有效過濾垃圾郵件是資訊安全防護的第一步!
收到書籤:
分享時間:2008-09-02 06:46:57
▼ ADVERTISEMENT ▼
分享內容(
10人
垃圾郵件常是MIS人員的困擾,常聽MIS抱怨又在加班,大多是為了郵件伺服器掛點,原因大多來自垃圾信太多,有效地過濾垃圾信便成第一要務.
很多MIS大多在郵件伺服器上設定過濾條件,不斷地更新,但又害怕去誤刪到正常的信件,而建議是用一家價格便宜,且效果不錯的產品,才是最佳的處理方式.
有問題發生,有人可以處理,沒問題發生,多一組人員幫你看著系統,這樣不是很好!!!
參考資料:http://www.kap-tech.com.tw/cubecat/front/bin/ptdetail.phtml?Part=Spam-ss
垃圾郵件過濾
嗯!
有廣告嫌疑,你應該做一個各家產品的評比才對。
有廣告嫌疑,你應該做一個各家產品的評比才對。
管理郵件伺服器是一項不易的技術與藝術,防禦垃圾郵件就向醫生治病一般,下猛藥效果好,但副作用多(可能誤判正常郵件).而一般藥劑的可能效果不大(用戶沒感覺).
垃圾郵件過濾最好有老闆或高階主管背書撐腰,剛實施一定會引起公司同仁反彈,每個人對垃圾郵件定義不一樣,或許有人會覺得賣A片的,或朋友間寄發的小笑話等郵件不是垃圾郵件.
如果可以定義為跟公事無關的郵件就是不受歡迎的垃圾郵件,或許IT人的壓力就不會那麼大.
公司所採用的過濾條件--目前自己寫,以主旨關鍵字過濾法為最大宗,大概有2100筆
大概能過濾8成以上的台灣繁體字垃圾郵件,不過當然會有可能誤判---例如{熱線}VS加熱線圈
所以要不斷的去收集郵件樣本,不斷的和防毒軟體業者一樣去更新"垃圾郵件定義碼"
對抗垃圾郵件還有"黑白灰"名單法,反查IP法,DBSL等,內文過濾,寄件(偽造)時間..等
其實跟垃圾郵件對抗也很好玩,更有成就感.
垃圾郵件過濾最好有老闆或高階主管背書撐腰,剛實施一定會引起公司同仁反彈,每個人對垃圾郵件定義不一樣,或許有人會覺得賣A片的,或朋友間寄發的小笑話等郵件不是垃圾郵件.
如果可以定義為跟公事無關的郵件就是不受歡迎的垃圾郵件,或許IT人的壓力就不會那麼大.
公司所採用的過濾條件--目前自己寫,以主旨關鍵字過濾法為最大宗,大概有2100筆
大概能過濾8成以上的台灣繁體字垃圾郵件,不過當然會有可能誤判---例如{熱線}VS加熱線圈
所以要不斷的去收集郵件樣本,不斷的和防毒軟體業者一樣去更新"垃圾郵件定義碼"
對抗垃圾郵件還有"黑白灰"名單法,反查IP法,DBSL等,內文過濾,寄件(偽造)時間..等
其實跟垃圾郵件對抗也很好玩,更有成就感.
以前自己做SPAM Filter很累,從IP黑白名單、判別DNS、關鍵字,到後來用SPAM Assassin來做,還是很辛苦!
除了過濾廣告信之外,對於誤判的信件處理更重要,如果誤判User的廣告信,又救不回來的話,User會跟你翻臉!
所以後來就建議老闆換商業產品,看起來很貴,但是能省下大老闆寶貴的時間,又不用擔心誤判的問題,老闆當然很爽快就簽了!
我當時的算法是,計算平均一個人一天會收到多少廣告信,需要花多少錢間處理廣告信。
再去計算每個人一分鐘,公司給付的薪資成本!
然後用購買商業產品的價格,去攤算全公司人數、一年的使用時間,使用商業產品來過濾廣告信,平均一分鐘公司所花的成本!
結果算下來,購買商業產品的成本,一個人大約一天只花公司不到2元,如果以我的薪資來計算,一天超過20秒處理廣告信,公司就賠錢了!
如果是用老闆的薪水來計算,老闆一天超過10秒處理廣告信,買商業產品還比較划算!
現在商業產品很多種,除了比較功能面之外,記得要問一下後續的維護成本!
