（计算机系统结构专业论文）个性化安全邮件网关体系结构的研究.pdf

华中科技大学硕士学位论文 摘要 为了在服务器端解决垃圾邮件泛滥的问题，安全邮件网关得到了迅猛发展。但它 们都存在着一系列的缺陷，例如没有真正面向用户以及垃圾邮件过滤效果欠佳等。本 文提出并设计的个性化安全邮件网关力图解决上述问题。 设计了个性化安全邮件网关与邮件服务器协同工作的网络拓扑，并分析了各种情 况下安全邮件网关的数据流程。详细设计了个性化安全邮件网关的体系结构。整个系 统划分为八个模块。其中i p 过滤模块、策略过滤模块和智能过滤模块分别逐层对新 接收到的电子邮件数据进行垃圾邮件过滤操作。黑名单管理模块、日志管理模块、配 置信息管理模块、善后处理模块和管理界面模块为上述三个功能模块提供支持。设计 了各模块的内部结构，定义了其工作流程。 个性化过滤是尽量满足不同管理员或用户对垃圾邮件过滤不同需求的一种方式。 其思想体现在个性化安全邮件网关的三个功能模块中。通过定义共性化垃圾邮件和个 性化垃圾邮件并统一进行过滤策略的制定和垃圾邮件的处理，以及根据实际需求的不 同对整个系统进行分域管理，使各级系统管理员和用户都充分参与了垃圾邮件过滤策 略的制定。 多过滤器过滤的思想主要体现在智能过滤模块。多过滤器过滤为个性化过滤提供 支持。最后，对多过滤器过滤与普通过滤进行了对比，结果表明，前者对垃圾邮件有 更好的过滤效果。 关键词：邮件网关，体系结构，垃圾邮件 华中科技大学硕士学位论文 a b s t r a c t s e c u r e - m a i lg a t e w a yh a sb e e n d e v e l o p i n gr a p i d l yw i t h t h ep u r p o s et or e d u c ef l o o d i n g j u n km a i l sa tt h es e r v e rt e r m i n a l ；h o w e v e r , t h e r ea r es e v e r a lf a u l t si ni t ，e g i t sn o tr e a l l y u s e r - o r i e n t e da n dt h ej u n km a i lf i l t e rd o e s n tw o r kw e l l t h i sp a p e rt r i e st os o l v et h e s e p r o b l e m sb yp r o p o s i n g t h ed e s i g no f p e r s o n a l i z e ds e c u r e - m a l lg a t e w a y i v ep u tf o r w a r dt h ep e r s o n a l i z e ds e c u r e m a l lg a t e w a yt o g e t h e rw i t i lt h en e t w o r k f r a m e w o r ko fo p e r a t i n gm a l ls e r v e r , a n a l y z e dt h ed a t ap r o c e d u r eo fs e c u r e m a i lg a t e w a y u n d e rv a r i o u sc o n d i t i o n s ，a n dd e s i g n e dt h e s y s t e mc o n f i g u r a t i o n o ft h ep e r s o n a l i z e d s e c u r e m a l l g a t e w a y t h e r ea r e 8m o d u l e si nt h es y s t e m ，a m o n gw h i c ht h ei pf i l t e r m o d u l e ，t h es t r a t e g yf i l t e rm o d u l ea n d t h ei n t e l l e c t u a lf i l t e rm o d u l ew o r ks e p a r a t e l yl a y e r b yl a y e rt of i l t e ra l ln e w e m a l ld a t ar e c e i v e d t h eb l a c kl i s tm a n a g e m e n tm o d u l e ，t h e l o gm a n a g e m e n tm o d u l ea n d t h e c o n f i g u r i n gi n f o r m a t i o nm a n a g e m e n tm o d u l e ，t h e r e h a b i l i t a t i n g m o d u l ea n dt h em a n a g e m e n ti n t e r f a c em o d u l ep r o v i d es u p p o r tf o