擎空霹雳剑--在服务器端围剿垃圾邮件

发表于:2007-06-23来源:作者:点击数: 标签:
骚扰者必须首先混入 服务器 中。擎空霹雳剑就如同一把倚天剑,斩断他们伸向邮件服务器的脏手。企业用户或家庭用户的邮件都是通过服务器转发过来的。企业网中一般有专用的电子邮件服务器,而经常通过Internet上网的家庭则通过ISP的电子邮件服务器接收邮件。

   
  骚扰者必须首先混入服务器中。擎空霹雳剑就如同一把倚天剑,斩断他们伸向邮件服务器的脏手。企业用户或家庭用户的邮件都是通过服务器转发过来的。企业网中一般有专用的电子邮件服务器,而经常通过Internet上网的家庭则通过ISP的电子邮件服务器接收邮件。

通常来说,可在邮件服务器端或是在客户端采用一定的方法来阻隔垃圾邮件。相比之下,在邮件服务器端的防御会更为有效。因此,每个企业应该首先拿起这把利剑,以达到事半功倍的效果。

与在服务器端相比,在客户端防范垃圾邮件将要花费更多的时间。公司的网络管理员需要在每台客户端的机器上都安装、配置反垃圾邮件软件,并定时更新和升级反垃圾邮件软件的过滤文件。而且,在客户端的防御并不能阻止垃圾邮件到达客户端的邮件服务器上。其实在客户端反垃圾邮件软件清除那些垃圾邮件之前,它们已经消耗了邮件服务器上宝贵的网络带宽和存储资源。而且,许多垃圾邮件发送者都已熟知当今主要的客户端反垃圾邮件软件所用的检测方法,他们能使用一些技巧(如隐藏邮件中某些关键字),绕过反垃圾邮件软件的防范措施。

抓住要害解决问题,就可以做到事半功倍。在服务器端阻止垃圾邮件是效率最高的方式。所以,为了有效地阻止垃圾邮件,并将其所造成的损失减小到最少,需要在邮件服务器端采取相应的防范措施。在邮件服务器端阻隔垃圾邮件主要有以下优点。

1.可以在仅与Internet相连的前端服务器(或邮件转发网关)上采取防范措施,从而省去了在每个客户端进行安装和配置的繁琐工作。

2.在垃圾邮件进入客户端的邮件系统前就将其阻隔,节省了网络带宽和存储资源。

3.基于邮件服务器端的防范手法更为多样,结合使用,更为有效。

尽管市场上已经出现一些企业级的防垃圾邮件产品,但一般价格较高(像支持1000个以上用户的产品价格通常超过10万元),而且有些效果并不十分理想(漏判率较高,有些甚至超过20%,导致很多垃圾邮件"蒙混过关")。所以,对很多用户来讲,在服务器端防范垃圾邮件主要是开发已有邮件服务器内嵌的相应功能。

企业邮件服务器主要有基于Windows操作系统平台的Exchange邮件服务器,基于Unix/Linux操作系统平台的Sendmail服务器,以及其他厂商的产品和一些共享软件。在这些邮件服务器中,都提供了抵御垃圾邮件的功能。我们可以充分利用这些功能,筑起阻止垃圾邮件的第一道防线。此外,结合企业网自身的结构,基于硬件的反垃圾邮件服务器也可有所作为。

掐起Exchange剑诀

Exchange 2000 Server(以下简称为Exchange)是目前微软在邮件服务器领域的旗舰产品,在企业中得到广泛应用。下面就介绍在Exchange服务器上防范垃圾邮件的主要方法。

一、切断恶意转发通道

不看不知道,在Exchange服务器上,还真有不少防范垃圾邮件的神奇招数,可采取防止恶意转发、控制邮件来源与数量、过滤等各种手段。

探明来路

到底什么是垃圾邮件呢?简单来说,垃圾邮件是那些收信人并不希望收到、并且也从未订阅过,但是却被人利用电子邮件可以随意发送的特点,强行塞入收信人的邮箱的电子邮件。以下电子邮件都被视为垃圾邮件:(1)收信人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件;(2)收件人无法拒收的电子邮件;(3)隐藏发件人身份、地址和标题等信息的电子邮件;(4)含有虚假的信息源、发件人和路由等信息的电子邮件。

垃圾邮件一次发给很多人,在Internet上同时传送很多副本。在英文中垃圾邮件通常称为Spam或Junk Mail,也有的叫做不请自来的商业电子邮件(Unsolicited Commercial Email,UCE)和不请自来的批量电子邮件(Unsolicited Bulk Email,UBE)。

