iT邦幫忙

DAY 1
13

資訊產品銷售記聞系列 第 1

垃圾郵件過濾

有效過濾垃圾郵件是資訊安全防護的第一步!
垃圾郵件常是MIS人員的困擾,常聽MIS抱怨又在加班,大多是為了郵件伺服器掛點,原因大多來自垃圾信太多,有效地過濾垃圾信便成第一要務.
很多MIS大多在郵件伺服器上設定過濾條件,不斷地更新,但又害怕去誤刪到正常的信件,而建議是用一家價格便宜,且效果不錯的產品,才是最佳的處理方式.
有問題發生,有人可以處理,沒問題發生,多一組人員幫你看著系統,這樣不是很好!!!


下一篇
預算與需求如何平衡?
系列文
資訊產品銷售記聞31
0
vincent118
iT邦高手 5 級 ‧ 2008-09-02 09:40:50

嗯!
有廣告嫌疑,你應該做一個各家產品的評比才對。

kaptech iT邦新手 2 級‧ 2008-09-03 10:58:25 檢舉

我們是SI,在決定哪家產品前已經測試過最少五家的東西,中華數位,桓基,碩棋,寬華,眾至..等(包含一些知名度更低的),所以最後的選擇是有原因的.

0
yyliu
iT邦研究生 2 級 ‧ 2008-09-02 10:30:49

管理郵件伺服器是一項不易的技術與藝術,防禦垃圾郵件就向醫生治病一般,下猛藥效果好,但副作用多(可能誤判正常郵件).而一般藥劑的可能效果不大(用戶沒感覺).
垃圾郵件過濾最好有老闆或高階主管背書撐腰,剛實施一定會引起公司同仁反彈,每個人對垃圾郵件定義不一樣,或許有人會覺得賣A片的,或朋友間寄發的小笑話等郵件不是垃圾郵件.
如果可以定義為跟公事無關的郵件就是不受歡迎的垃圾郵件,或許IT人的壓力就不會那麼大.
公司所採用的過濾條件--目前自己寫,以主旨關鍵字過濾法為最大宗,大概有2100筆
大概能過濾8成以上的台灣繁體字垃圾郵件,不過當然會有可能誤判---例如{熱線}VS加熱線圈
所以要不斷的去收集郵件樣本,不斷的和防毒軟體業者一樣去更新"垃圾郵件定義碼"
對抗垃圾郵件還有"黑白灰"名單法,反查IP法,DBSL等,內文過濾,寄件(偽造)時間..等
其實跟垃圾郵件對抗也很好玩,更有成就感.

0
tombo
iT邦高手 1 級 ‧ 2008-09-02 15:30:40

以前自己做SPAM Filter很累,從IP黑白名單、判別DNS、關鍵字,到後來用SPAM Assassin來做,還是很辛苦!

除了過濾廣告信之外,對於誤判的信件處理更重要,如果誤判User的廣告信,又救不回來的話,User會跟你翻臉!

所以後來就建議老闆換商業產品,看起來很貴,但是能省下大老闆寶貴的時間,又不用擔心誤判的問題,老闆當然很爽快就簽了!

我當時的算法是,計算平均一個人一天會收到多少廣告信,需要花多少錢間處理廣告信。
再去計算每個人一分鐘,公司給付的薪資成本!

然後用購買商業產品的價格,去攤算全公司人數、一年的使用時間,使用商業產品來過濾廣告信,平均一分鐘公司所花的成本!

結果算下來,購買商業產品的成本,一個人大約一天只花公司不到2元,如果以我的薪資來計算,一天超過20秒處理廣告信,公司就賠錢了!

如果是用老闆的薪水來計算,老闆一天超過10秒處理廣告信,買商業產品還比較划算!

現在商業產品很多種,除了比較功能面之外,記得要問一下後續的維護成本!