rt h e p r e v i o u s 3f u n c t i o n a lm o d u l e s i v ed e s i g n e dt h ei n t r a - s t r u c t u r eo fe a c hm o d u l ea n d d e f i n e di t sw o r k _ f l o w p e r s o n a l i z e df i l t e r i n gi sam e t h o dt om e e td i f f e r e n td e m a n d so f j u n km a l lf i l t e r i n go f d i f f e r e n ta d m i n i s t r a t o r sa n du s e r s ，w h o s ep r i n c i p l ei sp r e s e n t e di nt h e3f u n c t i o n a lm o d u l e s o ft h ep e r s o n a l i z e ds e c u r e m a i lg a t e w a y a f t e rt h ed e f i n i t i o no fg e n e r a l i z e dj u n km a i la n d p e r s o n a l i z e ds p a mm a l l ，a l l l e v e l so fs y s t e ma d m i n i s t r a t o r sa n du s e r sa r ea d e q u a t e l y i n v o l v e di nt h ee s t a b l i s h m e n to f j u n k m a l lf i l t e r i n gs t r a t e g yt h r o u g h t h es e t t i n go f f i l t e r i n g s t r a t e g ya n dp r o c e s s i n go fj u n km a l l ，a sw e l la st h es e c t i o n - s p e c i f i cm a n a g e m e n to f t h e w h o l e s y s t e mi na c c o r d a n c e w i t hd i f f e r e n td e m a n d s t h ep r i n c i p l eo fm u l t i f i l t e r sf i l t e r i n gi sm a i n l yd e m o n s t r a t e di nt h ei n t e l l e c t u a lf i l t e r m o d u l e m u l t i f i l t e r sf i l t e r i n gp r o v i d e ss u p p o r t f o r p e r s o n a l i z e df i l t e r i n g f i n a l l y , a c o n t r a s t i v es t u d yo fm u l t i - f i l t e r sf i l t e r i n ga n dc o m m o nf i l t e r i n gh a sb e e nc o n d u c t e da n d t h e r e s u l t ss h o wt h a tt h em u l t i f i l t e r sf i l t e r i n gw o r k s b e t t e rt h a nt h el a t t e r k e y w o r d s ：m a l lg a t e w a y , a r c h i t e c t u r e ，s p a m i i 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个 人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体， 均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名 日期：k 悼4 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密口，在年解密后适用本授权书。 本论姗于不保耐 ( 请在以上方框内打“”) 学位论文作者签名 日期：沪哗t 4 - y l t = j 艴名参 日期：淅年f 月彦日 辫 华中科技大学硕士学位论文 1 1 课题背景 1 绪论 当今世界已经进入信息时代。国际互联网络( i n t e m e t ) 得到了空前发展，已经在 各行各业得到了广泛应用。电子邮件【l - 3 ( e m a i l ) 服务以其快捷，方便，低成本等特 性，成为国际互联网络最常用和最重要的服务之一。