首次关于垃圾邮件的记录是1985年8月一封通过电子邮件发送的连锁信,一直持续到1993年。1993年6月,在Internet上出现了"发财之道(Make Money Fast)的电子邮件。历史上比较著名的事件是1994年4月,两名从事移民生意的律师Laurence Canter和Martha Siegel,把一封信发到6000多个新闻组,向公众宣传获得美国国内绿卡的法律支持。垃圾邮件开始引起了人们的注意和反感。一些敏锐的商人立刻意识到了电子邮件带来的商机,许多人开始利用电子邮件作商业广告,1995年5月有人写出了第一个专门的应用程序Floodgate,一次可以自动把邮件发给很多人。紧接着在同年8月份,就有人拿200万个邮件地址出售。

随着垃圾邮件的逐渐增加,这一问题也慢慢得到重视。由于过滤垃圾邮件技术的发展,垃圾邮件发送者不得不采取更为隐蔽的技术,比如伪造信头中的发件人、域名和邮件地址等。然而这些方法还是逃不出IP地址的过滤。于是,垃圾邮件发送者又开始寻找其他方法,1997年3月,他们开始把目光转向开放转发(Open Relay)。开放转发是解决Internet路由的一种很好的方法,但是存在以上安全漏洞。很快,大部分商业垃圾邮件就开始利用别人的服务器使用邮件转发的办法发送。这样做的原因是可以盗用别人的资源。

这里的恶意转发(Relay)是指一个Internet上的SMTP服务器连接到企业邮件服务器,试图发送邮件到另外一个外部的电子邮件域。例如,某公司的邮件服务器A负责接收的是a.com的邮件地址,如果一台Internet上的外部SMTP服务器B连到该服务器,并想通过该邮件服务器来转发一封到c.com的邮件,这就是一种转发。如果该公司的邮件服务器允许这种转发,那么它就处于转发开放状态。许多垃圾邮件发送者并不用他们自己的邮件服务器来发送垃圾邮件,而是寻找Internet上那些开放转发的邮件服务器来转发垃圾邮件。

默认情况下Exchange不是,也不应该是开放转发。处于开放转发状态的邮件服务器会造成很大的危害性,主要有两点。第一,收信方会认为该邮件服务器在散播垃圾邮件,从而在他们的服务器端阻隔所有来自该服务器或其所在域的连接请求。这样该服务器就不能向那些域发信了。更糟的是,该邮件服务器的IP地址还很有可能会被加入到Internet上公开的开放转发服务器黑名单上,所造成的后果是许多外部域都拒收来自该服务器的邮件,企业需要花费一定的人力财力才能将自己的服务器从黑名单上去除;第二,一般垃圾邮件是群发的,收件人会有成百上千个。垃圾邮件发送者通过企业邮件服务器转发垃圾邮件,他们只需用很少的网络带宽向您的服务器发一封信,此后该服务器若是允许转发,那么它将会占用大量的网络带宽,将这份信转发到所有的外部收信人那里。由于正常的网络带宽被过度占用,情况严重时会造成服务器停止响应,影响内部用户的正常通信。

二、堵住垃圾邮件来源

对于从Internet上收到的垃圾邮件,可以查看其Internet信头。从信头中可以得到发送这封垃圾邮件的服务器的IP地址,从而可以在Exchange服务器上限制来自这个IP地址的连接。

三、控制邮件数量

我们知道,垃圾邮件通常是以群发的形式发给大量的收件人。因此,在Exchange服务器上,可以通过限制每个SMTP连入请求所能发送的最大邮件数和每封邮件的最大收件人数,在一定程度上制止垃圾邮件的蔓延。

四、严格过滤

另外,Exchange服务器还提供了过滤器功能,可用于阻隔来自特定邮件地址、域名的邮件或是发件人为空的邮件(发件人为空是许多垃圾邮件的特征之一)。

五、自制武器

通过使用VB或VC等编写Event Sink,能够检测邮件标题或是信体中的特定内容,从而阻隔垃圾邮件。如果读者对此有更多的兴趣,可以参考微软知识库文档中的代码样例和Exchange 2000 SDK(Software Development Kit)上的内容。

查清危害

垃圾邮件可以说是Internet带来的严重危害之一,它对于个人、对企业和ISP,甚至对社会都造成了非常严重的损害。

从个人用户来看,垃圾邮件浪费了人们的大量时间、精力和金钱。一般人们需要至少10秒钟的时间来判断一封邮件是否为垃圾邮件,如果每天收到几十份垃圾邮件,就得花大约10分钟的时间来处理它们,实在是非常痛苦的事情。

更重要的是,垃圾邮件侵犯收件人的隐私权,侵占收件人信箱空间。个人邮件箱中充斥的垃圾邮件可能装载了供人跟踪您网上行踪的软件,而您甚至无法意识到一切秘密都呈现在别人眼前。有的垃圾邮件还盗用他人的电子邮件地址做发信地址,严重损害了他人的信誉。