0
davistai
iT邦大師 1 級 ‧ 2008-09-02 17:36:33

唔..這還是參賽分享文ㄟ...不過經Vincent118大一說,KapTech大是www.kap-tech.com.tw的代表還是粉絲呢?^.^

kaptech iT邦新手 2 級‧ 2008-09-03 10:55:42 檢舉

我是代表啦!
不過最少在價格上有較大的優勢,主攻的市場以中小企業30~100為主.

0
kuochiahao
iT邦研究生 1 級 ‧ 2008-09-03 10:36:59

謝謝分享

0
budailar
iT邦新手 4 級 ‧ 2008-11-10 11:24:42

提供另一個 antispam上的不錯的重要觀點:

『垃圾郵件與正常郵件最大的分野在『行為』不在『內容』,其特徵是『造假』

如果 spammers 沒有造假,簡單的統計加黑名單+RBL就解決Spam問題 (有嗎?!..problem still exist)

由於antispam發展的歷史包袱可知,

所有的Spammer 都知道 - 『查來源』(黑白名單,RBL ,safelist),『濾內容法』(關鍵字庫,內容過濾:貝式分析,rule base,啟發式分析)是目前傳統對抗spam的主要方法

但這些方法就現行的spam的技術,卻都已無法有效防止

Why ?

現在的spammer因背後涉及龐大的商業利益,背後都有產業撐腰,也有高深的Messaging IT技術,

最新的攻擊手法都使用Spam Botnet(殭屍電腦網路)攻擊法 (或Botnet+附檔型SPAM)

『Botnet方式的spam方式『造假, 位置一直變,內容一直變』正是破解傳統antispam的新技倆 !! 』

其具有三個重要特徵,

『信件一定造假』,『發送位址一直變(IP輪變)』,『內容一再改變(content twist)』 !!!

新的spammer BOTnet發送spam手法,有效地破解傳統以『查來源』(黑白名單,RBL ,safelist),『濾內容法』(關鍵字庫,內容過濾:貝式分析,rule base,啟發式分析)發法為主的antisapm

故傳統的內容過濾式為大宗的antispam solution,在阻擋上容易發生抓襟見軸的窘境,為了擋一變再變的spam,不斷train樣本(有效嗎?)不斷加rule(誤判越來越高,效能越來越低)
但問題始終越來越嚴重....

0
budailar
iT邦新手 4 級 ‧ 2008-11-10 11:25:04

故解決垃圾郵件新思維應跳開傳統以『查來源』『濾內容法』的思考模式,要針對如何防範 『spam mamil 會一直造假, 位置一直變,內容一直變』的特性去尋求解決之道

垃圾信具有下列特性:

『造假』 (防你back-trace,發了就跑,殭屍大軍,跳板發送)
『短週期內大量發送』 (群發,成本低廉,1/10000就海賺)
『相似度,一波波的spam都長的很相似---> spam版本化』 (content Twist ,spam versioning,所謂版本化,就是同樣的內容,扭曲一下再發)

垃圾信-在不同的造假版本之間,仍然會存有相當程度的相似度;
也就是說垃圾信件最大共通特徵在於『造假、大量發送、與相似度』,
而這些特徵無關乎信件內容、語言與地域。
把問題信集合起來比較其來源、送信者、內容、標題、是否大量發送、相似度,
就可以發現其是否造假,再把造假的垃圾信攔截就很安全。

這方面的技術叫『spammer造假行為模式分析』,有一些較新的antispam server or filer wall都改用這些技術,比較有效也比較samrt.

相關文件可參考

http://forum.icst.org.tw/phpbb/viewtopic.php?f=22&t=12032
http://tw.knowledge.yahoo.com/question/question?qid=1607103006713
http://tw.myblog.yahoo.com/jw!VwoDla2BGw7J5VsLorS0aTXs/article?mid=24&prev=37&next=11&l=f&fid=7
http://tw.myblog.yahoo.com/jw!VwoDla2BGw7J5VsLorS0aTXs/
http://tw.knowledge.yahoo.com/question/question?qid=1507073003649&q=1607103006713&p=antispam

我要留言

立即登入留言