三個(gè)名單遏制垃圾郵件
博文 譯 2006/07/11
垃圾郵件已成為一個(gè)日益嚴(yán)重的問(wèn)題。為了打贏這場(chǎng)與垃圾郵件的戰(zhàn)爭(zhēng),我們用上十八般武器,其中的黑名單、白名單和灰名單應(yīng)該算是這場(chǎng)反垃圾郵件戰(zhàn)中最基本的工具���,本文將詳細(xì)闡述企業(yè)應(yīng)該怎樣有效地利用它們。
正如郵資成本在不停地上升��,電子郵件的復(fù)雜性日益增加是必然趨勢(shì)���。在垃圾郵件泛濫以前��,互聯(lián)網(wǎng)很平靜�����,基于簡(jiǎn)單電子郵件傳輸協(xié)議(SMTP)連接的郵件系統(tǒng)運(yùn)轉(zhuǎn)得很好�,郵件過(guò)濾器只是那些專(zhuān)門(mén)的郵件服務(wù)提供商才會(huì)使用。然而現(xiàn)在�,郵件過(guò)濾器幾乎成了很多部門(mén)的必需品。
那究竟該選什么樣的過(guò)濾器呢���?如果你的企業(yè)每天收到電子郵件數(shù)量特別巨大��,大多數(shù)情況下使用黑名單和白名單過(guò)濾垃圾效果不會(huì)太好���,他們通常只能解燃眉之急。訂閱類(lèi)似Postini這樣的服務(wù)可以從郵件接收的角度來(lái)緩解這個(gè)問(wèn)題�����,但這也僅僅完成了反垃圾郵件戰(zhàn)的一半�。
免費(fèi)的域名服務(wù)器黑名單(blacklist)——如Spamhaus.org、Spamcop.net等網(wǎng)站有這項(xiàng)服務(wù)�����,提供了一個(gè)交互式的服務(wù)������;谶@項(xiàng)服務(wù)����,通過(guò)簡(jiǎn)單的DNS查詢(xún)��,接受郵件的服務(wù)器可以把發(fā)送郵件服務(wù)器的IP地址與一個(gè)已知的垃圾郵件服務(wù)器名單進(jìn)行比較�����。如果IP地址在此名單中�,這封郵件就會(huì)被拒絕。
很多組織也依賴(lài)于白名單(white-list)�����,這是一個(gè)可以接受它們發(fā)出郵件的域���、IP地址以及SMTP轉(zhuǎn)發(fā)IP地址的簡(jiǎn)單列表��。在大多數(shù)網(wǎng)絡(luò)中,這是一個(gè)與公司關(guān)系緊密的合作伙伴的域以及補(bǔ)充的IP地址�,或者會(huì)被垃圾郵件過(guò)濾器捕獲而實(shí)際上應(yīng)該有效的域的名單。
另有一種基于名單的保護(hù)方式是灰名單(greylist)�;颐麊谓橛诤诿麊魏桶酌麊蝺烧咧g,它用解釋型的后臺(tái)程序和SMTP狀態(tài)標(biāo)記來(lái)動(dòng)態(tài)創(chuàng)建黑名單和白名單�。
所有這三種方法在現(xiàn)代企業(yè)反垃圾郵件戰(zhàn)中都有它自己的位置,但是必須仔細(xì)規(guī)劃����,特別是使用黑名單時(shí),一定要小心�����,以免傷及無(wú)辜���。
把好黑名單第一關(guān)
盡管DNS黑名單有很多人在用���,但是對(duì)于它們的使用一直存在爭(zhēng)議。如果這個(gè)黑名單太大的話����,將會(huì)使郵件服務(wù)器根本沒(méi)有辦法工作,好在目前還沒(méi)有出現(xiàn)這種情況����,而且DNS黑名單所列出的垃圾郵件服務(wù)器還很少發(fā)現(xiàn)“誤判”的情況����。
