垃圾郵件出現(xiàn)在10年前��,反垃圾郵件技術(shù)及其應(yīng)用則相應(yīng)開始于上個(gè)世紀(jì)末尾���。經(jīng)過了多年的發(fā)展,反垃圾郵件技術(shù)有了很大的進(jìn)步���,可是垃圾郵件卻反而有越演越烈之勢(shì)�。要徹底解決垃圾郵件問題����,顯然反垃圾郵件技術(shù)是根本保證,可是成熟的技術(shù)究竟離我們還有多遠(yuǎn)?
垃圾郵件的泛濫讓人們紛紛尋求各種對(duì)抗和解決手段����,其中,技術(shù)手段是最直接和最根本的手段��。上個(gè)世紀(jì)末出現(xiàn)了反垃圾郵件技術(shù)���,經(jīng)過近幾年的發(fā)展����,反垃圾郵件技術(shù)和產(chǎn)品應(yīng)用都有了很大���、很廣的進(jìn)步���,但是垃圾郵件技術(shù)也在不斷改變��,導(dǎo)致現(xiàn)在垃圾郵件數(shù)量依舊居高不下����,問題還是十分嚴(yán)重�����。驀然回首���,反垃圾郵件技術(shù)���,已經(jīng)趟過好多座“山”,可望前方�����,反垃圾郵件技術(shù)的征程卻還有三道“坎”��。
第一道“坎”:
SMTP協(xié)議的缺陷
垃圾郵件之所以能夠如此猖獗的泛濫�����,事實(shí)上與上個(gè)世紀(jì)七十年代制定的電子郵件協(xié)議SMTP協(xié)議(簡(jiǎn)單郵件傳輸協(xié)議)本身的缺陷有關(guān),雖然SMTP歷經(jīng)了多次的修訂��,但并沒有從根本上解決垃圾郵件產(chǎn)生和傳播的問題�����。
SMTP協(xié)議本身是一個(gè)簡(jiǎn)化的郵件遞交協(xié)議�����,缺乏很多必要的身份認(rèn)證���,這是SMTP協(xié)議造成垃圾郵件泛濫的原因之一。由于SMTP協(xié)議中�����,允許發(fā)信人偽造絕大多數(shù)的發(fā)信人特征信息����,如:發(fā)信人、信件路由等�����,甚至在通過匿名轉(zhuǎn)發(fā)、開放轉(zhuǎn)發(fā)和開放代理等手段后���,可以近乎完全的抹去垃圾郵件的發(fā)信人特征��。目前�,絕大多數(shù)的垃圾郵件都偽造了其真實(shí)的發(fā)信來源�����,這對(duì)于發(fā)現(xiàn)制止垃圾郵件的傳播造成了很大困難��。
SMTP協(xié)議還缺少一些必要的行為控制�����,不能有效地甄別正常的郵件發(fā)送和垃圾郵件發(fā)送行為��,這是造成垃圾郵件泛濫的原因之二����。垃圾郵件的發(fā)送通常有一定的行為特征,比如在較短的時(shí)間內(nèi)發(fā)送極其大量的電子郵件,發(fā)信通訊中通常有特定的通訊特征等���。
雖然SMTP的這些缺陷在互聯(lián)網(wǎng)發(fā)展初期還并不是一個(gè)嚴(yán)重的問題��,甚至是符合當(dāng)時(shí)的實(shí)際情況的�,但是隨著互聯(lián)網(wǎng)的發(fā)展��,其先天的不足也越發(fā)凸顯了出來����。
出于兼容性的要求�����,幾乎不可能推翻已經(jīng)被廣泛接受的SMTP協(xié)議�����,而采用新的協(xié)議替代它��。所以現(xiàn)在的反垃圾郵件技術(shù)主要是通過對(duì)SMTP的小量的兼容性修改和在SMTP通訊的前后增加處理環(huán)節(jié)��。
第二道“坎”:
死板的連接控制技術(shù)
目前�����,反垃圾郵件技術(shù)的一個(gè)主要方向就是“連接控制”,就是通過檢查和校驗(yàn)發(fā)送郵件的郵件來源是否是一個(gè)合法的郵件來源����,來決定該郵件是否當(dāng)作垃圾郵件處理。主要是針對(duì)SMTP協(xié)議進(jìn)行增強(qiáng)和修補(bǔ)��,以期在郵件投遞過程中判定垃圾郵件并過濾�����。
連接控制型技術(shù)主要是通過檢查SMTP協(xié)議通訊過程中不合法的通訊行為來判定垃圾郵件���。比如通過實(shí)時(shí)黑名單可以直接拒絕來自垃圾郵件源的垃圾郵件����、比如通過檢查發(fā)信人是否真實(shí)存在并與宣稱的發(fā)信人是否相同等方法都是這種技術(shù)��。
