XX邮件安全方案模板8.2_Alex.doc

XXX 邮件安全规划方案 文件类型：安全方案 撰写日期：2013.09.1 撰写人员： Trendmicro Page 2 目录 目录 1 1.方案综述.3 1.1.方案简述3 1.2.垃圾邮件特点分析3 1.2.1.垃圾邮件定义3 1.2.2.垃圾邮件通常含有如下特征：4 1.2.3.垃圾邮件的类型5 1.2.4.垃圾邮件对企业的危害5 1.3.方案目标6 1.4.邮件系统安全产品推荐7 2.整体方案.8 2.1.网络安全规划建议8 3.售后服务10 3.1.技术支持部分.10 3.2.ACTIVEUPDATE 自动升级服务 10 3.3.新版本更新权利.10 3.4.附加服务部分.11 4.附录：产品功能相关介绍 .12 Trendmicro Page 3 1.方案综述 1.1.方案简述 随着信息时代到来，电子邮件在人们的生活中扮演越来越重要的角色，许多企业、单位进行的内部文 件沟通、外部业务往来更加依赖于邮件系统的正常运作。 但正像互联网一样，电子邮件的广泛应用带来的不仅仅是方便、快捷，随之而来的安全问题也一直在 困扰着广大用户，这就使邮件系统的安全以及信息传递内容的管理变得极为重要。然而，如果企业资源不 断地遭到病毒程序、垃圾邮件、非法内容的侵犯，就会极大干扰企业正常运作，严重时，上述不法侵害还 会造成邮件系统的瘫痪，泄漏企业机密信息，甚至损害企业的信誉，导致企业陷入法律纠纷。 本方案主要从 XXX 邮件信息安全的角度出发，打破大多数邮件安全厂商所提出的邮件信息安全仅仅 是解决病毒和垃圾邮件问题的观点，从各个角度分析企业网络可能面临的各种现代电子邮件信息安全问题、 对企业造成的影响以及解决方案。作为业界领先的专业内容安全厂商，趋势科技企业级邮件安全解决始终 走在业界前列，不但在世上第一个推出了邮件病毒安全解决方案，而且极具前瞻性的陆续推出了垃圾邮件 安全解决方案、间谍软件解决方案、网络钓鱼解决方案以及对企业更具威胁的 Pharming 安全解决方案。 这些解决方案对已经使用和准备使用邮件安全解决方案的企业都极具重要的参考价值。 1.2.垃圾邮件特点分析 1.2.1. 垃圾邮件定义 若广泛来定义垃圾邮件，只要是收信者认为所收到的 Email 并非想阅读的内容，严重者甚至觉得信件 内容或收信的频繁会让人嫌恶，都可称为垃圾邮件。若以信件内容及发送行为来定义垃圾邮件，泛指与内 Trendmicro Page 4 容无关，传送给多个收件者的邮件或粘贴物，且收件者并没有明确要求接受该邮件。也可以是传送给与邮 件主题不相关的新闻组或者清单服务器的同一邮件的重复张贴物。国际上比较一致的看法，所谓垃圾邮件 指未经用户许可，但却被强行塞入用户的电子邮件. 2000 年 8 月，中国电信制定了垃圾邮件处理办法，并将垃圾邮件定义为：向未主动请求的用户发送 的电子邮件广告、刊物或其他资料；没有明确的退信方法、发信人、回信地址等的邮件；利用中国电信的 网络从事违反其他 ISP 的安全策略或服务条款的行为；其他预计会导致投诉的邮件。 2002 年 5 月 20 日，中国教育和科研计算机网公布了关于制止垃圾邮件的管理规定 ，其中对垃圾 邮件的定义为：凡是未经用户请求强行发到用户信箱中的任何广告、宣传资料、病毒等内容的电子邮件， 一般具有批量发送的特征。 垃圾邮件简称 UCE（未经请求的商业广告邮件）或 UBE（未经请求的大量寄送邮件） ，但是使用最广 泛的则是 SPAM，spam 原为新泽西州的一种火腿罐头，后引申指无价值的东西。 1.2.2. 垃圾邮件通常含有如下特征： 趋势科技认为所有垃圾邮件，是包括下述属性的电子邮件： 1. 