正常的郵件服務(wù)器是有可能被列入黑名單的����,造成這種情況的原因有很多: 直接將垃圾郵件發(fā)送者的IP地址上報(bào)可能導(dǎo)致不僅僅是這個(gè)IP地址,甚至是這個(gè)IP地址所在的整個(gè)網(wǎng)段都被列入DNS黑名單����。那些共享主機(jī)的用戶(hù)很容易成為受害者,由于使用的是同一個(gè)IP地址���,因此如果一個(gè)用戶(hù)違規(guī)就會(huì)造成使用這個(gè)IP地址的所有網(wǎng)站受到影響; 另外一種情況就是ISP的終端用戶(hù)可能將合法的郵件發(fā)送清單中的郵件標(biāo)記為垃圾郵件���,而不是取消自己的訂閱服務(wù)。這樣這臺(tái)服務(wù)器可能就會(huì)被列入黑名單�,至少那個(gè)ISP會(huì)被列入黑名單。
不同的服務(wù)提供商提供的名單本身在側(cè)重點(diǎn)和范圍上都各不相同�。最大的sorbs.net、spamhaus.org和spamcop.net 這3個(gè)網(wǎng)站使用通用的垃圾郵件指南來(lái)確定一個(gè)服務(wù)器的狀態(tài)�。而Rfc-igno-rant.org則更進(jìn)一步,它把違反RFC 821和2821條款的郵件服務(wù)器列入黑名單中(RFC 821和2821是SMTP通信的主要規(guī)范)��。不幸的是�����,有相當(dāng)多合法的郵件服務(wù)器由于設(shè)計(jì)不好或者實(shí)現(xiàn)不正確而違反了這些規(guī)范�����。凡是使用了這些郵件服務(wù)器的用戶(hù)都可能被rfc-ignorant.org列入黑名單��,即使他們并不是垃圾郵件發(fā)送者�。盡管這些網(wǎng)站應(yīng)該使用符合規(guī)范的服務(wù)器,但是它們被列入DNS黑名單可能會(huì)妨礙與其他合法的交流��。
盡管如此�,不可否認(rèn)的是,在過(guò)去幾年里最流行的DNS黑名單已經(jīng)有了很大的改進(jìn)�,給用戶(hù)提供了比以前更準(zhǔn)確的結(jié)果。事實(shí)上�,spamhaus.org和sorbs.net等免費(fèi)提供的黑名單中不僅僅列出了人們常見(jiàn)的垃圾郵件服務(wù)器所在的網(wǎng)段,也列出了通過(guò)家用寬帶連接的垃圾郵件發(fā)送者的動(dòng)態(tài)IP網(wǎng)址以及被黑客們控制來(lái)發(fā)送垃圾郵件的僵尸網(wǎng)絡(luò)和僵尸機(jī)�。
這些黑名單到底有多流行呢?據(jù)在spamhaus.org工作的Steve Linford估計(jì)��, spamhaus網(wǎng)絡(luò)每秒收到8萬(wàn)到10萬(wàn)條搜索請(qǐng)求����。這還不包括那些沒(méi)有使用公共服務(wù)器的大型組織的成員單位���,這些大型組織按照計(jì)劃定期從公共服務(wù)器上獲得DNS黑名單,然而放到自己網(wǎng)絡(luò)中供下級(jí)成員使用�����,這樣大大地減少了用戶(hù)對(duì)公共服務(wù)器的請(qǐng)求數(shù)量���。
黑名單的誤判
但是誤判率怎么樣�����?一位用戶(hù)的話很有代表性����,他說(shuō): “直到昨天晚上��,由于害怕誤判我們一直沒(méi)有用DNS黑名單�����。然而��,在過(guò)去的幾個(gè)月里���,我們收到的垃圾郵件數(shù)量增加很快�����。不得已�,我最終決定將njabl.org的黑名單用于我們的郵件過(guò)濾器里�。在剛過(guò)去的15小時(shí)里我們已經(jīng)阻止了3100多個(gè)連接�����!