对于企业,垃圾邮件占用网络带宽,造成邮件服务器拥塞,进而降低整个网络的运行效率。垃圾邮件也威胁企业网络的安全。某单位在2003年曾经发现,他们的服务器在以每秒60封的速度转发邮件,占用了大量的系统资源,其他正常运作被迫终止。还有某单位的网络管理员发现出国流量突然增加,检查后发现该服务器转发了200万封国外的来源不明的邮件,而且在发现时还在转发。

垃圾邮件对ISP的危害更加深重。首先,垃圾邮件严重影响ISP的服务形象。在国际上,频繁转发垃圾邮件的主机会被上级国际因特网服务提供商列入国际垃圾邮件数据库,从而导致该主机不能访问国外许多网络。而且收到垃圾邮件的用户会因为ISP没有建立完善的垃圾邮件过滤机制,而转向其他ISP。

其次,被黑客利用成助纣为虐的工具。如在2000年2月,黑客攻击雅虎等5大热门ISP就是一个例子。黑客先是侵入并控制了一些高带宽的网站,集中众多服务器的带宽能力,然后用数以亿万计的垃圾邮件猛烈袭击目标,造成被攻击网站网路堵塞,最终瘫痪。

最后,从整个 Internet 的资源利用来看,目前带宽资源还比较有限。垃圾邮件里的信息几乎没有什么价值,每次发送上万、上百万,甚至上亿份,占用了大量的带宽资源,严重时甚至拥塞整个Internet链路,中断Internet的部分线路的运营。

妖言惑众、骗人钱财和传播色情等内容的垃圾邮件,已经对现实社会造成了危害。

六、下一代更出色

认证方法虽然很古老,但却是阻止垃圾邮件的有效手段。

将于2003年年中发布的Exchange 2003(开发代号为Titanium,目前版本为Beta2测试版)是微软Exchange Server的下一代版本。下面简单介绍Exchange 2003中所增强的部分反垃圾邮件的功能。

在Exchange 2000中有过滤器可通过检测邮件中的发信人地址来阻隔垃圾邮件。在Exchange 2003中,这一功能进一步被细化为发信人过滤器、收信人过滤器和连接过滤器。

通过新增的连接过滤器,Exchange 2003支持使用Internet上的即时黑名单列表(Real-time Blacklist,RBL)来作为过滤连接请求的判断规则。RBL中包含了大量已知的垃圾邮件散播者和处于开放转发状态服务器的IP地址。Exchange 2003可以将发送连接请求的远端SMTP服务器的IP地址与RBL中的信息进行比较,如果发现其与黑名单中的IP地址相符,则拒绝此连接请求。由于RBL供应商都会即时地更新他们的RBL中的信息,所以Exchange 2003采用这种方式将能颇为有效地阻隔大量的垃圾邮件。

祭起Sendmail番天印

基于Unix/Linux平台的Sendmail系统使用非常广泛,它虽然非常实用,但在安全方面都有着明显的不足,它们在默认模式下都不具备SMTP认证功能,这也是垃圾邮件散发者最容易利用的漏洞。

SMTP服务有一个与生俱来的缺点,那就是没有任何的认证机制,这是历史原因造成的。因为在设计这些SMTP服务器时,全球范围的Internet主机还不是很多,彼此间都有很高的可信任级别,所以没有全面考虑安全性问题。利用这一缺陷,非法用户可以在邮件头放置任何信息和任何邮件地址,而SMTP根本不检查这些,一律发出。因此垃圾邮件可以顺利地从这些服务器上转发。

在新版的Sendmail中(Sendmail 8.10以后)已经增加了SMTP认证。如果在编译时将SMTP认证加进了Sendmail服务,那么在用户发送邮件时,服务器就会要求用户输入口令。如果口令正确,则服务器为他发送邮件,如果口令错误,服务器将拒绝为他发送邮件。这将有效地遏制垃圾邮件的传播。

在具体实现时,需要首先安装Sasl库(cyrus-sasl-X.X.X),该函数库提供了安全认证所需的功能,然后配置Sendmail,增加认证用户,并更改密码,并在客户端进行设置即可。

妖术揭秘

垃圾邮件危害深重,引起了人们极大的反感,已经成为过街老鼠。但是,为什么还会有人乐此不疲呢?利益驱动是最直接的原因。垃圾邮件具有低成本和易于匿名的特点。在国外,发送10万封电子邮件的成本低于200美元,花100美元就可以买到100万个邮件地址列表。

