（華為認(rèn)證網(wǎng)絡(luò)安全專家）培訓(xùn)教材 HC13031106 郵件過濾技術(shù)

1、Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 0修訂記錄修訂記錄課程編碼課程編碼適用產(chǎn)品適用產(chǎn)品產(chǎn)品版本產(chǎn)品版本課程版本課程版本ISSUEHC13031106USG6000V1R1V1.0開發(fā)開發(fā)/優(yōu)化者優(yōu)化者時(shí)間時(shí)間審核人審核人開發(fā)類型（新開發(fā)開發(fā)類型（新開發(fā)/優(yōu)化）優(yōu)化）王銳2014-08-15王銳開發(fā)本頁不打印本頁不打印Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. HC13031106 郵件過濾技術(shù)Copyr

2、ight 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 2目標(biāo)l學(xué)完本課程后，您將能夠:p了解垃圾郵件的基本概念；p了解垃圾郵件的產(chǎn)生及危害；p熟悉垃圾郵件過濾技術(shù)原理；p掌握垃圾郵件過濾技術(shù)應(yīng)用。Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 3目錄1. 垃圾郵件垃圾郵件介紹介紹2. 垃圾郵件過濾技術(shù)介紹3. RBL郵件過濾技術(shù)4. 郵件內(nèi)容過濾技術(shù)5. 垃圾郵件過濾技術(shù)應(yīng)用Copyright 2010 Huawei Tec

3、hnologies Co., Ltd. All rights reserved. Page 4電子郵件基本概念l電子郵件是種通過網(wǎng)絡(luò)提供信息交換的通信方式。l完整的電子郵件一般包括郵件地址、主題、正文、附件。pSMTPpPOP3pMUApMTACopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 5電子郵件基本原理l一封電子郵件的發(fā)送過程如下圖所示：SMTPDNS MX發(fā)件人發(fā)件人收件人收件人DNS服務(wù)器服務(wù)器用戶代理用戶代理Outlook本地本地MTAS遠(yuǎn)端遠(yuǎn)端MTAS用戶代理用戶代理OutlookSMT

4、PPOP3Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 6垃圾郵件的定義l垃圾郵件是包括下述屬性的電子郵件：垃圾郵件是包括下述屬性的電子郵件：p收件人事先沒有提出要求或者同意接收的廣告、電子刊物、各種形式的宣傳品等宣傳性的電子郵件；p收件人無法拒收的電子郵件；p隱藏發(fā)件人身份、地址、標(biāo)題等信息的電子郵件；p含有虛假的信息源、發(fā)件人、路由等信息的電子郵件。攜帶病毒和木馬的郵件也是垃圾郵件！攜帶病毒和木馬的郵件也是垃圾郵件！ Copyright 2010 Huawei Technologies Co.,

5、 Ltd. All rights reserved. Page 7垃圾郵件產(chǎn)生原因l經(jīng)濟(jì)利益的驅(qū)動；lSMTP協(xié)議缺陷；l開放的互聯(lián)網(wǎng)；l無意導(dǎo)致的誤發(fā)送。Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 8垃圾郵件的發(fā)送手段l通過各種方法（購買，偷竊）獲取接收人列表l使用專門的服務(wù)器來發(fā)送垃圾郵件l通過破解等黑客手段挾持他人服務(wù)器或者主機(jī)來發(fā)送垃圾郵件l破解他人的社交網(wǎng)絡(luò)帳號來發(fā)送垃圾郵件l綜合運(yùn)用多種躲避垃圾郵件檢查的手段Copyright 2010 Huawei Technologies Co.,

6、 Ltd. All rights reserved. Page 9互聯(lián)網(wǎng)垃圾郵件現(xiàn)狀l垃圾郵件占總郵件數(shù)量的比例大約在 80% - 90%。l垃圾郵件占用了大量的網(wǎng)絡(luò)資源和存儲空間l垃圾郵件浪費(fèi)了郵件使用者的寶貴時(shí)間l由于釣魚等行為的存在，垃圾郵件嚴(yán)重影響了信息安全。Page 9Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 10垃圾郵件的危害l降低生產(chǎn)力l被黑客利用l損害ISP品牌形象l危害社會Copyright 2010 Huawei Technologies Co., Ltd. All righ

7、ts reserved. Page 11垃圾郵件主要類型l在這些類型的垃圾郵件中，目前尤以病毒郵件居多，高達(dá)40%以上。病毒病毒和木馬和木馬郵件郵件商業(yè)宣傳郵件商業(yè)宣傳郵件政治宣傳郵件政治宣傳郵件色情宣傳郵件色情宣傳郵件郵件服務(wù)器郵件服務(wù)器垃圾郵件垃圾郵件Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 12垃圾郵件技術(shù)分析動態(tài)動態(tài)IPIP動態(tài)內(nèi)容動態(tài)內(nèi)容分布式發(fā)送分布式發(fā)送結(jié)合病毒特性結(jié)合病毒特性垃圾郵件多采用IP地址或域名變換技術(shù)，達(dá)到欺騙反垃圾郵件系統(tǒng)的目的。關(guān)鍵字動態(tài)變化采用附件代替文本內(nèi)容信頭

