反垃圾郵件網關的選型標准考量錄(圖)

　　;隨著互聯網應用的深入，越來也越多的企業和組織對IT系統的依賴也達到了前所未有的程度，而郵件系統則是最成熟、最關鍵、最常用的IT應用之一，已經成為人們進行『正式』網絡溝通、進行工作協調的最主要的工具。在這種情況下，全球日益泛濫的垃圾郵件對企業的業務造成了巨大的影響，人們對垃圾郵件也失去了以往的忍耐，著手采取各種措施來應對。

　　采用簡單的客戶端反垃圾郵件方案。這類方案一般是指啟用FOXMAIL、OUTLOOK等郵件客戶端的反垃圾郵件功能，他們具備最簡單的黑白名單功能，成為最原始、最經濟的反垃圾郵件需求。

　　采用專業反垃圾郵件企業和組織提供的專業反垃圾郵件網關型產品。這類產品專業、高效，能在郵件到達郵件服務器之前就進行有關『判定、處置』，可以有效的防范垃圾郵件和病毒郵件的危害，是目前為止最為專業的反垃圾郵件措施。這些專業產品包括：Cloudmark、青蓮、美訊智、梭子魚等。

　　采用由專業反垃圾郵件企業和組織提供的ASP反垃圾郵件服務，在郵件達到公司前，在第三方反垃圾郵件中心先進行過濾。提供專業反垃圾郵件服務的公司，國外主要有賽門鐵克，國內主要由青蓮提供的『青蓮淨郵』服務等。

　　對於企業級用戶，一般選擇采用專業反垃圾郵件網關設備是最好的選擇。但，反垃圾郵件相對於傳統安全來講，是一個暫新的領域，其應用的技術和手段復雜而繁多，並且同殺病毒技術一樣，它一直在不斷的創新和提昇。所以，如何選擇一款優秀的反垃圾郵件網關系統，對網管員和企業的采購決策者來講是一個嚴峻的挑戰。

　　與所有的網關型產品的選型考核思路一樣，我們從以下幾個方面來考量反垃圾郵件網關：

　　技術先進，功能適用、性能卓越、服務周到，網管無懮

　　我們購買任何產品，首先要關注的就是其產品的技術先進性和功能情況。反垃圾郵件的技術發展到現在已經到『百花齊放』的階段，大概的來說，有這麼幾個流派：

　　(1)內容過濾及經驗規則為主的。

　　這個技術流派，典型的包括內容過濾技術的關鍵字過濾、貝葉斯統計分析、URL過濾、郵件指紋過濾等等技術。這些都是比較基礎、比較成熟的反垃圾郵件技術。其中關鍵字過濾和貝葉斯是反垃圾郵件技術中，被證明為最成熟和有效的技術之一，為各種反垃圾郵件產品所廣泛采用。而指紋檢查技術，是典型的經驗規則技術，就是將收到的電子郵件特征與已經掌握的垃圾郵件特征知識庫比較，如果一樣或者相似程度非常高，就判定為垃圾郵件，這一技術也是反垃圾郵件產品中的基本技術和常見技術。

　　內容過濾技術和經驗規則基本上都是在內容層進行『包』數據分析，然後進行比對、判斷。一般來說，應用這類技術的反垃圾郵件引擎對系統要求比較高，因為內容層的分析數據處理量比較大，如果數據結構、產品架構、設計語言、存儲技術、引擎結構等等有缺陷的話，會大大降低反垃圾郵件的能力。

　　(2)協議分析(就是部分公司宣傳時所提到的『行為分析』)

　　其實協議分析技術，在反垃圾郵件產品中就一直存在，只是到最近一兩年纔被大家廣泛的說起，也是因為近年來通過非法的群發垃圾郵件的行為甚為猖獗而僅僅依靠『內容檢測和經驗規則』技術難以保證處理性能和效果的情況下，其效能纔被放大。雖然『協議分析技術』近年來確實發展非常快，對於遏止垃圾郵件，特別是大批量群發的垃圾郵件有著很強的收效，但卻遠不是某些公司宣傳的那樣，是『第三代反垃圾郵件技術』，能夠『完全根治垃圾郵件』。

