垃圾邮件。它填满了我们的收件箱,浪费我们的时间,传播恶意软件——而且它只会变得更糟。根据Ferris Research的该机构研究消息和内容控制,预计2008年将发送40亿亿条垃圾短信,给全球企业造成1400亿美元以上的损失,比2006年的18亿亿条和2007年的30亿亿条大幅增加。
从理论上讲,电子邮件过滤软件和设备允许“好”或“真”的电子邮件通过而阻止垃圾邮件。但是,过滤器可以犯错两种方式:他们可能会错误地允许垃圾邮件通过,相信它是真实的电子邮件(称为“假阴性”的情况),或者他们可能会错误地阻止真正的电子邮件,信它是垃圾邮件(“误报”)。
通常情况下,在将邮件识别为垃圾邮件后,过滤软件要么直接将其拦截,要么将其放在隔离文件夹中,让收件人稍后查看。尽管后一种方法提供了检索误报的机会,但它需要用户花费时间和精力——而且有些用户根本就不费心检查隔离文件夹。
接收垃圾邮件的用户和组织需要花费大约$的费用来删除垃圾邮件。根据Ferris的研究,每条短信的费用为4英镑。但摩天分析师Richi詹宁斯他指出,找到丢失的真正电子邮件的成本远远高于删除垃圾邮件的成本——每条邮件约3.50美元。
(Ferris利用已公布的劳动力规模和每小时劳动力成本等因素的数据得出这些数据,然后应用自己的估算数据,比如能够访问电子邮件的劳动力比例和垃圾邮件的数量。一个下载表格[需要注册]示出Ferris的模型)。
更糟的是,詹宁斯说,企业通过承担因误判错失机会更大潜在成本,他们从来没有看到 - 例如,一个咨询公司,没有收到建议请求。
过滤技术
为了减少因垃圾邮件过滤器的误报,它有助于了解一些关于他们如何工作。要使用更加先进的垃圾邮件跟上,过滤器采用了各种多年来技术,经常用于组合彼此。下面是一些流行的技术,在粗糙的时间顺序鸟瞰图:
基于关键字和贝叶斯过滤器
最早的过滤器在主题行和消息正文中搜索特定的词,如“伟哥或“网上药店”。更复杂的版本使用贝叶斯分析,将关键字搜索与诸如确定“好”字与“坏”字的比率等技术相结合,并根据这些比率分配概率分数。
挑战的反应
未被识别的发送者会收到一个回复,要求他们通过提供出现在屏幕图像中的字母和字符来验证自己,这种技术也被称为CAPTCHA(区分电脑和人的完全自动化的公共图灵测试)。这个测试基于这样一种想法,即人类可以检测并输入特定的模式,而计算机却不能这样做。一旦确认了发送方,他的电子邮件消息就会直接发送,而不需要进行询问步骤。
黑名单、白名单和声誉名单
使用这些技术,过滤器评估的不是消息,而是发件人的特征,特别是发件人以前关于垃圾邮件的记录。
黑名单是收集世界各地已知垃圾邮件发送者IP地址的数据库。垃圾邮件过滤器根据黑名单检查收到的邮件,并拒绝接受来自这些地址的电子邮件。根据所使用的特定垃圾邮件过滤产品,它检查的黑名单可能是本地的(例如,在公司自己的网络上维护)、远程的(集中维护,独立于特定公司)或组合的。一些集中维护的黑名单是公开的,而另一些则是收费的服务。
白名单,领取“发信人”列表中的受信任的电子邮件来源的IP地址,过滤器会自动接收电子邮件从这些地址。至于黑名单,垃圾邮件过滤产品可以检查本地白名单,集中维护的一个或两个。许多垃圾邮件过滤器同时利用黑名单和白名单。
术语信誉服务(或口碑榜)有时用来指一种技术,它利用黑名单和白名单,但通过不仅考虑发送IP地址拓宽了他们,但整个域。然而,该术语在行业中使用不一致,与经常互换使用的术语“黑名单”和“口碑榜”。
