SPAM

1. SPAM 26蔡明峻 27林義峰 教師 林學儀

3. 何謂SPAM? • SPAM是指未經電子郵件收信者同意而大量寄發的電子郵件。 • SPAM通常是以商品廣告為內容，收信者最常收到的又以色情，藥品，強身或美容，發財夢等一類的廣告居多。 • SPAM和另一種也是以大量方式寄送的商業廣告電子郵件應該有所區別。兩者的差別在於有無經過收件者的同意。 • 一般正派的行銷業者在寄發廣告郵件時是以「加入型」（opt-in）名單為基礎，也就是每個電子郵件地址都是經由收件者事先同意加入收信名單；同時也會有「退出」（opt-out）的機制，讓使用者可以自由選擇不想收到廣告郵件。相較之下，SPAM則是未經收件者opt-in，也就是不具收件者同意的基礎。

4. SPAM的類型 安全威脅的垃圾郵件 廣告垃圾郵件 內容找不到廣告性質的垃圾郵件

5. 垃圾郵件對個人的影響 • 垃圾郵件對企業的影響

6. 技術解決途徑 • 解決方法 • 使用Spam過濾器、Spam阻擋器、網路巡邏軟體 • 使用過濾程式缺點 • 無法以人工智慧來辨別何者為垃圾郵件 • Ex:以字母任意排列組合出電子郵件地址發送 （偽裝或經常改變電子郵件地址） 以軟體自動更換電子郵件內容，讓網路業者的後端阻擋機制誤判以為非同樣信件而予以放行

7. 垃圾信件過濾模式 關鍵字比對(Keyword)：針對來信的標題、寄信人名稱...等，針對信件內容，以關鍵字進行過濾，然後判斷是否阻擋。 域名反查：把發信來源所提供的 Domain和IP進行反查，倘若不存在的話，則直接判定為垃圾信件。 Language：假設內定的語言只有繁體。 Header 白 名 單 黑 名 單 關 鍵 字 Dos 域 名 反 查 BlackList Language 貝 氏 分 析 啟 發 式 過 濾 其 他 過 濾 條 件 Content

8. 01 Jun 2005 20:20:20 +0800 (CST) 此作為黑、白名單來源分析 也作為RBL資料分析 此作為域名反查分析 此作為Dos時間分析 此作為黑、白關鍵字分析 此作為語言分析(參考) 01 Jun 2005 12:26:40 -0000 01 Jun 2005 12:26:40 -0000

9. ANTI-SPAM 使用者請求 POP3 SERVER Outlook Express 使用者回饋 Server 轉求 Mail Server MAIL FILTER

10. 白名單(White List, Access List)： 針對非寄送垃圾信件之郵件伺服器、非發送垃圾的寄信來源信箱位址，給予通行。 • 黑名單 (Black List, Block List)： 針對專門寄送垃圾信件之郵件伺服器、經常發送垃圾的寄信來源信箱位址，進行阻擋。

11. 阻斷服務攻擊(Denial-of-Service，簡稱 DoS)，就是利用部分網路系統或者相關通信協定等，在設計或實作上的漏洞，在一段期間內透過大量且密集的封包傳送，導致被攻擊的目標伺服器無法正常運作而提供對內對外的網路服務。 運用 • 偵測大量寄送之信件：由於許多垃圾郵件採同時間大量寄送的方式，因此可以針對寄送大量相同信件之同一伺服器的通過時間進行判別，來分析處理。

12. 有些組織或是公司都有所謂的黑名單，也就是不受歡迎的郵件名單。一些反垃圾信組織聯盟，會收集這些垃圾郵件成為線上黑名單資料庫，也接受使用者檢舉加入網路黑名單，並不定期提供 Live Update。 運用 • Blacklist：連上第三方的RBL(Realtime Blackhole List )來判斷此E-mail是否為垃圾信件。

13. Bayesian Filtering(貝氏過濾)：貝氏過濾理論是依據電子郵件的內容，計算出為垃圾郵件可能性的機率，其計算依據不只是垃圾郵件，還有一般合法的郵件，成為反垃圾電子郵件解決方案的過濾演算法的一種選擇。 • 如有致富兩字在郵件上出現的話，它80％是垃圾郵件，而請問則只會出現在5％的垃圾郵件中。

