第一篇：反垃圾技術(shù)

反垃圾技術(shù)

一.垃圾郵件的產(chǎn)生

垃圾郵件并不是無中生有的，對于純商業(yè)性質(zhì)的垃圾郵件來說，它是由一些想通過電子郵件來銷售或宣傳某種產(chǎn)品的廠商所提供的，這也就是垃圾郵件的提供者。但是，垃圾郵件的提供者并不會自己去發(fā)送它們，而是將發(fā)送任務(wù)交給某些擁有大量郵箱地址的專業(yè)垃圾郵件發(fā)送者或團(tuán)體，并按某種協(xié)議付給發(fā)送者一定的費(fèi)用。剩下的工作，就是發(fā)送者如何按提供者的要求將一定數(shù)理的垃圾郵件發(fā)送到最終的各用戶郵箱中。垃圾郵件提供者看到了此種方式所帶來的低成本和高效率，而 發(fā)送者看得了發(fā)送垃圾郵件帶來的利益，并且這種利益會隨著最終發(fā)送數(shù)量的增多而不斷增加。他們之間的不斷利用，就構(gòu)成了現(xiàn)在垃圾郵件泛濫的根本原因所在。

但是，垃圾郵件要想最終到達(dá)眾多的用戶郵箱之中，也不是人們想象中的那么簡單。首先，發(fā)送者必需得到相當(dāng)多的有效郵箱地址，這樣才能滿足提供者發(fā)送數(shù)量的要求。發(fā)送者一般在剛開始時是向一些機(jī)構(gòu)或個人直接購買或在互聯(lián)網(wǎng)中進(jìn)行搜索的方式得到，當(dāng)在這個圈子中熟習(xí)以后，還可以通過與其它發(fā)送者之間相互交互的方式來擴(kuò)大郵箱地址庫。現(xiàn)在，許多網(wǎng)站中給出的電子郵箱地址，都將“@”符號改為了“#”號，就是為了防止被按“@”符號為關(guān)鍵字郵箱地址收集軟件搜 索到。

另一方面，就是如何確保垃圾郵件都能最終到達(dá)用戶郵箱當(dāng)中，不然，一切都是枉然。解決此問題的關(guān)鍵，就是如何躲避各種反垃圾郵件產(chǎn)品的過濾。現(xiàn)在，一些技術(shù)高超的發(fā)送者已經(jīng)使用了許多相當(dāng)有效的方法來躲避被過濾，并且其發(fā)展速度要快于反垃圾郵件技術(shù)，這也是為什么垃圾郵件不能完全被過濾的主要原因。

最后，就是要解決被追蹤的問題，這是垃圾郵件發(fā)送者設(shè)法使自己免于法律懲罰所要進(jìn)行的必要手段。一般會通過下列方式中的一種或幾種來達(dá)到目的：

1、修改垃圾郵件頭中與發(fā)送者相關(guān)的所有域的內(nèi)容，使這些內(nèi)容與自己無任何聯(lián)系。

2、使用第三方可以匿名轉(zhuǎn)發(fā)郵件的郵件服務(wù)器來發(fā)送垃圾郵件;

3、自建郵件服務(wù)器，并使用代理服務(wù)器進(jìn)行網(wǎng)絡(luò)連接;

4、通過控制正常的郵件服務(wù)器來發(fā)送垃圾郵件，通過Rootkit隱藏在服務(wù)中的痕跡;

5、通過控制僵尸網(wǎng)絡(luò)中的主機(jī)來發(fā)送垃圾郵件;

6、也可通過自己的多臺郵件服務(wù)器，設(shè)置按某個時間間隔，一次只發(fā)送十到二址封垃圾郵件，讓反垃圾郵件產(chǎn)品不能通過行為檢測方式來判斷這些主機(jī)為垃圾郵件服務(wù)器。一段時間后，也能達(dá)到相當(dāng)大的垃圾郵件發(fā)送數(shù)量。只有同時滿足了上述的三個條件，垃圾郵件發(fā)送者與提供者之間的利益關(guān)系才能真正實(shí)現(xiàn)。

二.反垃圾技術(shù)現(xiàn)狀

面對垃圾郵件技術(shù)發(fā)送方式日益隱蔽、垃圾郵件網(wǎng)絡(luò)初具規(guī)模、結(jié)合黑客和Web技術(shù)發(fā)送等新特征，矛盾之爭的另一端——反垃圾郵件技術(shù)需要經(jīng)歷深刻變化，從而才能有效應(yīng)對日益嚴(yán)峻的郵件安全形勢。

傳統(tǒng)的反垃圾郵件技術(shù)依舊在發(fā)揮作用（如眾所周知的實(shí)時黑名單 RBL、智能分析的貝葉斯算法、深度的內(nèi)容分析），但是必須正視面臨的新挑戰(zhàn)。實(shí)時黑名單 RBL通過第三方提供的實(shí)時黑名單數(shù)據(jù)庫可快速檢查發(fā)送IP地址的合法性，但是也存在部分IP地址（段）錯誤列入實(shí)時黑名單的情況，而且目前實(shí)時黑名單提 供者多為國際組織（如大名鼎鼎的Spamhaus），國內(nèi)IP地址錯誤列入后投訴相對困難。智能分析的貝葉斯算法基于統(tǒng)計(jì)學(xué)原理攔截垃圾郵件，但如何適應(yīng) 圖片、PDF等附件、內(nèi)嵌HTML鏈接的垃圾郵件尚待進(jìn)一步研究。基于規(guī)則的評分系統(tǒng)、數(shù)字指紋/簽名等深度內(nèi)容分析技術(shù)，依賴于不斷更新的垃圾郵件特征 數(shù)據(jù)庫來攔截垃圾郵件，可實(shí)現(xiàn)圖片、PDF附件等垃圾郵件攔截。因此，必須做到三個第一，即第一時間發(fā)現(xiàn)新型垃圾郵件、第一時間發(fā)布最新特征庫、第一時間 攔截垃圾郵件。目前此類反垃圾郵件技術(shù)均借助于廣泛分布的蜜罐網(wǎng)絡(luò)（或垃圾郵件收集系統(tǒng)）實(shí)現(xiàn)實(shí)時垃圾郵件攔截。

新型反垃圾郵件技術(shù)也有助于應(yīng)對層出不窮的垃圾郵件變化，如發(fā)件人策略框架(SPF)驗(yàn)證、信譽(yù)服務(wù)(Reputation Service)、HTML鏈接分析、行為識別。

三.當(dāng)前主要的反垃圾技術(shù)

1.實(shí)時黑名單技術(shù)

