中国企业邮箱服务网-苏州邮箱,苏州企业邮箱,苏州企业邮局-专业提供网易企业邮箱|新浪企业邮箱|搜狐企业邮箱|263企业邮箱|TOM企业邮箱|21CN企业邮箱

自动回复的垃圾邮件--"反垃圾"攻防日志连载

今天，263网络通信“反垃圾”攻防实验室的防守方忙做了一团：一位攻击者利用263的邮箱成功完成了大量垃圾邮件的发送，这对于反垃圾先锋263是不能容忍的事情。

电脑屏幕前，反垃圾技术专家TONY连连摇头：“不可能，不可能，263的邮箱不可能用来发送垃圾邮件。我们的邮件发送服务器已经被严密地监控，发送的频率过高或者一次发送的用户数过多都会被阻止，更何况263还拥有超强的关键字过滤。”

　　显然，这不是一次普通的常规攻击。通常的垃圾邮件发送，是应用垃圾邮件群发工具来实现的，而这个课题早已被263的技术人员解决。那么，攻击者到底是应用什么手段来实现垃圾邮件的发送的呢？

　　在技术专家们的配合下，一套SMTP检查系统很快上线，凡是应用263服务器发送的邮件，都必须核准mail与mail from的地址，垃圾邮件发送者在进行邮件地址伪造的时候就会被263邮件服务器跟踪。一旦发现两个地址有不一致的情况，就可以判定属于垃圾邮件。

　　 TONY的眼光停留在了那封垃圾邮件上，专业的知识让他很快从邮件的信头中发现了一些蛛丝马迹，信头的邮件投递路由清楚的表明这封垃圾邮件是“自动回复”的产生的，对于这种情况，唯一有可能的就是 “自动回复”的内容就是要宣传的“垃圾信息”。

　　可以断定的是，这是一种利用自动回复反弹发送垃圾邮件的方式，邮箱主人并不曾给垃圾邮件发送者的邮箱发送邮件，而是垃圾邮件发送者伪造了这样的一个现象：将Mail from的地址改成垃圾邮件接收者的E-mail地址，申请一个263邮箱并设置好自动回复的垃圾邮件内容，然后给申请的263邮箱发送一封正常的邮件，这个时候263邮箱就进行自动回复，把垃圾邮件回复到Mail from的地址。如此反复，如果伪造大量的发件人给这个邮箱发信，就可以使用自动回复反弹发送大量的垃圾邮件。

　　 TONNY恍然大悟，一拍大腿叫道：“咱们的‘邮件自动回复’服务器是单独的一个服务器，在那个服务器上没有进行邮件投递速率控制！”于是，技术专家们赶紧在“自动回复”服务器上安装了监控工具，果然发现了某个帐号频繁地大量进行“自动回复”。

　　没有什么比解决一个“反垃圾难题”更能令这些反垃圾专家们高兴了，然而反垃圾是一个漫长而辛苦的工程，反垃圾专家们在攻防实验室的酸甜苦辣才刚刚开始。敬请关注下期内容：《识破“mail from伪造”》。

　　 “反垃圾”攻防实验室友情提示：自动回复的邮件是可以被设置成垃圾邮件的，因此邮件提供商也要对自动回复进行监控，以免垃圾邮件发送高手利用此漏洞进行攻击。

　上期我们提到，应用邮件系统自动回复的漏洞，伪造大量的发件人给某个邮箱发信，从而使用自动回复反弹发送大量的垃圾邮件。这种伪造就是mail from伪造，目前在整个行业里，受SMTP协议本身实现的限制，技术上还无法根本杜绝"mail from"伪造。因而263网络通信的"反垃圾"攻防实验室就这一问题展开了全面的研究与分析，并制定解决方法。

　　当你碰巧收到朋友发过来的垃圾邮件时，而你的朋友也确实没有发过这样的垃圾邮件，这就是垃圾邮件发送者对"mail from"进行了伪造。垃圾邮件发送者可以用任意的一个"mail from"来发送垃圾邮件，之所以伪造是为了让垃圾邮件更加隐蔽，但是他所发送的垃圾邮件内容是不变的，也正是这个原因暴露了垃圾邮件的特征之一：即mail from与from地址的不一致。

　　 263网络通信的反垃圾专家TONY，推了推眼镜，点头道：“垃圾邮件发送者太狡猾了，这mail from好比传统邮件信封上的寄件人地址，而from好比传统邮件信纸上的写信人地址。正常的邮件发送是两个地址都一样的，如果这两个不一样，就有垃圾邮件的嫌疑”。

