论文部分内容阅读
摘 要:本文详细阐述了在SMTP会话层设置多层访问控制策略的運行技术及实验方法,结果表明该策略能有效的阻止垃圾邮件。本文利用内容过滤、限制发件量、黑白灰名单和等技术来阻止垃圾邮件。
关键词:垃圾邮件;访问控制;访问策略
目前全世界每天发送的邮件中,大约 50%的邮件是垃圾邮件[2],垃圾邮件的问题已经变得越来越严重,据最近的一份调查报告显示,拥有电子信箱的人中至少90%对他们收到的垃圾邮件表示十分的不满[1]。目前仅仅只有很少的一部分组织宣称对这些垃圾邮件负责。而我们目前所使用的网络安全技术又不能很有效的进行垃圾邮件的阻挡。本文就是主要针对于这种现象,依靠过滤和反向查询的反垃圾邮件技术,并结合它们的优点,提出一种基于多层访问控制的反垃圾邮件策略.
一、反垃圾邮件的意义
据统计,今年以来国内网民每天接收的垃圾电子邮件达到6、7千万封,超过了正常电子邮件的数量,其中相当数量的垃圾电子邮件含有反动、淫秽色情、赌博以及计算机病毒等有害信息。垃圾电子邮件的传播蔓延,严重侵害电子邮件用户通信利益,影响电子邮件服务正常运营秩序,危害互联网安全和社会稳定,已经成为互联网一大公害,社会各界要求对垃圾电子邮件进行治理的呼声十分强烈,也兴起了部署反垃圾邮件系统的高潮。但是在各个部署反垃圾邮件系统的实际过程中,也存在着很多具体的技术性问题,及其中国际流量的影响的问题。
二、反垃圾邮件技术
针对合法发件人发送垃圾邮件的问题,可采用限制发送邮件数量的策略 SMCL(发送邮件数量限制)。SMCL 的主要思想是在规定的时间内限制发件人发送邮件的量,可以设置发件人白名单,把不需要通过 SMCL 检查的发件人地址放在里面。
SMCL 的实现:如果发件人的邮件地址没有出现过,添加一条新记录,包括发件人的邮件地址、记录创建时间、已发送邮件数量、记录过期时间;如果发件人的邮件地址出现过而且记录还没过期,则判断用户发送的邮件数量是否已超过设定值,如果没有超过,则通过邮件,如果超过了,则返回连接错误的信息给发件人的 MTA,并断开连接;如果 发件人的邮件地址出现过而且记录已过期,则更新记录里面的创建时间、已发送邮件数量和记录过期时间,并通过邮件。
三、访问控制策略的实现
访问控制策略是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护作用,而访问控制是保证网络安全最重要的核心策略之一。访问控制策略包括以下四个策略方面的内容。
3.1MAIL命令会话层访问策略
MAIL FROM命令的参数是邮件的返回路径,也就是邮件的发件人。因为 SMTP 协议没有对这个命令带的参数进行身份认证,所以目前绝大多数垃圾邮件都会伪造这个参数。在这一层利用语法检测、SBL、SWL 和反向查询来控制 SMTP 会话连接。具体访问控制策略如下:
(1)检查发件人的邮件地址是否符合RFC821 标准,如果不符合,则断开 SMTP 会话连接。
(2)检查发件人是否是本地用户,即是 否使用 AUTH[4]命令登陆。如果是,则进入SBL 检查,如果不是,则进入反向查询检查。
(3)通过反向查询检查发件人的IP地址 是否在发件人域名对应的RMX(或者SPF、DMP)地址范围,如果是,则进入 SBL 检查;如果不是,则将发件人的 IP 地址和邮件地址分别加入 RBL和 SBL,并断开连接。
(4)检查发件人的邮件地址是否在 SBL里面,如果在,则断开连接。如果不在,则通过邮件。通过 MAIL 命令会话层过滤以后,可以保证发件人的身份是可以确认的.
3.2DATA 命令会话层访问策略
DATA 命令后带的参数是邮件内容。在这一层使用内容过滤技术来控制 SMTP 会话。
具体访问控制策略如下:
(1)调用 Clamav[6]或者其他的查毒软件,检查邮件是否是病毒邮件,如果是,则断开连接。并通知系统管理员,系统管理员可以根据需要把病毒邮件发件人的邮件地址和 IP 地址列入黑名单。
(2)调用Spamassassin[7],给邮件打分, 如果打分超过设定值,则将邮件发送到用户的垃圾箱,并通知系统管理员,系统管理员可以根据需要把垃圾邮件发件人的邮件地 址和 IP 地址列入黑名单。如果没有,则发到用户的收件箱。如果用户在收件箱里发现垃圾邮件,可以将垃圾邮件的发件人列入URL。
3.3 RCPT 命令会话层访问策略
RCPT TO 命令是用来指定邮件的接收者,如果要发送给多个接收者,可以通过发送多个 RCPT TO 命令来实现。在这一层主要利 用 语 法 检 测 、 UWL 、 UBL 、 SMCL和Greylisting[5]来控制 SMTP 会话。具体访问控制策略如下:(1)检查 RCPT TO 命令带的参数是否符合 RFC821 标准,如果不符合,则断开连接。
(2)检查发件人是否在 SWL 里面,如果在,则通过邮件。
(3)检查发件人是否在 UWL 里面,如果在,则进入 SMCL 检查。
(4)检查发件人是否在 URL 里面,如果在,则断开连接。
(5)使用Greylisting,如果是初次连接或(下转第38页) (上接第39页)者不符合通过条件,则发送“临时失败”的消息给发件人的 MTA,并断开连接。如果符合 Greylisting 条件,则进入 SMCL检查.
