XX企业防垃圾邮件项目技术方案.doc

此文档收集于网络，如有侵权，请联系网站删除企业防垃圾邮件项目技术方案北京赛门铁克信息技术有限公司 2004年11月目 录目 录21.前 言42.垃圾邮件分析42.1.什么是垃圾邮件42.2.垃圾邮件的危害63.企业防垃圾邮件解决方案73.1.企业网络现状分析73.2.防垃圾邮件技术分析73.3.防垃圾邮件产品选择标准113.4.防垃圾邮件在电信行业中的运用123.4.1.生产运营网133.4.2.IDC网络133.4.3.客户服务系统133.4.4.OA系统143.5.Symantec Anti Spam Brightmail 6.0143.5.1.高效性和实时性143.5.2.多层过滤技术163.5.3.Symantec Brightmail 可信度服务173.5.4.启发式过滤器183.5.5.邮件头过滤193.5.6.BrightSig2 过滤器193.5.7.附件签名技术203.5.8.URL过滤器203.5.9.过滤非英语类垃圾邮件213.5.10.内容过滤及其他管理工具223.5.11.过滤器分发与引擎更新223.6.企业防垃圾邮件产品部署方式233.7.企业防垃圾邮件产品服务器硬件选择263.7.1.企业邮件系统规模分析263.7.2.企业防垃圾邮件服务器配置列表273.8.企业Brightmail产品配置列表273.9.Brightmail培训内容274.Symantec公司介绍271. 前 言 在这个技术爆炸的时代，信息技术革命强烈地改变着世界，计算机产业的蓬勃发展给我国带来了巨大的机遇和挑战，尤其是网络技术的广泛应用，模糊了国与国之间的边界，缩短了人们之间的距离。 目前看来，Internet主干网的通信速度已经大幅度提高，从最初的几兆发展到目前的万兆甚至十万兆。网络带宽的提高使用户能够在Internet中选择更多的应用和服务。有线、无线等多种通信方式广泛、有效地融为一体； Internet的商业化应用大量增加，商业应用的范围也不断扩大；网络技术不断发展，用户界面更加友好；各种令人耳目一新的使用方法不断推出，最新的发展包括实时图像和话音的传输。 各种信息技术的不断发展为企业和最终用户带来了多种应用和功能，同时也带来了新的威胁和新的风险，垃圾邮件就是其中影响最广、危害最大的威胁和风险之一。2. 垃圾邮件分析2.1. 什么是垃圾邮件什么是垃圾邮件？垃圾邮件泛指未经请求而发送的电子邮件，如未经发件人请求而发送的商业广告或非法的电子邮件，甚至一些不存在的产品和服务或通过电子邮件来传播病毒.，垃圾邮件是某些想利用 Internet致富的人藉以散播广告或色情的媒介，传送邮件者只需极少的花费，即可造成收件者严重的损失：CPU及服务器硬盘、终端机用户硬盘都极有可能因SPAM影响速度和空间；除了使网络陷入动弹不得的境地外，更令人忧心的便是其夹带的病毒，将同时大量危害企业网络。根据最新的调查报告显示，垃圾邮件在2001年还占所有电子邮件8，而在2004年，这个比例迅速上升到60。甚至有专家预言，在10年以后，整个互联网会由于垃圾邮件的泛滥而不堪重负，完全崩溃。我们无法想像大量未经许可的垃圾邮件继续泛滥发展，将给企业、个人用户造成多大的损失。 随着中国互联网建设的不断完善，中国在Internet中的地位不断提高，同时也成为各种垃圾邮件主要的发送和中转地区。根据IDC的估计，到目前为止，中国已经成为世界第二大垃圾邮件中转国家。而这些邮件大部分都发送到北美和欧洲。在2003年每天发往北美发出的垃圾邮件近80亿封，而在除北美之外的其他国家每天收到的垃圾邮件也接近60亿封。而且近两年来垃圾邮件数量增长迅猛，由2002年的每天70亿封猛增到2004年的每天170亿封。到2005年非英语内容的垃圾邮件将超过英语内容的垃圾邮件达到每天110亿封，请参看下图1：图1：来自IDC的数据从出现的十多年来，垃圾邮件按照可预测的生命周期（分三个主要阶段）逐渐成熟起来。下图是对生命周期的大致概括： 持续的生命周期不断从形式和内涵上推动垃圾邮件的发展。随着反垃圾邮件过滤技术的增加以及垃圾邮件发送者不断寻求新技术和新机遇，垃圾邮件正在迅速成为一种愈来愈危险的现象。