垃圾邮件危害与防范.docVIP

垃圾邮件危害与防范 　　摘 要：垃圾邮件对互联网的发展造成了严重的妨碍和危害，我们应了解邮件的发送和接收原理，并运用这些原理进行对垃圾邮件的防御，恰当的规则定义和使用RBL等服务是防御的主要手段。 　　关键词：垃圾邮件 电子邮件协议内容 过滤规则 RBL 　　中图分类号：TP393 文献标识码：A 文章编号：1007-3973（2013）001-103-02 　　随着互联网技术飞速发展，电子邮件应用范围也越来越广泛，成为企业、个人工作生活不可或缺的联络方式，随之而来垃圾邮件（SPAM）数量也与日俱增，大量的垃圾邮件压倒正规邮件，重复、毫无益处、喧宾夺主的邮件迅速成为互联网的重大顽疾之一。垃圾邮件泛滥：（1）危害了互联网的发展，占用了大量的传输、存储和运算资源，造成网络资源和存储的浪费。垃圾邮件又是病毒快速传播的主要载体。（2）由于垃圾邮件具有反复性、强制性、欺骗性和传播速度快等特点，严重干扰了个人的正常生活，浪费了用户的时间、精力和金钱。使得真正有用的E-mail要么因为信箱已满而进不来，要么淹没在一大堆Spam中。（3）垃圾邮件危害了现实社会，成为不良信息的主要传播载体。少数别有用心者利用垃圾邮件散播各种虚假信息或有害信息，严重危害了社会的稳定。在全球垃圾邮件重灾区的数据中，第一位一直是美国，而此前几年中国是仅次于美国的垃圾邮件大国，但这些年，在国内各方面共同努力下，中国的垃圾邮件占全球比例直线下降，在2010年份开始，已经从全球前5名的名单中脱离。然而虽占总比例下降，但垃圾邮件数量却不断增加，对国内信息化发展造成的危害依然很大，应对垃圾邮件的形势依然严峻。 　　电子邮件的发送接收流程相如图1所示。 　　电子邮件的协议和内容是由RFC文档规定而成的，这里SMTP协议，由RFC821所定义，控制如何传送电子邮件，通过Internet将其发送到目的服务器。POP3协议，由RFC1725所定义，它允许用户访问自己的邮件，然后将内容传送到他们本地的MUA。电子邮件的标准格式由RFC 822定义，除了由一个用户传递给另一个用户的信息之外，电子邮件中还包含附加的服务信息。SMTP利用这些信息来传递邮件，POP3则利用这些信息来对邮件进行分类接收。每封邮件都有两个部分：信头和主体。信头部分的字段可分为两类：一类是由你的电子邮箱程序产生的，另一类是邮件通过SMTP服务器时被加上的。在所有被SMTP服务器加上的字段中，对我们而言最重要的是Message-Id字段。这个字段是由你传向的SMTP服务器加上的。这是一个唯一的ID号。你可用这个号码作为邮件的编号。下面列出了可由用户的邮件程序控制的主要信头字段：From 邮件作者；Sender 发信人；Reply-To 回邮地址；To 收信人地址；CC 抄送：另一个收信人地址；BCC 密送：密送收信人地址。Subject 主题；In-Reply-To 被当前邮件回复的邮件的ID；Date 发信日期。现在电子邮件内容更加丰富，不仅传输各种文本内容，而且还需要传输各类非文本文件，如图像、视频、压缩文件等，根据这些需求，MIME协议被定义，它由RFC1521和RFC1522这两个标准构成，作为RFC822的补充。 　　垃圾邮件过滤的常用办法，是通过对发件人，收件人，邮件头，邮件正文等进行比较分析，通过白名单、黑名单结合，定义过滤规则对违规邮件进行过滤。简要说来，白名单就是设置一个允许规则，对其中的内容视作信任全部允许，黑名单则相反，对其中的内容视作不信任，不允许通过。黑白名单的内容可以和邮件地址地址、邮件头内容如发送者IP等相结合自由定义。过滤规则可以是一些规则的集合，对触发规则的动作就认为是垃圾邮件，规则内容可以灵活设置，根据不同的垃圾邮件特征综合考虑。这里举一些常用规则的例子来看一下。 　　1发件人IP地址伪造检查 　　在邮件发送的时候，中间会经过若干台服务器，每经过一台服务器，会在邮件头加入一条received信息，按照经过服务器顺序由后向前添加，邮件中的from和to是可以由发件人自己定义的，一些垃圾邮件发送者为了掩饰身份经常伪造from地址，伪装发件人，但是邮件头的received信息是邮件服务器自己添加的，通过比较received域，我们可以确定邮件是从哪个邮件服务器发出来的，而确认真实发送人的来源，识别伪造信息。在邮件中用户自己就可以查看到邮件头的信息，如163提供的免费邮箱里，查看邮件时选择邮件上方的更多就有“查看邮件头”的选项。 　　2大量相似群发邮件检查 　　在短时间内，邮件服务器收到了大量来自同一IP地址发送的电子邮件，就可以认为此IP地址可能是垃圾邮件发送服务器或者被垃圾邮件攻陷利用的发送服务器，可以针对这一IP地址做行为过滤。还有种情况在短时间内收到大量由不同IP地址发送，但是投