九層垃圾郵件過濾技術

拓波軟件公司根據上千個客戶使用案例，自主研發並改進的八層反垃圾郵件內嵌式引擎，自動更新垃圾郵件規則庫，V4.1.0至最新的V4.3.0各版本均具備98%以上的垃圾郵件攔截率。

Turbomail採用八層反垃圾過濾技術，根據不一樣垃圾郵件特色採用不一樣技術，綜合分析垃圾郵件，同時爲每種特徵打上垃圾分值，根據綜合評分判斷是否爲垃圾郵件，真正作到準確率高，誤殺率低。

 

Turbomail系統同時支持發信認證(smtp-auth)、黑名單和系統級垃圾郵件過濾功能，爲用戶郵箱提供三重保護功能。用戶能夠隨時從國內外反垃圾郵件組織得到黑名單列表文件，導入郵件系統。從而使郵件管理員從被動變爲主動。Turbomail系統黑名單功能支持模糊匹配，能夠屏蔽一個域如@usa.com ,也能夠只屏蔽域內的一個用戶如spam@usa.com 。提供多種方式的垃圾郵件過濾功能，避免郵件服務器成爲垃圾郵件中轉站。

 

第一層: 網絡控制層

經驗分析，發送垃圾郵件的服務器通常都會同時大批量的向某些域的多個賬號發送垃圾郵件，對於這些發送垃圾郵件方式，可經過設定必定網絡訪問頻率控制進行有效的阻隔，Turbomail提供了兩種設置方式對付這種攻擊，並可自動把發送垃圾郵件的IP歸爲垃圾IP（SpamIP）列表。

經過smtp 服務層把明顯的發送垃圾郵件的smtp 鏈接拒絕，大大減輕後臺投遞系統和反垃圾引擎的負載。

經過統計分析，咱們發現不少發送垃圾郵件的smtp 鏈接具備如下特色。

1、同一IP同時的smtp鏈接數很是大。

2、同一IP一段時間，smtp鏈接頻率很是大。

通常出現這兩種狀況，都表示源發件人很是有可能發送垃圾郵件。

經過設置如下這兩個參數可控制這類型的smtp鏈接，從而截斷髮送垃圾郵件的源頭：

1、系統設置－》SMTP服務－》一分鐘內同一IP容許訪問次數

同時設置：

系統設置－》SMTP服務－》啓用智能反垃圾IP功能參數，把符合以上兩個條件的IP地址自動加入系統的 智能反垃圾IP

列表中（SmartSpamIP），當之後系統碰到這些IP的鏈接的時候，直接拒絕。

可經過：

系統監控－》智能反垃圾IP列表

查看系統目前智能反垃圾IP 列表

注意：

當互聯網是通過反垃圾網關再接入郵件系統的狀況，因爲郵件系統的全部smtp鏈接都來自反垃圾網關，因此基於Smtp服務反垃圾再也不起做用，這是須要把以上兩個參數設爲-1，以避免系統smtp服務故障。

 

第二層：來源分析

根據垃圾郵件發送者IP的地理位置，與 APNIC 的IP信息庫覈對結果，看來源是否真實，若是真實則經過，不然可能爲可疑郵件，因爲IP 來源沒法假裝，因此這個反垃圾策略比較有效。

 

第三層: 黑名單

經過黑名單, turbomail系統設置屏蔽任何一個IP,一個網段；也能夠屏蔽任何一個發信人，一個域。

實時黑名單(RBL)主要經過利用互聯網公開的rbl 資源判斷垃圾郵件的可能性。目前RBL 通常都經過DNS 查詢的方式提供對某個IP或域名是不是垃圾郵件發送源的判斷。另外，因爲國外大多數rbl 都對來自中國的ip 有「歧視」，因此咱們並不能徹底依靠rbl 來判斷一封郵件是不是垃圾郵件，只能根據rbl 查詢結果判斷郵件是否垃圾郵件的可能性。可設置如下參數定製rbl:

RBL 服務器，指定RBL 查詢域名後綴。

DNS 查詢類型，根據具體的RBL 要求指定DNS 查詢記錄類型。

匹配表達式，指定RBL 查詢結果的匹配模式，表達式格式採用perl 正則表達式，若是爲空，則表示若是可查到RBL結果，就表示符合條件。

目前所知比較有效的RBL服務器爲：

xbl.spamhaus.org

bl.spamcop.net

cbl.anti-spam.org.cn

cdl.anti-spam.org.cn

 