2.2. 垃圾邮件的危害对于企业和最终用户来说，庞大的垃圾邮件可能造成如下影响;1. 员工生产力降低。对于企业的内部员工，如果每天都接受到大量的垃圾邮件，可能需要花费12个小时来区分和删除垃圾邮件。同时，用户可能在工作时间讨论和抱怨垃圾邮件，这些都极大的降低了员工的工作效率；2. 增加风险。非常多的垃圾邮件往往伴随着混合型威胁。近些年来爆发的网络天空（Netsky）、大无极（Sobig）、Mydoom等混合型威胁都随着垃圾邮件大量的扩散到世界各地。而且，随着越来越多的国家重视垃圾邮件，已经开始有国家将发送垃圾邮件的行为认定为违法行为，企业自觉、不自觉的发送垃圾邮件将有可能遭受到法律法规的风险。所有这一切都增加了企业所面临的安全风险；3. 增加不必要的成本。大量的垃圾邮件会消耗大部分网络带宽、CPU处理时间和应对垃圾邮件管理员的薪水支出。作为企业来说，为了保证正常的工作运转，往往不得不购买额外的设备和主机来补充被垃圾邮件消耗掉的系统资源和网络带宽，给企业增加了很多不必要的成本。 而作为电信运营商和ISP，更应该肩负起防垃圾邮件的重任。由于电信运营商每天要转发海量的电子邮件给其他的服务提供商、公司组织和最终的邮件用户，这其中也包含大量的垃圾邮件。由于电信运营最接近垃圾邮件源，他们在阻挡、至少是减少垃圾邮件的战斗中处于独特的位置，他们可以通过采用相应的防垃圾邮件技术在这些垃圾邮件试图送入Internet之前就把其丢弃，而根本不转发这些垃圾邮件。（注：如果用户为ISP或者电信行业可添加如上一段文字）3. 企业防垃圾邮件解决方案3.1. 企业网络现状分析此处请详细描述企业的网络现状，尤其是邮件的入站和出站流过程。内容包括：企业的Internet连接情况，是否通过MTA网关中转邮件，最终邮件存储服务器（Message Storage Server）,邮件系统的OS类型和版本，邮件系统本身的类型和版本，出站邮件与入站邮件是否通过同一路径进行传送等等。最好能够有网络拓扑图配合说明，网络拓扑图不需要描述全网的所有网络组件，重点突出邮件系统部分即可。3.2. 防垃圾邮件技术分析垃圾邮件从出现以来，已经经历了多种形态。从最初的简单ASC码类型的垃圾邮件到目前帐户欺骗、包含各种混合型威胁的垃圾邮件，垃圾邮件的形式变化越来越快，隐秘型越来越高、影响和危害也越来越大，如下图所示： 回顾反垃圾邮件技术的发展历程，可以将其分为三个阶段： 触发阶段（1993年1997年）：1994年12月，spam一词开始用于表示垃圾邮件；1995年10月，国际上开始为垃圾邮件设定专门的邮件帐户abusedomain，用于收集、讨论垃圾邮件；同时开始利用“黑名单”（把一些已知的发送垃圾邮件IP或邮件地址列入其中，用来过滤垃圾邮件）技术实施反垃圾邮件工作。 推进阶段（1997年1999年）：1997年5月，国际上成立了CAUCE（Coalition Against Unsolicited Commercial E-mail）组织，主要从倡议立法的角度出发，力图唤醒有志者共同参与，一起抵制垃圾邮件。1998年4月，Internet协会ISOC针对垃圾邮件问题召开了专项会议，讨论有效的实施垃圾邮件过滤方式等等。在这一阶段中，许多国际组织和服务单位例如MAPS、SPANHAUS、ORBSSPAMCOP也相继成立，对垃圾邮件问题（尤其是对ISP）提出了很多建议和解决方案。尤其重要的是，1998年我国成立了第一家开展垃圾邮件与反垃圾邮件技术研究单位“中国教育与科研网紧急响应小组（CCERT）”，他们积极地与国际组织接触并建立联系，成为这一阶段我国接受和处理国际投诉的主要窗口。 发展阶段（1999年2002年）：1999年2月，RFC2502，Anti-Spam Recommendations for SMTO MTAs的正式发布标志着反垃圾邮件技术研究的蓬勃发展。许多国际知名大学和研究机构都组织人员开始了反垃圾邮件技术的研究。随着反垃圾邮件理发和建立统一标准等工作的推进，这一研究领域更是吸引了许多从事交叉学科研究的技术人员的关注。机器学习、神经网络和遗传算法等先进的研究经验都被引入到这一领域。