垃圾邮件的攻击与防范:砝码皆与日俱增
根据中山大学反垃圾邮件网关的统计,从2007年12月5日到2008年4月9日,每天收到19万封电子邮件,据统计,其中96.26%是垃圾邮件。
发送方:花样不断翻新
垃圾邮件是互联网社会中的一大顽症,无法根治。其中一个很重要的原因是发送垃圾邮件技术的水平随着反垃圾邮件技术水平的提高而提高的,垃圾邮件发送者利用一切可以利用的网络安全漏洞和最新的信息技术成果来发送垃圾邮件。以下是垃圾邮件者所利用的一些技术:
利用Open Relay和Open Proxy
由于配置不当或特洛伊木马的影响,上网的主机会形成 Open Relay或Open Proxy,进而被用于传送垃圾邮件。一旦从这些主机发出的邮件被邮件安全厂商或安全组织的蜜罐所截获,主机就会被判为低信誉度的主机,它的IP地址或IP地址段会被列入黑名单。
攻击CAPTCHA
在互联网上,管理得较好的网段和电子邮件服务运营商的服务器往往拥有较高的信誉度。为了对抗IP黑名单,垃圾邮件发送者往往利用高信誉度的电子邮件服务的账号发送垃圾邮件。为了大量获得邮件账号,黑客对图像验证码进行攻击。图像验证码,又称CAPTCHA,全称是Completely Automated Public Turing test to tell Computers and Humans Apart。(例子见图1)。
图1 图像验证码(CAPTCHA)
这种技术被如雅虎、谷歌、微软和腾讯等的互联网服务运营商用于防止自动软件程序像人类一样注册新账号。CAPCHA提示输入对于人类来说容易识别、但对于自动程序来说相当困难的文字,以保护网站免受恶意程序攻击。CAPTCHA还可以用于防止对口令的字典攻击、防止博客中的垃圾信息、提高在线投票的可靠性。但不幸的是,目前很多网站使用的CAPTCHA的方案已经被攻破,在某个中国黑客兜售图像验证码解码产品的网站http://www.lafdc.com/captcha/,我们看到破解金山、淘宝、网易、百度、腾讯和Ebay等网站的图形验证码正在被兜售。(例子见图2)。
一旦成功地攻破CAPTCHA,垃圾邮件发送者就可以大量地注册免费邮件的账号,然后利用病毒或恶意软件操控的僵尸主机使用这些账号登录服务器发送垃圾有邮件。从信誉度高的IP地址发出的邮件,接收方邮件服务器无法利用IP黑名单做 SMTP级别的过滤,大大地增加了接收方的垃圾邮件处理成本。
信息隐含术
垃圾邮件为了逃避内容过滤系统的截获,在垃圾邮件中采用各式各样的信息隐含技术,以下是一些实例:
1. 在文字间添加了大量无意义的标点符号。例如将“文凭”写出“文。凭。”;
2. 添加不可显示的字符。例如在白底的信件中添加一行随机产生的白色的字,这样既不影响用户观看邮件又能达到每封邮件的散列值都不一样的目的;
3. 使用错别字。例如推销文凭课程的垃圾邮件,会将“Diploma Program”写成“Dplmoia Pragorm”、“Dipmloa Paogrrm”、“Dimlpoa Pgorram”和“Dpmloia Pragorm”;
4. 利用URL和图片包含垃圾信息;
5. 利用Word、Excel甚至PDF附件包含垃圾信息。
到处收集电子邮件地址