如果DNS黑名單流行��,誤判就永遠(yuǎn)客觀存在�����,但是由于使用黑名單的好處遠(yuǎn)遠(yuǎn)大于壞處��,這種擔(dān)心相對(duì)于不斷增長(zhǎng)的垃圾郵件問(wèn)題也不算什么了����。
當(dāng)一個(gè)服務(wù)器被列入黑名單后,網(wǎng)站管理人員通常不知道��,直到大量被拒絕的郵件退回到用戶(hù)手中。大多數(shù)情況下�����,返回的信息包括郵件為什么被阻止���、被誰(shuí)阻止等信息���。警告信中通常包括了URL,用來(lái)指導(dǎo)管理人員如何申請(qǐng)將自己的郵件服務(wù)器從黑名單中去除���。據(jù)估計(jì)���,spamhaus.org每天有50萬(wàn)個(gè)服務(wù)器被列入黑名單。
每個(gè)DNS黑名單在收集和維護(hù)其數(shù)據(jù)庫(kù)方面都有它自己獨(dú)特的方法����。很多使用蜜網(wǎng)技術(shù)(Honeynet)自動(dòng)對(duì)來(lái)自僵尸網(wǎng)絡(luò)的攻擊進(jìn)行分類(lèi),如果發(fā)現(xiàn)了僵尸網(wǎng)絡(luò)�,它們就會(huì)將源IP地址添加到數(shù)據(jù)庫(kù)中����?斩薙MTP服務(wù)器(Dead-end SMTP)技術(shù)也經(jīng)常被用到�,它們沒(méi)有真正的郵箱����,但是會(huì)收取那些發(fā)送給根本不存在的用戶(hù)的郵件來(lái)鑒別垃圾網(wǎng)站和系統(tǒng)。
盡管在今天的互聯(lián)網(wǎng)上��,開(kāi)放式轉(zhuǎn)發(fā)(Open relay)的威脅已經(jīng)遠(yuǎn)不比過(guò)去了���,但是它仍然存在。有幾個(gè)提供DNS黑名單的機(jī)構(gòu)會(huì)主動(dòng)搜索開(kāi)放式轉(zhuǎn)發(fā)����,一旦發(fā)現(xiàn),就把它們列入黑名單�。
不久前,在許多銷(xiāo)售的商業(yè)SMTP服務(wù)器中��,開(kāi)放式轉(zhuǎn)發(fā)還是默認(rèn)的設(shè)置����。但今天已不再用它了。然而��,Sun公司首批員工之一、EFF的Cygnus方案的創(chuàng)始人及UseNet alt新聞組之父John Gilmore還堅(jiān)持保留受限的開(kāi)放式轉(zhuǎn)發(fā)功能�。對(duì)他來(lái)說(shuō),這是一個(gè)言論自由問(wèn)題�。但對(duì)于我們來(lái)說(shuō),它并不是一個(gè)好做法,會(huì)使電子郵件基本上無(wú)效�。
灰名單開(kāi)始流行
灰名單可以機(jī)智地阻截大多數(shù)垃圾郵件。它的主要功能基于SMTP錯(cuò)碼(error-code)��,這個(gè)代碼的意思是要發(fā)送方在把剛才發(fā)送的電子郵件重新發(fā)送一次之前先等幾分鐘�����。
通常這個(gè)代碼在接受郵件服務(wù)器收到的請(qǐng)求太多而來(lái)不及處理時(shí)才會(huì)發(fā)出����������;颐麊位谶@樣一個(gè)事實(shí)����,就是大多數(shù)的垃圾郵件服務(wù)器和僵尸網(wǎng)絡(luò)的郵件只發(fā)送一次,而會(huì)忽略要求它們?cè)谝欢ǖ臅r(shí)間間隔后再次發(fā)送的請(qǐng)求�����。因?yàn)閷?duì)它們來(lái)說(shuō),重發(fā)每封郵件會(huì)大大減少他們總的業(yè)務(wù)量�。