實(shí)時黑名單RBL(Realtime Blackhole List)是借助DNS解析技術(shù)的黑名單查詢技術(shù)，當(dāng)需要驗(yàn)證某個郵件服務(wù)器IP地址是否被列入黑名單時，就向RBL服務(wù)器發(fā)出一個特殊的DNS解析請求，RBL服務(wù)器將返回一個IP地址，郵件服務(wù)器就知道該IP是否被列入黑名單。

實(shí)時黑名單是使用較早的技術(shù)，對于早期擁有合法域名的服務(wù)器專門從事垃圾郵件轉(zhuǎn)發(fā)或開放Open Relay的郵件服務(wù)器非常有效。當(dāng)一臺郵件服務(wù)器是Open Relay或未開放OpenRelay任由其合法用戶發(fā)送垃圾郵件時，該服務(wù)器將被投訴，通過RBL機(jī)構(gòu)確認(rèn)其大量發(fā)送或轉(zhuǎn)發(fā)垃圾郵件后，被列入黑名單，郵件服務(wù)器在收到郵件時，可以向RBL查詢這臺發(fā)送郵件的服務(wù)器是否被列入黑名單，如果確認(rèn)，郵件將被拒收。但這種技術(shù)無法防止用戶自行發(fā)出的郵件，包括 動態(tài)IP(例如撥號用戶和ADSL)，因?yàn)槿绻堰@一段IP列入黑名單將導(dǎo)致正常用戶無法使用郵件服務(wù)。中國互聯(lián)網(wǎng)協(xié)會就曾因國外將中國大片IP列入黑名單而提出抗議。

2.關(guān)閉openRelay

關(guān)閉OpenRelay其實(shí)是一個能夠部分解決問題的方法，這使得Mail服務(wù)器在對外發(fā)送郵件的時候要求身份認(rèn)證，只有Mail服務(wù)器上的合法用戶才能通過本服務(wù)器對外發(fā)送郵件，避免了垃圾郵件制造者借助本服務(wù)器對外發(fā)送垃圾郵件。在很大程度上降低了垃圾郵件的泛濫程度，但關(guān)閉Open Relay是單向的反垃圾郵件技術(shù)，只能保證自己不對外發(fā)送垃圾郵件，不能防止自己被垃圾郵件騷擾。

3.內(nèi)容過濾技術(shù)

郵件過濾按照郵件系統(tǒng)的角色結(jié)構(gòu)可以分為三類：MTA(郵件傳輸代理)過濾——信封檢查;MDA(郵件遞交代理)過濾——信頭檢查、信體檢查;MUA(郵件用戶代理)過濾——客戶端檢查。

郵件過濾技術(shù)作為一個有效對抗垃圾郵件的手段，同殺毒軟件一樣，需要不斷根據(jù)情況更新郵件過濾規(guī)則。郵件過濾實(shí)際上只針對通常的垃圾郵件有效，這些垃圾郵件常常是電子廣告，有些更規(guī)矩的廣告在郵件主題上提示“ADV”，如果用戶不想接收廣告郵件，只需簡單過濾郵件主題，發(fā)現(xiàn)ADV即拒收。而目前用程序自動生成和發(fā)送的垃圾郵件對于發(fā)件人、收件人、郵件主題甚至郵件內(nèi)容都是隨機(jī)生成的，在郵件內(nèi)容中經(jīng)常被過濾的詞匯，例如“免費(fèi)”、“賭博”、“色情”等詞匯，被隨機(jī)變形，防垃圾過濾如果采用“免。費(fèi)”這樣的模式匹配來發(fā)現(xiàn)變形，有時反而導(dǎo)致了正常郵件被誤拒絕(例如郵件中可能有這樣一句話：“要免 除處罰是很費(fèi)勁的”，并沒有免費(fèi)的意思，但被拒絕)。

從實(shí)際應(yīng)用情況來說，內(nèi)容過濾還很不成熟，其作用很有限，而且內(nèi)容過濾技術(shù)比較消耗資源、分析速度也比較慢。

4.貝葉斯Bayesian算法

這是一個非常著名的算法，很多電子郵件程序包括foxmail都在使用。貝葉斯算法，可以學(xué)習(xí)單詞的頻率和模式，這樣可以同垃圾郵件和正常郵件關(guān)聯(lián)起來進(jìn)行判斷。這種方法雖然更復(fù)雜，卻更加智能化。應(yīng)用特征過濾篩選郵件應(yīng)該算做是這種方法的一個雛形。

5.服務(wù)器認(rèn)證法

這是一個看起來很簡單但是實(shí)施起來很麻煩的方法，世界上那么多服務(wù)器根本不可能建立一個全社會都互相關(guān)聯(lián)的服務(wù)器網(wǎng)絡(luò)，盡管有些郵件服務(wù)器已經(jīng)開始建立起這樣的關(guān)聯(lián)，但是這只是這項(xiàng)“社會工程”里的一小部分。

6.連接/發(fā)送頻率監(jiān)測法

正常用戶發(fā)送和接收郵件的數(shù)量和頻率遠(yuǎn)遠(yuǎn)低于垃圾郵件發(fā)送者，因此可以根據(jù)垃圾郵件發(fā)送具有一定時間內(nèi)郵件數(shù)量和郵件連接頻率都非常大的情況，從頻率和數(shù)量對垃圾發(fā)送者的連接行為進(jìn)行控制。

7.Challenge-Response方式

挑戰(zhàn)-應(yīng)答模式是從增加垃圾郵件發(fā)送者時間成本上入手，要求每發(fā)送一封郵件，就要求發(fā)件人回答一些問題的方式來增加發(fā)送時間。

8.Domainkeys方式

這是一種基于PKI的方式對郵件發(fā)送者進(jìn)行驗(yàn)證，對郵件信息進(jìn)行加密保護(hù)，對收信人實(shí)現(xiàn)防抵賴機(jī)制。“DomainKeys”通過使用加密技術(shù)完成電子郵件發(fā)送者身份的驗(yàn)證。外發(fā)的郵件通過私人密碼進(jìn)行數(shù)字簽名，而接受電子郵件的系統(tǒng)則使用公共密碼對簽名進(jìn)行核實(shí)。

9.SPF方式

這是一種源頭認(rèn)證的方式，它通過改變域名系統(tǒng)的數(shù)據(jù)庫，接受方核實(shí)郵件實(shí)際來源是否和SPF注冊的一致來判斷郵件是否為假冒郵件。

10.Sender ID技術(shù)