这一阶段的研究成果成为近几年国内外开发反垃圾邮件产品的主要技术依据。 为了能将垃圾邮件发送给最终用户，垃圾邮件发送者往往想方设法来逃避反垃圾邮件的过滤。其往往采用如下的规避手段：基于HTML的邮件内容变化 利用HTML来改变邮件内容是垃圾邮件目前最新最有力的反过滤手段，根据2003年6月的调查结果，超过80%的成人内容垃圾邮件采取的是这种手段。对垃圾邮件来说，用这种方法可以：吸引注意 可通过Flash或语音等手段来迅速抓住接收者的注意力方便跟踪 往往一旦图片被下载，其内置的跟踪器可以使得垃圾邮件发送者确认目前邮件地址是否有效方便邮件内容随机化和混乱化 很容易通过加入虚假的HTML标签和HTML table等手段来随机化邮件内容由于采用HTML后可对邮件做无数的随机和混乱化，垃圾邮件发送者大量的采用这种方式来逃避邮件过滤。基于URL的伪造 垃圾邮件经常创建看上去正常的邮件正文和合法的URL链接，而实际上当用户相信这是一个合法链接采取点击等后续动作时，却被链接到有问题的网址。通过Open Proxy来隐藏身份 垃圾邮件经常会通过Open Proxy（是错误配置或者被病毒所感染的机器，允许几乎所有的网络服务流量通过它来中继转发）来隐藏真实的IP地址等身份要素。Open Proxy并不同于常见的开放邮件中继（open smtp relay）。邮件中继有时在某些情况下需要使用，而且其隐藏发送源的能力也比较弱，绝大多数MTA（邮件传输代理）都会在中继邮件前加上Received域，使得原始的发送源包含在该字段里。而Open Proxy允许几乎所有的机器共享它的因特网连接，完全转换为Proxy本身的地址来通过HTTP POST方式来向外部邮件服务器的25端口递交邮件内容，这使得接收者不可能发现真正的原始发送源，因此大多数垃圾邮件都是通过Open Proxy的方式来发送的。目前的防垃圾邮件技术包括： 实时黑名单技术 实时黑名单实际上是一个可供查询的IP地址列表，通过DNS的查询方式来查找一个IP地址的A记录是否存在来判断其是否被列入了该实时黑名单中。如果没有列入黑名单，那么查询会得到一个肯定的回答，如果没有列入黑名单，那么查询会得到一个否定回答。 白名单技术 白名单技术采用了类似黑名单技术，只是在白名单中定义了哪些是只得信任和“好的”邮件发送者，这种技术的好处是所有来自白名单中有的源地址的邮件都让其通过。 邮件内容过滤和分析技术 作为一个有效的对抗垃圾邮件的手段，就如同杀毒软件对病毒的查杀一样，也是需要不断根据情况更新邮件过滤规则的。通常管理员也可以自行根据垃圾邮件监测情况来设置或更新过滤规则。邮件内容过滤和分析技术通常包含以下几个方面进行的内容： 邮件大小 邮件的信头内容 邮件的标题栏内容 发件人的地址 附件的类型 邮件正文的内容 URL分析 启发式分析技术 关键字分析技术 反向DNS查询技术 发件人身份认证技术 启发式过滤技术 神经网络分析技术3.3. 防垃圾邮件产品选择标准 在为企业选择一款好的防垃圾邮件产品时，根据用户实际需要，我们主要对以下标准进行考量： 效力和精确性 对于反垃圾邮件解决方案最重要的因素就是能够检测出所有或几乎所有的垃圾邮件，理想状况是能够100地阻断垃圾邮件，但实际情况是不太可能100阻挡垃圾邮件，因此反垃圾邮件解决方案的效力指的是它到底能够阻挡多少比例的垃圾邮件，90？还是94.95?一般来讲，如果能一个反垃圾邮件解决方案够阻挡94.95以上的垃圾邮件，我们就认为它是一个有效的解决方案。反垃圾邮件精确性指的其检测垃圾邮件的准确程度，即是否不会错误地把合法的邮件当着垃圾邮件阻挡掉。 更新和升级的频率 正如每天出现大量新的病毒一样，Internet每天都会出现大量的新的垃圾邮件，因此反垃圾邮件解决方案必须及时、实时地更新其垃圾邮件过滤器或特征，以便能够识别和处理这些新出现的垃圾邮件。. 覆盖全球的能够识别不同语言的垃圾邮件 是否能够识别和处理除英文以外的其他语言的垃圾邮件也非常重要，根据目前的统计和分析，将会有越来越多的垃圾邮件来自非英语国家，因此反垃圾邮件解决方案必需能够阻挡采用和包含除英语以外的其他语言的垃圾邮件。 