收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件； 2. 收件人无法拒收的电子邮件； 3隐藏发件人身份、地址、标题等信息的电子邮件； 4. 含有虚假的信息源、发件人、路由等信息的电子邮件。 ” 5. 邮件内容包含敏感的关键字，比如“广告、色情”等； 6. 邮件 MD5 特征值完全相同的多个邮件； 8. 发送的 Multipart 邮件中包含 text/plain 及 text/html，其中 text/plain 包含伪造内容，而 text/html 包含垃圾内容； Trendmicro Page 5 9. 邮件中使用混淆的 URL，使用 URL 编码字符； 1.2.3. 垃圾邮件的类型 根据分析，目前垃圾邮件类型居前五位的依次是医药类、成人色情类、误导或非法产品广告、金融类 广告以及营销类广告。参见上图。 1.2.4. 垃圾邮件对企业的危害 据 Ferris Research 研究报导指出，垃圾电子邮件每年让美国及欧洲企业分别损失高达 89 亿美元和 25 亿美元。(其中 40 亿美元是因员工删除垃圾邮件而造成工作效率的降低，平均删除 1 封垃圾邮件得花 4.4 秒钟。37 亿美元的花费，是为了应对超大量的资料流量，企业因而添购带宽及性能更佳的服务器， 其余 的损失则是公司为降低员工因垃圾邮件产生的困扰，为员工提供的支持的费用。) 除了上述金额的损失之外，垃圾邮件对企业的损害还可归类为： 消费者的信任这是电子邮件使用者的第一大问题，由于垃圾邮件的泛滥，用户失去了对电子邮件 的信任；据调查约有 29%的用户因此而减少了电子邮件的使用，对于企业而言，则可能造成员工弃用 企业邮箱，这不仅对企业以前网络投入的浪费，且有损企业形象。 Trendmicro Page 6 降低工作效率使用者会浪费无谓的时间阅读并处理这些无用的电子邮件。使用者工作效率降低被认 为是企业因垃圾邮件所导致的最大损失。 不当内容垃圾邮件中可能包含攻击性文字，大多是人身攻击，此种邮件可能会伤害特定的个人或群 组。此外，还有相当数量的与色情、非法宗教、以及其他与国家法规相悖的信息，也将对收件人造成 不同程度的冲击。 浪费 IT 资源进入网络的大量垃圾邮件，会影响企业的网络使用带宽。迫使企业付出更高的成本来 增加 IT 建设的投入。例如：购买更高级的邮件服务器、增加企业出口带宽、增加员工培训。 对安全和隐私造成危害例如 APT（高级持续性攻击）邮件病毒、Phisher 诈骗邮件、身份盗窃信 等。 1.3.方案目标 XXX 希望部署趋势科技防病毒整体解决方案后，能够达到以下效果： 1.确保 XXX 邮件系统的稳定性，确保 XXX 邮件系统的可用性； 2.有效的隔离垃圾邮件，为 XXX 建立一个纯净的邮件环境系统； 3.有效的防护病毒邮件，确保 XXX 所有邮件的安全性； 4.为 XXX 建立完善的邮件安全系统管理体系，定期生成可视化日、周、月邮件安全分析统计报告； Trendmicro Page 7 1.4. 邮件系统安全产品推荐 基于上述原则及对该领域技术发展前景、产品的性价比等综合因素，趋势科技建议 XXX 计算机网络 采用如下产品配置： 趋势公司 Trend Micro AntiSpam Solution 包括： 趋势科技反垃圾邮件网关:IMSA 趋势科技 IMSA 是一款全方位的企业级邮件内容安全管理设备，具有功能完备、性能优异、部署简捷、维 护便利、稳定可靠等特点，融合了趋势科技云安全技术、空中抓毒专利技术、智能垃圾邮件甄别过滤引擎 等多项业界领先的邮件安全处理技术，为企业级用户提供全面、智能、高效的邮件安全管理防护，协助企 业用户阻止各种通过邮件而传送的病毒、垃圾邮件、间谍软件、钓鱼程序等复杂的混合式恶意攻击； IMSA 内置自身安全保护技术和硬件全方位冗余。 