揭开金笛邮件系统反垃圾引擎的面纱

[admin]

垃圾邮件出现在10年前。经过这10年的历程，据国外媒体报道，英国知名安全公司Sophos近日发布的研究报告显示，今年4~6月期间，源于美国的垃圾邮件数量位居全球之首，占全球垃圾邮件总量的15.6%。垃圾邮件的泛滥成灾，让电子邮件的光芒所剩无几。如果不是得到企业广泛青睐，恐怕尽管人手必备，仍难逃无人问津的境地。

目前市场上，反垃圾邮件技术，主要有四种：黑名单、白名单、基于规则的过滤器、Bayesian过滤器。各个邮件服务器厂商自带的反垃圾引擎，都是基于以上四点，但效果却各不相同。现在拿其中的一个邮件系统—金笛邮件系统来分析反垃圾技术。

金笛邮件系统，在最近两年发展迅速，不断的打败已进入市场多年的老牌邮件服务器对手，成为市场上的一匹黑马。其中，它的反垃圾引擎设计与众不同，耐人寻味，现在我们来分析那面纱下究竟包含了什么。

金笛邮件系统的反垃圾引擎也包含了多种现今流行的反垃圾技术，例如黑名单、白名单、灰名单、规则过滤等，但不同于其他邮件系统，金笛反垃圾引擎是采用多层反垃圾过滤评分技术，根据不同的垃圾邮件特点采用不同技术，综合分析垃圾邮件，同时为每种特征打上垃圾分值，根据综合评分判断是否为垃圾邮件，真正做到准确率高，误杀率低。

第一层: 网络控制层
经验分析，发送垃圾邮件的服务器一般都会同时大批量的向某些域的多个帐号发送垃圾邮件，对于这些发送垃圾邮件方式，可通过设定一定网络访问频率控制进行有效的阻隔，金笛提供了两种设置方式对付这种攻击，并可自动把发送垃圾邮件的IP归为垃圾IP（SpamIP）列表。

第二层：来源分析
根据垃圾邮件发送者IP的地理位置，与 APNIC 的IP信息库核对结果，看来源是否真实，如果真实则通过，否则可能为可疑邮件，由于IP 来源无法伪装，所以这个反垃圾策略比较有效。

第三层: 黑名单
通过黑名单, 金笛系统设置屏蔽任何一个IP,一个网段;也可以屏蔽任何一个发信人,一个域。

第四层: 灰名单
greylist的设计大体上是基于一种重试的原则，即第一次看到某个IP要想给某个收件人发信，那么它将简单的返回一个临时错误（4xx），并拒绝此请求，正常的邮件服务器都会在一段时间内（如半小时）重发一次邮件。greylist发现还是刚才同样的ip地址和收件人，认为此ip是来自合法服务器的，予以放行。如果是非正常的邮件，那么或者将永远也不再进行重试，或者会疯狂重试，但由于间隔太近，而遭拒绝。因此，greylist只要设置一个合适的放行间隔，就可以在很大程度上对这类垃圾邮件有着良好的免疫能力。greylist的一大特点就是不会丢信，正规的邮件服务器认为4xx错误只是临时性、软性的错误，会隔一段时间重试，因此邮件还是可以投递成功。但greylist的一大缺点即使延迟（delay），延迟从几分钟到几个小时不等。对于一些对邮件及时性很强的客户，greylist可能不是一个很好的选择。

第五层: 趋势分析
趋势分析原理为，所有垃圾邮件都有目标指向，比如：卖药广告邮件都会在邮件内容里指定卖药的电话、邮件或网站，如果不指定这些信息，发送垃圾邮件也就没有意义了。趋势分析法就是通过分析邮件里的电话、邮件或网站链接内容，通过匹配判断他的指向从而判断邮件是否是垃圾邮件。

第六层: 邮件来源判断
主要通过分析邮件的来源，如：发件人ip ，发件人，发件域，等内容，来判断垃圾邮件的可能行。

第七层: 内容过滤
通过邮件内容关键字分析，可为符合内容分析结果的邮件打上相应的垃圾邮件评分。这类规则的判断条件类似系统的过滤规则。可参考过滤规则设定来设定过滤评分内容，同时我们也会通过收集客户反馈的垃圾邮件特点整理成规则内容，定期通知客户更新。

这种评分制度，一方面不会造成误杀，保证了用户的邮件能及时到达客户邮箱，另一方面保证了反垃圾工作的高效率，使得垃圾邮件拦截率为96%以上。比起其他邮件服务器，这是一个很大的优势，也难怪这个产品能够在那么短的时间就打开市场，有自己的一席之地。