(6)使用SMCL 检查,如果邮件发送量超过指定值,则发送“连接出错”的消息给发件人的 MTA,并断开连接。如果邮件发送量没有超过指定值,则通过邮件。
3.4 HELO 命令会话层访问策略
HELO 命令会发送邮件发送方的域名给接收方。在这一层利用语法检测、RBL和 RWL来控制 SMTP 会话连接。具体访问控制策略如下:
(1)检查HELO命令传递过来的参数是否符合RFC821标准,不符合则断开连接。
(2)检查发送方的IP地址是否在接收方的 RWL 里面,如果在,则通过邮件。如果不在,则进入 RBL 检查。
(3) 检查发送方的IP地址是否在接收方的 RBL 里面,如果在,则断开 SMTP 连接。如果不在,则通过邮件。
通过 HLEO 会话层的访问控制以后,可以确保发件人的域名是标准格式,发件人的IP 不在黑名单里面。
四、反垃圾邮件的访问控制策略的结果
本文通过在 SMTP 会话期间设置不同的访问控制策略来实现反垃圾邮件,此访问控制策略能实现的功能包括:
1.系统级白名单 (针对大型 ISP 的设置)。
2.整合现有的基于DNS 的实时黑名单(RBL)。
3.防止不合法的HELO、MAIL、RCPT 命令。
4.防止伪造的发件人。
5.防止非标准 MTA发送的邮件。
6.邮件发送量限制,避免合法用户发送垃圾邮件。
7.用户级的白名单和黑名单。
8.利用内容过滤来检测垃圾邮件和病毒邮件。
从技术角度来看,此方式为国内外通常的反垃圾邮件技术,都是基于黑名单、规则库关键字内容过滤的原理工作的, 采用技术性的反垃圾邮件系统的设计思想使用主动疏导的方式,用行为规范去主动要求发信方,这样大大提供了反垃圾邮件的实际效果。
关键词:垃圾邮件;访问控制;访问策略
目前全世界每天发送的邮件中,大约 50%的邮件是垃圾邮件[2],垃圾邮件的问题已经变得越来越严重,据最近的一份调查报告显示,拥有电子信箱的人中至少90%对他们收到的垃圾邮件表示十分的不满[1]。目前仅仅只有很少的一部分组织宣称对这些垃圾邮件负责。而我们目前所使用的网络安全技术又不能很有效的进行垃圾邮件的阻挡。本文就是主要针对于这种现象,依靠过滤和反向查询的反垃圾邮件技术,并结合它们的优点,提出一种基于多层访问控制的反垃圾邮件策略.
一、反垃圾邮件的意义
据统计,今年以来国内网民每天接收的垃圾电子邮件达到6、7千万封,超过了正常电子邮件的数量,其中相当数量的垃圾电子邮件含有反动、淫秽色情、赌博以及计算机病毒等有害信息。垃圾电子邮件的传播蔓延,严重侵害电子邮件用户通信利益,影响电子邮件服务正常运营秩序,危害互联网安全和社会稳定,已经成为互联网一大公害,社会各界要求对垃圾电子邮件进行治理的呼声十分强烈,也兴起了部署反垃圾邮件系统的高潮。但是在各个部署反垃圾邮件系统的实际过程中,也存在着很多具体的技术性问题,及其中国际流量的影响的问题。
二、反垃圾邮件技术
针对合法发件人发送垃圾邮件的问题,可采用限制发送邮件数量的策略 SMCL(发送邮件数量限制)。SMCL 的主要思想是在规定的时间内限制发件人发送邮件的量,可以设置发件人白名单,把不需要通过 SMCL 检查的发件人地址放在里面。
SMCL 的实现:如果发件人的邮件地址没有出现过,添加一条新记录,包括发件人的邮件地址、记录创建时间、已发送邮件数量、记录过期时间;如果发件人的邮件地址出现过而且记录还没过期,则判断用户发送的邮件数量是否已超过设定值,如果没有超过,则通过邮件,如果超过了,则返回连接错误的信息给发件人的 MTA,并断开连接;如果 发件人的邮件地址出现过而且记录已过期,则更新记录里面的创建时间、已发送邮件数量和记录过期时间,并通过邮件。
三、访问控制策略的实现
访问控制策略是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护作用,而访问控制是保证网络安全最重要的核心策略之一。访问控制策略包括以下四个策略方面的内容。
3.1MAIL命令会话层访问策略
MAIL FROM命令的参数是邮件的返回路径,也就是邮件的发件人。因为 SMTP 协议没有对这个命令带的参数进行身份认证,所以目前绝大多数垃圾邮件都会伪造这个参数。在这一层利用语法检测、SBL、SWL 和反向查询来控制 SMTP 会话连接。具体访问控制策略如下:
(1)检查发件人的邮件地址是否符合RFC821 标准,如果不符合,则断开 SMTP 会话连接。
(2)检查发件人是否是本地用户,即是 否使用 AUTH[4]命令登陆。如果是,则进入SBL 检查,如果不是,则进入反向查询检查。
(3)通过反向查询检查发件人的IP地址 是否在发件人域名对应的RMX(或者SPF、DMP)地址范围,如果是,则进入 SBL 检查;如果不是,则将发件人的 IP 地址和邮件地址分别加入 RBL和 SBL,并断开连接。
(4)检查发件人的邮件地址是否在 SBL里面,如果在,则断开连接。如果不在,则通过邮件。通过 MAIL 命令会话层过滤以后,可以保证发件人的身份是可以确认的.