8、、正文動態(tài)變化內(nèi)容圖片化采用分布式的發(fā)送方式，以防止地址或域名屏蔽。結(jié)合蠕蟲病毒的自動傳播機(jī)制，實(shí)現(xiàn)垃圾郵件的大量發(fā)送。Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 13目錄1. 垃圾郵件介紹2. 垃圾郵件過濾技術(shù)介紹垃圾郵件過濾技術(shù)介紹3. RBL郵件過濾技術(shù)4. 郵件內(nèi)容過濾技術(shù)5. 垃圾郵件過濾技術(shù)應(yīng)用Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 14常見的垃圾郵件過濾技術(shù)統(tǒng)計(jì)法統(tǒng)計(jì)法列表法列表法源

9、頭法源頭法其它其它貝葉斯靜態(tài)黑名單SenderID內(nèi)容過濾帶寬/連接限制 靜態(tài)白名單Domainkeys圖片識別技術(shù)郵件數(shù)量限制RBLSPF意圖分析技術(shù)信譽(yù)評級Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 15垃圾郵件過濾技術(shù)統(tǒng)計(jì)法l貝葉斯算法p基于統(tǒng)計(jì)方法，采用標(biāo)記權(quán)重的方式，根據(jù)對已知的垃圾郵件和非垃圾郵件為樣本進(jìn)行的內(nèi)容分析和統(tǒng)計(jì)來計(jì)算下一封郵件為垃圾郵件的概率，生成過濾規(guī)則；l連接/帶寬統(tǒng)計(jì)p通過統(tǒng)計(jì)單位時(shí)間內(nèi)某固定IP地址試圖連接的數(shù)量是否在預(yù)定范圍，或限制有效帶寬實(shí)現(xiàn)反垃圾郵件。l郵件數(shù)

10、量限制p限制單個(gè)IP在單位時(shí)間內(nèi)可發(fā)送的郵件數(shù)量。l信譽(yù)評分技術(shù)p基于統(tǒng)計(jì)的技術(shù)，采用信譽(yù)評級的方法實(shí)現(xiàn)郵件等級定義。Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 16垃圾郵件過濾技術(shù)列表法lDNS-RBLs技術(shù)p通過域名反向解析檢查所收到郵件的IP地址與其名稱是否一致， 該技術(shù)對于使用虛假IP發(fā)送的垃圾郵件有較好的過濾效果。l靜態(tài)黑名單p通過配置靜態(tài)黑名單對垃圾郵件進(jìn)行過濾，但該方法對于IP地址、域名變換技術(shù)并無效果，因此在實(shí)際網(wǎng)絡(luò)中并未采用。l靜態(tài)白名單p通過設(shè)置可信名單的方式實(shí)現(xiàn)，同樣有靜態(tài)黑

11、名單方法的問題。Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 17垃圾郵件過濾技術(shù)源頭法lSenderIDp該方案為Microsoft提出，并得到多數(shù)網(wǎng)絡(luò)廠商支持，但并未通過 IETF。該技術(shù)完全依賴于DNS特性，因此容易遭受攻擊。lSPF技術(shù)pSPF 是發(fā)送方策略框架 (Sender Policy Framework) 的縮寫，其 目的用于防止偽造郵件地址 。lDomainkeysp采用驗(yàn)證郵件發(fā)件人是否與其聲稱的郵件域一致，并驗(yàn)證郵件的 完整性。該技術(shù)為一種公鑰+私鑰的簽名技術(shù)。Copyrigh

12、t 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 18垃圾郵件過濾技術(shù)其他l多重圖片識別技術(shù)p識別通過圖片進(jìn)行隱藏的垃圾郵件。l意圖分析技術(shù)p郵件動機(jī)分析技術(shù)。l內(nèi)容過濾p通過分析郵件的內(nèi)容采用關(guān)鍵字過濾方法。Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 19NGFW郵件過濾技術(shù)支持情況功能描述功能描述發(fā)送方向發(fā)送方向接收方向接收方向SMTPSMTPPOP3POP3IMAPIMAP垃圾郵件防范檢測、阻斷和告警不支持不支持匿名

