Spam Mail 功能與技術

1.SMTP Blocking

手動設定擋哪個SMTP Server，手動加入了國內主要ISP的動態IP來源，例如dynamic.tfn.net.tw，共檔了tfn、seednet、hinet、giga、so-net、apol這些來源，另外還有一些較常發現廣告信的國外來源，有的甚至幾乎把某個國家全檔了，如net.br、com.br等等，由於廣告信的來源太多，這樣設定方法其實維護起來很累，

2. Verify

Verify the senders e-mail domain:
The senders domain must resolve to an MX or A record to pass the test

Verify the senders reverse lookup of the IP address:
A PTR record for the IP address must exist to pass the test

Verify the senders FQDN (full qualified domain name) in the HELO/EHLO command:
The FQDN must resolve to an A record to pass the test

Verify that the sender uses an e-mail address:
The sender must have an e-mail address to pass the test; a blank address or NULLaddress is not allowed.

上述的四項都蠻重要的，垃圾郵件減少了8成以上吧，主要的原因應該就是被IP反查和FQDN這兩項給檔掉了。但是再過更久一點，陸續發現許多User反應來自 ???.org.tw 或 ???.gov.tw 的也會被檔，查詢記錄之後發現，主要也是IP反查和FQDN這兩項過濾條件，只能說這些單位的網管素質不高或他們根本沒有網管在做這件事，導致網站或網路的設定不良。此外也陸續發現部分來自公司行號的郵件也會被檔，最後我們放棄了FQDN這項過濾條件，但仍保留其餘三項。

3. Blocking IP/Host & Blocking E-mail Address

上述 SMTP Blocking 和這裡的檔 IP/Host 不同的是，前者直接在 SMTP 通訊階段就直接檔
掉，對方 Server 也會收到被退的原因；後者是先收進來，再進行處理，可以忽略、退回、在主旨標註、標註後送到垃圾信箱(Exchange 2003)、以附檔送給管理員、以附檔送給收件者等各種方式。這邊一樣是手動設定，把想檔的來源給檔掉。

上述的三個方式已經阻擋了一半以上的廣告信，還有另外開啟一些比較其次的功能，沒有直接檔，而是收進來後在主旨標註再送給收件者，如下所述。

4. SLS/RBL - Enable lookup in the Spam Lookup Service database (SLS/RBL/MAPS)

根據一些公開的「垃圾郵件主機資料庫」來進行過濾，若來源是這些資料庫內的，則在主旨標註為垃圾郵件。我們用了預設的三個資料庫，還蠻有效的，不過為了避免誤判，並沒有直接檔掉，還是送給收件者。

5. SURBL - Spam URI Realtime Blocklists (http://www.surbl.org)

與前述方式類似，是透過公開的資料庫來進行過濾，不過這裡是判斷內文中是否有某連結，例如 http://av20.com/，有的話也是判斷為垃圾郵件，這裡比較誇張的是，竟然把 com.tw net.tw 都判斷為垃圾郵件，真慘，台灣人寄垃圾郵件的量已經讓人痛恨到把整個國家都檔了！

6. Bayes

透過郵件內容去分析，依照不同的詞語給分，分數在某個比例上則視為廣告信，需要使用者或
管理者手動更新其資料庫，資料庫有分兩種，一種是正常信件，一種是垃圾信件，平時要把這
兩種信件寄到固定的郵件帳號去讓他收進來分析，不過效用似乎不大，不知道對中文是否判斷
能力比較弱。

7. Heuristic - Enable a heuristic approach to detect spam

也是分析郵件的內容，依照各項條件及狀況給分，也是分數在幾分以上就算廣告信，偶爾有發揮到作用。

8. GreyListing - Enable GreyListing - (http://projects.puremagic.com/greylisting)

灰名單，一般正常的SMTP在被對方退信後，在1~4小時內會重寄，而廣告信並不是透過正常的SMTP發信，而是特殊的寄件程式，通常不會有重寄的動作。利用這樣的特點，灰名單就是在信
件第一次寄到時，直接退還給對方主機，若幾小時候收到同一來源的信，則視為正常信件，會發給收件者，判斷條件為來源IP、寄件者和收件者三項。這樣的主意不錯，應該能有效的檔掉廣告信，但是在這個分秒必爭的年代，若信件寄出後要幾個小時才能送到，那可能很糟，所以後來直接就關閉這功能。

9. White List

白名單，在白名單內的來源都視為正常郵件，一般我們是開啟自動白名單的功能，也就是使用者寄出給「誰」，會被記錄下來，那個「誰」就會自動加入白名單，以後由他發出來的信件都視為正常信件，還蠻好用的。

上的功能再加上他各項功能都有的例外名單，配合起來其實還不錯，不過還是很多的垃圾郵件不斷進來，主要原因就是他們發信者也不是簡單的，都很瞭解一般的檔廣告信件的原理，所以內文每次加入部分亂碼、主旨變來變去的，加上他們來源可以不斷改變、真的蠻難檔的。不過最近又加入了一些條件，檔了更多的信件。

10. Blocking Text/HTML

判斷內文的字串，若符合，是直接擋了，原本沒有開啟這項是因為要用這種方式檔信，可能自己會累到爆，但是先由前面的一些規則，已經先檔了大部分的垃圾郵件，而能到這一關的已經是比較少數懂得發信的專家(令人厭惡的專家)。其中以色情廣告居多，內文又大部分是圖片，而圖片的來源也都是比較固定的幾個伺服器，不像是發信的來源，怎麼數都數不清，所以就把圖片的來源或是內文中的郵件當成要檔的字串。

不過這項方法也未必完全可行，目前就有發現很多廣告商也是把這字串編碼，像是 f2m.idv.tw就編成 %66%32m.%69d%76.t%77，在瀏覽器的解讀下都是一樣的，慘的是每次編碼並不是整個字串編碼，可能只是其中幾個字編碼，及他幾個字維持原碼，這樣根本就難以防止，除非防廣告信軟體也隨之升級，能判斷是否編碼。劍與盾的攻防依然持續著....

本文引用自 http://vbb.twftp.org/archive/index.php/t-5909.html