Trendmicro Page 8 2.整体方案 2.1.网络安全规划建议 根据 XXX 实际网络安全状况，趋势科技结合 XXX 的网络实际情况以及最新安全技术和理念为 XXX 提供 一套完善的邮件安全体系： 请根据用户实际情况插入拓扑图 规划说明： 1.在 XXX 邮件系统中以旁路模式部署趋势科技反垃圾邮件系统 IMSA，有效的针对垃圾邮件、病毒邮件 进行防护； 2.趋势科技反垃圾邮件系 IMSA 可以对日益复杂的垃圾邮件问题，采用了多层次的垃圾邮件过滤措施， 具有过滤率高、误判率小的特点，同时可以针对 XXX 不同的需求针对邮件内容、邮件头、关键字、黑 名单、白名单等灵活定制符合 XXX 的邮件防护策略，确保 XXX 邮件系统的纯净与稳定； 3.趋势科技的 IMSA 支持最新的网络信誉技术（NRT）采用世界最庞大、最受信赖的数据库进行比对， 可阻止垃圾邮件进入网关，并使用动态更新，在殭尸计算机与傀儡网络刚出现时便予以封锁，且可将 Trendmicro Page 9 垃圾邮件拦截在进入企业内部之前的交换阶段，也就是在进入网络之前，可先拦阻 90% 以上可能含 有网络钓鱼的垃圾邮件 Trendmicro Page 10 3.售后服务 XXX 在购买产品后的有效服务期限内所享受的基本服务 3.1.技术支持部分 访问趋势科技中文网站获得针对产品和防病毒问题的自助服务。 网站： HTTP:/ 产品技术支持服务：通过 E-mail 或传真、免费热线电话方式，获得免费技术支持服务。 病毒问题支持服务：通过 E-mail 或传真、免费热线电话方式，获得免费支持服务。 技术支持邮箱：；传真：021-5356-3458 热线电话：800-8208839 (021-5396-6699)； 服务时间周一至周五（国定节假日除外）9:00 - 12:00；13:00 - 17:30 3.2.Activeupdate 自动升级服务 在有效服务期内，客户所使用的产品的安全组件可免费合法进行自动或手工升级。 可更新的安全组件包括：特征码(pattern)，扫描引擎(Engine)，产品本身的修补程序 (Hotfix、Patch、Service Pack)，等等。 3.3.新版本更新权利 在有效服务期内，针对客户正在使用的产品中，如果趋势科在市场上推出了相应的新版本，则客户享 有在服务期内免费使用该新版本的权利。 客户可随时免费下载最新版产品或服务升级包，使用所购产品的最新版本。 Trendmicro Page 11 3.4.附加服务部分 通过 E-mail 方式获得病毒及产品新技术信息通知，限 2 个邮箱。 重大病毒警戒手机短信通知，限 2 个手机号码。 （重大病毒定义以趋势科技全球技术支持中心的黄色/ 红色警报为主） 在本公司网站查询详实防毒信息 HTTP:/ Trendmicro Page 12 4.附录：产品功能相关介绍 趋势科技 IMSA 是一款全方位的企业级邮件内容安全管理设备，具有功能完备、性能优异、部署简捷、 维护便利、稳定可靠等特点，融合了趋势科技云安全技术、空中抓毒专利技术、智能垃圾邮件甄别过滤引 擎等多项业界领先的邮件安全处理技术，为企业级用户提供全面、智能、高效的邮件安全管理防护，协助 企业用户阻止各种通过邮件而传送的病毒、垃圾邮件、间谍软件、钓鱼程序等复杂的混合式恶意攻击； IMSA 内置自身安全保护技术和硬件全方位冗余。 IMSA 优点优点 业界领先的云安全技术业界领先的云安全技术 趋势科技目前投资云安全技术架构已有 4 年的时间，投资总额超过 3 亿美金，构建有 5 大数据中心， 在全球超过 34000 台服务器提供云安全查询服务，每天处理的查询响应超过 50 亿次，处理数据达到 1.2TB，每年分析的数据样本超过 2.5 亿个。 