[科普中国]-垃圾邮件防火墙

概述

网络垃圾邮件给我们造成的危害很大，浪费很多的网络资源，也浪费我们宝贵的时间。网络病毒和垃圾邮件永远是网络安全主要的两个方面。目前，垃圾邮件的解决方案多种多样，但主要有四种：客户端的软件解决方案;远程电子邮件过滤服务;企业级软件解决方案;硬件设备。

客户端的软件解决方案就是安装软件，现在的防垃圾邮件软件零零散散，特别是在国内，不管是个人版或者服务器版的防垃圾邮件软件更多的是出自一些个人开发者之手，其中对垃圾邮件的定义不准确，很多人把垃圾邮件定义成病毒。垃圾邮件主要分为广告邮件、匿名骚扰邮件和虚假邮件3种，目前软件主要采用的是根据发信人地址、邮件主题或者是邮件大小等来进行过滤。但是一方面由于垃圾邮件存在不固定的随机性，因此很难把握垃圾邮件的准确特征，另一方面由于大部分防垃圾邮件工具本身设计上的误区，造成了难以彻底防住垃圾邮件的现状。同时，对于一个大型企业来说，一个防垃圾邮件软件很难档的住每天成千上万，各式各样的垃圾邮件。

目前对于企业用户来说，大部分是采用高级硬件防火墙，个人用户采用软件防火墙。硬件防火墙和软件防火墙相比，有哪些优点呢?硬件防火墙采用专用的硬件设备，然后集成生产厂商的专用防火墙软件。从功能上看，硬件防火墙内建安全软件，使用专属或强化的操作系统，管理方便，更换容易，软硬件搭配较固定。硬件防火墙效率高，解决了防火墙效率、性能之间的矛盾，可以达到线性。

软件防火墙一般基于某个操作系统平台开发，直接在计算机上进行软件的安装和配置。由于客户平台的多样性，软件防火墙需支持多操作系统，如Unix、Linux、SCO-Unix、Windows等，代码庞大、安装成本高、售后支持成本高、效率低。

1、性能优势。防火墙的性能对防火墙来说是至关重要的。它决定了每秒钟通过防火墙的数据流量。单位是Bps，从几十M到几百M不等，还有千兆防火墙甚至达到几G的防火墙。而软件防火墙则不可能达到如此高的速率。

2、CPU占用率的优势。硬件防火墙的CPU占用率当然是0了，而软件防火墙就不同了，如果处于节约成本的考虑将防火墙软件安装在提供服务的主机上，当数据流量较大时，CPU占用率将是主机的杀手，将拖跨主机。

3、售后支持。硬件防火墙厂家会对防火墙产品有跟踪的服务支持，而软件防火墙的用户能得到这种机会的相对较少，而且厂家也不会在软件防火墙上下太大的功夫和研发经费。

因此，从实施的有效性、技术的易用性、以价格和企业的要求等综合方面来考虑，目前被企业用户广泛采用的是“硬件的垃圾邮件解决方案”。当一个邮件由Internet的一个客户发到电子邮件服务器的时候，首先必须发到防垃圾邮件防火墙，防垃圾邮件防火墙对邮件进行特征过虑，再发到电子邮件服务器。

垃圾邮件来源SMTP协议本身是一个简化的邮件递交协议，缺乏很多必要的身份认证，这是SMTP协议造成垃圾邮件泛滥的原因之一。由于SMTP协议中，允许发信人伪造绝大多数的发信人特征信息，如：发信人、信件路由等，甚至在通过匿名转发、开放转发和开放代理等手段后，可以近乎完全的抹去垃圾邮件的发信人特征。目前，绝大多数的垃圾邮件都伪造了其真实的发信来源，这对于发现制止垃圾邮件的传播造成了很大的困难。
SMTP协议还缺少一些必要的行为控制，不能有效的甄别正常的邮件发送和垃圾邮件发送行为，这是造成垃圾邮件泛滥的原因之二。垃圾邮件的发送通常有一定的行为特征，比如在较短的时间内发送极其大量的电子邮件，发信通讯中通常有特定的通讯特征等。
反垃圾邮件技术手段要么是本身带有一定的缺陷，比如在垃圾邮件的判断上不能做到绝对精确，或者需要很大实现成本等等；要么就是由于实际环境的限制而不能应用，比如不能彻底推翻原有的SMTP协议而使用一种新的可以避免垃圾邮件产生和传播的邮件协议。所以，单纯依赖技术手段并不能完全解决垃圾邮件1。