SenderID技術(shù)對發(fā)送方的DNS記錄進(jìn)行修改，增加特定的DNS資源記錄以標(biāo)識其發(fā)信方身份。同時對接收方也進(jìn)行認(rèn)證。其工作原理如下：當(dāng)郵件服務(wù)器收到一個電子郵件時，域名系統(tǒng)（DNS）保存域名的SPF記錄，然后服務(wù)器查找發(fā)送域名的公開DNS記錄，判斷發(fā)送方服務(wù)器 的IP地址是否跟記錄相符。如果

記錄相符，這一電子郵件通過認(rèn)證而傳送給收件人，否則，這一信息會被拋棄或者返回給發(fā)送方。

11.專用反垃圾郵件防火墻

在反垃圾郵件設(shè)備中，梭子魚應(yīng)當(dāng)是大家最常聽到的一個名詞。它其實(shí)是Barracuda Networks出品的一種反垃圾郵件防火墻。專用的反垃圾郵件防火墻由專用服務(wù)器和固化的操作系統(tǒng)構(gòu)成，邏輯位置部署在網(wǎng)關(guān)和服務(wù)器之間，擁有專項(xiàng)服務(wù)、設(shè)置簡單、郵件保護(hù)等功能。雖然增加了網(wǎng)絡(luò)建設(shè)的成本，但是這種設(shè)備可以保證處理效率，不會造成高速網(wǎng)絡(luò)環(huán)境的停滯，比較適合大型公司。

目前市場上專用反垃圾郵件防火墻比較權(quán)威的要數(shù)CipherTrust公司的Ironmail和Barracuda Networks的梭子魚。

12.網(wǎng)關(guān)級反垃圾郵件設(shè)備

將專用反垃圾設(shè)備集成在網(wǎng)關(guān)來檢測流入的郵件，在網(wǎng)關(guān)部署的優(yōu)點(diǎn)是在不打破網(wǎng)絡(luò)拓?fù)洵h(huán)境的情況下，加強(qiáng)了原來郵件服務(wù)器的安全，而這種設(shè)備的缺點(diǎn)也比較明顯，是由于反垃圾郵件屬于內(nèi)容安全，反垃圾郵件處理需要更多的處理資源，在大流量的網(wǎng)絡(luò)環(huán)境中，一旦網(wǎng)絡(luò)流量很大，反垃圾郵件的智能檢查有可能會降低網(wǎng)絡(luò)性能，成為高速網(wǎng)絡(luò)中的瓶頸設(shè)備。所以網(wǎng)關(guān)級反垃圾郵件產(chǎn)品適用于網(wǎng)絡(luò)流量不大的中小企業(yè)網(wǎng)絡(luò)環(huán)境，用戶可以不用專門購買梭子魚等反垃圾郵件防火墻從而降低企業(yè)成本。

目前市場上網(wǎng)關(guān)級反垃圾郵件產(chǎn)品有KILL赤霄郵件過濾網(wǎng)關(guān)和美訊智安全信息網(wǎng)關(guān)等，這是口碑比較好的產(chǎn)品。

13.服務(wù)器級反垃圾郵件產(chǎn)品

所謂服務(wù)器級產(chǎn)品，也就是在服務(wù)器上加裝反垃圾郵件功能模塊，它的本職工作是“處理--轉(zhuǎn)發(fā)”郵件，因此不會像反垃圾郵件防火墻那樣具備強(qiáng)大的功能。

14.桌面級反垃圾郵件產(chǎn)品

桌面級的反垃圾郵件更加簡單，它其實(shí)只是郵件接收端的一個功能模塊，是反垃圾郵件的最后一道關(guān)卡，可以集成在Outlook、Hotmail里發(fā)揮過濾功能，這是純粹的個人級產(chǎn)品。

15.MX查詢驗(yàn)證技術(shù)

根據(jù)大量的調(diào)查結(jié)果，在所有垃圾郵件中，大約95%以上的郵件的發(fā)件人身份是偽造的，由此引出新的反垃圾郵件技術(shù)思路——驗(yàn)證郵件是否經(jīng)過偽造。如果是偽造的，則基本可以判斷為垃圾郵件。該技術(shù)思路基于目前的郵件服務(wù)器應(yīng)用情況：大量接收郵件服務(wù)器(域名解析的MX項(xiàng))本身就是發(fā)送郵件服務(wù)器(尤其針對中小郵件服務(wù)器);部分分離的接收郵件服務(wù)器和發(fā)送郵件服務(wù)器是IP地址相鄰相近的，范圍擴(kuò)展與上一類似，其他允許發(fā)送郵件的計(jì)算機(jī)，如 WWW/mailist/ftp服務(wù)器，可能與MX項(xiàng)定義的機(jī)器的IP地址相鄰相近。這樣，通過驗(yàn)證郵件是否來自它所聲稱的郵件域的合法計(jì)算機(jī)，就可以判斷其是否為垃圾郵件。這種技術(shù)從SMTP握手信息及郵件頭信息來分析郵件來源，能有效識別虛假路由信息，識別95%以上的垃圾郵件。

16.多重圖片識別技術(shù) OCR

打擊圖片垃圾郵件的主導(dǎo)技術(shù)有圖片垃圾郵件指紋識別技術(shù)、ocr識別技術(shù)以及之后的第三代圖像防御技術(shù)。這三種技術(shù)在梭子魚垃圾郵件防火墻上有 集中的體現(xiàn)，在ocr識別技術(shù)的初期，圖片垃圾郵件的發(fā)送者們企圖使用動態(tài)的gif圖像使內(nèi)容占用多幀。而且，他們采用橫線，符號和其他圖像模糊圖片內(nèi)的文字。為了對付這些技巧，博威特公司第二代ocr引擎既包含動態(tài)gif文件分析功能還包括模糊文本識別技術(shù)。

隨著第三代圖片垃圾郵件的出現(xiàn)，博威特公司研發(fā)出新型復(fù)合ocr引擎。該引擎深入分析圖片，在進(jìn)行ocr識別之前對表象圖片進(jìn)行規(guī)范化處理。這個新技術(shù)主要針對圖片掩飾，不同顏色的對比，以及組合文字，背景等手段。綜合處理正確率在95%以上。

17.意圖分析技術(shù) Intention Analysis

意圖分析包括鑒別歷史記錄里的錯誤郵件發(fā)送基點(diǎn)、它們目前的行為和意圖。許多防御策略用來鑒別垃圾郵件，而意圖是隨時間而改變的特殊類別。

大部分垃圾郵件背后的動機(jī)是使接受某物，例如登陸某個站點(diǎn)，撥打某個電話，或者買某只股票。這些動機(jī)被稱為郵件“意圖”，觀察郵件的這些特點(diǎn)叫做“意圖分析”。目前為止，大部分垃圾郵件的意圖都是讓用戶點(diǎn)擊一個網(wǎng)頁或鏈接。