14. 找出特徵字來算特徵值的過濾方式，只能針對已知的特徵字部份進行處理，這是因為垃圾信件寄送的技巧越來越高超，傳統的關鍵字比對方式，將無法因應未來垃圾信件的快速變化與發展。所以，結合關鍵字比對與常用垃圾郵件的字眼的觀念，根據信件中出現的字句進行分析，來判別是否為垃圾信件。找出特徵字來算特徵值的過濾方式，只能針對已知的特徵字部份進行處理，這是因為垃圾信件寄送的技巧越來越高超，傳統的關鍵字比對方式，將無法因應未來垃圾信件的快速變化與發展。所以，結合關鍵字比對與常用垃圾郵件的字眼的觀念，根據信件中出現的字句進行分析，來判別是否為垃圾信件。

15. 信體內容帶有特殊的HTML tag：為了嵌入更多的內容和script，垃圾郵件往往會使用一些一般電子郵件不會使用的HTML tag，如使用看不見的內嵌網頁連結至廣告信網站或計數器…等。 • 發送時間為可疑的時間：有些垃圾郵件為了在客戶端保持最前端的位置，會將發送時間強行修改到一個未來的時間，例如2038年1月19日。

16. SpamSherlock

17. 將 俠絡客反垃圾郵件過濾系統 SpamSherlock 架設於企業郵件服務器前端，所有內部互發郵件 (Local-to-Local Mail)、外發郵件 (Outgoing Mail)、內收郵件 (Incoming Mail) 一律先經過 SpamSherlock 作即時垃圾郵件、病毒掃瞄與過濾，再分別轉送至企業郵件服務器或 Internet 收件服務器，達到全方位郵件掃瞄及過濾，以防止垃圾與病毒入侵內部網路。

18. SpamSherlock 防垃圾安全防護策略，對於企業而言，其價值在於主動的防禦，通過各功能模組的運作，從事前的防禦監控，到事後的分析統計，並延伸後續的更新維護，顧及每一階段過濾系統應有的功能運作流程，並成功地將各階段整合。

19. 系統/個人化白名單 (Whitelists)：用來設定經過確認的信任來源 Email、IP 地址及郵件域名。 系統/個人化黑名單 (Blacklists)：用來設定認定的垃圾郵件來源 Email、IP 地址及郵件域名。 支持多種實時黑名單 (real-time blackhole list, RBL)：拒收經常發送垃圾郵件的來源 IP 地址所發送的郵件。 自定義離職員工名單：用來設定拒收離職員工的電子郵件，避免無意義的郵件進入企業內部，減少頻寬浪費。 可設定是否反查發件郵件服務器 IP 地址：拒絕來自沒有 DNS 反查記錄的郵件服務器連接。 可設定是否檢查 EHLO/HELO 指令所傳送的域名或是主機名：拒絕沒有 DNS 記錄郵件服務器連接。 可設定是否驗證郵件發件人是否為真實存在的郵件地址。

20. SpamSherlock 郵件過濾處理流程圖

21. 結語 • 單點防護郵件安全是不夠的，多層次、多面向的產品和技術整合才能充分防禦 郵件安全不再是一場單打獨鬥的競賽，企業考量的也不只是員工生產力與隱私權的議題，郵件安全牽涉到會危害個人電腦的惡意程式、不請自來的垃圾信和機密外洩，我們必須通盤考量這些面向，延伸郵件安全防護服務的廣度與深度。 • 多種技術整合是未來趨勢 • 很多企業IT衡量價格和多種功能的需求，會希望購買整合式威脅管理產品（Unified Threat Management，UTM），然而多合一的安全設備，在功能完整度上就比不上專門的單一設備，在選購時必須注意。 整合防毒與垃圾郵件過濾的多合一閘道設備即有越來越多的趨勢，郵件稽核功能也逐漸與垃圾郵件過濾產品整併。此外，專業分工、多方資源整合也將會普遍地應用在產品上，尤其是以「雞尾酒療法（Anti-spam Cocktail）」為主的垃圾郵件過濾產品，可自行研發或結合RBL、RazorGate、Cloudmark等廠商的垃圾郵件資料庫，這些資源的建立、釋放、結合和使用會是一種產品發展趨勢。 另一方面，郵件稽核解譯郵件附件檔時，常需判斷檔案格式與讀取內容，而在郵件內容儲存後，更要結合搜尋引擎與儲存設備等協力廠商，多方資源將變成市場常態。