技术解析以下是这款反垃圾邮件防火墙使用的防护技术：
1 拒绝服务攻击和安全防护
2 IP阻挡清单
3 速率控制
4 双层病毒扫描
5 用户自定义规则
6 垃圾邮件指纹检查
7 邮件意图分析
8 贝叶斯智能分析
9 基于规则的评分系统
10 解压缩文件的病毒防护
由于速率控制、病毒扫描以及解压缩文件的病毒防护针对病毒的，属于反垃圾邮件的附属功能我们暂不讨论，值得一提的是防火墙的防止DDOS攻击和反垃圾邮件防火墙防止DOS攻击是不一样的。根据博威特技术工程师的介绍：反垃圾邮件防火墙的防止DOS攻击主要是防止往一个邮件地址在一个较短的时间内发送大量的垃圾邮件，从而形成Dos攻击。
而针对垃圾邮件的核心技术有贝叶斯智能分析、垃圾邮件指纹检查、基于规则的评分系统、用户自定义规则,其核心是贝叶斯智能分析、垃圾邮件指纹检查技术。

主要作用保障邮件系统安全虽然有网络防火墙作为网络安全的保障，但是如果邮件服务器对外提供服务，则黑客仍然至少能够通过邮件通讯与邮件服务器发生“亲密接触”。

有了邮件防火墙的隔离，从Internet外部只能“看到”邮件防火墙，而看不到内部真正的邮件服务器，甚至从外面无法知道内部邮件服务器采用哪种软件系统，什么版本状态等。因此大大降低了邮件服务器因为“暴露在外”而潜伏的安全隐患。

过滤不安全邮件尽管SMTP协议中的VRFY和EXPN等协议的设计初衷很好，但是黑客和垃圾邮件发送者却可以利用这些命令从警惕性不高和缺乏经验的邮件系统管理员的工作漏洞中获取系统账户等信息，从而带来潜在的安全隐患。

有了邮件防火墙作为邮件收发的“协议翻译机”，能够将这些不安全的协议屏蔽掉，杜绝此类安全漏洞。

擦除邮件路由痕迹邮件防火墙的“邮件路由痕迹擦除器”的作用，就是要擦除这些冗余的路由信息，使得外发的邮件信息经过“过滤”，从而消除此类安全隐患。

防止开放式中继通过在“邮件防火墙”中设定严格的中继规则，可以防止Open Relay带来的垃圾邮件隐患2。

常见产品梭子鱼垃圾邮件防火墙是一款软硬件集成的解决方案，帮助邮件系统抵御最新的垃圾邮件、病毒邮件、欺诈性邮件、钓鱼邮件、间谍程序邮件等各类邮件威胁。梭子鱼垃圾邮件防火墙的邮件安全多层过滤模型提供全面的垃圾邮件过滤功能，各过滤层采用不同的反垃圾邮件技术对邮件进行扫描，即包括对垃圾邮件行为的识别，也包括多种高级内容过滤技术，因而能达到最佳的过滤效果。

梭子鱼实时防御技术使得梭子鱼反垃圾及病毒防火墙能更快的阻止最新的病毒、间谍软件及其他各种恶意软件。当这类邮件爆发时，梭子鱼能第一时间予以发现并阻断。此功能亦称之为“零时防御”，集成在病毒过滤的第三层3。

和防火墙的关系防火墙是一个广义上称呼，从实际应用的角度看防火墙是为了保护企业内部网络资源（如www服务器、文件服务器等等）免受外部安全威胁侵害的防护设备，通过设置不同的防护级别和防护措施对内部网络资源实行实施保护。根据它所防护的侧重点的不同，防火墙可以分为病毒防火墙，DDOS（分布式拒绝服务攻击）防火墙，垃圾邮件防火墙等等。
简而言之，反垃圾邮件防火墙是用来反垃圾邮件的专用防火墙。
防火墙从工作方式上来说都有一个共性：分析出入防火墙的数据包，决定放行还是阻断。在实际部署中，作为专用垃圾邮件防火墙可以放在普通防火墙的前面也可是防火墙的后面，建议放在后面在逻辑上保持和邮件服务器是串联的关系就可以了。
a)安装在防火墙的外面就要修改（或是增加）MX记录，是MX记录能够指向反垃圾邮件防火墙，如果有两条的话，指向反垃圾邮件防火墙的MX记录有优先级要调的高一些。
b)安装在防火墙的里面要将SMTP的NAT记录指向反垃圾邮件防火墙此两种情况都不需要在服务器和客户端软件（outlookfoxmail等）做任何更改 。