在某些情况下,供应商使用“声誉服务”或“声誉列表”来将其列表与社区传统的黑名单和白名单区分开来。但詹宁斯提醒大家,不要相信声誉名单都是专业运作的,而所有黑名单都是“假阳性的污水池”。他说,他还没有看到一个真正不同于传统的黑名单或白名单的名声名单。
Graylisting
收件人电子邮件系统暂时拒绝来自未知IP地址的电子邮件(既不在白名单上,也不在黑名单上)。接收方系统向发送系统发送自动响应,通知后者临时失败。理论上,一个“真正的”发送者会简单地重新发送信息,而垃圾邮件发送者则没有耐心这样做。
缓送
邮件服务器上的服务尽可能地降低传入连接的速度;延迟是为了阻止垃圾邮件发送者,迫使他们花更长的时间发送垃圾邮件。这项技术以现实生活中的沥青坑命名,动物们会陷入泥沼,最终下沉并窒息而死。(最初的tarpitting项目被称为LaBrea,以洛杉矶tarpit的名字命名。)当然,这种方法的缺点是,合法的电子邮件也需要更长的时间。
复发模式检测
该专利技术依赖于一个事实,即垃圾邮件的爆发,顾名思义,涉及电子邮件广泛传播。该RPD系统,开发和安全厂商Commtouch的维护,监控互联网这样的爆发,并确定它们所包含的模式,然后更新的垃圾邮件模式的中央数据库。(Commtouch的都卖了自己的反垃圾邮件产品和许可证的RPD技术,其他反垃圾邮件供应商。)使用RPD查询数据库,电子邮件为垃圾邮件被丢弃或隔离鉴定公司的电子邮件系统。
对付误报的技巧
在发送端和接收端,尽量减少误报对您的组织来说都是至关重要的。真正的挑战来自这样一个事实:上面列出的任何或所有垃圾邮件过滤技术都可能在您自己的系统和您的收件人的系统上使用。这里有一些你可以采取的步骤。
1.一定要使用垃圾邮件过滤器。
误报的发生可以让你知道你是否应该简单地折腾你的垃圾邮件过滤器 - 不。
即使不使用过滤器,也可能出现误报,比如当用户在收件箱中看到多个垃圾邮件主题时,手动多次点击“删除”,却没有意识到隐藏在列表中的是一封“好”电子邮件。另一方面,根据Ferris Research的Jennings的说法,一个最先进的垃圾邮件过滤器可以捕获97%到99%的垃圾邮件,从而防止不加选择的手动删除。詹宁斯说,尽管垃圾邮件过滤器会产生误报,但其误报率(低至0.01%)远远低于纯人类行为。
2.在网络DMZ上找到您的筛选器。
计算机网络上下文中的非军事区(DMZ)是指该网络中从公共Internet缓冲私有内部网的部分。DMZ中的系统容易受到外部攻击,但是它们的存在可以保护内部网络免受外部攻击。
Jennings认为,将垃圾邮件过滤器放置在DMZ上,可以让它监视连接的特征,并获取有关传入电子邮件消息的更多信息,这对于确定该消息是否是垃圾邮件至关重要。“如果发送者是一个Windows ME盒子,”他说,“为什么它会直接给我发送电子邮件,而不是通过一个合法的电子邮件服务器?”在这种情况下,它几乎肯定是僵尸,所以这条消息将是垃圾邮件。”
3.远离旧的过滤技术。
乔治华盛顿大学法学院信息技术主任迈克尔·布里格斯(Michael Briggs)建议,不要使用老式的关键字技术,而应该使用灰色列表等更新的技术。(参见“CAPTCHA是怎么看不上”)。
以同样的方式,詹宁斯有大约质询响应系统的强烈关注,称他们是“只是一个可怕的想法。”他指出,一个合法的发件人可能永远也看不到提问消息,因为该消息本身可以被标记为垃圾邮件,因为垃圾邮件发送者经常伪装垃圾邮件这样的消息。