　　協議分析，說得簡單一點，就是在協議層對TCP/IP連接、SMTP等進行合規性檢查。比如，是否符合RFC 821標准?是否符合正常發件人的各種連接頻率數量?等等。一般是通過對正常郵件發送者TCP/IP連接頻率、郵件同時發送數量、頻率等特征進行一個合理的建模，對於超出正常值的部分則被認為是異常或者群發行為;對於隱藏發件人真實地址、偽造發件人域名、郵件格式錯誤、認證信息不准等等都是針對郵件本身的標准合規性檢查。這是基於『小偷理論』來做的所謂的『行為分析』。一般來說，只有發垃圾郵件的人，纔會隱藏各種信息、或者利用別人的郵件系統(計算機服務器)來發垃圾郵件，所以，如果在對郵件本身的格式標准檢查、來源檢查、認證檢查，就能夠找出這些『小偷』，從而判定其是否為垃圾郵件。

　　協議分析技術，對於明顯的群發垃圾郵件行為有很好的阻擋作用;但對於小批量的、小范圍的垃圾郵件發送卻無能為力，而且在中國還不能執行嚴格的郵件合規性檢查，比如DNS反向解析技術是一個典型的行為分析技術，我們可以通過這個技術發現『偽造發件地址』的群發，但中國大部分郵件系統沒有開啟反向DNS解析功能，那麼在反垃圾郵件系統中采用這種技術，會造成太多的『誤殺』。

　　(3)智能混合型反垃圾技術(內容過濾與經驗規則+行為分析)

　　智能混合型反垃圾技術，簡單的說就是綜合了以上內容過濾與行為分析的反垃圾郵件技術。一般采用這類技術的產品，均需要有強大的過程化處理平臺技術。過程化處理，也是近一年來反垃圾郵件領域一個非常先進的技術。它通過先進的、智能的過程化處置機制，將各種反垃圾郵件技術，按照先後順序、有秩序、有側重點的對郵件進行合規性檢查、內容檢查和路由處置。典型的過程化處理平臺和混合型反垃圾郵件技術，以下圖為例：

　　過程化處理平臺技術，在保證反垃圾郵件的識別率和降低誤報率方面有獨特的優勢：它采用的每一種反垃圾郵件技術在判定『垃圾』時，標准都比較寬松，以降低誤報率;同時采用的技術手段比較多，交叉判定，能夠保證垃圾郵件的識別率。

　　這種過程化的處理平臺，在處理郵件的前期，利用協議分析解決60%的明顯的垃圾郵件，對於餘下的那些『疑難雜癥』則交給『內容檢測技術處理』，因此可以大大降低內容檢測對系統資源的佔用，大幅度的提高系統的整體性能。

　　(4)其他新技術。

　　由於垃圾郵件的泛濫，最近又出現了許多新技術，我們也做個簡單的介紹：

　　SPF：SPF是微軟公司推出的一種基於『信任模型』的反垃圾郵件技術。理論上來講，這種技術對解決垃圾郵件問題，很有效果;不過，可惜的是，目前全球99.99%的郵件系統不支持這一技術。想利用它去解決垃圾郵件問題，需要全面推廣和實施，否則正常的收發郵件都成問題，也就是說，以目前這種狀況，SPF技術『不可能』幫助我們去反垃圾郵件。所以，許多反垃圾郵件公司說『支持SPF』，但實際上，這對於反垃圾郵件來說，它無用武之地，完全可以不考慮。

　　OCR圖片掃描技術：由於近年來圖片垃圾的猖獗，有公司就號稱在其系統中應用了OCR技術，先不說這些公司能否在產品中應用OCR技術，就是OCR技術本身對圖片垃圾甚至可以說是無能為力的。簡單的舉個例子，我們只要在圖片的頭部增加光柵點，OCR技術就不能處理。現在對於圖形垃圾，有效的、科學的方法是『雞尾酒』療法。青蓮反垃圾郵件網關的多維廣告圖片識別技術，就是一個典型。(雞尾法療法及針對圖片垃圾的技術，另附文專門介紹。)

