導言

顯然，垃圾郵件制造者、網(wǎng)絡欺詐者和病毒作者更喜歡隱藏他們的身份。他們偽造信息頭，將鏈接隱藏在信息正文中，并借助其它各種技術偽裝自己，意圖逃過檢查，偷偷溜進收件箱里。

相應地，如果能知道這些發(fā)送者是誰以及他們的狀態(tài)，那些與之戰(zhàn)斗的人們無疑將得到莫大的好處。為了解發(fā)送者過去表現(xiàn)出來的行為類別，并利用該資料判定某信息是否有威脅，電子郵件安全廠商創(chuàng)造了信譽系統(tǒng)，告訴他們發(fā)送者都做過什么，并預測發(fā)送者可能會做些什么，無論所做是好是壞。

內容檢查已不能滿足要求

不幸的是，許多企業(yè)所依賴的電子郵件安全解決方案僅僅停留在信息內容檢查上，而從未將識別某特定信息的來源納入考慮范疇。這種方法在對付含有特定垃圾郵件標志的信息時還能起到一定作用，但若想阻止那些采取了新技術的垃圾郵件就完全無能為力了。新技術包括例如偽造郵件頭、內嵌鏈接及其它無數(shù)種偷偷潛入企業(yè)進入收件箱的方法等。

電子郵件安全與信譽

全面的電子郵件安全方案應同時涉及對信息內容和發(fā)送者歷史的檢查。根據(jù)過去行為對發(fā)送者進行評估，人們可以更精確地描述出他們的目的和合法性。他們是否曾經發(fā)送過垃圾郵件?傳播過病毒?或實施過欺詐攻擊?如果是，一個有效的信譽系統(tǒng)就能知道并給信息加上相應標簽。發(fā)送者是新出現(xiàn)的嗎?如果是，信譽系統(tǒng)就會密切關注他以確定該發(fā)送者是否為黑客的“僵尸”機器。

信譽系統(tǒng)增加了企業(yè)對電子郵件安全所作努力的價值，表現(xiàn)在以下方面:

·增加了有效性 —— 如果一個已知的垃圾郵件制造者試圖使用新的技術以規(guī)避檢查，一個精確的信譽系統(tǒng)就會辨別出信息的來源，并將其攔截。未使用信譽系統(tǒng)的電子郵件安全解決方案在面對新的威脅時將無法保持其有效性。

·降低了服務器負載 —— 通過識別和攔截已知的“壞”IP地址，信譽系統(tǒng)可以降低網(wǎng)絡多達50%的信息流入量。這對處理不斷增加的電子郵件負載來說是相當關鍵的。

與最初相比，信譽系統(tǒng)無論在概念上，還是在其支持技術上，都有了重大的進步。

信譽系統(tǒng)定義了什么

其實很簡單，信譽系統(tǒng)對發(fā)送者行為進行跟蹤，看其發(fā)送行為是好(如發(fā)送合法的電子郵件信息)、是壞(如發(fā)送垃圾郵件或)還是介于兩者之間。

通過長時間對發(fā)送者行為的跟蹤，CipherTrust的發(fā)送者信譽數(shù)據(jù)庫保持了持續(xù)增長和改進。現(xiàn)在我們來看一下信譽系統(tǒng)相對簡短的歷史，您不難發(fā)現(xiàn)其發(fā)展的迅速:

第一代信譽系統(tǒng)

在垃圾郵件發(fā)展的“早期”(大約2001年)，世界上收件箱里開始出現(xiàn)擾人的信息，這時簡單的黑名單和白名單(BL/WL)似乎是一種合宜的響應。黑名單包含已知的垃圾郵件制造者、網(wǎng)絡欺詐者和病毒發(fā)送者的IP地址，白名單則包含已知合法發(fā)送者的IP地址。參考這些名單能幫助企業(yè)過濾掉郵件總流量的一部分，暫時遏制了垃圾信息的沖擊。但幾乎在一夜之間，黑名單白名單的缺點變得慘痛的顯而易見:

·黑/白名單是反應式的，不是前瞻式的。為保持名單的更新，最終用戶必須先收到惹人討厭的信息，然后才能手動報告給系統(tǒng)管理員。而那時已經太晚了;垃圾郵件已經進入用戶的收件箱。

·黑/白名單是軼事性的。就像有關海怪的故事如大腳毛人和“逃脫之人”一樣，白名單和黑名單可能是也可能不是完全建立在事實的基礎上。警戒員可能只是稍微甚至沒有研究發(fā)送者的實際發(fā)送習慣，就將他們不分皂白或惡意地加入名單之中。

·黑/白名單很容易出錯。合法電子郵件發(fā)送者發(fā)現(xiàn)自己常常因為錯誤信息而被列入黑名單;不幸的是，將自己從黑名單上消除就像去除頭發(fā)上的口香糖一樣困難。或許更麻煩的是，有些“付費拉單”式白名單允許任何人扮成合法發(fā)送者并繞過垃圾郵件過濾器，只要他們有足夠的金錢(包括垃圾郵件制造者)。

·黑/白名單速度慢。任何單純依靠名單的防御技術總會落后垃圾郵件制造者好幾步。當黑名單更新一個新地址時，全世界的最終用戶已經收到了垃圾信息，并暴露在可能附加的任何有毒物中。反過來，來自合法發(fā)送者的電子郵件可能會被誤認為是垃圾郵件，直到該發(fā)送者的IP地址被添加到白名單中，然而信息已經丟失了。

·這不是一個黑白分明的世界。對于手動的、主觀的且經常出錯的名單來說，常常存在太多灰色的而無法以“翹起拇指”和“拇指朝下”對發(fā)送者做出簡單的判斷。第一代信譽系統(tǒng)并沒有考慮到那些處在“好”與“壞”之間的發(fā)送者。

在黑名單和白名單有效性下降的背后固然還有其他一些因素，但總而言之，這些名單作為電子郵件安全解決方案的失敗主要還在于它們無法將信息質量因素包括其中。

第一代信譽系統(tǒng)根據(jù)不準確、軼事性的黑名單和白名單賦予發(fā)送者“好”或“壞”的等級。本應屬于中間位置的IP地址就被趕到兩個極端之一上。

第二代信譽系統(tǒng)(2G)

第二代信譽系統(tǒng)彌補了黑/白名單的不足，對垃圾郵件洪流進行了控制。在名單繼續(xù)作為整體構件之一的情況下，新的特性暫時增加了2G信譽系統(tǒng)的效率和有效性。然而，隨著時間的過去，垃圾郵件制造者也修改了他們的習慣以逃過檢查。

第二代信譽系統(tǒng)的改進措施中包括:

·動態(tài)名單。電子郵件安全領域中僵尸的出現(xiàn)使人們必須采取相應的措施。在垃圾郵件出現(xiàn)早期黑名單和白名單尚足以給發(fā)送者分配信譽，而僵尸的出現(xiàn)則完全改變了這種狀況。它們將發(fā)送者變好為壞，使壞的發(fā)送者以其他人的IP地址發(fā)送惡意信息，而不用通過明顯的偽造或擔心損壞信譽。動態(tài)更新名單的加入使得信譽系統(tǒng)能夠適應迅速變化的條件。

·自動更新。許多第二代系統(tǒng)都包含了自動更新，從而減輕了管理員負擔，不用像以前那樣不得不手動上載名單給中央主機，以便將名單分發(fā)到互聯(lián)網(wǎng)上。盡管效率因此得到了顯著改善，但更新還是需要手動提交黑白名單。

·信息評分。在研究了數(shù)百萬封垃圾電子郵件后，人們發(fā)現(xiàn)了這些信息的某些共性。一些第二代信譽系統(tǒng)對此做出了響應，開發(fā)出識別進入信息中這些特征的運算法則，根據(jù)信息為合法信息的可能性給一條信息評分。

盡管有些第二代信譽系統(tǒng)包含了基于發(fā)送者行為的動態(tài)IP地址白/黑名單，但沒有一個系統(tǒng)能夠將這個特性與自動更新和信息評分結合起來，以便發(fā)展成為一個真正全面的系統(tǒng)。

TrustedSource:下一代信譽系統(tǒng)

現(xiàn)在的垃圾郵件制造者比什么時候都聰明，因此信譽系統(tǒng)也必須同樣成熟。一個有效的信譽系統(tǒng)必須是動態(tài)的、全面的、精確的，并且建立在企業(yè)實際郵件流量上，才能防止垃圾郵件制造者有任何可乘之機。為此，CipherTrust開發(fā)出TrustedSource —— 現(xiàn)有最準確最全面的信譽系統(tǒng)。借助由CipherTrust業(yè)內領先的客戶網(wǎng)絡得到的研究結果，TrustedSource使企業(yè)在爭奪收件箱的戰(zhàn)斗中走在垃圾郵件制造者的前面。

開發(fā)出TrustedSource后，CipherTrust成功為互聯(lián)網(wǎng)上使用中的每一個IP地址(一共42億個!)定義了一個信譽值，而不僅僅是那些過去曾經遭遇過的地址。

TrustedSource如何運作?