据中国互联网中心统计，在选择 最常使用的国际互联网服务时，8 7 6 5 的用户选择了电子邮件服务，居国际互联网络 各项服务的首位。 目前全球注册的电子邮件信箱已经超过5 亿个，每时每刻都有成千上万的用户在 使用电子邮件系统进行信息沟通。然而，电子邮件系统的安全性，也日益被广大电子 邮件使用者所关注。 我认为，电子邮件系统的安全性问题，主要体现在两个方面。第一，是电子邮件 在传输过程中的安全性问题。即如何防止电子邮件信息在传送到目的地的过程中被人 非法拦截，窃取，篡改。这主要利用身份认证【4 】，数据加密【5 1 等技术来实现。在文献 6 - 7 w ，作者均对电子邮件这方面的安全问题进行了研究。 电子邮件系统的第二个安全性问题，是如何防止电子邮件系统使用者频繁接收到 自己不愿接收的电子邮件。即如何能够做到反垃圾邮件( s p a m ) 。文献 8 1 1 】对此进行 了一定的研究。 1 1 1 垃圾邮件的定义 随着国际互联网络的发展和电子邮件系统的广泛使用，垃圾邮件泛滥的问题也i = t 益突出。所谓垃圾邮件，简单都说，就是电子邮件系统使用者不愿意接收，却又被追 接收的电子邮件。 2 0 0 3 年3 月，中国互联网协会制定了反垃圾邮件规范。在这个行业性规范中， 垃圾邮件被这样定义： ( 1 ) 收件人事先没有提出要求或者同意接收的广告，电子刊物，各种形式的宣 传品等宣传性电子邮件； ( 2 ) 收件人无法拒收的电子邮件； ( 3 ) 隐藏发件人身份，地址，标题等信息的电子邮件i 华中科技大学硕士学位论文 ( 4 ) 含有虚假的信息源，发件人，路由等信息的电子邮件。 我认为在上述垃圾邮件定义的基础上，还应该添加两条： ( 5 ) 主动或被动携带有病毒的电子邮件； ( 6 ) 国家明令禁止的，危害性信息的宣传性电子邮件。 在本文中，“垃圾邮件”的定义以上述六点描述为标准。 经过对各种垃圾邮件等特性，危害，电子邮件系统的普通使用者和管理者对其的 态度等方面的研究，我认为整个垃圾邮件应该分为两个部分： ( 1 ) 共性化垃圾邮件 所谓共性垃圾邮件，一方面是指那些对所有电子邮件系统使用者而言都是垃圾邮 件，大家都不愿意受到其骚扰的邮件。比如携带有病毒的电子邮件【1 2 】，相信不会有谁 会希望接收它。另一方面是指那些带有国家明令禁止的不良信息的宣传性邮件。这种 垃圾邮件应该被管理员直接清除掉，保证电子宙日件使用者不受到骚扰。任何电子邮件 使用者都不愿意，也不应该接收到这种垃圾邮件。 ( 2 ) 个性化垃圾邮件 众所周知，任何电子邮件使用者的爱好，意愿和需求等都各不相同。他们对垃圾 邮件的定义也有很大区别。例如，本人对明星花边新闻不感兴趣。所以各种传播娱乐 新闻的电子邮件对我来讲就是垃圾邮件，丽对别人来讲，例如很多女生，可就未必了。 还有一种可能。如果本人现在需要购买一个m p 3 播放器，那么我会欢迎m p 3 播放器 相关的商业性广告。这时，宣传m p 3 播放器产品信息的电子邮件对我来讲就不是垃 圾邮件。而一旦我已经购买了r a p 3 播放器，我就不会再对相关广告感兴趣了。那么 这时，这种宣传m p 3 播放器产品信息的电子邮件对我来说就变成垃圾邮件了。也就 是说，所谓个性化垃圾邮件，是指那些针对某个电子邮件系统使用者而言，在某一时 间段内，不愿意接收到的电子邮件。 现在针对反垃圾邮件，以及安全邮件网关的研究，主要是针对共性化垃圾邮件而 言的。而显然的，对个性化垃圾邮件的过滤，封堵，使电子邮件系统使用者免受其骚 扰，也是非常重要和必要的。 本文提出“个性化安全邮件网关”，就是要在使对共性化垃圾邮件的过滤具有更 好效果的前提下，在反个性化垃圾邮件的方面也做出一定的工作。 1 1 2 垃圾邮件的泛滥情况 相信每个电子邮件系统的使用者都会明显的感觉到近些年来国际互联网络上垃 华中科技大学硕士学位论文 圾邮件的泛滥成灾。大家对垃圾邮件普遍感到反感和无奈。尤其是那些应用电子邮件 系统比较多的用户，例如企业管理人员，市场销售人员，总是为了如何清除这些纷至 沓来的各种各样垃圾邮件而烦恼。 据中国互联网信息中心( c n n i c ) 发表的中国互联网发展状况统计报告中统 计，我国网民所接收到的垃圾邮件早已超过了正常邮件，两者之比还在不断加大。具 体数字由表1 1 所示： 表1 1中国网民平均每周接收到垃圾邮件和正常邮件的封数和两者之比 时间垃圾邮件正常邮件两者之比 2 0 0 2 年7 月6 9 封6 5 封1 0 6 ：1 0 0 2 0 0 3 年1 月8 3 封77 封1 0 8 ：1 0 0 2 0 0 3 年7 月8 9 封7 2 封 1 2 4 ：1 0 0 2 0 0 4 年1 月7 9 封5 8 封1 3 6 ：1 0 0 据新华网2 0 0 3 年1 2 月2 6 日报道，由于垃圾邮件泛滥成灾而浪费掉的中国国内生 产总值( g d p ) 每年高达4 8 亿元人民币。我国的垃圾邮件还在以每年3 0 的速度递 增。 由此可见现在垃圾邮件的泛滥程度。真正可怕的是，垃圾邮件的泛滥正在不断恶 化，而还没有看到缓解的趋势。 1 1 3 垃圾邮件的危害 所有人都对泛滥成灾的垃圾邮件深恶痛绝。那么，垃圾邮件对电子邮件系统使用 者，国际互联网络，乃至整个社会到底有什么危害呢? 