统的影响较大，如果园区网管理员没有DNS管理权限(例如通过其他代理商注册域名)，修改MX 记录还会遇到一定的困难。因此我们根据局域网的特点，设计开发了一种采用多层过滤模式的邮件过滤网关，保护电子邮件服务器的安全。采用多过滤器过滤垃圾邮件的策略有两大优点：一是方便了管理员对系统的管理，增加了用户反垃圾邮件的选择。也就是说，采用多过滤器过滤垃圾邮件的策略是设计并实现个性化过滤的基础；二是改善了过滤效果。即采用了多过滤器的方法对垃圾邮件进行内容过滤，可以得到更好的过滤效果。 二、模块设计 基于多过滤安全邮件网关的由八个组成模块构成（如图1所示），其详细设计如下。 （一）IP过滤模块 IP过滤模块实现邮件网关三层过滤的第一层:IP过滤。此模块进行的操作与防火墙相似，因此可以将此模块放置到防火墙中去实现。IP过滤模块通过黑名单管理模块得到被列入黑名单的IP地址。根据这个黑名单以及相应的配置信息来过滤所有远程邮件服务器发来的IP包。 （二）黑名单管理模块 是反垃圾邮件的重要方法。凡是列入黑名单的客户，邮件网关拒绝转发信件。在本系统中，黑名单分为权威黑名单和临时黑名单。权威黑名单是由民间组织维护，定期发布的垃圾邮件源地址列表，可信性比较高；而临时黑名单是由本系统产生的。与本系统交互的客户如果采取了可疑的行为，例如DOS攻击，目录树攻击，大规模群发邮件等，系统就可能结合配置信息认定该客户有发垃圾邮件的嫌疑。此时该客户的IP地址会被加入 图1 多过滤安全邮件网关的模块结构 临时黑名单。此类黑名单具有动态性，在使用特定的次数时间段后就会从名单中删除。 （三）策略过法模块 没有被IP过滤模块过滤掉的IP包进入邮件网关的第二层过滤阶段，进行策略过滤，如果此邮件为合法邮件，则进行记日志等操作，并将该邮件传给第三层智能过滤模块；否则进行相应善后工作。策略层过滤是反垃圾邮件的另一个重要手段。策略层通过DNS检索，域名规范性检查，攻击检测，拒收列表，关键字过滤，规则表达式匹配等方法对垃圾邮件进行堵截。其中，DNS检索，域名规范性检查，攻击检测等是在SMTP对话中进行的过滤；而关键字过滤与规则表达式匹配属于接收后过滤，即在SMTP对话结束后，对接收的信件再次过滤。 （四）智能过滤模块 智能过滤模块是邮件网关的第三层过滤阶段。通过策略过滤模块的信件进入智能过滤模块，进一步对垃圾邮件进行过滤。智能过滤模块所使用的垃圾邮件过滤器采用具有自学习功能的贝叶斯算法。垃圾邮件过滤器可以根据实际情况以及超级管理员的意愿主动或被动进行升级。智能过滤模块也将体现个性化过滤的思想。超级管理员提供若干过滤器供域管理员和用户选择，并为整个邮件网关(即所有的用户)确定要使用的过滤器。域管理员根据实际情况，在超级管理员给定的若干过滤器中选定本域用户都要使用的过滤器。用户也根据自己的意愿在超级管理员给定的若千过滤器中选定需要使用的过滤器。 每个过滤器专门负责一种类型垃圾邮件的过滤工作。所谓“一种类型垃圾邮件”，是指其特性相近的一组垃圾邮件的集合。例如所有病毒垃圾邮件就被认为是一组特性相近的垃圾邮件。对于其他非病毒性垃圾邮件而言，“特性相近”主要是指其内容具有一定的相似性。这主要是为了体现“个性化过滤”的特点，以及提高垃圾邮件过滤性能。为了过滤掉所有的共性化垃圾邮件，根据其特性创建若干过滤器。例如，针对病毒垃圾邮件建立一个专门的过滤器；针对反动宣传性垃圾邮件建立一个专门的过滤器等等。当然，也可以根据实际情况，或者随着现实情况以及需求的变化，建立多个过滤器共同负责原来仅由一个过滤器完成的垃圾邮件过滤工作。例如，可能需要一个专门的过滤器来负责过滤“法轮功”的宣传性垃圾邮件，而另一个过滤器负责过滤其他的反动宣传性垃圾邮件。 对于个性化垃圾邮件，每个用户都有不同的定义。这里为所有用户提供一系列的过滤器。每个过滤器负责特性相近的一组个性化垃圾邮件的过滤工作。用户可以根据自己的好恶以及实际情况进行选择。 一封邮件被发送到智能过滤模块，首先根据其接收者的账号来决定它所要使用的垃圾邮件过滤器。然后分别用这些过滤器对此邮件进行多次过滤。每一次过滤都会有一个结果，也就