4.招募用户帮助维护白名单。
您的用户不断地与新客户、供应商和其他联系人发展关系,这意味着如果您依赖可信任发件人的白名单,就需要不断地更新它。卢西奥·冈萨雷斯(Lucio Gonzalez)是麦卡伦(McAllen)南德克萨斯学院(South Texas College)的一名系统专家和电子邮件管理员,他很感激学院的员工向他介绍他们的新联系人,比如学院获得了新的供应商。
他将它们添加到白名单了,并从这些发件人的邮件打通更快,更不要冒这个险被标记为垃圾邮件。定期提醒用户保持IT部门告知新的联系将节省大家的时间和麻烦。
更妙的是,电子邮件安全供应商产品营销副总裁Andrew Lochart认为的构建,让用户设置自己的垃圾邮件过滤参数。用他的话说,垃圾邮件和美一样,都是因人而异的。
尽管很少有人想要男性美容或在线药品广告,但例如,一些商务旅行者可能想要他们的每周通知达美航空或赫兹。这种灵活性最终对双方都有利的最终用户,并通过二者的减少努力恢复误报的电子邮件管理员。
5.明智地选择黑名单和声誉名单。
如果您的组织依靠黑名单或声誉列表来阻止垃圾邮件,Jennings建议您仔细考虑使用哪个。他指出,许多垃圾邮件过滤产品让客户配置产品,如果有的话,使用哪个黑名单。
在选择黑名单时,Jennings建议您检查列表的管理策略。例如,GWU的Briggs说,一些黑名单和声誉名单纯粹是由用户投诉驱动的,而依赖这些名单将不可避免地导致误报。
不知道从哪里开始?询问建议您垃圾邮件过滤器的供应商,建议詹宁斯。
了解你的黑名单或声誉名单的状态也很重要。Jennings引用了ORDB的例子,它是一个2006年被关闭的黑名单,但是在关闭之后仍然收到来自系统的查询。据Jennings说,这些查询淹没了存储ORDB的服务器,使得前ORDB管理员无法进行其他工作。(换句话说,这些查询构成了拒绝服务攻击,尽管它是无意的。)
2008年初,为了停止这些查询,运营商让ORDB重新上线,但将其设置为旗每个IP地址报告给它作为垃圾邮件源——他们认为,这是吸引电子邮件管理员注意并让他们停止查询ORDB的唯一方法。如果这些管理员一开始就比较警觉,他们就会进行调查,发现ORDB正在消失,并相应地重新设计他们的过程,而不需要ORDB操作人员采取严厉的措施。
6.确保你没有发送垃圾邮件。
如果垃圾邮件进入系统熄灭,甚至无意,它伤害你的声誉,并增加你对垃圾邮件黑名单结束的可能性。如果您发送垃圾邮件不够,詹宁斯说,你的声誉可能会受到影响的地步,你将有麻烦发送合法的电子邮件。
三管齐下能保住你的声誉:
首先,建议在安全厂商的产品管理副总裁Stephen报,梭鱼网络,限制用户可疑的网页浏览。如果用户访问危险或令人反感的网站,恶意软件从这些网站可以安装在他们的计算机上,然后可以用来发送垃圾邮件从你的系统。要防止这种情况发生,请设置清晰的可接受使用策略,并部署来自可信安全供应商的Web监视或过滤软件,如Websense或Sophos在用户的系统上。注意,监视你的雇员的网络使用可能涉及法律和隐私问题,所以要确保你遵守任何适用的法规,在必要时给你的用户适当的通知。
按照同样的思路,宝德建议您保持最新的安全补丁和病毒和恶意软件的定义,以确保垃圾邮件发送者无法接管你的系统,并利用它们发送垃圾邮件。
最后,Jennings建议使用出站过滤绝对保证没有垃圾邮件正从您的系统发送。
7.检查你自己的垃圾邮件声誉。