管理成本最小化 尽管众多反垃圾邮件厂商宣称其产品是即装即用，使用方便，而实际上他们往往将大量的后续管理维护负担交给了系统管理员和终端用户来承担。比如，许多前摄性的过滤器往往在生效前需要系统管理员对其进行大量的学习和训练，有些解决方案要求系统管理员通过人工维护“白名单”来降低合法邮件误判率，还有些解决方案在“个性化垃圾邮件管理”的 口号下将众多的维护负担完全交给了终端用户。系统管理员在评判一个反垃圾邮件解决方案前，需要明确如下问题： 我准备花多少时间在防御和管理垃圾邮件上？如果不能保证将反垃圾邮件解决方案的管理成本最小化，最终系统管理员将被淹没在这些烦琐的后续维护工作上，一旦人员开始懈怠或者疲于奔命，最终将会使得解决方案形同虚设，发挥不了应用的防御作用。3.4. 防垃圾邮件在电信行业中的运用如果用户为电信行业，请使用此章节。如果不是，请忽略。 电信运营商作为其行业的特殊性，更容易遭受到垃圾邮件的危害，电信运营商的生产运营网、IDC、客户服务系统和内部OA系统都是受垃圾邮件威胁较高和危害较大的网络系统，分别分析如下：3.4.1. 生产运营网生产运营网是电信运营商的基础数据网络，负责承载数据高速交换的工作，典型的生产运营网包括中移动的CMNet、联通的165、电信的163和网通的169等等。随着电信业务的不断扩展和服务的不断增加，往往在生产运营网中还负责承载电信运营商为广大用户提供的各种增殖业务服务，最常见的为公共邮箱服务。例如，无论是中国移动还是中国联通都为自己的用户提供了基于手机号码的公众电子邮箱。由于这些电子信箱都是以手机号码作为地址名称，以固定的电信运营商域名结束，例如联通的邮箱格式就为*。这种纯数字的格式更容易被垃圾邮件发送者发现并利用作为垃圾邮件的攻击目标。如果这种电信运营商提供的公众信箱服务充斥着大量的垃圾邮件，不仅影响了运营商本身对用户提供服务的质量，浪费了大量的主机和网络资源，也会对运营商本身的声誉造成很大的影响，从而造成客户流失等巨大影响。由此可见在生产运营网中部署防垃圾邮件产品的重要性。3.4.2. IDC网络IDC（Internet Data Center）是伴随着互联网不断发展的需求而发展起来的，可为ICP、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络带宽批发以及ASP等业务。在这些业务之中，当然不可避免的包括邮件服务。巨大的垃圾邮件不仅仅影响定购托管服务的企业用户，还会大量的浪费IDC中宝贵的主机资源和网络资源。尤其是当垃圾邮件中携带严重病毒和木马程序时，更有可能导致主机当机和网络瘫痪等致命威胁，所以在IDC网络中部署防垃圾邮件产品也是非常必要的。3.4.3. 客户服务系统电信运营商的客服系统（如中国移动的1860，中国联通的1001，中国电信的10000和中国网通的10060）主要是由呼叫中心系统、多媒体交互系统，智能分析系统等组成的综合系统。具有网管、数据资源共享、服务资源共享、路由转接、二次业务受理、数据备份、计费结算、业务管理、电子邮件交流等功能。如果垃圾邮件威胁到客服系统，会严重影响客服各部门之间的信息数据交换，导致客服系统工作效率下降，从而引起客户的抱怨、投诉，企业信誉受损等一系列损失。3.4.4. OA系统OA系统是电信部门内部完成公文管理、日常办公、个人事务、内部信息、企业文化、专业办公等功能的内部办公网络。OA系统工作的核心在于通过电子邮件系统进行信息交换。如果没有一个好的垃圾邮件防御系统，大量的垃圾邮件会严重影响内部员工的工作效率，大量消耗OA系统承载网络的带宽资源，从而影响整个电信运营商的企业内部运作。3.5. Symantec Anti Spam Brightmail 6.0 根据企业的实际情况，我们建议使用Symantec Anti Spam Brightmail 6.0作为防垃圾邮件的解决方案。基于以上对企业用户在防垃圾邮件解决方案中的需求分析，作为世界排名第一的信息安全解决方案提供商Symantec公司，提供了优秀了防垃圾邮件解决方案：Symantec Brightmail Anti-Spam。Symantec保持有行业最为全面的反垃圾邮件技术架构，我们的高可适应性过滤技术包含了各种强大的启发式和响应式过滤器，为企业提供强大的反垃圾邮件防护以及最高的过滤效率。