>侠络客 反垃圾邮件网关 >

>SpamSherlock >

>技术白皮书 >

> >

>一、垃圾邮件定义及发展>> >

>垃圾邮件通常是指未经用户许可，但却被强行塞入用户的电子邮件，通常目前采用SPAM来表示。 垃圾邮件主要是作为商业广告和恶意骚扰。 >

>随着电子邮件的使用越来越频繁，已经逐步成为人们工作与生活的一部分，它的方便快捷费用低廉、与地理位置无关的特性加快了信息的流动和交互。E-mail改变了许多企业的商业方式，也成为了远隔千里的家人之间经常保持联系的最佳途径。由于邮件的传输协议SMTP是一种模拟现实生活中的邮局投递方式的传递协议，并没有对邮件的发送者做信息认证，而电子邮件作为传递的成本来说又很低廉。作为一种廉价的商业信息宣传模式被广为利用。 >

> >

>二、垃圾邮件的危害>> >

> 垃圾邮件采用群发的机制，以数万到百万封的方式疯狂蔓延，犹如瘟疫一般。垃圾邮件在污染网络环境的同时，还占用了大量网络资源，干扰了网络的正常通信。 用户邮箱内的垃圾邮件比率不断扩大，影响了用户的正常工作。 >

> 由于邮件可以携带其他附件和程序脚本信息，在传播垃圾邮件的同时，也为病毒和木马程序提供了传播渠道。这将直接危害到整个网络系统的安全。 >

>垃圾邮件由于增加了企业服务器和网络资源的负担，企业只有提升设备性能和租用更大带宽来应付，但是面对蜂拥而至的垃圾邮件往往无法解决问题。 >

>垃圾邮件对企业除了经济上的损害，还有以下的危害： >

> 对电子邮件的不信任： 由于垃圾邮件的骚扰和其他隐患，导致企业员工从心理上拒绝使用电子邮件。 >

> 降低工作效率： 使用者在上班时间阅读垃圾邮件和处理垃圾邮件，用于及时应用的网络工具，反而成为了降低工作效率的主要因素。 >

> 不当内容的骚扰：垃圾邮件中往往带有攻击性文字，甚至是色情、非法宗教言论以及反动性的文字。这些不恰当的言论恰恰会对收件人的产生冲击。而且会对企业的声誉产生很大影响。 >

> 浪费IT资源： 大量的垃圾邮件导致带宽堵塞，影响了企业的网络应用。并且成为导致系统不稳定因素之一，这些均会导致IT人员的维护工作量。 >

> >

>三、侠络客反垃圾邮件网关>>(SpamSherlock) >

>侠络客反垃圾邮件网关(SpamSherlock)是上海立佰瀚科技自主研发的专门针对垃圾邮件过滤的专用产品。它提供前沿性的反垃圾邮件技术和人性化的管理模式。 >

>3.1 >>采用的反垃圾邮件技术>> >

>反垃圾邮件技术主要通过两个方面来判断是否为垃圾邮件。 >

>>> >>通过邮件的来源进行判断 >

>a)>> >>黑名单 >

>用户手动添加一些邮件帐号、IP地址、邮件域名到清单中，当发件人的帐号/IP地址/邮件域名等符合清单内的对应数据时，则会被直接阻断。 >

> >

>b)>> >>IP地址DNS反查 >

>根据发送邮件的来源IP地址，利用DNS做反向的解析查找，如果反向DNS查找提供的域与邮件上的来源IP地址相同，则接受该邮件。否则就拒绝该邮件。 >

> >

>c)>> >>RBL实时黑名单过滤 >

>RBL(Realtime Blacklist的缩写)，也被称为DNSRBL。由专门的网络机构在Internet网络中，对发送垃圾邮件的IP地址建立一个库，开放给公共使用。它于普通的黑名单的区别，只是数据的维护和更新并非使用者本身来做，而是有专门的机构来操作。目前，国内也有专门的RBL机构简称为CBL。这已经列入我们的RBL清单中，可供客户选择。 >

> >

>d)>> >>EHLO/HELO来源检测 >

>对发件的来源IP。用SMTP中的EHLO和HELO指令访问。看对方反馈的主机名称是否和MX记录相匹配。如果不匹配，则不接受对方发送的邮件。 >

> >

>e)>> >>检查发件人的邮件地址是否存在 >

>连接发件人的IP地址，利用smtp的正常指令反向模拟发送邮件到发件人的帐号。如果反馈的信息正常，则表明邮件帐号存在，反之，则可以认为对方是虚假帐号。 >

> >

>f)>> >>虚假路由检测 >

>针对邮件头(Header)的Received From中的主机名称和IP地址，进行DNS检测，查看该主机名称解析的IP地址和邮件头中所写的IP地址是否相同。如果不相同，则认为该邮件的来源属于非正常发件服务器。 >

> >

>g)>> >>DHA过滤 >

>DHA(Dictionary Harvest Attack)邮件字典攻击模式，垃圾邮件发送人员会选择一个常用邮件帐号名称然后添加用户的邮件域名，尝试发送邮件给用户。DHA过滤则对于发送过来的邮件的收件人进行比较，一旦收件人不在SpamSherlock的账户清单内，则直接拒收该邮件。 >

> >

>h)>> >>灰名单机制 >

>垃圾邮件通常采用连续发送的机制，一旦第一次被拒绝後，会很快进行第二次连接尝试。而正常邮件服务器在第一发送邮件被拒绝後，邮件服务器默认情况下会设定30分钟後，重新发送邮件。灰名单的策略则是针对那种在指定时间段内（通常设定为5分钟）连续反复连接邮件服务器发送同一个邮件的邮件帐号列入临时黑名单中，在一定时间段内阻挡该邮件帐号的所有发件。 >