最初被郵件服務(wù)器拒絕接收、并被要求“稍后重發(fā)”的所有郵件都會(huì)進(jìn)入灰名單過(guò)濾器���。如果在10分鐘左右�����,遠(yuǎn)程服務(wù)器再次發(fā)送了這封郵件�,它則會(huì)毫無(wú)障礙地被通過(guò)�,而且以后與這封郵件頭一致的郵件也會(huì)順利通過(guò)�����。
近來(lái)灰名單越來(lái)越流行��。這種方法能夠大大地減少垃圾郵件數(shù)量���,但是它因?yàn)橐蠓⻊?wù)器再次發(fā)送郵件也延遲了郵件的接收�����。不過(guò)�����,這種延誤對(duì)于區(qū)分是否是垃圾郵件是必要的��。
盡管如此�,灰名單加上一個(gè)和多個(gè)的DNS黑名單、再加上垃圾和病毒過(guò)濾器可以給我們提供一個(gè)相對(duì)清潔的郵件系統(tǒng)�����,今天��,它們已經(jīng)成為SMTP服務(wù)器防治垃圾郵件和病毒的必不可少的標(biāo)準(zhǔn)方法���。盡管丟失郵件的機(jī)會(huì)還是存在的��,但并不是致命的問(wèn)題����。
垃圾郵件的最終解決
要真正解決垃圾郵件對(duì)我們的困擾���,還需要一些真正突破性的技術(shù)�。一種可能真正應(yīng)對(duì)垃圾郵件的技術(shù)就是SPF(Sender Policy Framework)。SPF本質(zhì)上就是對(duì)接收的每一封郵件進(jìn)行逆向確認(rèn)��。
正如每個(gè)互聯(lián)網(wǎng)郵件服務(wù)器都需要一份接收郵件的MX DNS記錄�����,SPF要求每個(gè)服務(wù)器必須有一個(gè)發(fā)送MX的記錄�。也就是在一個(gè)域的DNS記錄中有一條記錄可以用來(lái)證實(shí)某個(gè)服務(wù)器負(fù)責(zé)發(fā)送某個(gè)郵件。如果使用SPF的一個(gè)郵件服務(wù)器發(fā)現(xiàn)某個(gè)發(fā)送郵件的服務(wù)器在域的DNS中沒(méi)有記錄���,它發(fā)送的郵件就會(huì)被退回���,或者會(huì)被標(biāo)記為疑似垃圾郵件。例如���,服務(wù)器收到一封聲稱(chēng)是來(lái)自aol.com的郵件���,但SPF在aol.com中根本找不到這個(gè)郵件服務(wù)器, 那么這封郵件很有可能是偽造的��。
這種解決方案有利也有弊�。比如說(shuō),MTA(Mail Transfer Agent��,郵件傳輸代理)轉(zhuǎn)發(fā)郵件失敗,使用SPF過(guò)濾器這時(shí)候會(huì)要求服務(wù)器重新發(fā)送郵件���,而不是再次轉(zhuǎn)發(fā)�。對(duì)于這點(diǎn)有待相關(guān)技術(shù)來(lái)解決�,這些技術(shù)現(xiàn)在仍處于發(fā)展過(guò)程中。
另一個(gè)選擇就是用x.509證書(shū)來(lái)保護(hù)SMTP�����。這種方法要求互聯(lián)網(wǎng)上的每一個(gè)有效的SMTP服務(wù)器都有一個(gè)對(duì)應(yīng)的身份證書(shū)��。只有具備有效證書(shū)的服務(wù)器才允許發(fā)送郵件到另一個(gè)服務(wù)器��。這種解決方案需要大多數(shù)目前運(yùn)行的郵件服務(wù)器都有證書(shū)��,否則不允許發(fā)送或者被列入待查的行列���。
盡管SPF最近變得越來(lái)越流行�����,但是真正完善的解決方案不太可能會(huì)很快出現(xiàn)�����。除非幾個(gè)主要的開(kāi)源和商業(yè)的MTA產(chǎn)品提供商在共同的標(biāo)準(zhǔn)上開(kāi)始合作�����,否則�,基于黑名單的郵件接收系統(tǒng)仍然將是一種主要的方法。(譯自美國(guó)《Inforworld雜志》)