即使郵件發(fā)送者試圖通過新IP地址掩蓋他們的不良記錄，他們最終還是需要驅(qū)使用戶去特定的網(wǎng)站。梭子魚中心維護(hù)著垃圾郵件發(fā)送者常用網(wǎng)站地址庫，能夠基于郵件中插入的站點(diǎn)地址阻斷郵件。

意圖分析是阻斷垃圾郵件非常有效的手段，它的有效性隨著黑名單有效性的相對減少而增加。梭子魚中心分析后發(fā)現(xiàn)，在梭子魚垃圾郵件防火墻的過濾郵件中，意圖分析過濾占到了10～20％。

第二篇：反垃圾郵件技術(shù)初探

反垃圾郵件技術(shù)初探

摘要：如今，電子郵件的應(yīng)用已經(jīng)非常廣泛，給人們的工作和生活帶來了很大的方便。但是垃圾郵件的泛濫也給用戶帶來了諸多不便，尤其是病毒類垃圾郵件已經(jīng)嚴(yán)重威脅用戶信息的安全。在本文中，筆者通過對Internet存在的垃圾郵件問題進(jìn)行探討，從垃圾郵件的起因和特點(diǎn)出發(fā)，闡述了反垃圾郵件的技術(shù)。關(guān)鍵詞：垃圾郵件；技術(shù)；過濾

隨著計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)的發(fā)展，電子郵件成為人們生活、工作中不可缺少的一項(xiàng)互聯(lián)網(wǎng)服務(wù)，電子郵件費(fèi)用低廉、使用方便、信息量大、信息傳遞速度快，極大的滿足了人們的需求。正是因?yàn)猷]件的這些特點(diǎn)，使垃圾郵件泛濫，而且具有反復(fù)性、不健康性和強(qiáng)制性，嚴(yán)重干擾了人們的正常生活，因此，要對反垃圾郵件技術(shù)進(jìn)行探討。

一、垃圾郵件簡介

（一）垃圾郵件的概念

垃圾郵件是指收件人沒有事先提出要求或者同意接受的電子刊物、廣告等具有宣傳性質(zhì)的電子郵件；隱藏發(fā)件人身份、標(biāo)題、地址等信息的電子郵件；收件人無法拒收的電子郵件；含有虛假信息源、路由、發(fā)件人的電子郵件。總之，垃圾郵件是指和內(nèi)容無關(guān)，發(fā)送給多個未明確要求該郵件的收件人的郵件，也指發(fā)送給與信件主體不相關(guān)的新聞組或列表服務(wù)器的同一信件的重復(fù)郵件。

（二）垃圾郵件發(fā)送手段

1.以圖片方式代替文字內(nèi)容發(fā)送。把將要傳送的內(nèi)容以圖片的形式附入郵件中，過濾器很難識別圖片文件包含的內(nèi)容。

2.郵件內(nèi)容、發(fā)件信息偽裝。通過隨機(jī)內(nèi)容生成器等將收信人地址加到正文或標(biāo)題中，吸引收件人查看。

3.利用受病毒感染的“僵尸網(wǎng)絡(luò)”發(fā)送。比如說利用蠕蟲病毒，將垃圾郵件發(fā)送給世界各地可被蠕蟲病毒感染的機(jī)器，使被感染的電腦在機(jī)主不知情的情況下發(fā)送垃圾郵件。

4.采用“視覺戰(zhàn)術(shù)”，采用HTML格式，把內(nèi)容加噪，干擾反垃圾郵件系統(tǒng)對于郵件內(nèi)容的判斷，但是垃圾郵件的接受者依然可以接受垃圾郵件的原始信息。

二、反垃圾郵件技術(shù)

（一）規(guī)則過濾技術(shù)

規(guī)則過濾技術(shù)是指通過設(shè)置一些基本規(guī)則，對要識別的郵件進(jìn)行評估，只有符合這些規(guī)則的一條或幾條規(guī)定，就認(rèn)為是垃圾郵件。這些規(guī)則主要有：

1.通過SMTP通信鏈接頻度、速率的設(shè)定，過濾垃圾郵件。垃圾郵件的發(fā)送者常常試圖通過在很短一段時間內(nèi)發(fā)送大量郵件來阻塞郵件服務(wù)器，所以，可通過對每個IP地址可用的帶寬比例或并發(fā)SMTP連接數(shù)目進(jìn)行限制，限制異常的網(wǎng)絡(luò)流量，達(dá)到限制垃圾郵件的目的，也減少服務(wù)器因?yàn)槔]件耗費(fèi)的能源。

2.利用郵件地址、反向域名、域名“黑白名單”、IP查詢進(jìn)行郵件的過濾和限制。①實(shí)時黑名單技術(shù)就是通過檢查收到郵件的IP地址，與實(shí)時黑名單中的IP地址進(jìn)行核對阻止垃圾郵件，同時，實(shí)時黑名單是通過DNS來查找IP地址的A記錄是否存在，并不需要手工維護(hù)IP地址的列表清單。②反向域名驗(yàn)證方法是通過啟動郵件服務(wù)器的反省域名解析功能，對收到來源的IP地址采用反向的DNS驗(yàn)證真實(shí)性，有效過濾掉來自動態(tài)IP的垃圾郵件，降低垃圾郵件的數(shù)量。

（二）圖片垃圾郵件的判別技術(shù)

1.杜絕圖片垃圾郵件的關(guān)鍵在于分層處理，分層處理的解決方案加上有效的過濾原則，可幫助用戶解決圖片垃圾郵件帶來的網(wǎng)絡(luò)資源和網(wǎng)絡(luò)帶寬的浪費(fèi)。

2.通信協(xié)議掃描技術(shù)是針對垃圾郵件的發(fā)信行為，對發(fā)件人進(jìn)行監(jiān)控和阻擋，減少垃圾郵件。通過對垃圾郵件行為解析，透過SMTP聯(lián)機(jī)實(shí)時通信協(xié)議，對寄件者真實(shí)身份進(jìn)行分析判斷并適時回饋，判斷其通訊行為，到圖像式垃圾郵件實(shí)現(xiàn)高效的阻擋。

（三）基于統(tǒng)計(jì)的內(nèi)容過濾技術(shù)

1.基于統(tǒng)計(jì)的內(nèi)容過濾技術(shù)，是利用統(tǒng)計(jì)分類算法與文本分類對垃圾郵件進(jìn)行檢測，典型技術(shù)是貝葉斯過濾器。

