垃圾邮件防范技术

　　目前，垃圾邮件呈现如下特点：发件人地址随着邮件主题随机变化、伪造邮件头干扰信息、信体内容随机变化、正文以图片方式显示等。而反垃圾邮件目前尚无国际标准，有缺陷的协议应用极为广泛，很难有一种新协议新技术立刻取代现有协议，所以现阶段无法彻底根治垃圾邮件问题。但我们可以基于3种类型的垃圾邮件进行分类讨论分析，在今后的垃圾邮件治理过程中针对不同类型的垃圾邮件进行疏堵结合，尽可能降低垃圾邮件对网络安全的威胁。从垃圾邮件的产生与传播特征入手，防范技术可分为预防技术与过滤拦截技术。广为熟知的防范新技术有修补服务器漏洞，关闭开放式转发（Open Relay），针对IP，域名和邮件地址设置黑白名单等。目前，热点的预防性技术主要有：挑战应答模式（Challenge-Response），Domain Keys，SPF (Sender Policy Framework)，SenderID，电子邮票等。这些基于完善协议加强认证思路的防范技术需要MTA（Mail Transport Agent邮件传输代理）与MDA（Mail Deliver Agent邮件投递代理）配合应用才能起效，但由于目前标准不统一，普及度有限，所以从防范技术入手收效甚微。垃圾邮件过滤是目前使用最为广泛的防范垃圾邮件手段。从垃圾邮件的分类基于行为和基于内容的角度来看，判别过滤垃圾邮件技术也可以分为基于发件进行“行为识别”和基于内容进行“内容过滤”。

　　“行为识别”技术

　　“行为识别”技术是指根据邮件发送行为判断其是否是合法的技术。采用这种技术，可以不用考虑邮件内容，仅仅根据其发送的行为判断此邮件是否属于垃圾邮件。邮件传输遵循SMTP协议的，任何不满足该协议规范的邮件都有理由判断为垃圾邮件。“行为识别”通过对邮件发件行为与若干条规则进行比对，同时还需要通过大量统计发送垃圾邮件行为特征，不断分析正常和异常的发件行为特点，将垃圾邮件特征形成行为识别模型。“行为识别”技术模型中包含了发件源头信誉的检查、SMTP连接频率、反向域名解析验证等诸多要素，“行为识别”是针对协议进行的扫描，不涉及信体内容，有效地避免了内容图片化，正文文字变造引起的过滤失效。“行为识别”技术所作的判断过程基本在开始传输DATA之前结束。采用垃圾邮件行为模式识别模型不仅大大提高了垃圾邮件辨别的准确率，而且不需要对信件的全部内容进行扫描，无需接受完整邮件，节约了网络和邮件服务器资源。

　　“内容过滤”技术

　　除去网络攻击目的垃圾邮件外，其他的垃圾邮件都需要通过邮件内容达到其目的。因此，针对内容过滤的“内容过滤”技术应运而生。早期的内容过滤是根据关键字库中的关键字，将信件正文进行分词，一旦分词与关键字匹配一致即判断为垃圾邮件。但是，相同的词语在不同的语境中语义会有很大差异，因此关键字过滤误判率很高。目前，内容过滤技术主要采用基于统计的方法，是指对邮件内容进行分词统计然后对内容进行主题分类，从而实现过滤。目前，常用的文本分类统计技术有贝叶斯算法，该方法在进行过滤之前，需要庞大的垃圾数据样本库。过滤时先通过统计获得特征项在垃圾邮件中出现的先验概率，再利用统计中的贝叶斯公式，求得含有这些特征项的邮件是垃圾邮件的后验概率，该过滤方法是以先验概率进行内容评分，从而判定其所属类型。此外，还有基于SVM(支撑向量基)的过滤，基于神经网络的过滤等。

　　尽管我国《防范互联网垃圾电子邮件技术要求》给出垃圾邮件客户机防范功能要求和防范垃圾邮件的方法，并明确了电子邮件的格式，但是垃圾邮件发送者在利益的驱动下不断改进发送垃圾邮件的方法，因此急需专业、系统的防范体系与设备支撑反垃圾邮件工作。