Symantec Brightmail 反垃圾邮件解决方案专注于反垃圾邮件领域超过六年，是全球范围内的行业领导者，拥有2000个以上全球著名企业的成功案例，包括Avaya, eBay, Microsoft, IBM，Motorola，Bell，Lucent, MSN, AT&T, Lycos等。作为全球市场份额最大的反垃圾邮件解决方案，Brightmail保护超过3亿个邮箱。3.5.1. 高效性和实时性作为企业用户来说，行业特点决定了它历来是遭受垃圾邮件攻击的重要目标。这就要求我们的防垃圾邮件技术具有优秀的广度、深度和实时升级。广度要求防垃圾邮件产品从世界各地收集垃圾邮件样本，这样才能防御垃圾世界各地的垃圾邮件；深度要求我们能够及时捕获最新的垃圾邮件发送技术，用于应对不断变化的垃圾邮件发送形态。实时升级要求我们及时更新垃圾邮件过滤规则和特征签名，更新频率小于1个小时，从而可以实时的抵御最新的垃圾邮件，提供企业全方位、实时的保护等级。 Symantec的BLOC（Brightmail logistics and Operations Centers）中心保证了Symantec反垃圾邮件解决方案的高有效性和准确性。作为全球类似机构中最大的垃圾邮件分析中心，其负责Symantec垃圾邮件过滤器的实时创建、调整和分发。 BLOC由遍布全球三个大洲的几个中心点所构成，完成覆盖全球的对垃圾邮件的全天候防御。它有复杂高效的自动化反垃圾邮件工具，并由来自于全球各地的技术专家进行监控，对最新的垃圾邮件及其各种变种进行分析，根据其特点创建过滤器，并将其发布到客户站点上以便实时侦测和过滤掉垃圾邮件。这种自动化工具和技术专家相结合的方式尤其重要，专家会对垃圾邮件的识别侦测和过滤器进行最终确认，使得Symantec Brightmail 反垃圾邮件解决方案能够最快的跟进垃圾邮件的不断变化，提供了无与伦比的灵活性，并最大程度的保证了反垃圾邮件解决方案的两个要素：有效性和准确性。 BLOC所分析的真实的垃圾邮件来源于已经申请专利的 Probe Network (侦测网络)技术架构，侦测网络具有200万个以上的诱骗邮件地址和邮件域，吸引垃圾邮件发送者不断的向侦测网络发送他们真实的垃圾邮件。 加上由用户提交的垃圾邮件，侦测网络监视和保护全球超过3亿个邮箱。每个月都有几千万的真实垃圾邮件发送到侦测网络，随后这些邮件被送到BLOC，自动化的工具和技术专家将联合分析这些邮件，并开发出有效的过滤器。考虑到中国用户市场，Symantec更是与国内著名的ISP合作，建立了国内的Probe Network，专门搜集中文垃圾邮件，为中国用户提供了优秀的本地化垃圾邮件防护能力。 垃圾邮件反发垃圾邮件之间早已是时间速度方面的战争， 侦测网络作为整个行业最大的捕获真实垃圾邮件的技术架构，使得Symantec在垃圾邮件发生的第一时间就能进行捕获和分析，从而为全球范围内的用户提供实时全面的邮件防护。 其他众多反垃圾邮件解决方案往往在其能生效前需要经过三到六个月的学习和培训，而Symantec的侦测网络是实时防护的，其已经经历了六年的垃圾邮件跟踪和创建相应过滤器的经验积累，能够最大限度的为客户提供全面专业的垃圾邮件防护。 除此之外，Symantec反垃圾邮件基础架构最具竞争力的是其专业团队，他们通过如下专业工作使得Symantec在反垃圾邮件领域一直居于行业领导地位： 对垃圾邮件流量进行专业分析以分析新的攻击特征以及相应防御手段； 分析垃圾邮件发送者经常使用的WEB站点以及群发工具等； 监控垃圾邮件发送者经常使用的论坛和聊天室； 跟踪不断进化的垃圾邮件技术手段以保证有效的防御；3.5.2. 多层过滤技术 没有一种技术能完全彻底的解决垃圾邮件问题，Symantec通过采用全面的、多层级的过滤技术来防御垃圾邮件。一些过滤器检查邮件源，一些过滤器检查邮件内容等。如下为Symantec所使用的垃圾邮件多层过滤技术示意图： Symantec一直在不断创造和评估新的过滤技术。每一种技术都经过严格的检验以保证不会对Symantec近乎苛刻的垃圾邮件过滤准确性造成影响，目前的准确率可以达到99.9999%，也就是说检查100万封邮件，才会错误的将1封合法邮件误判为垃圾邮件。