我认为主要有以下几条： ( 1 ) 大量占用了网络带宽资源 ( 2 ) 浪费了邮件服务器的处理资源 ( 3 ) 增加了用户对邮件的处理时间 ( 4 ) 传播非法内容，对社会造成负面影响 ( 5 ) 传播病毒，威胁网络和个人计算机的安全 所有的垃圾邮件都具有上述的前两条危害。对于共性化垃圾邮件而言，它们还具 有第四条，或者第五条危害。个性化垃圾邮件的危害性除了前两条，主要体现在第三 华中科技大学硕士学位论文 条危害之中。 总之，垃圾邮件具有很大的危害性。我们应该采取各种措施，尽可能解决这个问 题。 1 1 4 安全邮件网关 反垃圾邮件，有两个研究方向。一方面，我们可以在电子邮件系统的客户端进行 反垃圾邮件的工作。现在已经有很多优秀的产品供我们使用。例如f o x m a i l 1 3 l ，就可 以山用户来制定安全过滤策略，从而具有一定的反垃圾邮件功能。文献f 1 4 j 对此类型 的一款产品进行了详细介绍与分析。还有很多厂家发布了应用在电子邮件系统客户端 产品上的，具有反垃圾邮件功能的过滤插件，供大家使用。 但是很显然，在电子邮件系统的客户端进行反垃圾邮件的工作，有其很大的局限 性。首先，所有的垃圾邮件还是被邮件服务器所接收，并且保存到用户信箱里。所以， 如果只是将反垃圾邮件的工作放在电子邮件系统的客户端来完成，至少不能避免垃圾 邮件泛滥的一条危害大量占用带宽，大量占用邮件服务器的存储空间。 另外，由于单个电子邮件系统使用者能够接收的电子邮件比较有限，不能使用较 为复杂，实用的垃圾邮件过滤策略，只能对接收到的垃圾邮件进行例如关键字过滤或 基于规则等较为简单的过滤策略。这使得对垃圾邮件的过滤效果不佳，一方面垃圾邮 件可能会被漏报，另一方面正常邮件也有可能被误报为垃圾邮件。这都是用户所难以 容忍的。 还有一个很重要的问题。很多电子邮件系统的使用者并不愿意，或者不能够花费 自己较多的时间来使自己的电子邮件系统客户端充分发挥反垃圾邮件的功能。另外， 有一些垃圾邮件，例如政治性，色情性垃圾邮件，应该不通过用户，而直接被过滤掉。 综上所述，仅仅把反垃圾邮件的工作放在电子邮件系统的客户端来进行，将有较 大的弊端。因此引出了反垃圾邮件的第二个研究方向在邮件服务器端进行反垃圾 邮件的工作。 在邮件服务器端进行反垃圾邮件的工作，可以尽可能的避免或者减少垃圾邮件在 网络上的传输，从而节省网络带宽。也可以尽可能的减少垃圾邮件在邮件服务器上保 存，从而节省邮件服务器的存储空间。更为重要的是，管理员可以在邮件服务器端加 强管理，使广大用户兔受含有国家明令禁止危害信息的垃圾邮件的骚扰。 为了在邮件服务器端完成反垃圾邮件的工作，有两个工作思路。一方面，可以在 4 华中科技大学硕士学位论文 现有邮件服务器中添加反垃圾邮件的模块，全面提高整个邮件服务器在反垃圾邮件方 面的功能。这种思路有其一定的优点。由于实现反垃圾邮件功能的工作模块直接嵌入 在邮件服务器之中，可以直接使用现有邮件服务器的相关资源，同时也避免了一些额 外工作。但是，反垃圾邮件的工作比较复杂。如果想达到较好的效果，会消耗较多的 系统资源，如c p u ，内存等。由于邮件服务器本身负荷就已经很大，如果再将反垃圾 邮件的工作加入其中，会使整个邮件服务器不堪重负。另外，这样设计电子邮件服务 器会使整个系统的逻辑结构因为缺乏层次性而显得不甚清晰。 为了解决上述问题，我们引出了在邮件服务器端完成反垃圾邮件的工作的第二个 工作思路专门建立一个安全邮件网关【i ，放置在现有的邮件服务器前端，专门负 责反垃圾邮件的工作。一封电子邮件在流入( 流出) 邮件服务器之前，先要经过安全 邮件网关。安全邮件网关执行各种过滤策略，完成反垃圾邮件的工作。经过安全邮件 网关的审核，正常的电予邮件将被放行，进入邮件服务器保存到用户的信箱里( 或被 放行，被传递给目的邮件服务器) 。也就是说，安全邮件网关主要从事反垃圾邮件的 工作，而原有的邮件服务器则主要完成电子邮件的存储和分发工作。 很显然，这样的设计逻辑结构十分清晰。十分便于产品开发者的工作和用户的产 品选购。产品开发者可以根据自己的技术实力和市场现状来决定自己产品的定位，而 每个用户也可以根据实际情况决定自己邮件服务器或安全邮件网关的采购。 本文将对安全邮件网关进行研究。为了弥补现有安全邮件网关产品的一些缺陷 ( 后续章节将详细介绍) ，提出了“个性化安全邮件网关”。并对其体系结构，模块设 计，特点优势等方面进行详细的研究与阐述。 1 2 国内外概况 为了解决，至少是缓解垃圾邮件泛滥成灾的问题，国内外研究人员进行了大量工 作，取得了很大的成绩。由于本文主要针对安全邮件网关进行研究，所以在这里我仅 针对国内外安全邮件网关领域研究的最新进展作简要介绍。 1 2 1 国内外产品介绍 美国网络联盟公司( n e t w o r k a s s o c i a t e s ) 是国际著名的计算机安全服务提供商。 该公司最新推出了m c a f e ew e b s h i e l de 1 0 0 0 ，是专为大型企业而设计的安全邮件网 关。w e b s h i e l d 设备提供的透明扫描保障对s m t p 或p o p 3 通讯进行扫描时不再需要 华中科技大学硕士学位论文 对客户机器进行配置，也不需要对来自邮件服务器的通讯进行重新定向。 