文档介绍:邮件反击战
——6 款反垃圾邮件网关产品评测
计算机世界评测实验室秦钢李韬
两三年前,还常听到有新网民抱怨“最近怎么没人给我发邮件?”如今,这批人多半已
经在为满邮箱的垃圾邮件发愁了。但更为发愁的却是企业的CIO 和 CSO 们,由于垃圾邮件的
泛滥,从员工到老板都在不断地向他们反映正常的信件收不到,而收到的却都是垃圾邮件。
并且企业的邮件服务器也经常由于垃圾邮件本身或垃圾邮件带来的病毒和安全攻击而瘫痪,
对于非常依赖邮件的现代企业,这严重影响了它们业务的顺利进行。如何采用技术手段来阻
挡垃圾邮件,允许正常邮件通过,成为企业用户们普遍关心的问题。为此,计算机世界评测
实验室组织了我国媒体的第一次反垃圾邮件网关产品大型评测,旨在帮助广大用户了解市场
的主流产品和技术,并加以有效地应用。
保护最后的端到端应用
从诞生开始,电子邮件就是一种端到端的应用,简言之,是一种从用户 A 的发件箱到用
户 B 的收件箱,反之亦然的应用。电子邮件系统的简单结构和路由特性使其能够灵活地适应
于各种网络,但同时也给垃圾邮件制造者们以可乘之机。事实上,虽然早期的 应
用中相当一部分具有端到端的特性,但随着网络发展,它们接二连三地成为安全性的牺牲品,
被防火墙/NAT 设备阻断。今天,E-Mail 已经成为仅存的端到端的主流 应用,也成
为企业用户最难以控制的 流量。
在 中缺少控制就意味着混乱,这是由其(IPv4 协议族)体系结构方面的缺陷造
成的。因此缺少控制的电子邮件已经成为黑客和病毒危害网络信息安全的主要途径。对其进
行控制势在必行。对于企业用户来说,在用户桌面安装垃圾邮件过滤工具的作用有限,因为
在过滤时垃圾邮件及其携带的有害流量已经进入了企业内部网络。因此,必须采取更加积极
的防御措施,在邮件服务器之前部署反垃圾邮件网关,将有害邮件挡在企业网络之外,是最
有效的方法。反垃圾邮件网关是一个第七层的逻辑概念,可以体现为一台专用设备,也可以
是安装了专用软件的普通服务器。在实施的时候,只要将用户现有的域 MX 纪录指向网关设
备,再设置网关设备将邮件转发至原有邮件服务器即可。在某些场合下,这类网关设备还可
以工作在透明模式,串接在原有的邮件服务器的前面,这样做的好处是不需要对原有的网络
结构和系统设置进行任何改变。在透明模式下,网关也要对邮件的流量进行扫描处理。总之,
反垃圾邮件网关设备扮演了“邮件哨兵”的角色,在邮件抵达邮件服务器之前对其进行检
查,并根据检查结果采取相应的措施。
关于垃圾邮件攻防的具体技术,可参考本报 2004 年第八期 D8、D9 版的文章《垃圾邮件
技术分析》。
怎样评测反垃圾邮件产品
对评测方法的考虑
作为我国媒体首次进行的反垃圾邮件产品大型测试。为了保证结果的客观性、准确性和
科学性,我们在测试规划和测试方法方面进行了大量的准备,突破性地解决了很多问题。
测试反垃圾邮件的产品,要面临的第一个问题是如何界定垃圾邮件。这往往是存在争议
的,例如,对于多数用户毫无价值的广告信息,对个别用户可能是有用的。目前,国际上对
于垃圾邮件更为精确的称法是 UCE(未经许可的有商业目的的邮件)和 UBE(未经许可的批
量发送的邮件)。另外,从对于网络和邮件系统的危害程度来看,携带病毒与攻击代码的邮
件是最大的。考虑到绝大多数垃圾邮件制造者的邮件地址数据库都是从 网页中搜
集整理而来的,我们使用了在网站上发布与背景同色的诱饵邮件地址的方法来收集垃圾邮件
样本,这种地址是肉眼无法看到的,只能被工具搜索到。我们可以确定,发送到这些信箱的
邮件都是属于 UCE 或 UBE 范畴。从 2003 年 12 月 31 日我们设立诱饵信箱开始,截止到 2004
年 5 月 8 日,我们的诱饵信箱共收到邮件 20 余万封,其中约 1/4 含有病毒或攻击代码。经
过处理,我们使用其中的 9000 封,加上采自其他途径的 1538 封邮件,对受测产品进行功能
测试。
事实上,对于反垃圾邮件产品,采用在线测试也是一种有效的方法。我们在收集样本的
同时,也完成了在线测试的技术准备,但是在线测试需要受测设备进行足够长时间(至少 2~
4 周)的持续测试,才能保证结果的有效性,而在测试周期内,会有各种潜在的、不可控的
因素会对测试结果造成影响,可操作性较差。因此,我们采取了尽量模拟真实环境、使用真
实样本的折中方法。这样既可以保证较客观地反映受测产品的功能,又可以保证测试可控、
可重现、可操作。
功能测试方法
在功能测试方面,我们采用了自行研发的测试工具,结合 qmail 系统进行邮件的发送。
虽然开发一个邮件发送