技术新知                                                   下一则→     回到技术新知

 拒绝『信』骚扰?从了解垃圾邮件开始     

当使用者开启收信软件,对于不请自来的垃圾邮件总有『砍信砍到手软』的怨言! 垃圾邮件对于计算机网络安全上虽无重大危害,却始终无法完全杜绝,而且无端占用您宝贵的企业频宽与使用者时间,对于使用者、系统管理者与企业决策者皆是心腹大患。相比较许多国家已着手立法抵制垃圾邮件,并建有动态更新、除名条件严格的黑名单数据库机制,国内虽然已经着手在建立,但尚未有完善制裁垃圾邮件的作法;企业系统管理者该如何协助不堪其扰的使用者拒绝“信”骚扰?硕琦科技为您分忧:

了解垃圾邮件,从解读 Header 作起

根据 RFC文件所公布的标准,一封电子邮件是由邮件头与邮件体共同组合而成;其中邮件头如同邮件的信封, 邮件体即为邮件的内容,经由邮件头可了解邮件递送的各种信息,因此判读邮件头可了解邮件的来源,展开网管人员对垃圾邮件的追查。无论以哪种软件或哪种方法阻绝垃圾邮件,都是对判读电子邮件作起。

以 Outlook Express为例,打开『文件/属性/详细信息』,就可看到邮件头 如下图:

 

垃圾邮件判别无标准规则,计算机数据库自动判别更形困难

虽然使用者有寄送信息的权利,然而也应该衡量电子邮件使用时机,并尊重别人使用阅读与收信的权利。在家中信箱收到成堆信件时,您如何判断哪些是无益并且是不需拆阅的广告信?哪些是拆阅后发现内容不感兴趣,不希望再次收到的信件?肯定是从寄信地址,寄信人与邮件内容作判断。判读垃圾邮件也是如此;若要告诉邮件服务器您不希望收受哪些邮件,您必需以寄件者来源 IP、E-Mail 地址、邮件用户, 以及主题、内容为条件设定过滤项目,然而后面两者难度较高,对邮件服务器需有高度信任,但垃圾邮件定义困难,过度粗略的过滤条件可能意外阻挡重要邮件等等考虑,使得阻挡垃圾邮件更需谨慎而行。以下是数个人为判断依据,建议网管人员可以判断哪个是首当其冲该阻拦的垃圾邮件:

1.

发信时间、次数与发信量

是否定时、定量,而非大量且不时疲劳轰炸式地寄送电子邮件?

2.

寄件者来源(From)

是否有寄件者表白身份,以固定邮件服务器发送信件,而非以莫名其妙的昵称?发信来源是用过即丢的免费信箱、透过发信软件主机发送,还是使用个人账号、公司账号?

3.

回信地址(reply-to)

是否为来自企业名称域名的账号,而非免费信箱或假造?

4.

收件者名称

Header 内最上层" Recieved:from.....by....for"项目中,"for"与真实收件的电子邮件地址是否一致,或者明确如 XX 会员,而非空白、滥用的名称或任意捏造的 E-Mail Address?

5.

主题

是否明确表达为广告信函且与内文所表述一致,无自动生成的乱码,或是加入使用者账号部份名称,或伪装为亲朋好友的来信?

6.

信件内容

是否宣告为非垃圾信件?至于该邮件所传达的信息是『有价信息』还是『无价垃圾』,端视企业管理者、系统管理者与使用者共同议定之

7.

退订机制

有网页接口的『取消订阅』措施,而非利用『取消订阅』来验证名单是否有效

您是否发现,如果是经过使用者检阅则极易判断哪个为垃圾邮件,如果要使数据库自动记忆这些规则并进行判断,却非常困难;阻隔条件设置机制细腻灵活且易用的邮件审核软件困难度是非常地高,原因也在于此。 

终结垃圾邮件,仍然是路漫漫远兮

主动防御机制,长期抗战
 主动防御垃圾邮件机制目前还不盛行,直接易行的方式是启用全球动态黑名单 (Mail Abuse Prevention System);然而各地电子邮件使用文化大不相同,因此国内用户未必适用所有的国外的黑名单数据库。比较好的方式是由 ISP 供应商与其它第三认证单位接受收集来自使用者的通报,建立黑名单数据库,以数据库形式与.txt 档案另行导入等两种方式供企业自行决定是否采用该名单。近期邮件服务器产品的趋势将走向建立正式黑名单服务器,与条件设定方式更灵活的数据库使用接口。
 
 兵来将挡,被动式阻隔措施

在 ISP供应商与普通大众达成共识完善抵制垃圾邮件制度前,企业系统管理者应采取自保措施,首先应建立畅通的通报机制,使用者可实时反应所收到的垃圾邮件并提供完整的邮件头等相关信息,企业系统管理者收集归纳分析其特征后,供决策者判断何者该阻绝于企业邮件服务器之外。如不堪其扰,硕琦科技提供几个被动阻隔措施,可有效减少多数垃圾邮件量,避免因而降低邮件服务器效能:

(1)

透过发信软件,Header 栏中多数项目可伪造,然" Recieved:from.....by....for" 项目真实性较高,网管人员仍可回溯并以『开始/执行/ cmd 』以 nslookup 或是 ping -a 指令反向确认该 IP 所属网域名称以便向所隶属的 ISP 申告,或直接以防火墙设定阻绝来自该 IP 的邮件。

(2)

透过发信软件所提供的主机名称多为『 xxxx.mailserver.idv.tw 』(一般企业网域名称多为 .com 或是.net),如果企业管理者与系统管理者判定其信件内容为无价值的垃圾信件,可将上述邮件来源域名称列入阻隔条件中,或以上述 nslookup 或是 ping -a 指令反查其网域名称以便于『 系统资源管理中心 』设定阻隔条件。

(3)

现今许多业者利用免费信箱,甚至不惜以真实数据输入以取得免费信箱,用以大量滥发信件,一旦遭停权后立即停用;因此如果 网管 将以个人用户为主的免费电子邮件网域列入为来源网域阻隔条件中,即可拦阻大多数的垃圾邮件。

(4)

网管也要主动定期检查邮件记录,检测是否有人企图以程序搜寻邮件服务器内可使用的账号与地址,寻出该来源 IP 并以防火墙阻挡来自这些 IP 的电子邮件。

无论企业管理者与系统管理者决定采行何种防堵垃圾邮件之措施,垃圾邮件的防范并非一劳永逸,仍需辅以网管人员对垃圾邮件的长期收集观察,与企业管理者因时调节应变的弹性政策。

下一则→     回到技术新知