　　信任網絡：信任網絡是指利用信任的協作網絡對垃圾郵件的判定結果，來確定這一封垃圾郵件是否應該被廣泛判定為垃圾郵件，如被判定為垃圾郵件，那麼系統就將這一郵件的特征信息，傳播到所有的郵件用戶。實際上是一種規模宏大的『經驗規則』技術，或者說一種『策略型反垃圾技術』。它的前提是要有『相當大規模的用戶群，並且在用戶群中有相當多的信任用戶為他人做貢獻』。

　　小結：

　　技術的先進性是我們選購產品時最重要的一個參考因素之一，一個公司采用什麼樣的技術決定著他們的產品現在和將來的水平，然而，我們在購買產品時，不僅僅要購買現在，也要購買一年以後。

　　對於以上的技術，我的建議是：盡量采用混合型技術的產品，因為內容過濾技術與經驗規則技術一定要有，僅僅行為分析是不能夠提供高的垃圾郵件識別率的;但混合型反垃圾郵件技術(主要是過程化處理平臺技術)只有少數公司掌握，所以求其次的是內容過濾與經驗規則技術路線。對於新技術，如圖片垃圾領域，我們需要密切關注，這是反垃圾的難點，也是將來的重點;而SPF技術，暫時不需考慮;信任網絡技術，要看他的信任用戶群，如果他是國際超級大公司，例如，它已經擁有1億以上的用戶群，可以考慮。

　　在選擇產品時，技術是一方面，然而優秀的技術，未必就是優秀的產品。作為購買者來說，最重要是解決問題，所以，功能是否滿足需求，是衡量反垃圾郵件產品的一個重要指標。反垃圾郵件產品，功能比較清晰，我們需要關注的有：

　　(1)反垃圾郵件功能

　　反垃圾郵件產品，當然要有反垃圾郵件功能。但，這句話不是廢話。衡量反垃圾郵件功能，需要綜合的、同時的考慮兩個指標：垃圾郵件識別率和垃圾郵件誤報率——識別率要高，誤報率要低。專業的反垃圾郵件公司提供的網關型產品，應該都能夠達到90%以上。但在這裡，需要補充一句，這個識別率是要在誤報率在1/5000—1/10000之間纔有參考意義。舉個例子，如果識別率是99%，然而誤報率在20%，這樣的產品，還能信任嗎?以犧牲誤報率來提高識別率，或者以犧牲識別率來縮小誤報率，這樣的數據，沒有任何參考的價值。因此，我們說僅僅提識別率或者僅僅提誤報率，毫無意義。這兩個指標是『兄弟』，要高都高，要低都低。

　　反垃圾郵件的功能，我們還需要關注『反』各種類型垃圾的能力。

　　圖片垃圾：尤其是最近大幅度飆昇的「圖片型」垃圾，其中圖片型垃圾又分為附件圖片、正文圖片、圖文混合等等。

　　附件垃圾：對於附件的檢查能力是考驗反垃圾郵件能力的一個重要指標。

　　惡意或者廣告的URL：這也是最近比較難以防止的一種垃圾郵件，普通的內容過濾與貝葉斯很難判斷，因為其內容完全正常，沒有一個廣告或者其他的非法內容，只是URL後面的網站有問題，所以URL檢查很重要。

　　其他基本的文本型垃圾過濾：這個是最基本的反垃圾能力。

　　需要強調的是：當一封郵件被網關判定為垃圾郵件或者正常的郵件時，我們在日志中一定要能夠清楚的知道原因，不能做個糊涂的使用者。特別是對於垃圾郵件，我們要清楚：是誰給我發了垃圾郵件，用的是什麼IP和郵箱賬號，是什麼原因將這封郵件判定為垃圾，等等。要做到『知其然』，也要『知其所以然』。透明化的日志，是我們判定一個產品是否專業的很重要的要素。特別是看不到日志具體內容的『阻斷型』垃圾，我們需要清楚它的來源，以避免有誤殺，並且能夠采取措施進行補救。