2.貝葉斯過濾器的基本流程是：①在已經(jīng)確定的正常郵件集和垃圾郵件集中進(jìn)行學(xué)習(xí)，根據(jù)每個單詞都兩個集合中分別出現(xiàn)的次數(shù)，計(jì)算單詞為垃圾詞匯的概率。②當(dāng)新郵件到達(dá)時，對信件內(nèi)容進(jìn)行系統(tǒng)性的分詞和選詞，得到一組組單詞，根據(jù)在集合中學(xué)到的信息，計(jì)算整個單詞流的概率，判斷信件是否是垃圾郵件。

3.在實(shí)際應(yīng)用中，因?yàn)樨惾~斯分類法是利用概率推斷郵件是否是垃圾郵件，為了方便管理，系統(tǒng)通過對郵件的打分確定郵件是否是垃圾郵件，為不同的概率設(shè)立不同的分?jǐn)?shù)，每封郵件是否是垃圾郵件就以分?jǐn)?shù)表示，確定一個闕值，查看郵件的分?jǐn)?shù)，如果郵件的分?jǐn)?shù)超過了闕值，郵件就是垃圾郵件，反之不是。結(jié)語：

垃圾郵件是全球性的問題，也是一種社會現(xiàn)象，對于這一問題，應(yīng)該采用管理和技術(shù)相結(jié)合的方式，以先進(jìn)的技術(shù)手段為基礎(chǔ)，同時以完善的法律法規(guī)和管理規(guī)范為依托，通過建立國家性的反郵件服務(wù)體系，促進(jìn)郵件服務(wù)商和運(yùn)營商的協(xié)調(diào)合作，推動反垃圾郵件技術(shù)的發(fā)展。

參考文獻(xiàn)：

[1]熊應(yīng), 朱斌, 朱海云.電子郵件智能分類系統(tǒng)的設(shè)計(jì).電子學(xué)報(bào), 2011, 29(12)

[2]楊清, 楊岳湘, 翟國平.智能文本分類系統(tǒng)的研究與設(shè)計(jì)，計(jì)算機(jī)應(yīng)用研究,2009,10

[3] 劉建毅, 張鵬飛, 王 極.高性能電子郵件過濾系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究, 2008(4): 224-225.[4] 李文斌, 劉椿年, 黃佳進(jìn).基于數(shù)據(jù)挖掘的垃圾E-mail 過濾方法[J].北京工業(yè)大學(xué)學(xué)報(bào), 2009, 29(2): 237-240.

第三篇：淺析反垃圾郵件技術(shù)

淺析反垃圾郵件技術(shù)

杜暖男 馬瑩瑩

（平頂山工業(yè)職業(yè)技術(shù)學(xué)院，河南平頂山 467001）

摘要：現(xiàn)如今，垃圾郵件已經(jīng)成為困擾人們網(wǎng)路交流的安全隱患之一，本文主要針對這個問題，簡要分析一些較為實(shí)用的反垃圾郵件技術(shù)。

關(guān)鍵字：資訊安全；反垃圾郵件；過濾技術(shù)；

中圖分類號：TP393.08

眾所周知，電子郵件已成為人們進(jìn)行網(wǎng)路交流溝通的重要途徑，但是人們需要花費(fèi)時間來處理日益增長的垃圾郵件。由於垃圾郵件數(shù)量多，具有反復(fù)性、強(qiáng)制性、欺騙性、不健康性和傳播速度快等特點(diǎn)，嚴(yán)重干擾了人們正常生活，浪費(fèi)用戶的時間、精力甚至造成很多額外的經(jīng)濟(jì)支出和資訊安全隱患。因此，對反垃圾郵件技術(shù)的研究已經(jīng)成為影響互聯(lián)網(wǎng)發(fā)展的重要課題之一。本文主要對反垃圾郵件技術(shù)進(jìn)行簡要的分析。

目前存在的垃圾郵件主要有帶附件的垃圾郵件、內(nèi)容為圖片的垃圾郵件和文本型垃圾郵件三種類型。針對這三種類型的垃圾郵件的典型技術(shù)有通信協(xié)定掃描技術(shù)和貝葉斯過濾技術(shù)。1規(guī)則過濾技術(shù)

使用規(guī)則過濾技術(shù)進(jìn)行判斷可以相對快速的判斷垃圾郵件，這種技術(shù)通過設(shè)置一些規(guī)則，然後對要識別的郵件評估了大量的模式大多數(shù)是正則運(yùn)算式。只要符合這些規(guī)則的一條或幾條，就認(rèn)為是垃圾郵件。使用這種技術(shù)最重要的是評定規(guī)則的更新。這些規(guī)則通常有：

（1）利用郵件位址、IP、功能變數(shù)名稱“黑白名單”或反向功能變數(shù)名稱查詢進(jìn)行的郵件限制或過濾。為了有效地拒絕來自惡意的垃圾郵件來源站點(diǎn)和域被利用的垃圾郵件來源站點(diǎn)所發(fā)來的垃圾郵件，最直接和有效的辦法就是拒絕該來源的連接。

即時黑名單（Realtime Bolckhole List，簡稱RBL）技術(shù)通過檢查收到郵件的IP地址，與在RBL中的IP地址核對來阻止垃圾郵件。即時黑名單不需要手工維護(hù)IP位址列表清單，而是通過DNS方式來動態(tài)地查找一個IP位址的 A（Address）記錄是否存在。因此即時黑名單技術(shù)也被稱為RBLs。

反向功能變數(shù)名稱驗(yàn)證的方法就是啟動郵件伺服器的反向功能變數(shù)名稱解析功能，對收到郵件的來源IP位址採用反向DNS查找驗(yàn)證真實(shí)性。如果反向DNS查找提供的域與郵件上的來源IP地址相符號，該郵件被接受，如果不符合，該郵件被拒絕。例如其聲稱的名字為mail.changan.net，而其IP位址為202.96.172.185，與其DNS記錄相符，則予以接收。這種方法可以有效過濾掉來自動態(tài)IP的垃圾郵件，大大降低垃圾郵件的數(shù)量。但是，由於很多反向DNS目錄未被有效建立，或無法正常建立，在這種情況下，由這些域發(fā)送的郵件將被阻斷，造成不可接受的高誤報(bào)率。