m c a f e e w e b s h i e l d 设备可以通过支持基于d n s 的黑洞( b l a c k h o l e ) 列表封堵涌 向企业的垃圾邮件，节省有用的网络资源以及用户用于阅读垃圾邮件的时间。反中继 功能可以防止其他个人使用邮件服务器中转垃圾邮件，使邮件服务器所有者对网络安 全拥有更大的控制权。此外，内容过滤功能可对邮件中的特定垃圾词汇和语句进行封 堵。 w e b s h i e l d 设备具有高性能和高可靠性。w e b s h i e l de 2 5 0 是为小型企业而设计的， 可处理的s m t p 邮件吞吐量达到每小时3 0 0 0 0 条。w e b s k i e l de 5 0 0 适用于中到大型企 业，扫描能力是s m t p 邮件每小时8 0 0 0 0 条。e 1 0 0 0 的性能接近e 5 0 0 的两倍，并且可 以支持大量的并行用户。 w e b s h i e l d 的内容过滤功能可对用户进行保护，使其免受攻击性或骚扰性邮件的 烦扰；同时，此功能还可以预防此类邮件经由公司发出，从而避免可能发生的法律纠 纷。由于增加了合法保护，m c a f e ew e b s h i e l d 设备允许向所有进出网络的邮件中插 入责任声明文字。w e b s h i e l d 设备还可以帮助用户节省带宽，防止用户接收或发送带 有某种类型附件的邮件、容量过大的邮件或带有过多、过大附件的邮件。 通过与m c a f e e 的e p o l i c yo r c h e s t r a t o r 进行集成，w e b s h i e l d 设备可以在网关提 供针对主要病毒活动的图形报告功能。详尽的报告使管理员可以了解网络上何处触发 了内容过滤规则、何处有对被禁止的u r l 的访问企图。此外，全面的病毒趋势分析 和报告也使所有病毒活动全面的展现在管理员面前。使用m c a f e ee p o l i c yo r c h e s t r a t o r 所提供的各种预定制报表，用户就可以追踪到病毒发作的源头，或者确定出病毒安全 策略的效能。 近些年来，我国在安全邮件网关的研究方面也取得了很大成绩，涌现出一系列安 全邮件网关的实用性产品。 成都思维世纪科技有限责任公司( 简称”思维世纪”) ，开发出i x r a y 反垃圾邮件 网关，针对s m t p 、p o p 3 协议进行地址解析、协议分析及关键字分析，实现电子邮 件的过滤功能。 该产品有如下主要功能： 能够对发送电子邮件的特定i p 地址进行阻断； 限制来自相同客户端p 的最大同时连接数量； 限制来自相同客户端口的最大连接频率； 华中科技大学硕士学位论文 基于邮件内容的过滤功能、提供对球地址、邮件地址、主题、正文、附件的 过滤： 灵活的安全策略，支持通配符； 双向垃圾邮件过滤，支持s m t p 、p o p 3 协议对接收和发送垃圾进行过滤： 对垃圾邮件过滤和阻断数量可以进行日志记录和统计分析； i x r a y 反垃圾邮件系统提供模块化设计，可以无缝地嵌入防病毒模块。防病 毒模块能够扫描并清除邮件，及其各种文件形式和压缩格式的附件文件的病毒，阻止 病毒在网络中的传播。 1 2 2 现有产品存在的不足 由1 2 1 节可知，现在国内外对安全邮件网关进行了很多研究，并出现了很多优 秀的实用性产品。这些产品在功能上各有千秋，各有亮点。但是经过认真研究，我认 为当静安全邮件网关产品有其明显的缺陷和不足。 第一个不足，是现有的安全邮件网关产品以及学术研究基本上都没有个性化过滤 的概念。也就是说，都只考虑了如何对共性化垃圾邮件进行过滤，而没有考虑到每个 电了邮件使用者的实际需求，没有考虑如何反个性化垃圾邮件。对于每个电子邮件使 用者来讲，如何保证自己不会总是被个性化垃圾邮件骚扰，也是一个非常重要的问题。 另外，管理员面对各不相同的垃圾邮件过滤需求总显得力不从心。文献 1 6 1 虽然提到 了“个人化”的概念，但是仅对贝叶斯 1 7 - 1 9 】内容过滤算法进行了一定研究。 另一个不足，是现有的安全邮件网关产品基本上只是简单的将所有的电子邮件划 分为正常邮件和垃圾邮件两部分。对一封电子邮件进行过滤判断，结果只有正常邮件 和垃圾邮件两种可能( 当然有垃圾邮件概率的概念) 。这种过滤策略的很大弊端是过 滤效果欠佳。 1 3 课题主要研究工作 本文主要对安全邮件网关进行研究。在全面分析电子邮件系统的工作原理以及相 关协议的前提下，进行电子邮件系统的安全性分析，指出其先天安全性缺陷。在1 1 4 小节已经指出安全邮件网关产品的出现正是为了尽可能弥补这个缺陷。在1 2 2 小节 阐述了现有安全邮件网关存在的不足。如何解决其不足正是本文的中心内容。 我提出了“个性化安全邮件网关”。首先对其系统结构进行详细描述。然后详细设 华中科技大学硕士学位论文 计本系统各模块的内部结构及其工作流程。接着分析和讨论本系统与现有安全邮件网 关产品相比具有哪些特点和创新以及在性能方面的改善与提高。最后讨论今后还需要 进一步研究的问题。 