云安全技术应用于邮件网关系统，可以使 80%的病毒和垃圾邮件在到达用户的邮件系统之前被拦截 掉。 邮件信誉技术是一层额外的保护，可以拦截高达 80%的电子邮件威胁，趋势科技的邮件信誉技术按 照已知垃圾邮件发送源信誉数据库以及可以实时评估电子邮件发送者信誉的动态服务来验证发送者地址。 信誉评级通过对 IP 地址“行为”、活动范围和以前的历史进行不断的分析而进行优化。按照发送者的 IP 地址，恶意电子邮件将被拦截在云中，从而防止威胁到达网络或用户的计算机。防止僵尸网络等网络威胁 Trendmicro Page 13 到达网络或用户的计算机。信誉情况会不断更新，确保在清除被感染的僵尸后恢复良好信誉和合法电子邮 件的接收。 Web 信誉技术可以拦截包括含有危险网站链接的电子邮件，防止这些威胁达到网络或用户计算机， 那些高风险的 URL 链接往往会让浏览者感染病毒。 病毒邮件过滤病毒邮件过滤 网关讯息安全设备使用扫描引擎和病毒码文件来检测病毒。扫描引擎执行实际扫描工作，并使用包含 二进制的已知病毒码的病毒码文件来分析流经网关的文件。如果扫描引擎检测到病毒，则 InterScan 可 以通过删除恶意代码来尝试清除文件（如果启用了清除）。 此外，网关讯息安全设备使用 Trend Micro MacroTrap 来扫描 MicrosoftOffice 文件。宏病 毒陷阱会分析 Microsoft Office 文件中的宏代码，以帮助扫描引擎检测宏病毒。 多层垃圾邮件过滤多层垃圾邮件过滤 趋势科技 IMSA 邮件网关针对日益复杂的垃圾邮件问题，采用了多层次的垃圾邮件过滤措施，具有过 滤率高、误判率小的特点。同时，对于不断变化的垃圾邮件，能够调整相对应的过滤策略，以确保适用不 断变化的垃圾邮件的需要。 1)防垃圾邮件技术采用多层次的防护技术：邮件信誉服务、IP 连接控制、防垃圾邮件智能分析引 擎 2)邮件信誉服务利用世界上最大、最值得信赖的信誉数据库在垃圾邮件到达网关之前对其进行拦截， 同时动态的邮件信誉服务可以及时封堵僵尸网络发出的垃圾邮件 3)IP 连接控制应用管理员定制的连接控制规则自动来拦截垃圾邮件和病毒，对 DHA 攻击和邮件回 弹攻击加以防御 Trendmicro Page 14 4)防垃圾智能分析引擎采用多重保护技术，包括图像垃圾邮件专利技术和嵌入式 URL 信誉检查技 术 5)防网络钓鱼充分利用签名比对、启发式方法以及信誉服务来阻止网络钓鱼，包括针对企业的定向 网络钓鱼攻击 垃圾邮件的精准判定垃圾邮件的精准判定 趋势科技 IMSA 邮件网关的垃圾邮件引擎采用评级系统通过一系列测试对电子邮件进行评估。 它可 以高度准确地识别出垃圾邮件。 反垃圾邮件测试由独立的测试代理机构（Opus One）的评测数据表明，使用了信誉服务的趋势科技 IMSA 邮件安全网关对于垃圾邮件的检测率高达 97.36%。 2009 年，著名第三方测评机构西部海岸实验室（WestCoastLabs）对业界的反垃圾邮件产品进行专 业测试，其中趋势科技的产品名列前茅。 Trendmicro Page 15 产品功能产品功能 病毒安全防护 IMSA 邮件网关内置趋势科技病毒扫描引擎，可对邮件正文及附件中的病毒进行有效处理，对于可清 除感染文件类病毒进行清除，对不具备清除属性的蠕虫、木马类病毒直接进行删除操作。病毒码更新频率 每天不少于 1 次。 间谍软件扫描 IMSA 邮件网关内置全功能的超强反间谍软件引擎 SSAPI 5。这项产品已经和透过 SSAPI 强大的引 擎功能，侦测并阻止复杂又多变的间谍软件。 