（2）通過SMTP通信鏈結(jié)速率、頻度的設(shè)定，過濾不符合規(guī)定的郵件。垃圾郵件發(fā)送者經(jīng)常試圖通過在很短一段時間內(nèi)發(fā)送大量郵件阻塞郵件伺服器，這被稱為DOS（拒絕服務(wù)）攻擊。垃圾郵件的一個基本特徵是會在短時間內(nèi)發(fā)送大量的郵件，這就表現(xiàn)為某個IP地址會在短時間內(nèi)重複連接收件伺服器的SMTP埠，並佔(zhàn)用大量的帶寬。根據(jù)這個特點(diǎn)，一種方法是對每個IP位址可用的帶寬比例進(jìn)行限制，另一種是對每個IP位址的併發(fā)SMTP連接數(shù)目進(jìn)行限制。結(jié)合動態(tài)黑名單方式，更好地限制那些異常的網(wǎng)路流量，採用郵件重複技術(shù)進(jìn)行限制，對那些郵件頭中關(guān)鍵資訊重複的郵件進(jìn)行限制，如發(fā)送IP位址、發(fā)件人、郵件主題。這樣既可以達(dá)到限制垃圾郵件的目的，也可以減少伺服器由於處理垃圾郵件所消耗的資源。

規(guī)則過濾技術(shù)雖然可以過濾一類垃圾郵件，但是不能適應(yīng)垃圾郵件的發(fā)展，只要垃圾郵件的郵件作了一些改變，就要手動更新規(guī)則才能滿足垃圾郵件的變化。

2基於統(tǒng)計(jì)的內(nèi)容過濾技術(shù)

基於統(tǒng)計(jì)內(nèi)容的郵件過濾技術(shù)，可以不考慮語義環(huán)境，利用文本分類與統(tǒng)計(jì)分類演算法進(jìn)行垃圾郵件檢測。比較有代表性的是貝葉斯篩檢程式，貝葉斯分析採用過去事件的知識預(yù)測未來事件。

其基本流程是：首先在已經(jīng)確定的垃圾郵件集和正常郵件集中進(jìn)行學(xué)習(xí)，根據(jù)每個單詞分別在兩個集合中出現(xiàn)的次數(shù)，計(jì)算單詞為垃圾辭彙的概率。當(dāng)一封新郵件到達(dá)時，系統(tǒng)對信件內(nèi)容進(jìn)行分詞和選詞，得到一組單詞流，然後根據(jù)學(xué)習(xí)到的資訊，計(jì)算整個單詞流的概率，並最終判斷該信件是否為垃圾郵件。

因?yàn)樨惾~斯分類法是利用概率來推斷給定的郵件是垃圾郵件的可能性，在實(shí)際應(yīng)用中為了便於管理，系統(tǒng)採用了打分的方法來為垃圾郵件與正常郵件的區(qū)分設(shè)定界限。首先，為不同的可能性建立相應(yīng)的分?jǐn)?shù)，每封郵件是垃圾郵件的可能性就轉(zhuǎn)化為分?jǐn)?shù)來表示，增強(qiáng)了可讀性；然後，確定一個閾值，如果郵件的分?jǐn)?shù)超過了閾值，那麼該郵件就判定為垃圾郵件，反之為正常郵件。

3圖片垃圾郵件的判別技術(shù)

隨著垃圾郵件的日益複雜，其表現(xiàn)形式也千變?nèi)f化。垃圾郵件正由以往頗具迷惑性的URL位址鏈結(jié)和文字形式逐漸演變成圖片格式。杜絕圖片垃圾郵件的關(guān)鍵在於分層處理。當(dāng)分層處理的解決方案加上有效的過濾規(guī)則，用戶就會解決圖片垃圾郵件所帶來的網(wǎng)路資源和網(wǎng)路帶寬的大量浪費(fèi)。而採用典型的基於內(nèi)容過濾的貝葉斯演算法無法過濾此類垃圾郵件。通信協(xié)定掃描技術(shù)是防垃圾郵件技術(shù)領(lǐng)域的一種新型技術(shù)。此技術(shù)對於識別和阻攔圖片式的垃圾郵件起到很大的作用。

通信協(xié)定掃描技術(shù)主要針對垃圾郵件的發(fā)信行為，對發(fā)件人進(jìn)行監(jiān)控、阻擋，以達(dá)到減少垃圾郵件。通信協(xié)定掃描技術(shù)藉由匿名、偽造、濫發(fā)、非法的郵件行為判別，在不比對郵件內(nèi)容/黑名單下，進(jìn)行垃圾郵件行為解析，透過SMTP聯(lián)機(jī)即時通信協(xié)定，分析判斷並即時回溯追蹤寄件者真實(shí)身份，以判斷其通訊行為，對於圖像式垃圾郵件可以高效地實(shí)現(xiàn)阻擋。目前，垃圾郵件作為互聯(lián)網(wǎng)中的一個突出安全問題日益成為我們關(guān)注的重點(diǎn)和研究的熱點(diǎn)。單靠一種技術(shù)是無法徹底解決垃圾郵件，只有將各種反垃圾郵件技術(shù)結(jié)合起來運(yùn)用，研製出更好的反垃圾郵件產(chǎn)品，並採用法律管理手段才能有效地控制和治理垃圾郵件。

第四篇：反垃圾郵件技術(shù)——郵件過濾

在對抗垃圾郵件的技術(shù)中還有一種極為重要的技術(shù)是郵件過濾技術(shù)（Mail Filter）。通過實(shí)時黑名單技術(shù)并不能完全解決垃圾郵件的問題，使用郵件過濾技術(shù)與之配合才能更有效的消除垃圾郵件帶來的影響。

郵件過濾按照郵件系統(tǒng)的角色結(jié)構(gòu)可以分為三類：

MTA（郵件傳輸代理）過濾

MDA（郵件遞交代理）過濾

MUA（郵件用戶代理）過濾

MTA過濾是指MTA在會話過程中對會話的數(shù)據(jù)進(jìn)行檢查，對于符合過濾條件的郵件進(jìn)行過濾處理。郵件會話過程中有兩個階段可以進(jìn)行過濾：

第一個階段，郵件發(fā)送郵件數(shù)據(jù)前，即在發(fā)送DATA指令前的過濾。在發(fā)送DATA指令前，郵件對話可以在SMTP連接開始、HELO/EHLO指令、MAIL FROM指令和RCPT TO指令中對會話數(shù)據(jù)進(jìn)行檢查。

如果在檢查中該會話符合過濾的條件，就可以按照規(guī)則采取相應(yīng)的動作，如直接在會話階段斷開連接、發(fā)出警告代碼等。郵件發(fā)送郵件數(shù)據(jù)前的檢查也叫做信封檢查。