为了将垃圾邮件发送给更多人,垃圾邮件发送者除了通过地下交易购买邮件列表外,还利用Web收割和字典攻击等方法从互联网的Web服务器或邮件服务器上获取用户的邮件地址。中山大学从1995年开通校园网并提供邮件服务后,经过几年的运行,我们就发现最早一批电子邮件地址基本上都被垃圾邮件发送者所掌握,这些用户经常投诉每天收到数百封垃圾邮件。为了防御字典攻击和反弹攻击,接收方的邮件服务器对于疑似垃圾邮件采用不通知即丢弃的方式处理,这样导致被误判的正常邮件的发件人和收件人均不知道邮件的发送情况,降低了服务质量。
防御方:全面出击综合治理
校园网垃圾邮件问题的后果可以归结为以下三点:
第一, 垃圾邮件导致用户每天要浪费大量时间在垃圾邮件中筛选有用的信息;
第二, 任何反垃圾邮件技术都有假阳性,这种副作用会影响邮件服务的通畅性;
第三, 校园网内个人电脑和服务器成为垃圾邮件发送源后,会导致校园网IP地址信誉度差,甚至被列入黑名单而无法收到外来电子邮件,阻碍正常的学术交流与生活,用户满意度降低。
在过去,高校往往习惯于用一种方式去对抗庞大规模的垃圾邮件,所起作用往往有限。现在,人们意识到,只有加强防护,全面综合治理,加强与社会沟通,共同铸造一条反垃圾邮件的长城,反垃圾邮件才可能取得比较大的成效。综合来看,对高校网络和信息中心来说,可从以下几点同时出击。
选择好的反垃圾邮件服务
由于垃圾邮件技术在不停地演变,我们必须依赖一个响应即时的反垃圾邮件服务。好的服务提供商,往往在世界各地都部署了大量的蜜罐,用于收集和分析垃圾邮件,通常他们为用户提供一个功能强大、支持多种综合技术的垃圾邮件网关产品,并定期为产品进行反垃圾邮件规则和特征库的更新,并能提供好的售后服务和安全响应服务。
利用发送者信誉度机制
利用像中国反垃圾邮件联盟(CASA,网站是http://www.anti-spam.org.cn/)等国内权威的反垃圾邮件联盟建立的IP黑名单或白名单机制,在SMTP层面阻隔垃圾邮件发送者。应用Domain Key和Sender ID等协议,加入国际邮件服务运营商间建立的发送者信誉机制,确保学校的邮件能被大多数人所接受。
建立和健全垃圾邮件举报机制
建立和健全垃圾邮件举报机制。通过学校信息技术帮助台及时处理用户对邮件问题的投诉和对垃圾邮件的举报; 注意监控邮件状况,向邮件安全厂商和反垃圾邮件联盟,举报垃圾邮件发送者,在社会上形成共力提高对垃圾邮件发送者的阻隔率。
保护本地邮件服务安全
保护本地邮件服务安全,做一个“好邻居”。保护学校邮件服务器安全,及时更新和升级邮件服务器软件;为邮件服务器设置SMTP认证,限定每个账号的邮件发送频率和每天的发送数量;加强校园网内主机的安全管理,防止网络中出现Open Relay、Open Proxy和僵尸主机;对校园网内邮件服务器进行严格的登记管理和日志管理。
加强安全教育
加强邮件安全的宣传和指导,教育用户谨慎使用自己的邮件地址:小心公布自己的邮件地址(例如用图片公布邮件地址);保护自己的邮件账号,不随意使用自己重要的邮件账户等私隐信息注册网站、论坛和博客账号;注册多个邮件账号,不同的场合使用不同的邮件账号;使用带较强垃圾邮件过滤的邮件客户端,例如Microsoft Outlook等。
做好法规遵循工作
从2001年开始,公安部、教育部等多个部委就多次发出处理有害邮件和有害信息的通知,指导运营商、高校等单位进行反垃圾邮件工作。2005年11月,信息产业部通过并公布了《互联网电子邮件服务管理办法》,自2006年3月30日起施行。这一法案的公布填补了我国反垃圾邮件立法的空白。各学校网络中心应该贯彻落实这些通知和法规,做好邮件服务的法规遵循工作。
(作者单位为中山大学信息与网络中心)
- 最新评论