反钓鱼程序 趋势科技针 IMSA 邮件网关根据网络钓鱼的目标式攻击特点，制定了基于云安全技术之上的综合解决 方案，采用“鸡尾酒”方法过滤网络钓鱼邮件： 1)URL 过滤 Trendmicro Page 16 2)启动真实文件格式扫描 3)启动 IntelliTrap 智能型启发式技术侦测压缩文档 4)统计分析法（Statistical Analysis） 5)黑白名单 6)签名过滤法（Signature Filtering） 7)多语言检测（Detection for Multi-Languages） 网络信誉技术（NRT） 网络信誉技术（NRT）是以趋势科技云安全数据中心为基础的等级评分技术，采用世界最庞大、最受 信赖的数据库进行比对，可阻止垃圾邮件进入网关，并使用动态更新，在殭尸计算机与傀儡网络刚出现时 便予以封锁，且可将垃圾邮件拦截在进入企业内部之前的交换阶段，也就是在进入网络之前，可先拦阻 80% 以上可能含有网络钓鱼的垃圾邮件。 智慧型垃圾邮件扫描 融合了趋势科技空中抓毒专利技术、智能垃圾邮件甄别过滤引擎、邮件源发真实性检测识别、即时垃 圾邮件数据库比对判断等多项业界领先的邮件安全处理技术，为企业级用户提供最全面、最智能、最高效 Trendmicro Page 17 的邮件安全管理防护，协助企业用户阻止各种通过邮件而传送的病毒、垃圾邮件、间谍软件、钓鱼程序等 复杂的混合式恶意攻击； 趋势科技反垃圾邮件引擎采用“鸡尾酒”方法过滤垃圾邮件和钓鱼程序邮件. 高级启发式（Advanced Heuristics） 统计分析法（Statistical Analysis） 黑白名单 签名过滤法（Signature Filtering） 多语言检测（Detection for Multi-Languages） 内容安全管理 利用基本的默认规则集，趋势科技（中国）有限公司 IMSA 邮件网关的垃圾邮件通过创新的检测技术 对用户收到的每一封电子邮件进行检查。具体包括： 强制内容符合 减少法律纠纷 符合企业信息安全策略 信息安全保密性要求 特定的内容过滤 附件类型、大小和名称 关键字 定制化的布尔或常规表达式 选择授权发送者和接收者 公司,部门, 组,个人 指定内容强制处理措施 Trendmicro Page 18 删除, 隔离, 通知, 推迟, 通过, 专利技术专利技术 优化的贝叶斯过滤器技术 贝叶斯过滤器（Bayesian filter）通过使用贝叶斯逻辑（或称贝叶斯分析法），对邮件的标题和内容 进行分析，从而判断邮件是否是垃圾邮件。贝叶斯分析法是在 18 世纪英国数学家托马斯贝叶斯的理论基 础上发展而来的。垃圾邮件一般包含有特定的文字，贝叶斯过滤器需要进行一段时间的学习，才能对垃圾 邮件做出有效的拦截。贝叶斯过滤器会根据概率把邮件分类，比如：“信任邮件“、“可疑邮件“等等。分类 的类别可以由用户自己定义。 贝叶斯过滤器也有其局限性。贝叶斯过滤器最好能与反病毒系统协同工作。因为恶意病毒或蠕虫病毒 有时会通过邮件附件的方式进行传播，即使邮件的来源是安全的。 IMSA 采用的贝叶斯算法与趋势科技 Intellitrap、DCE5 反病毒技术结合在一起，大大提高了算法的 准确性。 优化的 RBL+检测技术 RBL+是由国际反垃圾邮件组织 MAPS (Mail Abuse Prevention System)维护的黑名单列表，目前 已被国内外防垃圾邮件厂商作为基本的反垃圾邮件技术使用。RBL+包括: RBL (Realtime Black hole list) DUL (Dialup Users List) RSS (Relay Spam Stopper) NML (Non-confirmed Mailing List) OPS (Open Proxy Stopper) 等数据库。 