除了過濾廣告信之外,對於誤判的信件處理更重要,如果誤判User的廣告信,又救不回來的話,User會跟你翻臉!
所以後來就建議老闆換商業產品,看起來很貴,但是能省下大老闆寶貴的時間,又不用擔心誤判的問題,老闆當然很爽快就簽了!
我當時的算法是,計算平均一個人一天會收到多少廣告信,需要花多少錢間處理廣告信。
再去計算每個人一分鐘,公司給付的薪資成本!
然後用購買商業產品的價格,去攤算全公司人數、一年的使用時間,使用商業產品來過濾廣告信,平均一分鐘公司所花的成本!
結果算下來,購買商業產品的成本,一個人大約一天只花公司不到2元,如果以我的薪資來計算,一天超過20秒處理廣告信,公司就賠錢了!
如果是用老闆的薪水來計算,老闆一天超過10秒處理廣告信,買商業產品還比較划算!
現在商業產品很多種,除了比較功能面之外,記得要問一下後續的維護成本!
唔..這還是參賽分享文ㄟ...不過經Vincent118大一說,KapTech大是www.kap-tech.com.tw的代表還是粉絲呢?^.^
提供另一個 antispam上的不錯的重要觀點:
『垃圾郵件與正常郵件最大的分野在『行為』不在『內容』,其特徵是『造假』
如果 spammers 沒有造假,簡單的統計加黑名單+RBL就解決Spam問題 (有嗎?!..problem still exist)
由於antispam發展的歷史包袱可知,
所有的Spammer 都知道 - 『查來源』(黑白名單,RBL ,safelist),『濾內容法』(關鍵字庫,內容過濾:貝式分析,rule base,啟發式分析)是目前傳統對抗spam的主要方法
但這些方法就現行的spam的技術,卻都已無法有效防止
Why ?
現在的spammer因背後涉及龐大的商業利益,背後都有產業撐腰,也有高深的Messaging IT技術,
最新的攻擊手法都使用Spam Botnet(殭屍電腦網路)攻擊法 (或Botnet+附檔型SPAM)
『Botnet方式的spam方式『造假, 位置一直變,內容一直變』正是破解傳統antispam的新技倆 !! 』
其具有三個重要特徵,
『信件一定造假』,『發送位址一直變(IP輪變)』,『內容一再改變(content twist)』 !!!
新的spammer BOTnet發送spam手法,有效地破解傳統以『查來源』(黑白名單,RBL ,safelist),『濾內容法』(關鍵字庫,內容過濾:貝式分析,rule base,啟發式分析)發法為主的antisapm
故傳統的內容過濾式為大宗的antispam solution,在阻擋上容易發生抓襟見軸的窘境,為了擋一變再變的spam,不斷train樣本(有效嗎?)不斷加rule(誤判越來越高,效能越來越低)
但問題始終越來越嚴重....
『垃圾郵件與正常郵件最大的分野在『行為』不在『內容』,其特徵是『造假』
如果 spammers 沒有造假,簡單的統計加黑名單+RBL就解決Spam問題 (有嗎?!..problem still exist)
由於antispam發展的歷史包袱可知,
所有的Spammer 都知道 - 『查來源』(黑白名單,RBL ,safelist),『濾內容法』(關鍵字庫,內容過濾:貝式分析,rule base,啟發式分析)是目前傳統對抗spam的主要方法
但這些方法就現行的spam的技術,卻都已無法有效防止
Why ?
現在的spammer因背後涉及龐大的商業利益,背後都有產業撐腰,也有高深的Messaging IT技術,
最新的攻擊手法都使用Spam Botnet(殭屍電腦網路)攻擊法 (或Botnet+附檔型SPAM)
『Botnet方式的spam方式『造假, 位置一直變,內容一直變』正是破解傳統antispam的新技倆 !! 』
其具有三個重要特徵,
『信件一定造假』,『發送位址一直變(IP輪變)』,『內容一再改變(content twist)』 !!!
新的spammer BOTnet發送spam手法,有效地破解傳統以『查來源』(黑白名單,RBL ,safelist),『濾內容法』(關鍵字庫,內容過濾:貝式分析,rule base,啟發式分析)發法為主的antisapm
故傳統的內容過濾式為大宗的antispam solution,在阻擋上容易發生抓襟見軸的窘境,為了擋一變再變的spam,不斷train樣本(有效嗎?)不斷加rule(誤判越來越高,效能越來越低)
但問題始終越來越嚴重....