第二個階段，郵件發(fā)送郵件數(shù)據(jù)后，即在發(fā)送DATA指令后的過濾。在通過一個點(diǎn)的單行結(jié)束DATA指令后，可以對DATA指令接收到的數(shù)據(jù)進(jìn)行檢查，這包括信頭檢查和信體檢查。在DATA指令所傳送的數(shù)據(jù)中，信頭和信體是通過一個空行分隔開的。

信頭一般都比較小，通常在1KB－10KB之間，檢查信頭也比較快。而信體檢查就要檢查大量的數(shù)據(jù)，會給郵件服務(wù)器帶來很大的負(fù)載。所以通常不做信體檢查。

郵件發(fā)送郵件數(shù)據(jù)后的檢查實(shí)際上是在郵件數(shù)據(jù)傳輸基本完畢后進(jìn)行的，因此并不能節(jié)省下被垃圾郵件占用的帶寬和處理能力，只是可以讓用戶不再收到這些已被過濾的垃圾郵件。MDA過濾是指MDA在從MTA中接收到信件，在本地或遠(yuǎn)程進(jìn)行遞交時進(jìn)行檢查，對于符合過濾條件的郵件進(jìn)行過濾處理。

很多的MDA都支持在這個過程進(jìn)行過濾，如Procmail、Maildrop和Cyrus-IMAP等，甚至它們本身就是作為過濾器使用的。這些過濾器使用過濾語言（如Sieve，它是一個標(biāo)準(zhǔn)化的郵件過濾語言，現(xiàn)在已成為IETF標(biāo)準(zhǔn)）。來制訂過濾規(guī)則，因此配置比較靈活、功能強(qiáng)大。但是由于是在郵件遞交階段進(jìn)行過濾，同MTA的郵件發(fā)送郵件數(shù)據(jù)后的檢查一樣，并不能節(jié)省下被垃圾郵件占用的帶寬和處理能力，只是可以讓用戶不再收到這些已被過濾的垃圾郵件。

MTA和MDA過濾都是郵件服務(wù)器端的過濾，而MUA過濾是郵件用戶的客戶端的過濾。多數(shù)流行的郵件客戶端，如Outlook、Outlook Express、Netscape Mail、Foxmail等都支持MUA過濾。

郵件過濾技術(shù)作為一個有效的對抗垃圾郵件的手段，就如同殺毒軟件對病毒的查殺一樣，也是需要不斷根據(jù)情況更新郵件過濾規(guī)則的。通常都是管理員自行根據(jù)垃圾郵件監(jiān)測情況來更新過濾規(guī)則。不過本站即將推出一個推薦的信頭過濾規(guī)則和信體過濾規(guī)則，并不斷根據(jù)情況進(jìn)行更新。用戶可以訂閱這些規(guī)則并參考應(yīng)用到自己的郵件系統(tǒng)中。

郵件過濾是一項(xiàng)應(yīng)用的相當(dāng)早的技術(shù)，因而也發(fā)展的比較完善。已經(jīng)有很多主流的郵件系統(tǒng)支持郵件過濾，一些不直接支持該功能的郵件系統(tǒng)也可以通過補(bǔ)丁或外置的郵件過濾器來實(shí)現(xiàn)郵件過濾。

不過由于多數(shù)的黑名單服務(wù)提供者是國外的組織和公司，所以其提供的黑名單并不能有效地反映出國內(nèi)的垃圾郵件情況，因此國內(nèi)使用實(shí)時黑名單服務(wù)的郵件商很少，這也是我們之所以要提供自己的實(shí)時黑名單服務(wù)的原因。我們希望提供一個主要針對國內(nèi)的垃圾郵件狀況和動態(tài)地址分布的黑名單來為有效地遏制垃圾郵件做些有益的貢獻(xiàn)

第五篇：國際垃圾郵件及反垃圾最新技術(shù)

國際垃圾郵件及反垃圾最新技術(shù)

作者：Barracuda 2008-04-16 16:54:37

信息化時代，垃圾郵件那些想謀求暴利的投機(jī)者經(jīng)常使用的一條新的非法傳播途徑，它被認(rèn)為是最有效和最廉價(jià)的廣告形式，傳統(tǒng) 的控制方法已經(jīng)無法有效過濾垃圾郵件。垃圾郵件制造者通過郵件報(bào)頭欺騙等方式，對郵件主題和內(nèi)容進(jìn)行處理，并且利用第三方服務(wù)器進(jìn)行轉(zhuǎn)發(fā)。電子郵件安全服 務(wù)公司Postini估計(jì)，目前，超過80%的電子郵件屬于垃圾郵件。為了在與垃圾郵件的對抗中取得主動，大部分解決方案提供商在郵件服務(wù)器上安裝反垃圾 郵件引擎，檢查進(jìn)出該郵件服務(wù)器的郵件。

從96年4月份開始，人們使用 UCE(Unsolicited Commercial Email)來稱呼垃圾郵件，并開始積極想辦法阻止垃圾郵件在Internet 上泛濫。隨后，有人提出了SpamBlock的方法，例如使用 REMOVE.TO.REPLY 的工具來過濾郵件地址。隨著過濾垃圾郵件技術(shù)的發(fā)展以及人們對發(fā)送垃圾郵件者的譴責(zé)，垃圾郵件的制造者不得不采取更為隱蔽的技術(shù)，目前被利用最多的垃圾郵 件發(fā)送技巧有：

1、盜取身份，來自“好人”的身份欺騙：垃圾郵件制造者使用的手段相當(dāng)多樣化，他們收集全球范圍的發(fā)信者IP地址，使用新的垃圾郵件域名，垃圾郵件或藏匿在其 他“健康”url的后面以創(chuàng)建url好信譽(yù)，或利用如博客、免費(fèi)網(wǎng)站等這些免費(fèi)場所來達(dá)到身份欺騙。在發(fā)送過程中，它們用同樣的技巧來隱藏發(fā)信者IP地 址，將url重定向到已知垃圾郵件域名或IP地址，或者使用許多免費(fèi)的資源。

2、圖片垃圾郵件及多層圖片垃圾郵件：在所有的垃圾郵件中，圖像垃圾郵件從年初所占的1%已經(jīng)飆升至15%。垃圾郵件發(fā)送者越來越會隱蔽信息，他們以圖片的形 式發(fā)送，而不是用文本。這些圖像之所以能夠蒙蔽一些過濾器是因?yàn)椴惶菀装l(fā)現(xiàn)一個圖像文件所含的內(nèi)容是朋友生日聚會的照片、還是內(nèi)嵌某公司股票信息的圖 片。圖像垃圾郵件還會加重電子郵件系統(tǒng)的負(fù)擔(dān)，因?yàn)槊糠鈭D像垃圾郵件所占空間大約是普通垃圾郵件的7.5倍。

