反垃圾邮件技术分析与中文垃圾邮件过滤规则研究培训课件.pptVIP

CCERT反垃圾邮件工作历史 2002年组内研究生完成了反垃圾邮件硕士论文 2002年接受南方周末、中央电视台东方时空、北京晨报等媒体采访，引发了媒体对垃圾邮件的广泛关注； 2003年出版国内第一本关于反垃圾邮件方面的专著《垃圾邮件与反垃圾邮件技术》 2003年参加互联网协会反垃圾邮件协调小组活动，担任技术工作组负责单位 2004年10月主办中国反垃圾邮件技术会议CCAS2004 2004年9月发布国际第一套中文反垃圾邮件规则集合、并提供公益服务。 CCERT反垃圾邮件技术组主页 主要内容 垃圾邮件的情况 反垃圾邮件技术分析 技术概览 垃圾邮件的响应环节及措施 邮件的传输过程及对垃圾邮件的控制 中文垃圾邮件过滤规则研究 CCERT开展的反垃圾邮件工作 邮件的传输过程 Originator Receiver External-Relay 布控点及相关措施（一） Originator端： 在发送邮件的服务器上采取措施： 限制服务器发送邮件的速率、频率 规定邮件服务器开放服务的端口，关闭不必要的服务 使用经过认证的MTA转发邮件 设定邮件用户身份认证方式 与邮件用户间互签安全协议 对转发邮件过程中的Relay 服务器身份认证： 布控点及相关技术（二） ：可信任的信道，即每次中转都采用可信赖的实体 SSL/TLS PPP Logic SSH ：合法的对象源，对邮件信息可以做确认 S/MIME PGP 设置不同方式的过滤措施 Receiver 端： 布控点及相关技术（三） 基于流量的入侵检测 基于honeypot或miningfield 的检测 IP、域名、邮件地址的黑白名单、 RBL BBL(Benefit Blackhole List) 基于链接速率、频度的动态规则 反向域名验证 基于信头、信体、附件的内容关键词过滤 基于贝叶斯的内容统计分析 基于规则评分系统的过滤平台例如：SpamAssassin 邮件病毒扫描 正在讨论中的:SPF、 DMP、 RMX Domain keys 订制第三方服务 例如:DSBL、DCC、Razor、APF Challenge-response 黑名单 不占用计算机资源，易于实施 。 需要手动维护的IP地址清单。 垃圾邮件发送者经常修改他们的IP地址，并采用一个广泛的IP地址区间以逃避反垃圾邮件手段的检测，因此该方案在总体的垃圾邮件解决方案中仅起补充作用。 黑名单、白名单、灰名单 设置不同方式的过滤措施 Receiver 端： 布控点及相关技术（三） 基于流量的入侵检测 基于honeypot或miningfield 的检测 IP、域名、邮件地址的黑白名单、 RBL BBL(Benefit Blackhole List) 基于链接速率、频度的动态规则 反向域名验证 基于信头、信体、附件的内容关键词过滤 基于贝叶斯的内容统计分析 基于规则评分系统的过滤平台例如：SpamAssassin 邮件病毒扫描 正在讨论中的:SPF、 DMP、 RMX Domain keys 订制第三方服务 例如:DSBL、DCC、Razor、APF Challenge-response RBLs (实时黑名单) 也被称为DNS-RBLs, 检查所有收到邮件的IP地址，与在RBL中的IP地址核对来阻断与spammer 的连接。 RBL服务运营商维护公共RBLs, 使用单位仅需订阅实时黑名单服务。 RBLs的计算开销非常低，同时它们通常采用一个类似与DNS的协议实施，所以它们的网络开销也非常低。 RBLs缺点易于产生误报，须谨慎。 RBL工作原理 SMTP服务器接收到链接请求 对链接地址进行DNS反向查询 与RBL服务器建立查询 查询得到肯定的结果，则拒绝该连接 查询无结果，继续进行连接 设置不同方式的过滤措施 Receiver 端： 布控点及相关技术（三） 基于流量的入侵检测 基于honeypot或miningfield 的检测 IP、域名、邮件地址的黑白名单、 RBL BBL(Benefit Blackhole List) 基于链接速率、频度的动态规则 反向域名验证 基于信头、信体、附件的内容关键词过滤 基于贝叶斯的内容统计分析 基于规则评分系统的过滤平台例如：SpamAssassin 邮件病毒扫描 正在讨论中的:SPF、 DMP、 RMX Domain keys 订制第三方服务 例如:DSBL、DCC、Razor、APF Challenge-response 检查邮件内容中含有的URL链接 定义受益黑名单 基于BBL过滤 设置不同方式的过滤措施 Receiver 端： 布控点及相关技术（三） 基于流量的入侵检测 基于honeypot或mining