iT邦幫忙

2023 iThome 鐵人賽

DAY 9
0
自我挑戰組

我是超級工具人系列 第 9

《我是超級工具人》08-垃圾郵件判定與防禦

  • 分享至 

  • xImage
  •  

在我國中,約2002~2005年
收到的垃圾郵件大多是惡作劇郵件
例如一個很恐怖的圖片,說要轉寄給其他人
如果不轉寄,就會遭受厄運
或是同學寄來一些現在會被Youtube紅標或禁止的影片

現在的垃圾郵件不是病毒、就是詐騙、或是釣魚
比二十幾年前的環境還要險惡
因此垃圾郵件的管理,是企業安全很重要的一環

什麼是垃圾郵件?

  • 主觀認定:我不喜歡的郵件
  • 客觀認定:不請自來,未經使用者許可就進入信箱的電子郵件

很多廣告信件並非不請自來
可能是註冊的時候勾選願意接收
也是很多人沒有仔細看條款的後果

如何判定某個信件是否是垃圾郵件?
可由機器過濾95%、剩下5%交給人工判定

機器判定:以前多使用SpamAssassin,它包含多種過濾模式

  1. IP位址信用評等:一般而言,寄件位址為動態IP位址者,都會被視為信用評等不佳
  2. 包含自動學習的貝氏過濾法:結合事前機率與條件機率,導出事後機率的過程,並自動進到黑、白名單
    EX:「未滿十八歲」字眼即可能為垃圾信件。如果這封信件同時出現「極品」、「熟女」、「偷拍」等字眼,我們幾乎可以肯定這封信件是垃圾信件
  3. 自動白名單機制:根據寄件者、來源IP位址等自動調整垃圾郵件判斷
  4. 內文連結過濾機制:找出不合法的連結
  5. 語言暴力、暴力網站、駭客、後門程式、可疑網站、非法盜版、賭博、成人網站、藥品、代理過濾器、轉頁、線上影音、廣告、釣魚、勒索、其他
  6. IP位址反解驗證功能:確認發信IP是否對應到主機的FQDN
  7. SPF驗證:確認電子郵件確實是由網域授權的郵件伺服器寄出
  8. DKIM 驗證:網域驗證郵件,用來防止郵件內容遭到竄改
  9. Smtp認證:確認使用者帳密

之後出現了Rspamd,它包含SpamAssassin所有功能,但處理速度較快,所以後來都用這個方法

人工判定:稽核條例設定,一些模稜兩可的郵件、尤其是由AI寫的垃圾郵件
我們可以從郵件主旨、附檔名、IP來封鎖特定郵件
昔有強力過件,今有強力封鎖
其中微軟建議是參考outlook、以及exchange預設封鎖而設定

如果Server本身沒有防毒,可以購買如卡巴斯基郵件安全,在郵件伺服器就將惡意程式擋下,減輕端點負擔
一天大約收到25封病毒信,駭客瘋起來一天80封都有可能

在某些自架硬體郵件伺服器中,可以看到一封信件如何被評分
可以設定分數高於某個值就進到隔離區,不會到使用者端

根據這幾年來的經驗,分數在5~7更名,警惕同仁可能有風險
分數高於7封鎖,太低會誤判、太高無法擋掉垃圾郵件
給有自架Email Server的同業參考


上一篇
《我是超級工具人》07-威脅情資助資安團隊一臂之力
下一篇
《我是超級工具人》09-從中國長城防火牆學限制上網行為
系列文
我是超級工具人32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言