3.5.3. Symantec Brightmail 可信度服务 通过检查邮件发送源的可信度来进行阻断是反垃圾邮件一种很有效的手段。Symantec监测成千上万的邮件源来决定从这些源头发出的邮件中有多少是合法邮件有多少是垃圾邮件，这些数据被集成进Brightmail 可信度服务。在某些情况下，凭这些数据来决定是否允许或者禁止邮件进入，在其他情况下，则可能会和其他的过滤器一起配合使用。 可信度服务的数据如同其他的过滤器一样，会自动的集成和推送到客户站点上。 Brightmail可信度服务维护以下三个IP地址的列表，这三个列表将持续得到归档和维护： Open Proxy（开放代理）列表； 可能或已经被垃圾邮件发送者所利用的开放代理机器列表 Safe (安全) 列表；未发送过垃圾邮件的机器列表 Suspect (可疑) 列表；大量发送垃圾邮件的机器列表 与其他厂商类似的列表技术相比，Brightmail的可信度服务有如下特点： 覆盖范围最广： Symantec的反垃圾邮件技术检查超过15%的全球因特网邮件流量(每个月超过1000亿封邮件)，保护3亿个终端用户邮箱，从这点出发，Symantec的可信度服务列表的覆盖范围之大独一无二，通过对这些大量数据的统计分析，Symantec Brightmail可信度服务最具权威性。 完全自动化以及纯数据驱动： 邮件源加入列表或者从列表中移除，都完全取决于其发送的邮件内容和模式，任何组织和个人都不可能通过请求或者付费来要求加入列表或者从列表中移除。 准确和具有前摄性： 其他厂商的类似列表缺少维护，仅仅是简单的合并信息，往往会导致某些站点被误阻断。而Symantec 可信度服务能够前摄性的查找不安全的站点机器以及大量发送邮件的源头，能够快速、自动化的不断更新列表，比如对Open Proxy列表来说，一旦一个Open Proxy被Brightmail 可信度服务确认已经被修复，在下一次列表更新时（每隔1小时）这个服务器的IP地址会自动的从该列表中移除。 自动集成： 如同Symantec其他过滤器，可信度服务不需要持续的维护管理，一切均自动完成。3.5.4. 启发式过滤器 启发式过滤提供前摄性的反垃圾邮件框架。其分析邮件头、邮件正文和信封信息，检查特定的垃圾邮件特征。比如，过多的惊叹号和大写字母将会增加“垃圾邮件评分值”，每个进来的邮件最终都会被赋予一个总体评分，一旦该分值超过了预先设定的阀值，则该邮件将会被判为垃圾邮件。启发式过滤器一旦经过“训练”，能够非常有效的识别新垃圾邮件。 许多启发式过滤的缺点是其会带来很大的管理负担，而且一旦“训练”不够，将会产生很多误判。 Symantec的启发式过滤经过仔细的微调和更新以确保Brightmail 99.9999的准确度。不同于其他的解决方案，启发式过滤器在Symantec的解决方案中并不是最主要的过滤技术，而是和其他众多过滤技术配合使用，最大限度的保证过滤的有效性和准确性。 Symantec的启发式过滤技术不会增加管理员的负担，不需要任何客户端的调整和训练，因为Symantec会自动在把过滤器分发到客户站点上之前，剪裁掉无效或者过于严格的过滤器。Symantec的启发式过滤器也不依赖于任何解释性语言如Perl等，这些语言非常消耗资源，在邮件的解析过程中将会极大的影响服务的性能。3.5.5. 邮件头过滤 Symantec的邮件头过滤技术是将前摄性以及响应性的过滤技术组合起来。它由基于正则表达式的过滤规则组成，可以探测和检查垃圾邮件中的共性和趋势，包括如下： 垃圾邮件发送工具的”水印” 可跟踪一些垃圾邮件发送工具在邮件中留下的痕迹特征，比如发送该邮件使用的工具名称等。 被修改的时区 比如时区相隔了12个小时； 伪造的收信行 比如邮件声称来自于某个MTA（邮件传输代理），而BLOC确切知道该MTA是不会发送外出的邮件的。3.5.6. BrightSig2 过滤器 Symantec的签名过滤技术极大的增强了过滤的准确性。通过从某种特定的垃圾邮件中抽取出特征码或者说是”签名”，这种特征签名可以用来识别垃圾邮件的变种。