iT邦幫忙

0

請問Exchange 2007 Anti-Spam與IronPort、中華數位SPAM-SQR 功能比較以及主要優劣差異

alex88 2008-10-27 02:05:0913208 瀏覽

如題,小弟的公司目前想 survey 一些有關 Mail Spam 的產品,想請問板上先進给一些建議。
另外小弟想再請問 Exchange 2007 的 Anti-Spam 好用嗎?阻擋垃圾郵件的成效如何呢?誤判率高嗎?

謝謝~感謝賜教。

看更多先前的討論...收起先前的討論...
jamesjan iT邦高手 1 級 ‧ 2008-10-27 09:03:50 檢舉
可以考慮一下 linux Open Source 的產品,當作 mail gateway 防制效果不錯
shinkai iT邦新手 5 級 ‧ 2008-11-10 10:59:41 檢舉
我們公司是使用 Nopam,
據說 Nopam 不使用內容過濾的技術,
而是分析 spammer 的發信行為來作攔阻,
因為垃圾信一定會有造假與改變的異常行為,
因此只要是以正常的發信模式就不會被誤攔。
第一次聽到廠商介紹的時候覺得這種設計的 idea 還滿酷的,
而且測試之後攔阻效果也滿不錯,也真的幾乎不會誤判,
提供給您參考看看。
budailar iT邦新手 4 級 ‧ 2008-11-10 11:18:02 檢舉
Exchange 2K7,與Ironport,中華數位Spam-SQR 都是內容過濾式spam filter

差異在Exchange 2K7 的antispam是基本內建function,而Ironport與spam-SQR是專業antispam appliance產商

Exchange 2K7上antispam功能少了一些重要的架構,如防疫所,防疫所通知(攔截通知),誤判信回收,過濾的效果亦不佳等

但三者本質上都是使用『內容』過濾的方來作antispam---->『其特徵是誤判率高,效能不佳(performance隨spam攻擊量遞減,大量攻擊可能無力招架)!! 』


小弟再此提供另一個 antispam上的重要觀點:

『垃圾郵件與正常郵件最大的分野在『行為』不在『內容』,其特徵是『造假』

如果 spammers 沒有造假,簡單的統計加黑名單+RBL就解決Spam問題 (有嗎?!..problem still exist)

由於antispam發展的歷史包袱可知,

所有的Spammer 都知道 - 『查來源』(黑白名單,RBL ,safelist),『濾內容法』(關鍵字庫,內容過濾:貝式分析,rule base,啟發式分析)是目前傳統對抗spam的主要方法

但這些方法就現行的spam的技術,卻都已無法有效防止

Why ?

現在的spammer因背後涉及龐大的商業利益,背後都有產業撐腰,也有高深的Messaging IT技術,

最新的攻擊手法都使用Spam Botnet(殭屍電腦網路)攻擊法 (或Botnet+附檔型SPAM)

『Botnet方式的spam方式『造假, 位置一直變,內容一直變』正是破解傳統antispam的新技倆 !! 』
budailar iT邦新手 4 級 ‧ 2008-11-10 11:19:00 檢舉
其具有三個重要特徵,
『信件一定造假』,『發送位址一直變(IP輪變)』,『內容一再改變(content twist)』 !!!

新的spammer BOTnet發送spam手法,有效地破解傳統以『查來源』(黑白名單,RBL ,safelist),『濾內容法』(關鍵字庫,內容過濾:貝式分析,rule base,啟發式分析)發法為主的antisapm

故傳統的內容過濾式為大宗的antispam solution,在阻擋上容易發生抓襟見軸的窘境,為了擋一變再變的spam,不斷train樣本(有效嗎?)不斷加rule(誤判越來越高,效能越來越低)
但問題始終越來越嚴重....

故解決垃圾郵件新思維應跳開傳統以『查來源』『濾內容法』的思考模式,要針對如何防範 『spam mamil 會一直造假, 位置一直變,內容一直變』的特性去尋求解決之道

垃圾信具有下列特性:
『造假』 (防你back-trace,發了就跑,殭屍大軍,跳板發送)
『短週期內大量發送』 (群發,成本低廉,1/10000就海賺)
『相似度,一波波的spam都長的很相似---> spam版本化』 (content Twist ,spam versioning,所謂版本化,就是同樣的內容,扭曲一下再發)


垃圾信-在不同的造假版本之間,仍然會存有相當程度的相似度;
也就是說垃圾信件最大共通特徵在於『造假、大量發送、與相似度』,
而這些特徵無關乎信件內容、語言與地域。
把問題信集合起來比較其來源、送信者、內容、標題、是否大量發送、相似度,
就可以發現其是否造假,再把造假的垃圾信攔截就很安全。
budailar iT邦新手 4 級 ‧ 2008-11-10 11:19:10 檢舉
這方面的技術叫『spammer造假行為模式分析』,有一些較新的antispam server or filer wall都改用這些技術,比較有效也比較samrt.

相關文件可參考

http://forum.icst.org.tw/phpbb/viewtopic.php?f=22&t=12032
http://tw.knowledge.yahoo.com/question/question?qid=1607103006713
http://tw.myblog.yahoo.com/jw!VwoDla2BGw7J5VsLorS0aTXs/article?mid=24&prev=37&next=11&l=f&fid=7
http://tw.myblog.yahoo.com/jw!VwoDla2BGw7J5VsLorS0aTXs/
http://tw.knowledge.yahoo.com/question/question?qid=1507073003649&q=1607103006713&p=antispam
jamesjan iT邦高手 1 級 ‧ 2008-11-10 12:36:27 檢舉
budailar大大讓人收穫良多啊
20
richardsuma
iT邦大師 1 級 ‧ 2008-10-27 10:37:48
最佳解答

Exchange 2007 的 Edge server 的防垃圾郵件的機制,過濾郵件很嚴謹,問題是Edge server 所認定的垃圾郵件, user卻還想要看。

中華數位 SPAM-SQR 還不錯使用,如果有誤攔還可以重送,是不錯得Anti-SPAM server.
但有時候是垃圾郵件也會放行。因為認知的不同吧,我們公司的正常郵件只有6~7%,其他都是垃
圾郵件。

我們公司現在使用的是 Exchange 2007 Edge 加上 中華數位 SPAM-SQR,優點就是信件更少了,缺點就是有些信件被Edge server 攔掉就不見了。

其他就看你自己的想法了。

14
jerry710822
iT邦高手 1 級 ‧ 2008-10-27 08:38:32

我個人覺得兩者並重吧
不過趨勢的scanmail還不錯喔

6
ewa00
iT邦新手 5 級 ‧ 2008-11-05 12:10:10

桓基科技的SpamSherlock 防禦垃圾郵件系統也不錯用哦~
我們公司有在用,效果不錯,也可以考慮一下~

我要發表回答

立即登入回答