3.2DATA 命令会话层访问策略
DATA 命令后带的参数是邮件内容。在这一层使用内容过滤技术来控制 SMTP 会话。
具体访问控制策略如下:
(1)调用 Clamav[6]或者其他的查毒软件,检查邮件是否是病毒邮件,如果是,则断开连接。并通知系统管理员,系统管理员可以根据需要把病毒邮件发件人的邮件地址和 IP 地址列入黑名单。
(2)调用Spamassassin[7],给邮件打分, 如果打分超过设定值,则将邮件发送到用户的垃圾箱,并通知系统管理员,系统管理员可以根据需要把垃圾邮件发件人的邮件地 址和 IP 地址列入黑名单。如果没有,则发到用户的收件箱。如果用户在收件箱里发现垃圾邮件,可以将垃圾邮件的发件人列入URL。
3.3 RCPT 命令会话层访问策略
RCPT TO 命令是用来指定邮件的接收者,如果要发送给多个接收者,可以通过发送多个 RCPT TO 命令来实现。在这一层主要利 用 语 法 检 测 、 UWL 、 UBL 、 SMCL和Greylisting[5]来控制 SMTP 会话。具体访问控制策略如下:(1)检查 RCPT TO 命令带的参数是否符合 RFC821 标准,如果不符合,则断开连接。
(2)检查发件人是否在 SWL 里面,如果在,则通过邮件。
(3)检查发件人是否在 UWL 里面,如果在,则进入 SMCL 检查。
(4)检查发件人是否在 URL 里面,如果在,则断开连接。
(5)使用Greylisting,如果是初次连接或(下转第38页) (上接第39页)者不符合通过条件,则发送“临时失败”的消息给发件人的 MTA,并断开连接。如果符合 Greylisting 条件,则进入 SMCL检查.
(6)使用SMCL 检查,如果邮件发送量超过指定值,则发送“连接出错”的消息给发件人的 MTA,并断开连接。如果邮件发送量没有超过指定值,则通过邮件。
3.4 HELO 命令会话层访问策略
HELO 命令会发送邮件发送方的域名给接收方。在这一层利用语法检测、RBL和 RWL来控制 SMTP 会话连接。具体访问控制策略如下:
(1)检查HELO命令传递过来的参数是否符合RFC821标准,不符合则断开连接。
(2)检查发送方的IP地址是否在接收方的 RWL 里面,如果在,则通过邮件。如果不在,则进入 RBL 检查。
(3) 检查发送方的IP地址是否在接收方的 RBL 里面,如果在,则断开 SMTP 连接。如果不在,则通过邮件。
通过 HLEO 会话层的访问控制以后,可以确保发件人的域名是标准格式,发件人的IP 不在黑名单里面。
四、反垃圾邮件的访问控制策略的结果
本文通过在 SMTP 会话期间设置不同的访问控制策略来实现反垃圾邮件,此访问控制策略能实现的功能包括:
1.系统级白名单 (针对大型 ISP 的设置)。
2.整合现有的基于DNS 的实时黑名单(RBL)。
3.防止不合法的HELO、MAIL、RCPT 命令。
4.防止伪造的发件人。
5.防止非标准 MTA发送的邮件。
6.邮件发送量限制,避免合法用户发送垃圾邮件。
7.用户级的白名单和黑名单。
8.利用内容过滤来检测垃圾邮件和病毒邮件。
从技术角度来看,此方式为国内外通常的反垃圾邮件技术,都是基于黑名单、规则库关键字内容过滤的原理工作的, 采用技术性的反垃圾邮件系统的设计思想使用主动疏导的方式,用行为规范去主动要求发信方,这样大大提供了反垃圾邮件的实际效果。