华硕防垃圾邮件先锋十七层过滤机制.pdfVIP

华硕防垃圾邮件先锋十七层过滤机制  DNS 反查 所谓的DNS 反查，是指由IP 去查看，相对应的Domain name 为何，机器收到 你的 IP，服务器会先以你的 IP 去查网域名称，再用网域名称对应去查 IP， 2 个方向都对了，才联机，如果不对，则不收信。  Dynamic IP(动态IP) Dynamic IP 是指联机时才发给 IP 地址, 断线时就收回该地址的作法, 如此可 以让 IP 地址的使用更有效率。一般公司的邮件主机通常都会采用固定 IP 的方 式，而很多垃圾信件都是由Dynamic IP 的邮件主机寄出来的,把它挡掉可以挡掉 一大部份的垃圾信。  联机频率 一般的正常邮件不容易出现太过密集的传递，但是广告信则很有可能出现大量发 送的行为，因此侦测来源 IP 在单位时间内的联机次数，或是同时联机的数量可 以阻挡广告信的入侵。 一般正常信件都是会发送给正确的收件人，但是垃圾信件则常用字典方式进行收 件人账号的猜测，如此错误的机率也会较高，因此透过分析单位时间内错误的次 数过多也可以判断为该来源IP 可能是垃圾信的邮件服务器。  DoS(Denial Of Service)/DDoS(Distributed Denial Of Service) 阻断服 务攻击 DoS/DDoS 阻断服务攻击是某些黑客利用透过单一主机或分布式的殭尸网络进 行密集联机，企图瘫痪网络服务的一种攻击行为。防御的方式可以透过分析单位 时间内的联机数来判断是否属于DoS/DDoS 阻断服务攻击。  IP/网域 黑白名单比对 设定黑白名单，可以在联机时比对名单来决定是否阻挡或放行邮件。  RBL(Realtime Blackhole List)实时黑名单 防护·沟通·备份 HTTP://MASP.ASUS.COM.CN RBL 是基于用户投诉和采样积累而建立的、由域名或IP 组成的数据库，这些数 据库保存了频繁发送垃圾邮件的主机名字或IP 地址，供MTA 进行实时查询以决 定是否拒收相应的邮件。  收件人认证 收到每封信时，都必须先确认收件人是否为后方邮件主机上的合法帐号，若否将 会直接拒收，避免无人收取的信件进入系统占用资源并且影响系统安全。  SPF (Sender Policy Framework) 认证分析 主要透过DNS 的 TXT 记录说明这个网域的发信 source 有哪些。如果不符合 则表示来源的IP 很有可能是伪造的。  病毒码侦测 透过时常更新最新的病毒码，可以扫瞄邮件中是否有包含病毒码，以达到阻绝病 毒的目的。  零时病毒防御 透过病毒码侦测的方式若是遇到最新的病毒但是还没来得及更新病毒码时，就很 可能无法进行病毒的防御。零时病毒防御采用行为特征的分析方式来防御病毒， 即使病毒码还没有更新也可以进行最新病毒的防御。  邮件特征分析 根据防制垃圾邮件的经验，可以分析出正常邮件或垃圾邮件的共同特征，例如： 伪造寄件人： SMTP 命令里面的Mail From （技术上称为Envelope From）和 信件内里面的From 不一致。信件大小：垃圾邮件发送者因为要在最短时间发送 最多垃圾邮件，所以会尽量降低每封信件的大小。所以一般来说当某封电子邮件 的大小大于某个值的时候，通常是正常的信件。信件内容带有特殊的HTML tag： 为了嵌入更多的内容和script，垃圾邮件往往会使用一些一般电子邮件不会使用 的HTML tag，如iframe, frameset , object 等。发送时间超过目前时间：有些 垃圾邮件为了在客户端保持最前端的位置，会将发送时间强行修改到一个未来的 时间。综合许多的邮件特征可以识别出正常邮件或垃圾邮件。  语系行为分析 针对各种语系的邮件都有辨别垃圾信件的能力。  寄件人黑白名单 设定黑白名单，可比对名单来决定是否阻挡或放行邮件。  内容比对机制 针对样本数据库中的特征进行邮件比对，也可以根据用户指定的特定关键词来进 行邮件过滤。 防护·沟通·备份 HTTP://MASP.ASUS.COM.CN  URIBL(URL Blacklist) 邮件中若包含有URL 连结，可透过比对URIBL 清单来判别是否为垃圾信件。  贝氏过滤Bayesian Filter 其特征是从信件中内含的文字作判定。一开始系统会先准备两组邮件样本，一组 是垃圾邮件另一组则是正常邮件，系统会先试着分析这