13、郵件檢測檢測、阻斷和告警檢測、阻斷和告警僅支持檢測、告警，無法阻斷郵箱地址檢查檢測和阻斷檢測和阻斷 僅支持檢測、告警，無法阻斷郵件附件控制檢測、阻斷和告警檢測、阻斷和告警僅支持檢測、告警，無法阻斷Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 20目錄1. 垃圾郵件介紹2. 垃圾郵件過濾技術(shù)介紹3. RBL郵件過濾技術(shù)郵件過濾技術(shù)4. 郵件內(nèi)容過濾技術(shù)5. 垃圾郵件過濾技術(shù)應(yīng)用Copyright 2010 Huawei Technologies Co., Ltd. All rights reserve

14、d. Page 21RBL郵件過濾lRBL（Real-time Blackhole List），即反垃圾郵件lRBL通過定義一個(gè)黑名單列表，在該列表中的IP地址對外發(fā)布的郵件即為垃圾郵件。l提供RBL服務(wù)的機(jī)構(gòu)會實(shí)時(shí)更新黑名單列表來保證可以過濾最新的垃圾郵件。lRBL過濾只支持對SMTP協(xié)議傳輸?shù)泥]件進(jìn)行過濾。Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 22RBL應(yīng)用場景及工作流程TRUST收件人收件人內(nèi)部內(nèi)部SMTP服務(wù)器服務(wù)器DMZ外部外部SMTP服務(wù)器服務(wù)器DNS服務(wù)器服務(wù)器RBL服務(wù)器服務(wù)

15、器NGFWCopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 23RBL過濾的列表l本地白名單l本地黑名單l遠(yuǎn)程實(shí)時(shí)黑名單X. X. X. X.Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 24RBL過濾的響應(yīng)方式l告警（Alert）p正常轉(zhuǎn)發(fā)郵件，并發(fā)出日志告警信息。l阻斷（Block）p阻斷郵件，并發(fā)出日志告警信息。Copyright 2010 Huawei Technologies Co., Ltd. A

16、ll rights reserved. Page 25目錄1. 垃圾郵件介紹2. 垃圾郵件過濾技術(shù)介紹3. RBL郵件過濾技術(shù)4. 郵件內(nèi)容過濾技術(shù)郵件內(nèi)容過濾技術(shù)5. 垃圾郵件過濾技術(shù)應(yīng)用Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 26郵件內(nèi)容過濾帶來的價(jià)值郵件內(nèi)容過濾特性從郵件中提取郵件要素并對其進(jìn)行過濾，消除其帶來的內(nèi)容安全威脅，給用戶帶來如下價(jià)值：l防信息泄露l屏蔽敏感信息和反動言論l收發(fā)郵件權(quán)限控制l防帶寬過度占用Copyright 2010 Huawei Technologies Co

17、., Ltd. All rights reserved. Page 27SMTP/POP3郵件過濾SMTP/POP3郵件內(nèi)容過濾是指當(dāng)內(nèi)網(wǎng)用戶通過郵件客戶端收發(fā)郵件時(shí)，對郵件地址、附件大小和數(shù)量進(jìn)行監(jiān)控。TRUST內(nèi)網(wǎng)用戶內(nèi)網(wǎng)用戶服務(wù)器服務(wù)器NGFWInternet內(nèi)網(wǎng)用戶發(fā)送不符合配置要求的郵件，將被阻斷。內(nèi)網(wǎng)用戶發(fā)送不符合配置要求的郵件，將被阻斷。Outlook客戶端客戶端Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 28郵件內(nèi)容過濾方式過濾配置項(xiàng)過濾配置項(xiàng)匹配方式匹配方式引用的公共模式組引用的

18、公共模式組類型類型收件人或發(fā)件人郵件地址前綴/后綴/關(guān)鍵字/精確郵件地址附件大小直接配置，不引用公共模式組-附件數(shù)量直接配置，不引用公共模式組-Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 29目錄1. 垃圾郵件介紹2. 垃圾郵件過濾技術(shù)介紹3. RBL郵件過濾技術(shù)4. 郵件內(nèi)容過濾技術(shù)5. 垃圾郵件過濾技術(shù)應(yīng)用垃圾郵件過濾技術(shù)應(yīng)用Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 30郵件過濾配置思路開始開始

19、結(jié)束結(jié)束配置本地黑名單配置本地黑名單/ /白名白名單（可選單（可選）配置配置RBLRBL黑名單（黑名單（可選可選）配置郵件附件控制（配置郵件附件控制（可選）可選）配置安全策略（配置安全策略（必選必選）配置匿名郵件檢測（配置匿名郵件檢測（可可選）選）配置郵箱地址檢查（配置郵箱地址檢查（可可選）選）Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 31配置本地黑名單/白名單Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 32配置RBL黑名單Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 33配置RBL黑名單(續(xù))l垃圾郵件配置文件在“郵件內(nèi)容過濾”中引用后才能生效。rbl.anti-Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 34配置RBL黑名單(續(xù))profile_mail_untrust_dmz Copyright 2010 Huawei Technologies Co