具体地说，本课题主要进行以下几个方面的工作： ( 1 ) 分析电子邮件系统的工作原理以及相关协议； ( 2 ) 研究电子邮件系统的先天安全性缺陷； ( 3 ) 提出“个性化安全邮件网关”体系结构； ( 4 ) 设计“个性化安全邮件网关”各模块的内部结构以及工作原理： ( 5 ) 与现有相关产品作比较，指出“个性化安全邮件网关”的特点与创新，以 及在性能方面的改善与提高。 华中科技大学硕士学位论文 2 电子邮件系统的工作原理及安全性分析 2 1 电子邮件系统的工作原理 电子邮件系统主要由三部分组成：邮件用户代理( m u a ) ，邮件分发代理( m d a ) 和邮件传输代理( m t a ) 。下面逐一进行简要研究。 邮件用户代理凹】( m u a ) 是用户接口。在电子邮件系统中，用户在邮件服务器 上拥有一个信箱来存放自己的邮件。m u a 向用户提供了读取并处理存放在他们信箱 中电子邮件以及向外发送电子邮件的操作界面。m u a 至少具有以下三个方面的功能： 显示信件。即提供方便的界面，将用户信箱里的电子邮件( 包括新接收到的和已 有的) 展现到用户面前。 撰写信件。即给用户提供一个能够方便编辑信件的环境。 处理信件。支持用户根据实际情况按照不同的方式对各种信件进行处理操作。例 如自建目录对信件进行分类保存，在阅读后删除，存盘，打印或转发，先查看来信的 发信人及长度再读取等。 自口件分发代理( m d a ) 的主要工作是将邮件服务器接收到的电子邮件分发给相 应的目的用户。也就是说，将每一封电子邮件根据收信人账户存放到相应的信箱中。 除了上述的电子邮件分发功能，m d a 还拥有一些辅助功能。例如自动邮件回复 功能。所谓自动邮件回复，是指m d a 允许电子邮件用户基于来信的信头区域定义的 内容发送回复邮件。电子邮件用户可以对自动邮件回复功能进行个性化定制，来满足 对所接收信件进行不同类型的回复要求。 邮件传输代理1 2 1 l ( m t a ) 负责处理所有接收和发送电子邮件的工作。m t a 是整 个电子邮件系统的中心环节。m t a 采用客户服务器的方式进行工作。如果电子邮件 用户利用邮件用户代理( m u a ) 编辑好一封信件准备进行发送，m u a 就要将这封信 件交给邮件传输代理( m t a ) 。本地的m t a 作为远程目的邮件服务器的客户，与目 的主机( 实际上是与目的主机上的i ! a ) 建立t c p 连接，并将邮件传送过去。目的 主机上的m t a 完成来信的接收工作。随后，m t a 把来信转交给邮件分发代理( m d a ) ， 由m d a 根据收件人账号将这封信投递到相应的用户信箱里。 总之，上述的邮件用户代理( m u a ) ，邮件分发代理( m d a ) 和邮件传输代理 华中科技大学硕士学位论文 ( m t a ) 共同组成整个电子邮件系统。 2 2 电子邮件系统的相关协议 在2 1 小节已经研究了电子邮件系统的工作原理。针对电子邮件系统的每个部分， 有一系列的协议来规范其行为。由于整个电子邮件系统所涉及到的工作非常多，非常 繁杂，所以相应的r f c 规范超过4 0 个。下面仅对比较重要的若干电子邮件协议进行 讨论。 ( 1 ) 邮局协议，版本3 ( p o p 3 ) p o p 3 协议由r f c l 9 3 9c z 2 1 定义，是一个颇为流行的允许客户机从远程服务器上收 取邮件的协议。它允许用户的电子信箱安置在某个运行邮件服务器程序的计算机( 邮 件服务器) 上，并允许用户从其个人计算机连接到邮件服务器，然后下载信箱中的内 容。 对于p o p 而言，从网上接收到的邮件交付给服务器，用户计算机不定期的连接 到服务器，将自己的邮件下载到个人计算机上。此后，所有对邮件的处理都在用户的 计算机上进行。因此p o p 服务器是一个具有存储转发功能的中间服务器。一旦邮件 交给用户，p o p 服务器上就不再保存这些邮件。也就是说，邮局协议是一个脱机协议。 这样做的优点是可以节省邮件服务器的存储空间。但是有一个很大的弊端，就是 对于经常改变上网地点的用户来讲，不能随时查看自己的所有信件。另外，使用起来 也不是很方便。交互邮件访问协议( 1 m a p ) 的出现，正是为了解决p o p 协议的这些 不足。 ( 2 ) 交互邮件访问协议( v 量a p ) 交互邮件访问协议( i m a p ) 由r f c 2 0 6 0 2 3 1 定义。该协议使得用户可以在远地操 纵邮件服务器上自己的信箱，就像在本地操纵一样。用户通过个人计算机，可以随时 随地连接到远程i m a p 服务器上。如果用户需要打开某个邮件，则该邮件才被传送到 用户的个人计算机上。用户也可以按照某种条件对所有邮件进行查找。在用户发出删 除邮件的命令之前，用户信箱中的邮件一直被保存着。 交互邮件访问协议( i m a p ) 可以弥补p o p 3 协议的不足。但是其缺点是服务器占 用空间较大。 ( 3 ) 多用途互联网邮件扩展( m i m e ) 简单邮件传输协议( s m t p ，后面将详细讨论) 具有一系列的缺点。如s m t p 不 l o 华中科技大学硕士学位论文 能传送可执行文件或其他的二进制对象，而且只限于传送7 位a s c i i 码，许多非英语 囤家的文字就无法传送。为了尽可能弥补s m t p 的这些缺陷，定义了多用途互联n a g 件扩展( m i m e ) 。