Trendmicro Page 19 用于垃圾邮件过滤的传统 RBL 服务，应该称之为基于 DNS 的实时黑名单查询，也就是说，这个服务 是通过 DNS 协议来完成的。RBL 服务会提高垃圾邮件的扫描效率和准确率，但也会导致 DNS 劫持。 基本上所有的 RBL 服务都会返回特定的查询结果，即每次都返回同样的一个或几个 IP 地址，而且这 种 IP 地址通常都是特定的保留 IP，不会出现在正常的 DNS 查询中，如 、 等。 基于这一原理，IMSA 采用趋势科技优化的 RBL+检测技术，根据 RBL 服务所公示的查询结果来设置 RBL 查询，实现对 RBL 查询结果的验证，避免 DNS 劫持的发生。 智慧性扫描陷阱病毒检测技术 智慧性扫描陷阱病毒检测技术（Intellitrap）是一项压缩文件启发式扫描技术从而减少病毒通过电子 邮件传播的威胁，是趋势科技的专利技术。 这种技术可以 Block 未知的“加壳”的程序。“加壳”这种技术目前在许多病毒中使用，“加壳”后 相当于给程序加了密，如果使用非通用或者非商业的加壳方法，就会导致防毒软件无法识别该程序，无法 对其“脱壳”。防毒软件无法对其进行处理。趋势防毒引擎可以识别的常用软件和商业软件的加壳，加以 “脱壳“扫瞄，因此不会造成常用软件和商业软件的误报， Interllitrap 针对网络中存在的病毒特点，在识别 bot 类程序以及特殊文件结构上进行了增强，可帮 助客户提高对未知病毒的识别率。Intellitrap 技术配合它的黑白名单以及不断加强的 unpack 技术，可以 有效的增强邮件查毒能力。 空中抓毒专利技术 “空中抓毒”是趋势科技在用于网关防毒的一项专利技术防毒技术。其基本设计理念是，在电脑病毒 通过 Internet 入侵企业内部网络的第一入口处设置一道防毒屏障，使得电脑病毒在进入企业网络之前即被 阻截，这一技术最大的亮点在于，趋势科技创造性地提出的“流处理技术”，即网关在病毒扫描的过程中， 并发流病毒扫描引擎无需将应用会话中所有数据包在内部进行重组缓存并对文件进行扫描完成后再传送到 客户端，而是接收数据包重组缓存和文件传输到终端同时并行处理，只是在扫描完成前留下文件的几个特 Trendmicro Page 20 定字节，在确认文件未被病毒感染后再发送到客户端，使得网关防病毒处理能力得到大大的提升。 在全球 500 强企业中采用最多的网关邮件防病毒技术还是趋势科技的“空中抓毒”技术，不过有意 思的是，由于“空中抓毒”技术乃趋势科技的专利技术，赛门特克（Symantec）以及麦咖啡（McAfee） 的网关防毒技术均是购买趋势科技的技术，换句话说，趋势科技的“空中抓毒”技术在全球网关防毒市场 暂居了约 70的市场份额，这一点也充分显示出趋势科技的网关技术仍然遥遥领先于其他网关防毒技术 Adversarial OCR 专利技术 相对于传统 OCR 技术，趋势科技的 Adversarial OCR 专利应用程序显得更为专业，此技术专为图片 垃圾邮件过滤而设计，在防护引擎中纳入了所有的图片变体。如此一来，不像传统 OCR 技术那样摘取全 部图片文字，我们只需要套用少数的几个核心特征文件就足以拦截所有的图片变体。 利用这项技术，我们只需要套用几个特征文件，就能够阻止图片中的广告邮件，同时阻止其它更多跟 这封邮件版本不同的电子邮件。此外，我们也会对图片和 HTML 内容进行分析，以判断图片的结构，然 后套用启发性规则来过滤这些电子邮件，将图片变体范围缩小极少数几个核心特征文件的方式，再加上目 标启发法，这两种技术目前都已应用在我们最新的垃圾邮件防护解决方案中，且在遏止图片垃圾邮件方面 成效卓著。 基于信誉的等级评分技术 IMSA 所采用的信誉的等级评分技术,是以趋势科技云安全技术为基础的一种评分规则。