垃圾邮件防范体系

　　根据目前垃圾邮件的现状与特征，我们根据实际工作经验总结出了基于预防与过滤拦截相结合的多层防范体系（见图3）。

　　图3　垃圾邮件防范体系图

　　一封邮件的送达需要从邮件用户代理（MUA）到邮件传输代理(MTA)再到邮件投递代理(MDA)多个环节，我们可以针对每个环节进行多层次的防范。垃圾邮件发送者制造一封垃圾邮件要通过MTA传播出去，因此首先关闭MTA到MTA之间开放式转发（Open Relay），不给垃圾邮件跳转传播的机会。在MTA（Mail Transport Agent，邮件传输代理）将电子邮件传送至MDA（Mail Deliver Agent，邮件投递代理）的时候，应该采取行为过滤的方式对垃圾邮件进行过滤，通过行为过滤可以去除A型和B型垃圾邮件，此后再将剩余的邮件采取“内容过滤”的方式进行过滤。从网络分层的角度讲，可以在网络层进行如IP并发连接限制、IP连接频率限制、IP连接速率控制、动态黑白名单等行为识别过滤。在会话层进行DNS反向查询、HELO域名有效性查询、行为模式判断等行为识别。最后，在应用层进行基于自定义规则库、贝叶斯过滤或其它算法的内容过滤等。如果相关发件源头认证技术能够形成统一的标准并予以广泛推广，从MTA到邮件MDA之间引入适当的认证也会大大抑制垃圾邮件。

　　在进行拦截过滤的同时，用户应及时向邮件服务提供商提供个人垃圾邮件样本和反馈过滤情况，以便邮件服务提供商适时做出适当调整。各个具备内容过滤功能的产品需要大量垃圾邮件样本，丰富自己的规则库，理论上垃圾邮件样本库趋于无限大，过滤效果趋近于100%。同时，各个具有过滤功能的服务器或其他设备应定期将本系统垃圾邮件动态信息逐级上报，并根据上一级垃圾邮件信息处理中心下发的策略对本系统进行调整（见表1）。

　　表1　垃圾邮件分层过滤表

　　先采取“行为模式”识别后采取“内容过滤”的好处是，“行为模式”在协议扫描时是不接受邮件信体数据的，也就是说付出较小的代价进行初筛，过滤掉大部分垃圾邮件后再采取“内容过滤”的方式分析剩余信件的内容进行再次筛查。

　　邮件服务器过滤的效果无法达到绝对准确，当用户收到通过过滤的信件时，可以根据个人偏好判断、分辨出漏判信件，并通过查看过滤报表找出误判信件并将信息反馈至过滤设备，过滤设备根据用户反馈信息进行调整。