第四層: 灰名單

灰名單技術源於：http://www.greylisting.org/ 。

灰名單技術其基本假設是：病毒和垃圾郵件，一般都是一次性的，若是遇到錯誤，不會重試。

一些發垃圾郵件的軟件，這些軟件基本上都不會對郵件服務器返回的錯誤作出任何重試，而只是簡單的在日誌裏記錄發送失敗而已。而病毒引起的郵件風暴則更加不會識別郵件服務器返回的錯誤，由於這些病毒僅僅是簡單的發送郵件，發送時根本不理會服務器的狀態。

Greylist的設計大致上是基於一種重試的原則，即第一次看到某個IP要想給某個收件人發信，那麼它將簡單的返回一個臨時錯誤（4xx），並拒絕此請求，正常的郵件服務器都會在一段時間內（如半小時）重發一次郵件。greylist發現仍是剛纔一樣的ip地址和收件人，認爲此ip是來自合法服務器的，予以放行。若是是非正常的郵件，那麼或者將永遠也再也不進行重試，或者會瘋狂重試，但因爲間隔太近，而遭拒絕。所以，greylist只要設置一個合適的放行間隔，就能夠在很大程度上對這類垃圾郵件有着良好的免疫能力。greylist的一大特色就是不會丟信，正規的郵件服務器認爲4xx錯誤只是臨時性、軟性的錯誤，會隔一段時間重試，所以郵件仍是能夠投遞成功。但greylist的一大缺點即便延遲（delay），延遲從幾分鐘到幾個小時不等。對於一些對郵件及時性很強的客戶，greylist可能不是一個很好的選擇。

 

第五層: 趨勢分析

趨勢分析原理爲，全部垃圾郵件都有目標指向，好比：賣藥廣告郵件都會在郵件內容裏指定賣藥的電話、郵件或網站，若是不指定這些信息，發送垃圾郵件也就沒有意義了。趨勢分析法就是經過分析郵件裏的電話、郵件或網站連接內容，經過匹配判斷他的指向從而判斷郵件是不是垃圾郵件。

 

第六層: 郵件來源判斷

主要經過分析郵件的來源，如：發件人ip ，發件人，發件域，等內容，來判斷垃圾郵件的可能行。

 

第七層: SpamFilter內容過濾

經過郵件內容關鍵字分析，可爲符合內容分析結果的郵件打上相應的垃圾郵件評分。這類規則的判斷條件相似系統的過濾規則。可參考過濾規則設定來設定過濾評份內容，同時咱們也會經過收集客戶反饋的垃圾郵件特色整理成規則內容，按期通知客戶更新。

 

第八層: SpamAssassin引擎

SpamAssassin 是一個由Apache 開發的一個著名的反垃圾引擎，turbomail郵件系統完整的集成了SpamAssassin反垃圾引擎。

郵件系統提供了一個名爲SA-Server 的SpamAssassin反垃圾服務器，郵件系統經過把須要進行反垃圾分析的郵件提交給SA-Server 進行分析。

SA-Server 在Windows 平臺上可經過 SA_Server 服務啓動，在Unix/Linux 平臺上可經過 sa/sa_server.sh 腳本啓動。

SA-Server 默認端口爲8700，可經過直接修改 sa/sa_server.pl 修改這個端口。

可經過郵件管理系統中的，反垃圾\反病毒－》反垃圾引擎設置中的SpamAssassin中的相關設置進行SA-Server 的服務配置。

其中：

啓用SpamAssassin ，指定是否啓動SpamAssassin 反垃圾檢查

SpamAssassin服務器地址，指定SA-Server 服務器地址，默認爲本機。

SpamAssassin服務端口，指定SA-Server 服務器端口，默認爲8700.

最大SpamAssassin檢查線程數，指定最大的鏈接SA-Server 服務數，可根據系統的複雜進行適當調整。

 

第九層：TMspamcheck引擎

垃圾廣告商老是在千方百計的繞開上述攔截與屏蔽方式，「做案」手段不時更改，Turbomail經過按期巡查以及與客戶創建溝通制度，普遍蒐集現行的各種垃圾郵件，並逐個分析，將垃圾郵件源列入TMchecklist，全部的正式客戶都將獲得同步更新的服務，再度查殺漏網之「郵」。