通过收集目标 信息的外在客观属性来进行分析，通过采用数学算法计算，就可以得出 Internet 上各种信息的安全分值， Trendmicro Page 21 从而从来源确认邮件的合规性。 趋势科技全球威胁防护网络(Threat Prevention Network)，维护一个全球性收集超过一百六十亿份 问题 IP 黑名单数据库，同时这个数据库为动态更新，每天都在增加。趋势科技已经将此技术运用到了网关 邮件防护产品 IMSA 中，这不仅提高了 IMSA 的垃圾邮件防护效果，最重要的是大大提高了网关防护产品 的性能。 自定义IP Profiler技术 IP Profiler 运用客户指定的自动化机制，遏阻网络钓鱼垃圾邮件，并可防范账号搜集(Directory Harvest Attacks, DHA)，避免日后再收到网络钓鱼垃圾信件。比如用户可以设定在 20 个小时内，某个 IP 所寄送的 1000 封信件，其中有 80%的信件收件者数量超过 100 个，或收件者不存在的信件数超过 10 个时，相关产品便可认为这个来源 IP 是账号搜集攻击者，且将这个 IP 封锁 (Block)，参考下图。藉由本 技术的运用，亦可定义出垃圾邮件、病毒邮件及邮件退回攻击的 IP 封锁原则。 目前市场上仅少数几个产品具备这种从邮件源头阻挡垃圾邮件的高效率防护产品，大多数产品均只是 象征性的有部分功能与此相似，不过这项最新技术将是未来垃圾邮件防护产品最重要的一个发展方向。 基本反垃圾邮件技术基本反垃圾邮件技术 反垃圾邮件攻击技术 Trendmicro Page 22 IMSA 邮件网关的垃圾邮件提供完整的反垃圾邮件攻击功能。通过对邮件连接建立数量和并发数量、 邮件连接收件人数量和邮件发送数量的限制，能够充分地保护邮件服务器。支持对 SMTP 连接的反向 DNS 检测。这样可以防止来自无域名的 IP 地址的攻击。 邮件完整性分析技术 IMSA 邮件网关的垃圾邮件对每一封邮件的邮件头、版面和组织进行检查，以识别垃圾邮件的一般特 征。 在单次传递过程中，高级模式匹配引擎同时应用多种算法，然后确定其可能得分以判断该邮件是否 为垃圾邮件。这种用于检测垃圾邮件的方法非常准确。 动态特征码识别技术 IMSA 邮件网关在病毒防护、垃圾邮件采用动态特征码方法识别最新的安全威胁，用户无需担心，趋 势科技（中国）有限公司 IMSA 邮件网关会自动从趋势科技（中国）有限公司公司安全服务器上获取最新 的特征码库。 基于规则的等级评分系统 IMSA 邮件网关的垃圾邮件使用一种基于全面的规则集的等级评定系统来判断某个电子邮件是否为垃 圾邮件。 针对每个电子邮件运行数百个规则，每个规则都有一个负的或正的分数。得负分数的规则表示 邮件为合法邮件，得正分数的规则表示邮件为未经请求的非法邮件。将所有分数相加，就能够得出每一封 邮件的“总体垃圾邮件级别”。 采用遗传算法 (genetic algorithm) 对分数进行优化处理，并使用数百 万个垃圾邮件和非垃圾邮件存档消息来评估每一个规则的分数。由于电子邮件是企业体系结构中的关键组 成部分，因此对于每一个进行垃圾邮件防护的供应商来讲，防止错误地识别垃圾邮件至关重要。在当今反 垃圾邮件的斗争中，评级系统起着基石的作用，它们比传统的匹配技术更为准确，在检测要识别的垃圾邮 件时它可以检测到邮件里很多细节的部分，从而保证邮件识别的准确率。 内容过滤 Trendmicro Page 23 IMSA 邮件网关采用定制化的内容过滤功能，该功能可以用来识别电子邮件中的关键字或关键短语， 从而判断其是否为垃圾邮件。管理员可以输入字或短语来创建被禁止内容的列表。 1)内容过滤功提供对进出