m i m e 是一种对二进制数据进行编码的互联网标准，其报文格式由 r f c 2 0 4 5 2 4 1 和r f c 2 0 4 6 1 2 5 1 定义。 m i m e 并没有打算改动或取代s m t p 。m i m e 的意图是继续使用目前的电子邮件 信头格式( r f c 8 2 2 【2 6 j ) ，但增加了信件主体结构，并且定义了传送非a s c i i 码的编码 规则。也就是说，使用m i m e 的邮件可以在现有的电子邮件系统和协议下传送。 ( 4 ) 简单邮件传输协议( s m r p ) 简单邮件传输协议( s m t p ) 从1 9 8 2 年起就被用来在不同类型的计算机系统件传 送电子邮件及其附件。因其使用方便，可移植性强而成为国际互联网络上计算机系统 问传输电子邮件的标准协议。s m t p 由r f c 8 2 1 1 27 j 来定义。 s m t p 是整个电子邮件系统最为重要的一个协议。它定义了两个邮件传输代理 ( m t a ) 之间相互通信的规范。这里将对简单邮件传输协议( s m t p ) 进行较为深入 的研究。 s m t p 的目标是可靠高效地传送邮件，它独立于传送子系统而且仅要求一条可阻 保证传送数据单元顺序的通道。s m t p 的一个重要特点是它能够在传送中接力传送邮 件，传送服务提供了进程间通信环境( i p c e ) ，此环境可以包括一个网络，几个网络 或一个网络的子网。进程可能直接和其它进程通过已知的i p c e 通信。邮件可以通过 连接在不同i p c e 上的进程跨网络进行邮件传送。更特别的是，邮件可以通过不同网 络上的主机接力式传送。 s m t p 设计基于以下通信模型：针对用户的邮件请求，发送s m t p 建立与接收 s m t p 之间建立一个双向传送通道。接收s m t p 可以是最终接收者也可以是中间传送 者。s m t p 命令由发送s m t p 发出，由接收s m t p 接收，而应答则反方面传送。 一旦传送通道建立，s m t p 发送者发送m a i l 命令指明邮件发送者。如果s m t p 接收者可以接收邮件则返回o k 应答。s m t p 发送者再发出r c p t 命令确认邮件是否 接收到。如果s m t p 接收者接收，则返回o k 应答；如果不能接收到，则发出拒绝接 收应答( 但不中止整个邮件操作) ，双方将如此重复多次。随后，s m t p 发送者再发 出d a t a 命令，开始正式传送邮件信息。当接收者收到全部邮件后会接收到特别的序 列，如果接收者成功处理了邮件，则返回o k 应答。 s m t p 提供传送邮件的机制，如果接收方与发送方连接在同一个传送服务下时， 华中科技大学硕士学位论文 邮件可以直接由发送方主机传送到接收方主机；或者，当两者不在同一个传送服务下 时，通过中继s m t p 服务器传送。为了能够对s m t p 服务器提供中继能力，它必须拥 有最终目的主机地址和邮箱名称。 m a i l 命令参数是回复路径，它指定邮件从何处来；而r c p t 命令的参数是转发 路径的，它指定邮件向何处去。向前路径是源路径，而回复路径是返回路径( 它用于 发生错误时返回邮件) 。 s m t p 对话实例由图所示： 图2 1s m t p 对话 ( 5 ) 扩展s m t p 协议 s m t p 协议在国际互联网络上计算机之间传输电子邮件的工作一直作得很好。但 是随着电子邮件系统的升级和迅速处理要求的增加，它的局限性也开始被系统管理员 所认识。人们没有尝试去取代这套全世界都在使用的标准协议，而是对基本的s m t p 进行了改进，在保持原有特性的基础上增加了一些符合实际需要的新功能。 1 9 9 5 年公布的r f c l 8 6 9 定义了一套扩展s m t p 功能方法的规范。使用扩展s m t p 的标志是将s m t p 中的问候命令h e l o 改为新的问候命令e h l o 。一旦s m t p 服 1 2 华中科技大学硕士学位论文 务器接收到这条命令，它就能够意识到客户s m t p 服务器有能力发送扩展的s m t p 命令。 扩展s m t p 协议主要试图解决s m t p 服务器的安全性问题。它定义了e t r n 命 令，允许s m t p 的客户端请求同服务器建立另一条s m t p 连接来反向传送电子邮件。 e t r n 命令仅仅开始另一个s m t p 对话，并不通过已经存在的s m t p 对话进行数据的 传输。这样，s m t p 服务器就可以使用正常的d n s 域名解析方法同客户机进行联系。 电就是说，e t r n 并不依赖于客户机自己声明的身份。如果黑客建立了一条未经授权 的s m t p 连接并发送了e t r n 命令，s m t p 服务器只会同真正的客户机建立连接并发 送所有等待发送的邮件。这样并不会造成什么危害。 扩展s m t p 协议另一个新提出得重要命令是a u t h 。它允许s m t p 客户机使用用 户i d 和密码或其他认证技术向服务器正确标识自己的身份。这个命令主要是为了保 证合法用户的信箱账号免遭他人的非法盗用。 