因为签名是基于实际的垃圾邮件来产生的，所以可以保证极高的准确性。为了对付第一代签名技术，垃圾邮件发送者通过在垃圾邮件中插入大量的个体化数据以及混乱化HTML内容来规避过滤。对此，Symantec的反击措施是应用专利的BrightSig2技术。 BrightSig2技术是Symantec签名过滤技术的基础，它利用专有算法提取垃圾邮件的特征并将加入已知垃圾邮件的数据库。BrightSig2可以检测和匹配看上去随机的邮件，而实际上这些邮件都起源于一种垃圾邮件攻击。这种处理方式加快了过滤器的创建和分发，使得Symantec可以创建目标导向的、与实际垃圾邮件紧密相关的过滤器，而不需要编写大量的过滤器来防范本质上是一类的垃圾邮件攻击。通过从复杂多变的攻击中抽取出唯一的“DNA”，通过一个签名过滤器就可以防御许多垃圾邮件。 BrightSig2现在对HTML类垃圾邮件有专门的防御技术，特别对插入随机化和HTML噪音以企图逃避过滤的垃圾邮件有效。在这些情况下，BrightSig2先会把这些随机变化的噪音数据内容从垃圾邮件中去掉，然后再和已知垃圾邮件的签名定义码作比较。3.5.7. 附件签名技术 邮件附件一直是被垃圾邮件发送者广泛利用的一种手段。垃圾邮件发送者们通过在邮件中附带一个具有欺骗性名字的文件或图片,引诱接收者去点击并打开这些文件， 结果往往是显示恶意图片或者附件本身就包含恶意代码，比如说木马，蠕虫或对用户机器将造成严重破坏的可执行文件。为了防范这种攻击，许多企业往往简单的清除某种特定后缀名的附件（如exe或zip等），这样会造成即使是合法附件也会被过滤掉，对正常的商业通讯造成影响。 这种针对特定MIME附件进行签名的技术是Symantec签名技术的最新特征。通过采取类似BrightSig2采用的模糊算法，可以针对特定的MIME附件创建过滤器（如，在某次实时垃圾邮件攻击中所发现的成人图片），从而过滤掉该附件。 附件签名技术可以将企业从以上所说的情况中解脱出来，不需要为了防御而将某种类型的附件全部阻断。3.5.8. URL过滤器 Symantec在基于URL的过滤技术中一直不断创新，现在URL过滤器可以检查”Mailto” URL链接，防止终端用户通过email响应垃圾邮件者。这种最新一代的URL过滤器还进一步增强了对伪造URL和URL混乱化等垃圾邮件发送者最近采用的规避过滤手段的检查和防御。 Symantec还通过使用实时的垃圾邮件数据，创建垃圾邮件发送者web站点的列表。在用户站点上，URL过滤器将用户收到邮件中内置的链接与维护的列表进行比较，从而做出判断和过滤。 该列表是通过离线和实时数据来创建和维护的，URL来源于以下：侦测网络 垃圾邮件URL中的大部分是来源于侦测网络。可信第三方列表 来自第三方的厂商或合作伙伴所维护的列表经过严格的验证和检查后，也会被集成到Symantec的垃圾邮件URL列表中。Symantec URL过滤器对以下情况尤其有效：伪造的URL URL过滤器可以防御垃圾邮件发送者通过加入额外字符来混乱化URL的手段。随机化 URL过滤器在垃圾邮件发送者对邮件做了大量的随机化操作，其他过滤器往往失效时，仍能成功识别出垃圾邮件。极短的邮件 比如，包含少量HTML文本或仅仅只有一个URL链接的邮件。3.5.9. 过滤非英语类垃圾邮件 Symantec统计发现全球有10-20%的垃圾邮件是非英语类邮件，这类垃圾邮件随着企业全球化的不断进展给企业带来日益严重的影响。反垃圾邮件解决方案必须要仔细考虑对这类垃圾邮件的防御。 Symantec通过在台北和悉尼新的反垃圾邮件中心的创建，确保了对全球多语种垃圾邮件的检测和防御。 Symantec Brightmail反垃圾邮件可以在用户站点识别出特定的11种非英语类语言，并只应用针对于该种语言的启发式过滤器，以提高和改进性能。另外，用户可以指定把哪些语言类的邮件指定为垃圾邮件。 尽管语言识别功能在Symantec的启发式过滤器中启用，针对每种语言所采取的动作是在用户终端机器上进行，这需要安装Brightmail 针对Outlook的插件程序。安装完毕后有如下功能选项：3.5.10. 