九层垃圾邮件过滤技术

拓波软件公司根据上千个客户使用案例，自主研发并改进的八层反垃圾邮件内嵌式引擎，自动更新垃圾邮件规则库，V4.1.0至最新的V4.3.0各版本均具备98%以上的垃圾邮件拦截率。

Turbomail采用八层反垃圾过滤技术，根据不一样垃圾邮件特色采用不一样技术，综合分析垃圾邮件，同时为每种特征打上垃圾分值，根据综合评分判断是否为垃圾邮件，真正作到准确率高，误杀率低。

 

Turbomail系统同时支持发信认证(smtp-auth)、黑名单和系统级垃圾邮件过滤功能，为用户邮箱提供三重保护功能。用户能够随时从国内外反垃圾邮件组织得到黑名单列表文件，导入邮件系统。从而使邮件管理员从被动变为主动。Turbomail系统黑名单功能支持模糊匹配，能够屏蔽一个域如@usa.com ,也能够只屏蔽域内的一个用户如spam@usa.com 。提供多种方式的垃圾邮件过滤功能，避免邮件服务器成为垃圾邮件中转站。

 

第一层: 网络控制层

经验分析，发送垃圾邮件的服务器通常都会同时大批量的向某些域的多个账号发送垃圾邮件，对于这些发送垃圾邮件方式，可经过设定必定网络访问频率控制进行有效的阻隔，Turbomail提供了两种设置方式对付这种攻击，并可自动把发送垃圾邮件的IP归为垃圾IP（SpamIP）列表。

经过smtp 服务层把明显的发送垃圾邮件的smtp 链接拒绝，大大减轻后台投递系统和反垃圾引擎的负载。

经过统计分析，咱们发现不少发送垃圾邮件的smtp 链接具备如下特色。

1、同一IP同时的smtp链接数很是大。

2、同一IP一段时间，smtp链接频率很是大。

通常出现这两种状况，都表示源发件人很是有可能发送垃圾邮件。

经过设置如下这两个参数可控制这类型的smtp链接，从而截断发送垃圾邮件的源头：

1、系统设置－》SMTP服务－》一分钟内同一IP容许访问次数

同时设置：

系统设置－》SMTP服务－》启用智能反垃圾IP功能参数，把符合以上两个条件的IP地址自动加入系统的 智能反垃圾IP

列表中（SmartSpamIP），当之后系统碰到这些IP的链接的时候，直接拒绝。

可经过：

系统监控－》智能反垃圾IP列表

查看系统目前智能反垃圾IP 列表

注意：

当互联网是通过反垃圾网关再接入邮件系统的状况，因为邮件系统的全部smtp链接都来自反垃圾网关，因此基于Smtp服务反垃圾再也不起做用，这是须要把以上两个参数设为-1，以避免系统smtp服务故障。

 

第二层：来源分析

根据垃圾邮件发送者IP的地理位置，与 APNIC 的IP信息库核对结果，看来源是否真实，若是真实则经过，不然可能为可疑邮件，因为IP 来源没法假装，因此这个反垃圾策略比较有效。

 

第三层: 黑名单

经过黑名单, turbomail系统设置屏蔽任何一个IP,一个网段；也能够屏蔽任何一个发信人，一个域。

实时黑名单(RBL)主要经过利用互联网公开的rbl 资源判断垃圾邮件的可能性。目前RBL 通常都经过DNS 查询的方式提供对某个IP或域名是不是垃圾邮件发送源的判断。另外，因为国外大多数rbl 都对来自中国的ip 有“歧视”，因此咱们并不能彻底依靠rbl 来判断一封邮件是不是垃圾邮件，只能根据rbl 查询结果判断邮件是否垃圾邮件的可能性。可设置如下参数定制rbl:

RBL 服务器，指定RBL 查询域名后缀。

DNS 查询类型，根据具体的RBL 要求指定DNS 查询记录类型。

匹配表达式，指定RBL 查询结果的匹配模式，表达式格式采用perl 正则表达式，若是为空，则表示若是可查到RBL结果，就表示符合条件。

目前所知比较有效的RBL服务器为：

xbl.spamhaus.org

bl.spamcop.net

cbl.anti-spam.org.cn

cdl.anti-spam.org.cn

 