> >

>>> >>通过邮件内容来进行判断 >

> >

>a)>> >>行为分析 >

>对邮件发送的格式，邮件头参数和邮件内容中的一些信息，例如URL等进行综合分析来判断该邮件是否为正常邮件，或者是垃圾邮件。 >

> >

>b)>> >>关键字过滤 >

>一种简单有效的过滤规则，对邮件中符合特定字眼的邮件进行垃圾邮件处理，例如 “法轮功”、“快速致富”等在垃圾邮件中常用的词语。不过，发送者也会采用各种变化来逃避过滤规则，需要用户不断建立新的关键字清单。 >

> >

>c)>> >>基于规则的评分系统 >

>基于规则的评分系统是比关键字过滤更复杂的垃圾邮件阻挡技术。它建立了一个规则库，规则的来源是通过对海量邮件的分析定义出的。每条规则会根据符合垃圾邮件的可能性大小设定一个分数。每封邮件都会和这些规则进行匹配，然后根据符合的规则所设定的分数进行累加，判断该邮件是否属于垃圾邮件。SpamSherlock可让用户自定义门槛值，来判断不同分值的邮件做相应处理(标题标识，隔离信件和删除邮件) >

> >

>d)>> >>病毒扫描 >

>采用欧洲第一防毒引擎Sophos作为内置的邮件防毒过滤机制。由于Sophos在全球有3个病毒控制中心分别在英国、美国和澳大利亚。形成一个24小时的全球病毒监控网络。对任何新发现的病毒能够以最快时间发布病毒码，在所有防毒引擎中是最快的。同时，其病毒库也是全球最大病毒资源库之一。其采用的多种防病毒技术也是全球领先技术。SpamSherlock整合该防毒引擎，能够对病毒邮件进行杀毒，删除邮件并且及时通报管理人员和封锁发送病毒邮件的IP。 >

> >

> >

>3.2 >>产品特点>> >

>A.>> >>接入简单，操作方便 >

>SpamSherlock支持SMTP转发模式和网桥模式，轻松嵌入企业网络，无论企业网络多么负载都能够应付自如。所有配置完全通过WEB完成，操作界面一目了然。无需太多技术指导就能够完成所有配置。大大缩短IT人员学习时间，而且让非IT人员也能够操作自如。 >

> >

> >

>B.>> >>规则灵活组合，按实际环境组合应用 >

>所有反垃圾邮件技术可按照实际环境选择启动或关闭。避免邮件误判和漏判现象，寻找符合企业实际应用的最佳结合点。 >

> >

> >

>C.>> >>支持AD/LDAP组织架构管理模式，根据不同部门设定相应规则 >

>可以导入企业邮件帐号并支持同步功能，而且能够建立和现有企业架构相符的管理架构，无须让IT人员全权管理。各个组织中可以设定各自的管理员来设定符合各自部门的邮件策略，在反垃圾邮件的>>同时提高邮件信息安全能力。 >

> >

> >

> >

>D.>> >>强化个人化反垃圾邮件管理 >

>提供通知信机制，定时发送所收到的垃圾邮件清单，通过邮件可以直接方向被误判的邮件。每个邮件用户均可设定自己的黑白名单和评分规则，并可以通过WEB登录到SpamSherlock服务器上，了解邮件接受和发送的实际情况。降低网管员的工作强度。 >

> >

> >

>E.>> >>根据接受发送情况，自动建立白名单机制 >

>可根据目前发送和接受的具体邮件情况，根据一定的参数来自动汇总生成白名单信息，减少被误挡的可能。 >

> >

>F.>> >>可集群架设，支持无限拓展 >

>由于SpamSherlock的数据采用数据库管理模式，能够根据实际邮件流量的大小进行拓展，而无需升级替换设备。只要简单设置，就可以建立集群架构，方便用户拓展应用。 >

> >

> >

>G.>> >>支持多语言显示，无乱码问题 >

>SpamSherlock采用UTF-8字符集，能够同时支持英文/简体中文/繁体中文/韩文/日文等各种字符同时显示，不会出现乱码现象。而且对进出邮件均自动转换成UTF-8的字符集保存。方便管理者了解阅读邮件内容，而无需转换管理界面文字。 >

> >

> >

>H.>> >>详细日志记录和统计报表，完全符合用户要求 >

>提供所有收发邮件的过程记录，方便管理人员跟踪具体邮件的信息。让管理人员能够第一时间了解问题的症结。对处理的每个过程都提供了处理结果，处理所需时间等内容。并且对外发邮件也能够一一记录，能够让用户了解该邮件是否发送成功。 >

> >

> >

>统计图表采用多种现实模式，从多个角度提供分析数据，让管理人员能够了解邮件的具体使用情况，强化内部邮件使用管理。 >

> >

>3.3 >>常用规划方案>> >

> 侠络客反垃圾邮件网关SpamSherlock通常采用以下两种模式进行安装，一种是SMTP转发模式。一种是网桥模式。 >

> SMTP转发模式:采用将外部接受邮件指向到SpamSherlock。可以通过设定防火墙映射IP或者修改MX记录的方式，让邮件自动导入到SpamSherlock上，然后在处理完成後，如果有问题邮件做相应的处理，正常邮件则转发到内部邮件服务器。 >

>



> >

> >

> 网桥模式：直接连接在邮件服务器前端。对所有进出的邮件均进行相应的反垃圾邮件的过滤。 >

>



> >

>四、产品资质及产品所获荣誉>> >

>4.1>>公安部销售许可>> >