经验分享：避免垃圾邮件误判的四个建议-网络安全专区

经验分享：避免垃圾邮件误判的四个建议

作者：coffie.cool 编辑：赵继诚 2010-05-30 09:14 IT168网站原创

　　杭州永磁集团有限公司始建于1980年12月，公司注册资本1亿元人民币，厂区面积14万m2，年产值6亿元人民币。公司有员工1000多人，其中工程技术人员250多人。鲁先生就是这家公司250技术人员其中之一，在工作中他是冲到最前线的网络工程师，负责整个集团公司的网络维护。杭州永磁集团为一个集团公司，下属多家分公司，在集团内部，实现了多种信息化应用，其中包括邮件系统、ERP、FTP等等。为了方便分公司能够使用这些系统，在集团公司与分公司之间采用了光纤或者VPN等连接手段。下面是关于垃圾邮件防护方面的四个小经验与大家一同分享。　　

　　在实际工作中，虽然通过反垃圾邮件设备可以过滤80%以上的垃圾邮件。但是在这个过程中，很多用户合法的邮件也被屏蔽掉了。如笔者在企业中部署了反垃圾邮件系统，就不断的会受到用户的投诉。他们反映说一些新供应商发过来的邮件收不到。后来查询得知，确实是反垃圾邮件系统误判了。而且这个误判的比例，是跟反垃圾邮件的效果是正比的。也就是说，过滤垃圾邮件的比率越高，误判的几率也就越大。那么该如何减少这个误判对用户造成的不利影响呢?笔者总结了一下四点，或许对各位企业用户有所帮助。

　　一、采用屏蔽而不是拒绝策略

　　如果要反垃圾邮件系统不误判，这几本上是不可能完成的任务。因为反垃圾邮件系统具有比较复杂的判断规则。而且要提高反垃圾邮件效果的话，这个规则也就越复杂。如需要结合IP地址、域名、邮件地址、内容等等来进行过滤。当规则一负责，就会出现比较多的误判事件。如最常见的一种误判，就是发件人所在的邮箱系统曾经被人利用，发送了很多垃圾邮件，而被收录了黑名单。此时即使合法的发件人通过这个邮箱来发送邮件，则反垃圾邮件系统也会认为这个邮件是垃圾邮件。

　　既然误判的事件无法避免，那么我们只有想方设法采取策略将这种误判不利影响降低。笔者的第一个建议就是“采用屏蔽而不是拒绝策略”。一般在反垃圾邮件系统上，可以设置，当一封垃圾邮件被判为垃圾邮件的时候，是直接拒绝接收呢，还是允许接收、但是不转发给具体的用户?笔者的建议是，让邮箱系统接收，但是标记为垃圾邮件而不转发给具体的用户。因为如果直接采取接收策略的话，那么这封邮件就会被直接的拒绝掉。此时就相当于用户已经没有了反悔的机会。当用户投诉说某个邮件没有受到，即使管理员通过系统日志发现是误判，也已经回天无力了。但是如果采用“允许接收、不转发”策略的时候，当用户投诉时，管理员还可以从垃圾邮件文件夹中找到这个被误判的邮件，然后重新发给相关的用户。笔者认为，在这里加一个手工的判断，可能会更加合理一些。

　　二、黑名单与白名单结合使用

　　随着无联网的发展，越来越多的企业开始部署自己的邮箱系统，而不采用互联网提供商提供的邮件系统。这有好处、也有坏处。好处的话，就是可以降低成本、提高灵活性、推广公司自己的品牌。

　　但是带来的不利之处也是显而易见的。如企业采用的域名可能不怎么规范或者没有被广而告之。当反垃圾邮件系统收到这个不规范的域名发过来的邮件时，可能会误认为是垃圾邮件。如企业邮箱的安全措施可能没有做到位，而被攻击者所用。此时攻击者利用这个邮箱来大量的发送垃圾邮件，而被反垃圾邮件系统拉入了黑名单。

　　针对这种情况，可能需要黑名单与白名单结合使用。如当用户投诉某个供应商的邮件被过滤调的时候，管理员确认这个域名或者IP地址是合法的。那么就可以将这个地址手工的指定到白名单中。如此的话，下次这个发件人再利用这个域名或者地址发送邮件的话，就不会被过滤，而会被当作正常的邮件。

　　三、更新最新的反垃圾邮件策略

　　当企业部署自己的邮箱的过程中，即使采用的域名是比较正规的，或者是经过备案过的合法域名。但是从企业开始使用到被反垃圾邮件厂商所接受、再到被升级到企业的反垃圾邮件系统中，中间会有一个时间的过程。

　　再如，可能发件人所采用的邮箱在一段时间内被黑客利用发送了大量的垃圾邮件。此时就被反垃圾邮件系统拉入了黑名单。后来经过杀毒、加强安全措施等手段，提高了邮箱系统的安全性。但是要从反垃圾邮件系统的黑名单中去除这个设置，也需要一段时间。

　　为此如果将这段时间尽量的缩短，无疑可以有效的避免垃圾邮件的误判。为此笔者的建议是，在实际工作中，对于反垃圾系统的配置文件升级，特别是黑名单的升级要及时。这不仅可以有效的避免垃圾邮件的误判，而且还可以将最新的黑名单更新，从而过滤掉更多的垃圾邮件。

　　四、垃圾邮件退回提醒

　　有时候用户跟业务伙伴沟通的邮件可能比较重要。那么如何来确保邮件正常到达对方，而没有被拦截呢?在这里主要用到两个方法。一个是邮件回执。对于某些邮件系统，如Exchange又有两种方式。一种是到达Exchange邮箱服务器，就认为到达。此时邮箱系统可以发送一个回执给发件人。另外一种是客户端回执。也就是说收件人通过客户端阅读邮件的时候，会发送一个回执给对方。这两种都是积极的方式，即表示已经收到对方的邮件。

　　而在反垃圾邮件系统中还可以设置一个消极的方式。即当某封邮件被认为垃圾邮件的时候，主动发一封邮件给对方，表明这封邮件是垃圾邮件，已经被过滤掉。还有一个方式就是，当某封垃圾邮件被过滤掉时，系统可以发一封邮件给收件人，表示有一封收件人地址是你这个用户的邮件，怀疑是垃圾邮件，已经被过滤掉。收件人可以凭这封邮件中的发件人地址来具体判断这封被过滤的邮件到底是否是垃圾邮件。

　　无论是邮箱系统响应，还是让反垃圾邮件系统响应，目的是相同的。就是让收件人或者发件人知道，自己所需要的邮件是否被拦截了。

　　总的来说，根据目前的技术，还不能够百分之百的消除垃圾邮件的误判。我们现在可以做的工作就是如何最大限度的降低这个垃圾邮件误判的几率，同时降低其不利影响。如可以手工的加入黑名单，或者将垃圾邮件存入到服务器的特定文件夹等措施。