68-反垃圾邮件研究.pptVIP

共23页 反垃圾邮件 ---源头认证技术 哈尔滨理工大学网络信息中心 王宣丹 2008-05-07 内容 垃圾邮件概念 电子邮件工作原理 传统反垃圾邮件技术 源头认证技术 垃圾邮件概念 定义 收件人事先没有提出要求或者同意接受的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件。 收件人无法拒收的电子邮件。 隐藏发件人身份、地址、标题等信息的电子 邮件。 含有虚假的信息源、发件人、路由等信息的电子邮件。 电子邮件工作原理 电子邮件的格式 在RFC 2882《Internet 信息格式》规定了电子邮件的标准格式。 即：电子邮件有一行一行文本组成，每行以（CR）和（LF）结束。一封完整邮件包括：信封（邮件头）和信体（邮件体），邮件头和邮件体之间以一个空行分隔。 邮件体是邮件的实际内容。 邮件头是邮件投递过程中用到的参数。 电子邮件工作原理（续） 电子邮件的格式示例 Return-Path: xxx@ Received: (qmail 1524 invoked by uid 0);19 Apr 2006 06:35:53 -0000 Message-ID: 4445D233.8000104@ Date: Web,19 Apr 2006 14:01:23 +0800 From: xxx@ To: yyy@ Subject: hello Content-Type: test/plain; charset = GB2312 Hello!World! 电子邮件工作原理（续） 电子邮件发送的基本过程 在电子邮件发送过程中有三个重要的模块 邮件用户代理MUA (Mail User Agent) 邮件转发代理MTA (Mail Transfer Agent) 邮件投递代理MDA (Mail Deliver Agent) 电子邮件工作原理（续） 传统反垃圾邮件技术 关闭开放式转发 关闭匿名代理 静态黑白名单 静态内容过滤 实时黑名单及其改进 数量控制 贝叶斯分析 …… 源头认证技术 以上的传统的反垃圾邮件技术虽然能起到一定效果，但总存在这样或那样的不足…… △利用动态IP地址来发送邮件 △ 反内容分析 关键词变形 内容图片化 内容附件化 信头、正文随机化 △分散发布源 源头认证技术（续） 基于以上的分析，源头认证技术得以提出： 源头认证技术解释： 通过某种方法来防止邮件伪装，特别是确保发件人不是伪装的，从而彻底断绝垃圾邮件发送者躲避法律制裁的路。 可追查检查思想 基本理念 把关注的重点放在判断含有虚假的信息源、发件人、路由信息的垃圾邮件上。 重新定义垃圾邮件：做了任何伪装的，不愿意承担后果的邮件是垃圾邮件。 有效性和易实施性的统一。 不企图追查所有的邮件来源、拒绝不可追查的邮件、只接受可追查的邮件。 可追查检查思想（续） 希望与实现 希望发送者是真正的发送者，而非伪造的。 发送邮件的计算机IP是“Mail From”中的邮件域中的允许以该域名义发送邮件的计算机。 “Mail From:”应该和邮件内容中的“From”相同。 发件人应该是邮件域的合法用户。 可追查检查思想（续） 外部可追查检查 大量的接受邮件服务器本身就是发送邮件服务器。 大部分分离的邮件服务器和发送邮件服务器是IP地址相临近的。 其他可能允许发送邮件的计算机，可能与MX项定义的计算机的IP地址相邻近。 为支持错误回答邮件的空“Mail From:”可以用HELO/EHLO参数代替“Mail From:” 的邮件域部分，基本可以达到相同的效果。 可追查检查思想（续） 外部可追查检查 有效性高 兼容性强 合作性强 但是仍然存在一定程度的误判和漏判。 可追查检查思想（续） 内部可追查检查 内部可追查思想是建立在关闭开放式转发的前提下，外发邮件需要认证。 提出的内部可追查的原因是: 由于认证的用户名/口令可以和邮件本身的From、Mail From 不同。 向本服务器发送的邮件无需认证。 可追查检查思想（续） 全面可追查检查 在互联网上提供一套发件人的认证机制，来确认发件人是从其声称的邮件域所许可的IP地址的计算机发出的邮件，进而确认发件人确实是该邮件域的合法用户。 DKIM 该技术是雅虎公司提出的一