3、躲避全球IP監(jiān)控及信譽(yù)評分：信譽(yù)評分技術(shù)是指根據(jù)信譽(yù)(reputation)篩檢郵件的方法，依照寄件行為接受評比。評比標(biāo)準(zhǔn)依據(jù)幾項(xiàng)變數(shù)，例如收件 人的申訴率、發(fā)送郵件的數(shù)量，以及對收件人取消訂閱要求的回應(yīng)。另外，ip地址黑名單也是垃圾郵件發(fā)送者要回避的，為此，他們必須不斷尋找新的僵尸服務(wù)器 代發(fā)垃圾郵件。

4、躲避內(nèi)容過濾，夾帶URL或者電話號碼：越來越多的垃圾郵件發(fā)送者為躲避內(nèi)容過濾引擎，將郵件偽裝得越來越像一封正常郵件，而郵件中夾帶的URL地址或者電話號碼才是垃圾郵件發(fā)送者正真的意圖所在。

這些非法新技術(shù)的隱蔽性和擴(kuò)張性大大優(yōu)于他們的前身，造成當(dāng)今垃圾郵件泛濫成災(zāi)，使用電子郵件的網(wǎng)民及各界人士對垃圾郵件造成的問題日益關(guān)注，網(wǎng)絡(luò)服務(wù)商和郵件運(yùn)營商們紛紛提出了自己的技術(shù)方案：

發(fā)件人特征識別技術(shù) Predictive Sender Profiling

在身份欺騙技術(shù)被垃圾郵件制造者廣泛利用的新形式下，郵件安全廠商推出了針對性的發(fā)件人特征識別技術(shù)，代表產(chǎn)品為國際領(lǐng)先安全廠商博威特公司的 梭子魚垃圾郵件防火墻。在06年底，該公司宣布將針對“好人”身份欺騙的特征識別技術(shù)加入梭子魚垃圾郵件防火墻中，首先要驗(yàn)證發(fā)信者身份并預(yù)測其行為，這 其中包括列舉垃圾郵件制造者的行為以及加強(qiáng)不依靠身份驗(yàn)證進(jìn)行辨認(rèn)的措施。博威特網(wǎng)絡(luò)技術(shù)公司表示，對于發(fā)件人特征識別技術(shù)來說，郵件信譽(yù)的校驗(yàn)只是最基 本的，它必須通過啟發(fā)式和人性化的檢查來勾勒出垃圾郵件的行為特性，必須具備多樣的有效對策。

信譽(yù)評分技術(shù) IP Reputation

加州山景城的Habeas公司從事信譽(yù)過濾(reputation-filtering)服務(wù)，也就是協(xié)助企業(yè)改良電子郵件的名聲，客戶包括 WalMart.com、Staples、Vanguard、Geico和Tickets.com等公司。Habeas的對手公司ReturnPath從 事的也是設(shè)法把郵件投入收件信箱的服務(wù)，避免讓郵件被棄置于垃圾信件分類。

Habeas首席執(zhí)行官Des Cahill說：“電子郵件不是白吃的午餐。沒有什么好東西仍然免費(fèi)。就像做搜索引擎最好做引擎優(yōu)化(search engine optimization)一般，電子郵件信譽(yù)與投遞也是快速增長的新興行業(yè)。”專家把電子郵件信譽(yù)比喻成駕駛紀(jì)錄或信用紀(jì)錄。如果駕駛紀(jì)錄不佳，你必須 付更高的保險(xiǎn)費(fèi)；信用紀(jì)錄不良，你就無法取得優(yōu)惠的貸款利息。同理，如果電子郵件信譽(yù)差，你寄的郵件就會被丟入垃圾桶。

多重圖片識別技術(shù) OCR

打擊圖片垃圾郵件的主導(dǎo)技術(shù)有圖片垃圾郵件指紋識別技術(shù)、ocr識別技術(shù)以及之后的第三代圖像防御技術(shù)。這三種技術(shù)在梭子魚垃圾郵件防火墻上有 集中的體現(xiàn)，在ocr識別技術(shù)的初期，圖片垃圾郵件的發(fā)送者們企圖使用動態(tài)的gif圖像使內(nèi)容占用多幀。而且，他們采用橫線，符號和其他圖像模糊圖片內(nèi)的 文字。為了對付這些技巧，博威特公司第二代ocr引擎既包含動態(tài)gif文件分析功能還包括模糊文本識別技術(shù)。

隨著第三代圖片垃圾郵件的出現(xiàn)，博威特公司研發(fā)出新型復(fù)合ocr引擎。該引擎深入分析圖片，在進(jìn)行ocr識別之前對表象圖片進(jìn)行規(guī)范化處理。這個新技術(shù)主要針對圖片掩飾，不同顏色的對比，以及組合文字，背景等手段。綜合處理正確率在95%以上。

意圖分析技術(shù) Intention Analysis

意圖分析包括鑒別歷史記錄里的錯誤郵件發(fā)送基點(diǎn)、它們目前的行為和意圖。許多防御策略用來鑒別垃圾郵件，而意圖是隨時間而改變的特殊類別。

大部分垃圾郵件背后的動機(jī)是使接受某物，例如登陸某個站點(diǎn)，撥打某個電話，或者買某只股票。這些動機(jī)被稱為郵件“意圖”，觀察郵件的這些特點(diǎn)叫做“意圖分析”。目前為止，大部分垃圾郵件的意圖都是讓用戶點(diǎn)擊一個網(wǎng)頁或鏈接。

即使郵件發(fā)送者試圖通過新IP地址掩蓋他們的不良記錄，他們最終還是需要驅(qū)使用戶去特定的網(wǎng)站。梭子魚中心維護(hù)著垃圾郵件發(fā)送者常用網(wǎng)站地址庫，能夠基于郵件中插入的站點(diǎn)地址阻斷郵件。

意圖分析是阻斷垃圾郵件非常有效的手段，它的有效性隨著黑名單有效性的相對減少而增加。梭子魚中心分析后發(fā)現(xiàn)，在梭子魚垃圾郵件防火墻的過濾郵件中，意圖分析過濾占到了10～20％。

垃圾郵件巨大的利潤驅(qū)使下，不法份子將不斷使用更新的手段和技術(shù)來達(dá)到目的，污染郵件環(huán)境。而網(wǎng)絡(luò)服務(wù)商和郵件運(yùn)營商們則也將一如既往地研制出新技術(shù)來應(yīng)對不法分子的挑戰(zhàn)。與垃圾郵件的斗爭注定將是一場持久戰(zhàn)，廠商們已經(jīng)做好了準(zhǔn)備！