1.SMTP Blocking
手動設定擋哪個SMTP Server,手動加入了國內主要ISP的動態IP來源,例如dynamic.tfn.net.tw,共檔了tfn、seednet、hinet、giga、so-net、apol這些來源,另外還有一些較常發現廣告信的國外來源,有的甚至幾乎把某個國家全檔了,如net.br、com.br等等,由於廣告信的來源太多,這樣設定方法其實維護起來很累,
2. Verify
Verify the senders e-mail domain:
The senders domain must resolve to an MX or A record to pass the test
Verify the senders reverse lookup of the IP address:
A PTR record for the IP address must exist to pass the test
Verify the senders FQDN (full qualified domain name) in the HELO/EHLO command:
The FQDN must resolve to an A record to pass the test
Verify that the sender uses an e-mail address:
The sender must have an e-mail address to pass the test; a blank address or NULLaddress is not allowed.
上述的四項都蠻重要的,垃圾郵件減少了8成以上吧,主要的原因應該就是被IP反查和FQDN這兩項給檔掉了。但是再過更久一點,陸續發現許多User反應來自 ???.org.tw 或 ???.gov.tw 的也會被檔,查詢記錄之後發現,主要也是IP反查和FQDN這兩項過濾條件,只能說這些單位的網管素質不高或他們根本沒有網管在做這件事,導致網站或網路的設定不良。此外也陸續發現部分來自公司行號的郵件也會被檔,最後我們放棄了FQDN這項過濾條件,但仍保留其餘三項。
3. Blocking IP/Host & Blocking E-mail Address
上述 SMTP Blocking 和這裡的檔 IP/Host 不同的是,前者直接在 SMTP 通訊階段就直接檔
掉,對方 Server 也會收到被退的原因;後者是先收進來,再進行處理,可以忽略、退回、在主旨標註、標註後送到垃圾信箱(Exchange 2003)、以附檔送給管理員、以附檔送給收件者等各種方式。這邊一樣是手動設定,把想檔的來源給檔掉。
上述的三個方式已經阻擋了一半以上的廣告信,還有另外開啟一些比較其次的功能,沒有直接檔,而是收進來後在主旨標註再送給收件者,如下所述。
4. SLS/RBL - Enable lookup in the Spam Lookup Service database (SLS/RBL/MAPS)
根據一些公開的「垃圾郵件主機資料庫」來進行過濾,若來源是這些資料庫內的,則在主旨標註為垃圾郵件。我們用了預設的三個資料庫,還蠻有效的,不過為了避免誤判,並沒有直接檔掉,還是送給收件者。
5. SURBL - Spam URI Realtime Blocklists (http://www.surbl.org)
與前述方式類似,是透過公開的資料庫來進行過濾,不過這裡是判斷內文中是否有某連結,例如 http://av20.com/,有的話也是判斷為垃圾郵件,這裡比較誇張的是,竟然把 com.tw net.tw 都判斷為垃圾郵件,真慘,台灣人寄垃圾郵件的量已經讓人痛恨到把整個國家都檔了!
6. Bayes
透過郵件內容去分析,依照不同的詞語給分,分數在某個比例上則視為廣告信,需要使用者或
管理者手動更新其資料庫,資料庫有分兩種,一種是正常信件,一種是垃圾信件,平時要把這
兩種信件寄到固定的郵件帳號去讓他收進來分析,不過效用似乎不大,不知道對中文是否判斷
能力比較弱。
7. Heuristic - Enable a heuristic approach to detect spam
也是分析郵件的內容,依照各項條件及狀況給分,也是分數在幾分以上就算廣告信,偶爾有發揮到作用。
8. GreyListing - Enable GreyListing - (http://projects.puremagic.com/greylisting)
灰名單,一般正常的SMTP在被對方退信後,在1~4小時內會重寄,而廣告信並不是透過正常的SMTP發信,而是特殊的寄件程式,通常不會有重寄的動作。利用這樣的特點,灰名單就是在信
件第一次寄到時,直接退還給對方主機,若幾小時候收到同一來源的信,則視為正常信件,會發給收件者,判斷條件為來源IP、寄件者和收件者三項。這樣的主意不錯,應該能有效的檔掉廣告信,但是在這個分秒必爭的年代,若信件寄出後要幾個小時才能送到,那可能很糟,所以後來直接就關閉這功能。
9. White List
白名單,在白名單內的來源都視為正常郵件,一般我們是開啟自動白名單的功能,也就是使用者寄出給「誰」,會被記錄下來,那個「誰」就會自動加入白名單,以後由他發出來的信件都視為正常信件,還蠻好用的。
上的功能再加上他各項功能都有的例外名單,配合起來其實還不錯,不過還是很多的垃圾郵件不斷進來,主要原因就是他們發信者也不是簡單的,都很瞭解一般的檔廣告信件的原理,所以內文每次加入部分亂碼、主旨變來變去的,加上他們來源可以不斷改變、真的蠻難檔的。不過最近又加入了一些條件,檔了更多的信件。
10. Blocking Text/HTML
判斷內文的字串,若符合,是直接擋了,原本沒有開啟這項是因為要用這種方式檔信,可能自己會累到爆,但是先由前面的一些規則,已經先檔了大部分的垃圾郵件,而能到這一關的已經是比較少數懂得發信的專家(令人厭惡的專家)。其中以色情廣告居多,內文又大部分是圖片,而圖片的來源也都是比較固定的幾個伺服器,不像是發信的來源,怎麼數都數不清,所以就把圖片的來源或是內文中的郵件當成要檔的字串。
不過這項方法也未必完全可行,目前就有發現很多廣告商也是把這字串編碼,像是 f2m.idv.tw就編成 %66%32m.%69d%76.t%77,在瀏覽器的解讀下都是一樣的,慘的是每次編碼並不是整個字串編碼,可能只是其中幾個字編碼,及他幾個字維持原碼,這樣根本就難以防止,除非防廣告信軟體也隨之升級,能判斷是否編碼。劍與盾的攻防依然持續著....
本文引用自 http://vbb.twftp.org/archive/index.php/t-5909.html
Jan 24, 2008
Spam Mail 功能與技術
Subscribe to:
Post Comments (Atom)
0 意見:
Post a Comment