鏈接:魔道斗法
盡管主要的DNS黑名單網(wǎng)站免費(fèi)向大多數(shù)用戶(hù)提供他們的服務(wù)����,但是這些服務(wù)是需要成本的。隨著DNS黑名單越來(lái)越流行���、越有效���,它對(duì)那些大規(guī)模發(fā)送垃圾郵件者及其客戶(hù)的利益造成很大威脅。因此���,DNS黑名單的提供者發(fā)現(xiàn)他們自己已經(jīng)卷入一場(chǎng)與垃圾郵件發(fā)送者的戰(zhàn)斗���,但并不是如何對(duì)付垃圾郵件。
Sorb.net的一位工作人員說(shuō): “這的確是一場(chǎng)戰(zhàn)爭(zhēng),而且正在升級(jí)�。我們積極地試圖發(fā)現(xiàn)并且阻止垃圾郵件的制造者�,而他們也在想盡辦法來(lái)破壞我們������!彼e例說(shuō)����,“比如,我們會(huì)對(duì)由惡意軟件產(chǎn)生的開(kāi)放式轉(zhuǎn)發(fā)(open relay)進(jìn)行掃描��,一些惡意軟件的程序員就通過(guò)回復(fù)無(wú)效的信息來(lái)迷惑我們的掃描程序�,從而導(dǎo)致重復(fù)掃描。這樣就降低了掃描的有效性��,我們只好對(duì)掃描程序進(jìn)行修改以避免這種問(wèn)題�����!
這場(chǎng)戰(zhàn)爭(zhēng)中也不乏間諜和雙重間諜的故事�。這位Sorb.net的工作人員還回憶起一件事���,曾經(jīng)有人給Sorb.net發(fā)了一封匿名信���,信中說(shuō)如果發(fā)送某個(gè)特定的24個(gè)字節(jié)的數(shù)據(jù)到TCP端口�����,這臺(tái)電腦上的一些Windows惡意軟件將自動(dòng)卸載�����。收到這個(gè)消息后��,Sorb.net對(duì)掃描程序進(jìn)行了修改���,添加上了這個(gè)序列,后來(lái)果然發(fā)現(xiàn)有成千上萬(wàn)被感染的計(jì)算機(jī)上的病毒得到了清除���。
盡管DNS黑名單使用各種各樣的方法來(lái)編譯他們的數(shù)據(jù)庫(kù)��,但垃圾郵件發(fā)送者仍然能識(shí)別出來(lái)并設(shè)法逃避�。比如�����,垃圾郵件的制造者會(huì)專(zhuān)門(mén)開(kāi)發(fā)一些惡意軟件來(lái)阻止來(lái)自知名的DNS黑名單的連接以避免被掃描�。其他的技術(shù)包括DNS黑名單的“反黑名單”,即垃圾郵件的制造者整理出DNS黑名單服務(wù)的提供方常用來(lái)掃描的服務(wù)器地址名單,這樣他們就可以有針對(duì)性地預(yù)防����。
DNS黑名單與垃圾郵件發(fā)送者之間除了進(jìn)行貓捉老鼠的游戲之外�����,垃圾郵件發(fā)送者還通過(guò)DDoS來(lái)攻擊一些較大的DNS黑名單�����。前不久spamhaus.org就深受其害�,最后被迫采取反DDoS來(lái)維持它的服務(wù)。
現(xiàn)在的局面就是躲避與攻擊��、躲避與迂回行進(jìn)����,一方千方百計(jì)想勝過(guò)另一方。如果Windows XP SP2和即將推出的Vista安全性更高些�,也許垃圾郵件制造者們的詭計(jì)就不會(huì)那么容易得成,然而這終究只是“如果”��。目前看來(lái)���,雙方的斗爭(zhēng)還將繼續(xù)下去����。
計(jì)算機(jī)世界網(wǎng)(www.ccw.com.cn)
相關(guān)鏈接: