解析CipherTrust反垃圾邮件新技术

　导言

　　显然，垃圾邮件制造者、网络欺诈者和病毒作者更喜欢隐藏他们的身份。他们伪造信息头，将链接隐藏在信息正文中，并借助其它各种技术伪装自己，意图逃过检查，偷偷溜进收件箱里。

　　相应地，如果能知道这些发送者是谁以及他们的状态，那些与之战斗的人们无疑将得到莫大的好处。为了解发送者过去表现出来的行为类别，并利用该资料判定某信息是否有威胁，电子邮件安全厂商创造了信誉系统，告诉他们发送者都做过什么，并预测发送者可能会做些什么，无论所做是好是坏。

　　内容检查已不能满足要求

　　不幸的是，许多企业所依赖的电子邮件安全解决方案仅仅停留在信息内容检查上，而从未将识别某特定信息的来源纳入考虑范畴。这种方法在对付含有特定垃圾邮件标志的信息时还能起到一定作用，但若想阻止那些采取了新技术的垃圾邮件就完全无能为力了。新技术包括例如伪造邮件头、内嵌链接及其它无数种偷偷潜入企业网关进入收件箱的方法等。

　　电子邮件安全与信誉

　　全面的电子邮件安全方案应同时涉及对信息内容和发送者历史的检查。根据过去行为对发送者进行评估，人们可以更精确地描述出他们的目的和合法性。他们是否曾经发送过垃圾邮件?传播过病毒?或实施过欺诈攻击?如果是，一个有效的信誉系统就能知道并给信息加上相应标签。发送者是新出现的吗?如果是，信誉系统就会密切关注他以确定该发送者是否为黑客远程控制的“僵尸”机器。

　　信誉系统增加了企业对电子邮件安全所作努力的价值，表现在以下方面:

　　·增加了有效性 —— 如果一个已知的垃圾邮件制造者试图使用新的技术以规避检查，一个精确的信誉系统就会辨别出信息的来源，并将其拦截。未使用信誉系统的电子邮件安全解决方案在面对新的威胁时将无法保持其有效性。

　　·降低了服务器负载 —— 通过识别和拦截已知的“坏”IP地址，信誉系统可以降低网络多达50%的信息流入量。这对处理不断增加的电子邮件负载来说是相当关键的。

　　与最初相比，信誉系统无论在概念上，还是在其支持技术上，都有了重大的进步。

　　信誉系统定义了什么

　　其实很简单，信誉系统对发送者行为进行跟踪，看其发送行为是好(如发送合法的电子邮件信息)、是坏(如发送垃圾邮件或恶意代码)还是介于两者之间。

　　通过长时间对发送者行为的跟踪，CipherTrust的发送者信誉数据库保持了持续增长和改进。现在我们来看一下信誉系统相对简短的历史，您不难发现其发展的迅速:

　　第一代信誉系统

　　在垃圾邮件发展的“早期”(大约2001年)，世界上收件箱里开始出现扰人的信息，这时简单的黑名单和白名单(BL/WL)似乎是一种合宜的响应。黑名单包含已知的垃圾邮件制造者、网络欺诈者和病毒发送者的IP地址，白名单则包含已知合法发送者的IP地址。参考这些名单能帮助企业过滤掉邮件总流量的一部分，暂时遏制了垃圾信息的冲击。但几乎在一夜之间，黑名单白名单的缺点变得惨痛的显而易见:

　　·黑/白名单是反应式的，不是前瞻式的。为保持名单的更新，最终用户必须先收到惹人讨厌的信息，然后才能手动报告给系统管理员。而那时已经太晚了;垃圾邮件已经进入用户的收件箱。

　　·黑/白名单是轶事性的。就像有关海怪的故事如大脚毛人和“逃脱之人”一样，白名单和黑名单可能是也可能不是完全建立在事实的基础上。警戒员可能只是稍微甚至没有研究发送者的实际发送习惯，就将他们不分青红皂白或恶意地加入名单之中。

　　·黑/白名单很容易出错。合法电子邮件发送者发现自己常常因为错误信息而被列入黑名单;不幸的是，将自己从黑名单上消除就像去除头发上的口香糖一样困难。或许更麻烦的是，有些“付费拉单”式白名单允许任何人扮成合法发送者并绕过垃圾邮件过滤器，只要他们有足够的金钱(包括垃圾邮件制造者)。

　　·黑/白名单速度慢。任何单纯依靠名单的防御技术总会落后垃圾邮件制造者好几步。当黑名单更新一个新地址时，全世界的最终用户已经收到了垃圾信息，并暴露在可能附加的任何有毒物中。反过来，来自合法发送者的电子邮件可能会被误认为是垃圾邮件，直到该发送者的IP地址被添加到白名单中，然而信息已经丢失了。

　　·这不是一个黑白分明的世界。对于手动的、主观的且经常出错的名单来说，常常存在太多灰色的阴影而无法以“翘起拇指”和“拇指朝下”对发送者做出简单的判断。第一代信誉系统并没有考虑到那些处在“好”与“坏”之间的发送者。

　　在黑名单和白名单有效性下降的背后固然还有其他一些因素，但总而言之，这些名单作为电子邮件安全解决方案的失败主要还在于它们无法将信息质量因素包括其中。

　　第一代信誉系统根据不准确、轶事性的黑名单和白名单赋予发送者“好”或“坏”的等级。本应属于中间位置的IP地址就被赶到两个极端之一上。
第二代信誉系统(2G)

　　第二代信誉系统弥补了黑/白名单的不足，对垃圾邮件洪流进行了控制。在名单继续作为整体构件之一的情况下，新的特性暂时增加了2G信誉系统的效率和有效性。然而，随着时间的过去，垃圾邮件制造者也修改了他们的习惯以逃过检查。

　　第二代信誉系统的改进措施中包括:

　　·动态名单。电子邮件安全领域中僵尸的出现使人们必须采取相应的措施。在垃圾邮件出现早期黑名单和白名单尚足以给发送者分配信誉，而僵尸的出现则完全改变了这种状况。它们将发送者变好为坏，使坏的发送者以其他人的IP地址发送恶意信息，而不用通过明显的伪造或担心损坏信誉。动态更新名单的加入使得信誉系统能够适应迅速变化的条件。

　　·自动更新。许多第二代系统都包含了自动更新，从而减轻了管理员负担，不用像以前那样不得不手动上载名单给中央主机，以便将名单分发到互联网上。尽管效率因此得到了显著改善，但更新还是需要手动提交黑白名单。

　　·信息评分。在研究了数百万封垃圾电子邮件后，人们发现了这些信息的某些共性。一些第二代信誉系统对此做出了响应，开发出识别进入信息中这些特征的运算法则，根据信息为合法信息的可能性给一条信息评分。

　　尽管有些第二代信誉系统包含了基于发送者行为的动态IP地址白/黑名单，但没有一个系统能够将这个特性与自动更新和信息评分结合起来，以便发展成为一个真正全面的系统。

　　TrustedSource:下一代信誉系统

　　现在的垃圾邮件制造者比什么时候都聪明，因此信誉系统也必须同样成熟。一个有效的信誉系统必须是动态的、全面的、精确的，并且建立在企业实际邮件流量上，才能防止垃圾邮件制造者有任何可乘之机。为此，CipherTrust开发出TrustedSource —— 现有最准确最全面的信誉系统。借助由CipherTrust业内领先的客户网络得到的研究结果，TrustedSource使企业在争夺收件箱的战斗中走在垃圾邮件制造者的前面。

　　开发出TrustedSource后，CipherTrust成功为互联网上使用中的每一个IP地址(一共42亿个!)定义了一个信誉值，而不仅仅是那些过去曾经遭遇过的地址。

　　TrustedSource如何运作?

　　结合业界领先的多年研究成果和IronMail 信息工具箱，CipherTrust在IP地址的电子邮件发送行为上取得了惊人的发现。TrustedSource独特地将通常可得数据例如流量模式、白/黑名单和网络特征与CipherTrust全球1400多家客户公司的企业网络结合起来。这一有力的结合使得TrustedSource能够同时根据发送者历史和信息特征对IP地址进行评分，不管它处在好与坏之间哪个位置上。

　　TrustedSource是首个也是唯一一个将流量数据、白名单、黑名单和网络特征与无可比拟的CipherTrust全球网络相结合的信誉系统。CipherTrust的全球网络囊括了1400多家公司和3000多部部署设备，造就了业内最完整的信誉系统和对互联网上42亿个IP地址进行评分的能力。
网络效果

　　要得出科学的结论，就必须有一个相应的统计样本。对于驱动TrustedSource的研究来说，CipherTrust从数目庞大的运行中IronMail设备收集数据:

　　·受IronMail设备保护的1400多家公司

　　·财富百强1/3的企业客户

　　·总数达3000多的设备部署

　　借助业内最大的企业客户基础，CipherTrust的研究人员获得了比其他同类厂商更多、更完整的数据。利用如此众多的部署设备和庞大的可用数据，研究人员得以抽取一个样本，该样本精确显示了流经整个互联网的电子邮件流量特征。

　　持续的测试 —— 有罪原则(在证明无罪之前先假设有罪)

　　在对未知的或不熟悉的发送者进行信誉评分上，TrustedSource采取了有罪原则，即在证明无罪之前先假设有罪，而不是在对可疑情况无把握时不对发送者做出不利判定。通过检查某个特定IP地址发送电子邮件活动的频率和所发信息的质量(利用IronMail信息工具箱)，TrustedSource会为该地址分配一个概率值，显示其作为垃圾邮件制造者或被黑客接管并利用来发送垃圾邮件、病毒或其它多余信息的僵尸机器的可能性有多大。

　　根据从运行中的IronMail设备收集来的信息，CipherTrust识别了约5千万个IP地址，它们发送的电子邮件达到每天或几乎每天发送总量的大约70%。另外30%的邮件量来自之前未遭遇过的IP地址，这些信息中95%以上都是垃圾邮件、病毒或其它不受欢迎的信息。据此，CipherTrust的研究人员得出结论，即首次遭遇的IP地址更可能是僵尸机器。根据该原则，CipherTrust在一小时之内识别了1万8千多台新的僵尸机器。

　　上表以全球IronMail设备一个月中接收到的信息为样本，显示了大多数IP地址发送电子邮件的频率。蓝色阴影部分表示每月只有几天发送电子邮件的IP地址。CipherTrust研究95%肯定来自这些发送者的信息最有可能是垃圾邮件或其它多余信息。请注意月末31号绿色阴影部分的小幅上升。该部分代表那些每日发送电子邮件的发送者，CipherTrust肯定他们最有可能是合法的。

　　持续反馈

　　IronMail设备收到的多余信息越多，就越能够侦测并阻止它们。TrustedSource为CipherTrust提供发送者状态的持续更新;这些更新会通过CipherTrust威胁响应更新(TRU)发送到其它运行中的IronMail设备，从而创造反馈循环，使所有关联方(除了垃圾邮件制造者)都受益，并帮助IronMail在区分电子邮件好坏时取得最高水平的精确度。

　　结束语

　　传统的电子邮件安全措施要么单纯依靠内容和/或特征基础上的信息识别，要么单纯依靠黑名单和白名单，二者都无法生成足够的发送者资料。为了精确识别信息是需要的还是多余的，企业必须采取一种结合了信息检查和全面信誉系统(如TrustedSource)的方法，才能根据发送者历史来识别哪些是危险IP地址。

　　由于结合了IronMail信息工具箱和CipherTrust TrustedSource信誉系统，IronMail用户与其它电子邮件安全解决方案用户相比具有显著的优势;更为重要的是，IronMail用户的优势是垃圾邮件制造者、病毒作者、网络欺诈者和其他恶意发送者无法相提并论的。