扩展s m t p 西议主要由r f c l 8 6 9 2 8 1 ，r f c l 8 7 0 2 9 l ，i l f c l 8 9 1 来定义。 2 3 s m t p 协议安全性分析 在2 2 小节中已经指出，s m t p 协议定义了两个自5 件传输代理( m t a ) 之间相互 通信的规范，是整个电子邮件系统最为重要的协议。虽然这个协议应用极为广泛，近 年来又出现了扩展s m t p 协议，但是其安全性仍然不容乐观。 这个已经拥有2 0 多年历史的协议，其致命的缺陷就是“充分信任”。s m t p 协议 是早年由美国学术界的科研人员设计出来的，后来逐渐成为行业规范。这个协议有其 重要的优点，但是很显然的，设计者并没有考虑到科学实验和商业运作之间的区别。 现在，s m t p 协议的制定者i n t e m e t 工程任务组( i e t f ) 也注意到这一点，并准备做 一些工作了。文献 3 1 1 介绍了i e t f 针对反垃圾邮件的一些研究成果。 由2 2 ，j 、节可以看出，s m t p 协议没有任何身份认证的机制，默认从客户端接收 到的一切信息都是真实可靠的。无论客户s m t p 向服务器端发送的命令h e l o ，m a i l f r o m 还是r c p tt o 后面跟随的信息是什么，s m t p 服务器端都将全盘接受这些信 息而不进行任何检查。也就是说，s m t p 协议缺乏选择性拒绝机制。这样一种设计在 科学家们的实验室里当然是行得通的，但是放在整个社会里供所有人使用，就显得漏 洞百出了。 s m t p 原型协议的共同作者、新墨西哥大学访问讲师s l u i z e r 曾经建议人们从头开 华中科技大学硕士学位论文 始编写新的邮件传输协议。因为s m t p 的安全性缺陷实在是太严重了，与其修修补补， 不如从头再来。 扩展s m t p 协议对s m t p 进行了一定的改进，但是实际效果有限。正如2 2 小节 已经讨论过的，扩展s m t p 协议能够一定程度上保证电子邮件服务器使用者的账号不 被别人非法盗用，但是其并不能从理论上杜绝垃圾邮件在国际互联网络上的泛滥成 灾。 我曾经作了这样一个试验。在实验室里，用虚拟口地址安装了一个邮件服务器， 并取域名为t o p s e c e d u c n 。很显然，由于这个邮件服务器没有实i p 地址，其并不拥有 合法的域名，因而不是一个合法的邮件服务器。我利用这个“非法的”邮件服务器向 s o h u 上的一个合法用户账号z h a n g b a o p i n 9 1 9 7 6 s o h u c o m 发电子邮件1 0 余封，均获 成功。 s o h u 是我国著名的邮件服务提供商，它不可能没有采取各种反垃圾邮件的安全措 施。但是尽管如此，s o h u 还是没有，至少是有的时候没有对所收到的信件进行来源的 合法性检查。这个问题的原因，从本质上来讲，就是s m t p 协议存在严重的缺陷。 2 4 小结 本小节首先深入阐述了电子邮件系统的工作原理。在认真分析了电子邮件相关协 议的基础上，详细讨论了简单邮件传输协议( s m t p ) 所存在的天然缺陷。由此可见， 为了缓解，以至解决垃圾邮件泛滥成灾的问题，必须在s m t p 协议的基础上进行进一 步工作。 结合1 1 4 小节可以看出，安全邮件网关是弥补s m t p 协议的缺陷，解决垃圾邮 件问题的一个研究方向。 1 4 华中科技大学硕士学位论文 3 个性化安全邮件网关的设计与实现 安全邮件网关可以一定程度上弥补s m t p 协议的先天缺陷，从而解决国际互联网 络上垃圾邮件泛滥成灾的问题。但是现有的安全邮件网关仍然存在着明显的不足。在 本章，我将设计一个全新的“个性化安全邮件网关”，来试图解决上述问题。 3 1 设计目标 通过对同类产品以及当前市场需求的深入研究，我认为个性化安全邮件网关应该 具有队下特性： ( 1 ) 对用户及管理员透明 个性化安全邮件网关接入网络，应该尽可能的对用户以及管理员保持透明。应该 不影响原有网络拓扑或者只做简单修改，并保证不影响原有网络性能。 ( 2 ) 高效查杀共性化垃圾邮件 共性化垃圾邮件的查杀效率较高。杜绝带有病毒的电子邮件入侵邮件服务器，全 衙过滤掉具有反动宣传性，色情性等内容的垃圾邮件。 ( 3 ) 高效查杀个性化垃圾邮件 个性化垃圾邮件的查杀效率较高。根据每个用户所定制的过滤策略，为该用户过 滤掉其个性化垃圾邮件。 ( 4 ) 较强的抗攻击性 可以抵御各种针对邮件服务器的攻击，如目录树攻击，多线程攻击，字典算法攻 击等。 ( 5 ) 整体性能比较高 无论是共性化垃圾邮件还是个性化垃圾邮件，都应该具有较低的漏报率和误报 率。另外，整个系统( 个性化安全邮件网关和原有的邮件服务器) 的邮件处理速度应 该比较快，应该保持一定的吞吐率。 ( 6 ) 可扩展性比较强 应该采用模块化设计的思想，便于根据实际情况扩充新功能。 ( 7 ) 操作简单，管理方便 无论对于用户还是对于管理员，都应该提供便捷，易用的操作界面，方便用户和 华中科技大学硕士学位论文 管理员配置，监控邮件网关。 3 2 网络拓扑 根据3 1 小节给定的设计目标，我设计了个性化安全邮件网关。为了使邮件网关 能够与原有的邮件服务器协调工作，先来研究网络拓扑