故解決垃圾郵件新思維應跳開傳統以『查來源』『濾內容法』的思考模式,要針對如何防範 『spam mamil 會一直造假, 位置一直變,內容一直變』的特性去尋求解決之道
垃圾信具有下列特性:
『造假』 (防你back-trace,發了就跑,殭屍大軍,跳板發送)
『短週期內大量發送』 (群發,成本低廉,1/10000就海賺)
『相似度,一波波的spam都長的很相似---> spam版本化』 (content Twist ,spam versioning,所謂版本化,就是同樣的內容,扭曲一下再發)
垃圾信-在不同的造假版本之間,仍然會存有相當程度的相似度;
也就是說垃圾信件最大共通特徵在於『造假、大量發送、與相似度』,
而這些特徵無關乎信件內容、語言與地域。
把問題信集合起來比較其來源、送信者、內容、標題、是否大量發送、相似度,
就可以發現其是否造假,再把造假的垃圾信攔截就很安全。
這方面的技術叫『spammer造假行為模式分析』,有一些較新的antispam server or filer wall都改用這些技術,比較有效也比較samrt.
相關文件可參考
http://forum.icst.org.tw/phpbb/viewtopic.php?f=22&t=12032
http://tw.knowledge.yahoo.com/question/question?qid=1607103006713
http://tw.myblog.yahoo.com/jw!VwoDla2BGw7J5VsLorS0aTXs/article?mid=24&prev=37&next=11&l=f&fid=7
http://tw.myblog.yahoo.com/jw!VwoDla2BGw7J5VsLorS0aTXs/
http://tw.knowledge.yahoo.com/question/question?qid=1507073003649&q=1607103006713&p=antispam
垃圾信具有下列特性:
『造假』 (防你back-trace,發了就跑,殭屍大軍,跳板發送)
『短週期內大量發送』 (群發,成本低廉,1/10000就海賺)
『相似度,一波波的spam都長的很相似---> spam版本化』 (content Twist ,spam versioning,所謂版本化,就是同樣的內容,扭曲一下再發)
垃圾信-在不同的造假版本之間,仍然會存有相當程度的相似度;
也就是說垃圾信件最大共通特徵在於『造假、大量發送、與相似度』,
而這些特徵無關乎信件內容、語言與地域。
把問題信集合起來比較其來源、送信者、內容、標題、是否大量發送、相似度,
就可以發現其是否造假,再把造假的垃圾信攔截就很安全。
這方面的技術叫『spammer造假行為模式分析』,有一些較新的antispam server or filer wall都改用這些技術,比較有效也比較samrt.
相關文件可參考
http://forum.icst.org.tw/phpbb/viewtopic.php?f=22&t=12032
http://tw.knowledge.yahoo.com/question/question?qid=1607103006713
http://tw.myblog.yahoo.com/jw!VwoDla2BGw7J5VsLorS0aTXs/article?mid=24&prev=37&next=11&l=f&fid=7
http://tw.myblog.yahoo.com/jw!VwoDla2BGw7J5VsLorS0aTXs/
http://tw.knowledge.yahoo.com/question/question?qid=1507073003649&q=1607103006713&p=antispam
回應 :
請填寫您的回應,長度限為1,000個字,回應不計點數,也不限使用次數
▼ ADVERTISEMENT ▼
-
‧
-
‧
-
‧
相關問答
- 鐵人賽的疑問?
- 最後一天 -- 鐵人賽對我的意義!!!
- 收到鐵人賽的T-shirt啦~~ (有圖有真相)
- 垃圾郵件過濾-RBL(國際黑名單)
- 垃圾郵件詐騙信
- 市售垃圾郵件過濾架構簡介
- 鐵人賽
- outlook 2002啟動垃圾郵件過濾機制
- 賽門鐵克於2008年4月份垃圾郵件現狀報告
- 垃圾郵件過濾產品選擇
- 利用流量控制防堵垃圾郵件
- Outlook 2003 篩檢垃圾郵件已關閉,信件還是會送到Exchange Server 上垃圾郵件那裡?
- 垃圾郵件王挨告判賠台幣71億
- 垃圾郵件過濾之"貝氏過濾法"
- 何處可查到自己的電郵帳戶被列入垃圾郵件類別?
- "雞爍" 的垃圾郵件 網域
- 為什麼寄給別人的信會被檔信或被當垃圾郵件?
- 2008/09垃圾郵件IP黑名單
- 冒名寄垃圾郵件並大量退回,有辦法防止嗎?