内容过滤及其他管理工具 尽管Brightmail反垃圾邮件解决方案不需要用户管理员创建任何过滤器，但还是提供了相应的图形客户化界面允许用户创建自定义过滤器，以更积极的防御特定内容的邮件。 通过使用用户过滤器编辑器（属于Brightmail管理中心的一部分），管理员可以创建自定义的内容过滤器来阻止或处理特定的邮件，而原本Symantec不会判定这些邮件属垃圾邮件。通过该编辑器，管理员可以： 过滤掉终端用户抱怨或占用了过多带宽的邮件； 过滤掉过大的邮件保护带宽； 阻断特定类型的成人内容邮件； 阻断连锁邮件； 阻断特定的基于邮件的病毒；3.5.11. 过滤器分发与引擎更新 每隔数分钟，Brighmail 扫描器(完成实际过滤的软件模块，安装在用户站点处)向BLOC发起安全的HTTPS连接，来获取最新的过滤器。 通过同样的机制，客户站点处的邮件过滤的统计数据也将被传送到BLOC，BLOC利用这些数据评判过滤器的性能和有效性。 这种全局的过滤器更新过程有许多优点：管理简单 过滤规则和过滤器安全自动的下载到用户处并自动安装。启发式过滤器每隔数星期自动更新一次。而只要有新的垃圾邮件爆发，新的垃圾邮件签名定义码和相应过滤器是实时自动的从Symantec站点上获取，除非用户自己选择利用用户自定义模块来增加过滤规则，管理员根本无需手工编写、训练和更新过滤规则与过滤器。反垃圾邮件的保护 用户站点处安装的Brightmail扫描器总是包含有最新的反垃圾邮件过滤器，而BLOC中心也能知道这些过滤器在这些站点处的有效性如何。安全 通讯时的双向认证保证了过滤规则确实从Symantec下载而且不能被任何第三方所伪造。同时，在收集用户处邮件过滤的统计数据时，用户的任何隐私或机密信息都不会被传送到BLOC中心。保证可用性 Brightmail扫描器在过滤规则更新过程中并不会停止，而是持续运作和检测。这了避免了垃圾邮件利用更新的这段时间来规避过滤。3.6. 企业防垃圾邮件产品部署方式为了适应企业复杂、多变的网络环境，Brightmail配合MTA提供非常灵活、弹性的部署方式，Brightmail支持的配置模式如下所示：平台版本邮件传输代理（MTA）WindowsWindows2000 ServerMicrosoft IIS SMTPExchange 2000Exchange 2003SolarisSolaris8Solaris9Sendmail 8.12Linux(Red Hat)Enterprise Linux ES 3.0Enterprise Linux AS 3.0Sendmail 8.12另外，Brightmail还可以无缝支持Iplanet message server; postfix, Openwave, Critical等多种邮件服务器系统。对于其他的邮件服务器系统平台，可以通过配置中继来进行支持。对于小型的邮件服务器系统（500用户），我们可以通过MTABrightmail的模式来建立防垃圾邮件体系：InternetMail ServerMTABrightmaillInternetMTAMail ServerBrightmail具有十分优秀的可扩展能力。通过Brightmail优秀的HA和LB的特性，能够支持典型ISP和电信运营商对邮件服务器系统的超大规模部署的需求，如下所示：InternetMail ServerMTABrightmail ClientBrightmail Scanner通过配置多台扫描服务器Brightmail Scanner，可以支持数以万计的邮箱数目。所以，Brightmail不仅仅是一款优秀的企业级的垃圾邮件防御产品，同时也是一款优秀了ISP级别垃圾邮件防御产品。在美国TOP 12的ISP中有九家选用SymantecBrightmail的垃圾邮件防御解决方案，均取得了十分满意的使用效果。Brightmail ScannerBrightmail Control CernterSSL在分布式部署的同时，Brightmail通过优秀的集中管理平台可以实现集中控制，确保用户具有最小的管理负担。注：由于不同的企业用户具有不同的部署方式，故这里不能一一列出。具体情况可根据以上配置建议进行选择