例如,一个业余的邮件广告人只需要一台普通的电脑,一个Internet帐户加上一个免费的邮件客户端软件就足够了。更为专业一点的,投资几百美元就可以买到专门的应用软件,每小时可以发送25万个邮件,并且自动伪装了邮件的信头;并且还可以不断的从Web上截获邮件地址。由于低廉的成本,即使只有很少很少的部分得到了反馈,就足以支付这些费用了,比起昂贵的其他方式广告自然很划算。然而,事实上成本低只是针对于那些用邮件做广告的人,其他的成本由ISP和收件人承担了。国内就收到过若干起因为转发垃圾邮件而承担每月几万元的国际流量的事故报告。

因此,垃圾邮件这种公害还呈现越演越烈之势。美国一家从事电子邮件服务的公司的统计表明,2002年Internet上"垃圾邮件"数量比2001年激增150%。一家为ISP或企业提供电子邮件过滤服务的公司发表报告说,2002年底公司每天处理的4000万封电子邮件中,60%为"垃圾邮件",而这个数字在一年前还是20%。一般认为,垃圾邮件在最近一两年内会保持上升的趋势。照此发展下去,很多人可能会放弃使用电子邮件作为联络手段。

软硬双刃剑

通过反垃圾邮件服务器硬件来解决"信骚扰",漏判率一般会比纯软件方式要低很多,像国外的一些产品(譬如CipherTrust IronMail 210)的漏判率不到6%,但是价格很高(将近25万元),因此更适合大中型企业。对于在反垃圾邮件上预算有限(几万元以下)的单位而言,我们以浪潮集团为例,介绍利用通用服务器硬件反垃圾邮件的解决方案

一、信息系统概况

采用硬件服务器,可以把反垃圾邮件措施造成的影响降到最小。

浪潮集团邮件服务器分别架设在北京和济南两地,北京办公区和济南办公区员工通过邮件服务器进行集团内部的邮件交流和集团外部的邮件联系。通过分析,集团邮件服务的主要威胁如下。

1.两地的邮件服务器均位于防火墙的中立区,由于防火墙基于网络层实现,无法对具体协议的内容进行控制,因此两地的邮件服务器均有受到来自外网或者内网的垃圾邮件攻击的可能。

2.两地邮件服务器均有可能受到来自协议层或应用层的攻击,考虑到集团内部已经采用了防火墙对邮件服务器进行保护,来自外网攻击的成功几率将会大大降低。

根据以上情况,在北京和济南两地的邮件服务器和防火墙之间放置反垃圾邮件系统,如附图所示。反垃圾邮件系统要求反垃圾邮件网关必须具备以下要求:(1)对原邮件系统配置没有任何要求、透明的接入网络;(2)100Mbps网络下,处理能力80Mbps以上;(3)1000Mbps网络下,处理能力500Mbps以上;(4)支持负载均衡、流量控制、多机并行处理。

二、服务器的选择

由于所有来往邮件的过滤、监控都要通过反垃圾邮件系统来处理,所以对反垃圾邮件系统网关的处理数据的性能要求很高。浪潮公司信息管理部采用NF160服务器作为反垃圾邮件网关。该服务器针对高性能、高可靠性的密集计算而设计,采用Pentium Ⅲ 1.13GHz-S处理器,超薄低于1U高度,更利于散热,保持系统稳定。高密度硬盘仓设计,可容纳多达3块高性能热插拔SCSI硬盘,可支持RAID 0/1/3/5,数据更可靠,速度更快捷,完全能够满足反垃圾邮件系统多级过滤、动态过滤的需求

在反垃圾邮件服务器上,运行红旗Linux操作系统,应用软件也是国产的,反垃圾邮件功能比较强大。除了通过地址过滤和各种规则等常用方式外,还可以通过内容过滤实现对来机邮件的控制。

NF160主板集成2块网卡,一块为主网卡,另一块为备用网卡。当主网卡工作时,智能软件通过备用网卡对主网卡及其连接状态进行监测。若主网卡连接失效,立即将工作移交给备用网卡。由于所有配置信息是在瞬间转到备用网卡上,网络用户不会察觉到任何变化,同时也不会对服务器操作系统造成压力。NF160网卡冗余功能大大提高了服务器的可靠性,同时也提升了网络通信的速度。

三.实施后的效果

浪潮集团在实施反垃圾邮件系统后,效果是显著的。每天通过反垃圾邮件服务器阻截的垃圾邮件达到400~600封,提高了员工的工作效率,节约了网络带宽和邮件服务器存储空间。同时由于NF160担任反垃圾邮件系统的网关,反垃圾邮件系统的处理速度始终保持在72Mbps或9MBps,对邮件系统的速度几乎没有影响。

原文转自:http://www.ltesting.net