　　(2)殺病毒郵件能力。

　　有資料顯示，現在40%的病毒是通過電子郵件傳播的。最普通的病毒就是采用郵件附件的方式傳播，現在更出現了一些病毒或者惡意代碼，直接潛入到信體中，是專門針對郵件系統寫的。

　　針對這種情況，我們需要考慮的是，這個反垃圾郵件網關采用什麼樣的反病毒系統，一般專業些的產品，都會采用多層殺毒系統。

　　(3)管理簡單、維護簡單

　　對於管理和維護，很少被網管員或者采購者所關注。最普遍的想法是：功能設置越復雜，就越『高級』。這是一個很大的思想誤區!!!殊不知，少就是多，簡單纔不簡單。好的產品，應該是把大部分的功能放在後臺，要做到『解放網管』，而盡量的把配置簡單化、智能化，以減少網管的工作量;界面要盡量的簡潔明了、信息要明確有效，這纔是一款對網管來說的好產品。

　　後期維護就更需要注意了。在反垃圾郵件領域裡，如果沒有自學習能力，就需要佔用網管人員的大量時間，後期維護量非常大。所以，在選擇反垃圾郵件產品時，一定要考查它是否具有智能自學習功能，是否能夠越來越精確，是否可以『解放網管』。

　　(4)良好的自身安全性。

　　作為一款安全產品，自身安全性是非常重要的。因此，我們要考查反垃圾郵件系統是軟件的還是硬件的，是專用操作系統還是通用操作系統，是否有防DOS攻擊的機制等等。

　　(5)其他一些輔助功能。

　　日志分析：

　　日志分析對反垃圾郵件產品有一定的作用，但用處不大。我認為的，反垃圾郵件產品只要有日志查詢、統計管理功能就行了，而所謂的餅狀圖、條狀圖等都沒有什麼用;如果一定要，也不建議放在反垃圾郵件網關上(因為大量的圖形和統計分析會佔用系統資源，影響系統性能和穩定性)，而是單獨提供一個日志分析軟件，把日志導出到管理員的電腦中來分析統計。

　　負載均衡：

　　負載均衡的功能，對於反垃圾郵件系統基本沒用。如果需要兩臺反垃圾郵件設備負載均衡，倒不如買個高型號、高性能的產品。因為，負載均衡本身就佔用了大量的系統資源，兩臺設備一堆疊，對整體性能提高不大。所以，如果一定要堆疊，那麼，我建議還是額外買一臺專業的負載均衡設備。

　　雙機熱備：

　　雙機熱備的功能對於一般的企業也沒有什麼用。反垃圾郵件系統不是日志系統，而且，購買兩臺設備也是資源的浪費。

　　郵件挽回和補救措施：

　　反垃圾過程中不可避免的會產生誤判和漏判，那麼就需要反垃圾郵件系統提供完備的挽回機制以及科學有效的補救(或叫修正)措施。常見的有：A.分用戶維護和管理能力。可以讓用戶自己設置自己的個性化反垃圾策略，同時自己可以糾正、找回錯判的郵件。B.反垃圾反向修正功能。比如針對RBL的RWL功能等。

　　小結：

　　對於產品功能，正確的做法是『抓大放小，抓住核心兼顧輔助』。選購反垃圾郵件產品，我們首先要關注的是反垃圾郵件和病毒郵件的功能。其他的都是虛的。我們需要擦亮眼睛，不要被廠商說的什麼負載均衡、日志分析能力，什麼其他的這個那個的花花功能所迷惑，我們要抓住本質，就是『反垃圾能力如何』!!!

　　對於反垃圾郵件能力，我們一定還要全面的仔細的考查其對各種類型垃圾郵件的識別能力。如果一款產品，它只關注文本垃圾，不關注圖形垃圾，只關注垃圾郵件本身，病毒功能非常差，那它肯定不是一款好產品。