這種技術(shù)對(duì)垃圾郵件處理能力的要求較低�,不需要太大的處理能力。它能夠節(jié)省大量的帶寬����、存儲(chǔ)容量和處理時(shí)間�。但是這種技術(shù)相對(duì)比較死板�����,對(duì)垃圾郵件的判定準(zhǔn)確度不夠��。對(duì)于現(xiàn)在的連接控制型技術(shù)來說���,大多有一定的缺陷�。例如:對(duì)于“實(shí)時(shí)黑名單技術(shù)”來說��,它的效率很高���,但是對(duì)于被阻斷的IP地址,不分青紅皂白就全部拒絕有些武斷���,而且“實(shí)時(shí)黑名單”的數(shù)據(jù)更新速度總是稍慢于垃圾郵件出現(xiàn)的速度�����。同樣���,對(duì)于“FQDN名稱檢查”和“RFC821格式檢查”,雖然大多的垃圾郵件發(fā)送程序都不符合這個(gè)標(biāo)準(zhǔn);但是,確實(shí)存在著很多配置不善的郵件服務(wù)器���。這樣也難免出現(xiàn)誤判的情況�。
第三道“坎”:
不堪重負(fù)的內(nèi)容分析技術(shù)
另外一個(gè)反垃圾郵件技術(shù)的主要方向是“內(nèi)容分析”�,就是通過對(duì)郵件內(nèi)容的分析,使用人工智能�、概率論等方法來判斷該郵件是否是垃圾郵件。主要是針對(duì)郵件在經(jīng)過SMTP協(xié)議投遞后�����,對(duì)郵件的內(nèi)容進(jìn)行傾向性分析��,判定其是否可能是垃圾郵件�。
內(nèi)容分析型技術(shù)主要是在郵件接收后通過分析信件內(nèi)容來判定垃圾郵件。比如通過特定關(guān)鍵字匹配���、通過以貝葉斯算法為代表的概率論方法來判斷郵件的內(nèi)容傾向性都是這種技術(shù)�。
這種技術(shù)對(duì)垃圾郵件的處理能力要求較高�����,需要較多的處理能力���。它能夠有效地識(shí)別出是否為垃圾郵件���。但是在郵件流量大的情況下��,所帶來的負(fù)載也很可觀��。對(duì)于現(xiàn)在的內(nèi)容分析型技術(shù)�����,大多存在一定的缺陷��,例如:對(duì)于“關(guān)鍵字/正則表達(dá)式匹配”���,雖然對(duì)于特定的垃圾郵件,比如病毒蠕蟲郵件����、擁有獨(dú)特的關(guān)鍵字的垃圾郵件�、擁有特定格式的垃圾郵件來說,是非常有效果的;但是這種方法存在一定的誤判��,甚至有時(shí)候條件設(shè)置不夠嚴(yán)密����,可能造成很大的誤判;同樣���,對(duì)于“內(nèi)容傾向性概率分析”,在取樣樣本足夠和樣本學(xué)習(xí)方向調(diào)整的情況下����,對(duì)于垃圾郵件的判斷準(zhǔn)確性非常高。但是����,一方面,積累一個(gè)足夠全面的樣本庫比較困難;另一方面��,概率分析總是存在一定概率的錯(cuò)誤分布����,即便這個(gè)概率比較小。此外�����,對(duì)郵件進(jìn)行概率分析���,對(duì)處理能力的占用比較大���,因此處理大量的郵件時(shí)����,帶來的負(fù)載比較高�。
綜合應(yīng)用翻越技術(shù)之“坎”
通過上面分析,可以看出����,目前兩種主流的反垃圾郵件技術(shù)均有各自的優(yōu)缺點(diǎn),現(xiàn)在較為成熟的產(chǎn)品都是綜合采用了這兩種方法��,當(dāng)前綜合應(yīng)用這些反垃圾郵件技術(shù)�����,一般情況下��,可以取得90%以上的垃圾郵件識(shí)別率和5%以下的正常郵件的誤判率���。通過適當(dāng)?shù)募夹g(shù)手段����,比如對(duì)誤判和漏判的報(bào)告��,完全可以滿足反垃圾郵件的需要��。
隨著微軟向IETF提出SenderID框架的反垃圾郵件技術(shù)草案���,和以貝葉斯理論為代表的概率論方法的成熟����,這兩類技術(shù)都在逐漸提高并得到進(jìn)一步的推廣應(yīng)用��。
400 186 1886