　　在技术专家们的配合下，一套SMTP检查系统很快上线，凡是应用263服务器发送的邮件，都必须核准mail与mail from的地址，垃圾邮件发送者在进行邮件地址伪造的时候就会被263邮件服务器跟踪。一旦发现两个地址有不一致的情况，就可以判定属于垃圾邮件。

　　那么，是不是所有的垃圾邮件都是伪造mail from造成和from地址不一致呢？显然不是的，反垃圾专家TONY再次陷入了深思：邮件系统中负责传送邮件的服务器有两个角色，一种是接收用户发送的邮件，另一种是负责接收别的邮件服务器投递给本服务器用户的邮件。在发送端可以发现垃圾邮件的蛛丝马迹，在接收端是不是也可以呢？敬请关注下期内容：《同域认证，识别伪造同域垃圾邮件》

　　 “反垃圾”攻防实验室友情提示：mail地址与mail from地址的不一致是垃圾邮件的重要特征之一，反垃圾工作者通过对邮件的mail与mail from进行比较来识破伪造的垃圾邮件，从而实现“反垃圾”。

上期我们提到，mail地址与mail from地址的不一致是垃圾邮件的重要特征之一，这是针对发送端采取的防范措施。那么对接收端来说，有没有更有效的识别方法呢？

带着这样的疑问，我们来到了263反垃圾攻防实验室。正巧，反垃圾专家Tony刚好在处理一个有关同域认证的问题。

　　什么是同域认证呢？Tony微笑着从一堆文件中抬起头来：“我们先来解释清楚同域用户这个概念：同一个域名下的用户，比如同一个公司的员工，使用的企业邮箱后缀相同，这就是同域用户。”伪造成同域用户，是垃圾邮件传播者惯用的伎俩，以此来降低接收方的警惕性。对于这样的垃圾邮件，263网络通信的“反垃圾”攻防实验室同样制定了周密的解决方法——同域认证。

　　 “正常情况下，邮件系统中负责传送邮件的服务器有两个角色，一种是接收本系统用户（同属于一个服务提供商的用户）发送的邮件，替用户把相应的邮件投递到别的邮件服务器或者是本服务器用户的邮箱中，叫做SMTP服务器；另一种是负责接收别的邮件服务器投递给本服务器用户的邮件，叫做MX服务器，这组服务器只接收收件人本系统内用户的邮件。”Tony接着解释道，“也就是说，同一个系统的用户往来的邮件，只可能经过SMTP服务器组，而不会经过MX服务器组。因此，那些通过MX服务器收下来、而Mail地址却是同系统用户的邮件，就可以被判定为伪造的垃圾邮件。”
　　经过263同域认证技术的过滤，凡是那些伪装成同域用户的邮件，只要是经过263 MX服务器接收到的，就会被系统打入垃圾邮件之列，绝不会让它骚扰到263的用户。
　　伪造mail from地址或是伪装成同域用户，还是比较初级的手段。如今，垃圾邮件制造者的手段越来越狡猾，单靠地址一重过滤一道拦截关卡已经远远不够了。如何通过邮件内容的智能分析来识别那些更善于伪装的垃圾邮件呢？敬请关注下期内容：《垃圾邮件智能内容分析》
　 “反垃圾”攻防实验室友情提示：对于本系统用户发来的邮件，也不能轻信哦。而选择了263邮件服务的用户则可以高枕无忧了，同域认证技术可以帮我们有效地识破垃圾邮件，从而实现“反垃圾”。

上期我们提到，263的同域认证技术能够将那些通过MX服务器接收下来的、却伪装成同域用户的垃圾邮件及时捕获、并过滤出来。至此，前三期我们谈的都是如何根据地址（或者说信封、邮戳）来分辨垃圾邮件的方法。那么从本期开始，我们将深入垃圾邮件的内部，剥开它们更狡猾的伪装，再来看看263反垃圾系统是如何利用智能内容分析技术来识破它们的——

周一上午。

263反垃圾攻防实验室里一片繁忙。中秋结束、临近国庆假期又有一批垃圾制造者利用老友节日问候等形式发送垃圾信件，实验室的技术人员都严阵以待，从内容上严把“反垃圾”闸门。

针对内容，263有三重过滤系统来拦截垃圾邮件。其中第一重是网关，也就是根据关键字来进行粗略的筛选。这种方法比较武断，只要出现认为是垃圾邮件的关键字，就直接被封杀了。这种技术比较简单，一般的邮件服务商都在使用，但基本可以过滤掉93%的垃圾邮件。