結合業(yè)界領先的多年研究成果和IronMail 信息工具箱，CipherTrust在IP地址的電子郵件發(fā)送行為上取得了驚人的發(fā)現(xiàn)。TrustedSource獨特地將通常可得數(shù)據(jù)例如流量模式、白/黑名單和網(wǎng)絡特征與CipherTrust全球1400多家客戶公司的企業(yè)網(wǎng)絡結合起來。這一有力的結合使得TrustedSource能夠同時根據(jù)發(fā)送者歷史和信息特征對IP地址進行評分，不管它處在好與壞之間哪個位置上。

TrustedSource是首個也是唯一一個將流量數(shù)據(jù)、白名單、黑名單和網(wǎng)絡特征與無可比擬的CipherTrust全球網(wǎng)絡相結合的信譽系統(tǒng)。CipherTrust的全球網(wǎng)絡囊括了1400多家公司和3000多部部署設備，造就了業(yè)內最完整的信譽系統(tǒng)和對互聯(lián)網(wǎng)上42億個IP地址進行評分的能力。

網(wǎng)絡效果

要得出科學的結論，就必須有一個相應的統(tǒng)計樣本。對于驅動TrustedSource的研究來說，CipherTrust從數(shù)目龐大的運行中IronMail設備收集數(shù)據(jù):

·受IronMail設備保護的1400多家公司

·財富百強1/3的企業(yè)客戶

·總數(shù)達3000多的設備部署

借助業(yè)內最大的企業(yè)客戶基礎，CipherTrust的研究人員獲得了比其他同類廠商更多、更完整的數(shù)據(jù)。利用如此眾多的部署設備和龐大的可用數(shù)據(jù)，研究人員得以抽取一個樣本，該樣本精確顯示了流經整個互聯(lián)網(wǎng)的電子郵件流量特征。

持續(xù)的測試 —— 有罪原則(在證明無罪之前先假設有罪)

在對未知的或不熟悉的發(fā)送者進行信譽評分上，TrustedSource采取了有罪原則，即在證明無罪之前先假設有罪，而不是在對可疑情況無把握時不對發(fā)送者做出不利判定。通過檢查某個特定IP地址發(fā)送電子郵件活動的頻率和所發(fā)信息的質量(利用IronMail信息工具箱)，TrustedSource會為該地址分配一個概率值，顯示其作為垃圾郵件制造者或被黑客接管并利用來發(fā)送垃圾郵件、病毒或其它多余信息的僵尸機器的可能性有多大。

根據(jù)從運行中的IronMail設備收集來的信息，CipherTrust識別了約5千萬個IP地址，它們發(fā)送的電子郵件達到每天或幾乎每天發(fā)送總量的大約70%。另外30%的郵件量來自之前未遭遇過的IP地址，這些信息中95%以上都是垃圾郵件、病毒或其它不受歡迎的信息。據(jù)此，CipherTrust的研究人員得出結論，即首次遭遇的IP地址更可能是僵尸機器。根據(jù)該原則，CipherTrust在一小時之內識別了1萬8千多臺新的僵尸機器。

上表以全球IronMail設備一個月中接收到的信息為樣本，顯示了大多數(shù)IP地址發(fā)送電子郵件的頻率。藍色陰影部分表示每月只有幾天發(fā)送電子郵件的IP地址。CipherTrust研究95%肯定來自這些發(fā)送者的信息最有可能是垃圾郵件或其它多余信息。請注意月末31號綠色陰影部分的小幅上升。該部分代表那些每日發(fā)送電子郵件的發(fā)送者，CipherTrust肯定他們最有可能是合法的。

持續(xù)反饋

IronMail設備收到的多余信息越多，就越能夠偵測并阻止它們。TrustedSource為CipherTrust提供發(fā)送者狀態(tài)的持續(xù)更新;這些更新會通過CipherTrust威脅響應更新(TRU)發(fā)送到其它運行中的IronMail設備，從而創(chuàng)造反饋循環(huán)，使所有關聯(lián)方(除了垃圾郵件制造者)都受益，并幫助IronMail在區(qū)分電子郵件好壞時取得最高水平的精確度。

結束語

傳統(tǒng)的電子郵件安全措施要么單純依靠內容和/或特征基礎上的信息識別，要么單純依靠黑名單和白名單，二者都無法生成足夠的發(fā)送者資料。為了精確識別信息是需要的還是多余的，企業(yè)必須采取一種結合了信息檢查和全面信譽系統(tǒng)(如TrustedSource)的方法，才能根據(jù)發(fā)送者歷史來識別哪些是危險IP地址。

由于結合了IronMail信息工具箱和CipherTrust TrustedSource信譽系統(tǒng)，IronMail用戶與其它電子郵件安全解決方案用戶相比具有顯著的優(yōu)勢;更為重要的是，IronMail用戶的優(yōu)勢是垃圾郵件制造者、病毒作者、網(wǎng)絡欺詐者和其他惡意發(fā)送者無法相提并論的。