第四层: 灰名单

灰名单技术源于：http://www.greylisting.org/ 。

灰名单技术其基本假设是：病毒和垃圾邮件，一般都是一次性的，若是遇到错误，不会重试。

一些发垃圾邮件的软件，这些软件基本上都不会对邮件服务器返回的错误作出任何重试，而只是简单的在日志里记录发送失败而已。而病毒引起的邮件风暴则更加不会识别邮件服务器返回的错误，由于这些病毒仅仅是简单的发送邮件，发送时根本不理会服务器的状态。

Greylist的设计大致上是基于一种重试的原则，即第一次看到某个IP要想给某个收件人发信，那么它将简单的返回一个临时错误（4xx），并拒绝此请求，正常的邮件服务器都会在一段时间内（如半小时）重发一次邮件。greylist发现仍是刚才一样的ip地址和收件人，认为此ip是来自合法服务器的，予以放行。若是是非正常的邮件，那么或者将永远也再也不进行重试，或者会疯狂重试，但因为间隔太近，而遭拒绝。所以，greylist只要设置一个合适的放行间隔，就能够在很大程度上对这类垃圾邮件有着良好的免疫能力。greylist的一大特色就是不会丢信，正规的邮件服务器认为4xx错误只是临时性、软性的错误，会隔一段时间重试，所以邮件仍是能够投递成功。但greylist的一大缺点即便延迟（delay），延迟从几分钟到几个小时不等。对于一些对邮件及时性很强的客户，greylist可能不是一个很好的选择。

 

第五层: 趋势分析

趋势分析原理为，全部垃圾邮件都有目标指向，好比：卖药广告邮件都会在邮件内容里指定卖药的电话、邮件或网站，若是不指定这些信息，发送垃圾邮件也就没有意义了。趋势分析法就是经过分析邮件里的电话、邮件或网站连接内容，经过匹配判断他的指向从而判断邮件是不是垃圾邮件。

 

第六层: 邮件来源判断

主要经过分析邮件的来源，如：发件人ip ，发件人，发件域，等内容，来判断垃圾邮件的可能行。

 

第七层: SpamFilter内容过滤

经过邮件内容关键字分析，可为符合内容分析结果的邮件打上相应的垃圾邮件评分。这类规则的判断条件相似系统的过滤规则。可参考过滤规则设定来设定过滤评份内容，同时咱们也会经过收集客户反馈的垃圾邮件特色整理成规则内容，按期通知客户更新。

 

第八层: SpamAssassin引擎

SpamAssassin 是一个由Apache 开发的一个著名的反垃圾引擎，turbomail邮件系统完整的集成了SpamAssassin反垃圾引擎。

邮件系统提供了一个名为SA-Server 的SpamAssassin反垃圾服务器，邮件系统经过把须要进行反垃圾分析的邮件提交给SA-Server 进行分析。

SA-Server 在Windows 平台上可经过 SA_Server 服务启动，在Unix/Linux 平台上可经过 sa/sa_server.sh 脚本启动。

SA-Server 默认端口为8700，可经过直接修改 sa/sa_server.pl 修改这个端口。

可经过邮件管理系统中的，反垃圾\反病毒－》反垃圾引擎设置中的SpamAssassin中的相关设置进行SA-Server 的服务配置。

其中：

启用SpamAssassin ，指定是否启动SpamAssassin 反垃圾检查

SpamAssassin服务器地址，指定SA-Server 服务器地址，默认为本机。

SpamAssassin服务端口，指定SA-Server 服务器端口，默认为8700.

最大SpamAssassin检查线程数，指定最大的链接SA-Server 服务数，可根据系统的复杂进行适当调整。

 

第九层：TMspamcheck引擎

垃圾广告商老是在千方百计的绕开上述拦截与屏蔽方式，“做案”手段不时更改，Turbomail经过按期巡查以及与客户创建沟通制度，普遍搜集现行的各种垃圾邮件，并逐个分析，将垃圾邮件源列入TMchecklist，全部的正式客户都将获得同步更新的服务，再度查杀漏网之“邮”。