263的技术优势在于第二重——智能内容分析技术。

Tony挠了挠头，试图寻找一种通俗的语言来向我描述难以理解的技术概念：“智能分析技术就是根据垃圾邮件的一些内容所呈现的特征来进行判断的一种识别方法，比如主题、内容、格式、图片、段落和关键字等信息技术特征，是一种综合的手段。”看我一脸困惑，他接着解释道，“内容和语义的过滤分析不是一个绝对的判断，不能靠一两个关键字就完成过滤，比如，邮件里出现了‘******’这个词，但你不能因此就把它打入垃圾邮件之列，还需要根据整封邮件的语义来综合分析。智能分析技术的难点正在于此。

“简单地说，智能分析就如同一个打分系统。比如，如果‘******’在这封邮件中出现了一次，我们就给它计一分；又出现了一个‘护法’之类语义相关的词或者图片就再多加一分……如此累计到一个特定的分值分，就可以断定这是一封垃圾邮件了。这样一来，经过综合分析判断的智能分析过滤后，拦截的准确率大概能达到85％以上。”

那么，垃圾邮件的种类和内容如此庞杂，这些关键词又是从哪里来的呢？能否适应时刻变化中的垃圾邮件形式呢？原来，智能内容分析技术之所以能够智能地识别垃圾邮件，是由于其背后有一套庞大的、并且具有自学习功能的垃圾样本库。那么，这个垃圾样本库是如何不断提高自身智能分析的准确率呢？敬请关注下期内容：《智能分析：样本库的收集》

“反垃圾”攻防实验室友情提示：网关只能武断地过滤掉一些“道行”较浅的垃圾邮件。而对于那些老奸巨滑的垃圾邮件来说，263的智能内容分析技术则可以做到棋高一招。以下是263反垃圾攻防实验室发布的第四期“企业邮局垃圾邮件分类统计”（2005年9月19日—9月25日）

上期我们提到，263智能内容分析技术主要攻克的是那些外表没有丝毫破绽、让人难以根据信封和邮戳辨别真伪的垃圾邮件。那么，给邮件“打分”的依据就成为一个做出判断的重要基础。这个依据又从何而来呢？这就是本期要谈到的内容——样本库的收集。

首先，你们要明白：样本库是一个动态的概念。它的内容是随着新垃圾邮件内容的出现不断更新和扩充的，也就是我们所说的‘自学习能力’。”263反垃圾攻防实验室负责人Tony一脸严肃，“只有样本库是与时俱进的，才能适应不断演进的垃圾邮件，提高判断的准确率。” 。

“那么，这个样本库是如何实现自学习的呢？”。

听到我这个还算靠谱的问题，Tony满意地接着解释道：“在样本库的采集上，263主要采取两种渠道来获取。第一种是通过用户端举报来进行的采集：用户在使用webmail（即：通过mail.263.net网站接收邮件）的时候，如果认为某封邮件是垃圾邮件，可以在网站上点击‘举报垃圾邮件’按钮，直接将其举报到垃圾邮件样本库。当然，能够主动这么做的用户为数并不多。因此，更多的还要依靠样本库的自学习能力，而这种学习是通过“探针邮件”实现的。”。

“探针邮件”就是我们在系统里面故意部署大量的陷阱，这些虚拟邮件地址的拼写非常短、都是容易被猜到的邮箱，比如liming@263.net之类的（当然我们也会有意公布一些）。这样的邮箱并没有人在真正使用，因此只要有邮件发到这些邮箱，就可以直接作为垃圾邮件被收录进样本库。

这些邮件汇集到样本库后，还需要进行一番“解剖”和“深加工”。首先，样本库会对这些邮件的特征进行分解，比如词意的拆解之类的工作，将有嫌疑的特征进行提取，再补充到垃圾邮件的样本库中来，进而自动进行系统端过滤器的升级，加强整个反垃圾邮件系统对新垃圾邮件特征的认识。这样，就完成了一个自学习的过程。当然，整个过程也可以人工干预，以验证其准确性。

不管是探针邮件的侦测，还是用户的举报，都可以称作是一种主动的反垃圾行为。它改变了过去一直以来防不胜防、疲于奔命的被动局面，也是263反垃圾技术的独特之处。那么，就用户端而言，还有哪些主动防御的工作可以帮助用户实现更有效的垃圾邮件过滤呢？敬请关注下期内容：《智能分析：用户参与，过滤更彻底》

“反垃圾”攻防实验室友情提示：以往在进行反垃圾邮件时，我们更多的是在进行一种被动的防御。而263的智能内容分析技术则彻底变被动为主动，大量的探针邮件，和一个能够通过自学习不断完善的垃圾样本库，彻底改变了过去邮件服务商只能被动接受用户投诉的现象，主动进攻。