McAfee SpamKiller for Microsoft Exchange

使用SpamAssassin技術，產品完全中文化

SpamAssassin是免費的開放原始碼的防垃圾郵件軟體，抵擋垃圾郵件的效果也不錯，是不少企業愛用的防垃圾郵件軟體。它是依據大量的過濾規則，判斷電子郵件是否為垃圾郵件，每個規則都會對應一個正分或負分，如果郵件加總後是正分，就視為垃圾郵件，如果是負分，那就是合法郵件。正負分機制，降低誤攔率

「負分」機制讓SpamAssassin比其他防垃圾郵件軟體來得準確，因為大多數的防垃圾郵件軟體僅使用黑白名單和關鍵字加權計分，卻忽略誤判的問題，許多合法郵件的內容可能包含過濾的關鍵字，例如「性」和「廣告」等字，都有可能讓合法郵件變成垃圾郵件。

談完優點，當然也要說說SpamAssassin的缺點，由於開放原始碼的特性，它必須安裝在Linux或Unix平臺，有人抱怨SpamAssassin的技術門檻過高、設定過於複雜、找不到技術支援，更擔心未來是否會繼續研發新版本。NAI技術經理簡兆宏表示，SpamAssassin只能算是運算機制，就像車子的引擎一樣，但一輛車光靠引擎是無法上路的，還需要車輪和傳動裝置的配合，所以SpamAssassin的許多功能都是由MIS自行客製化撰寫。

去年NAI併購防垃圾郵件公司Deersoft，也順利取得SpamAssassin，並推出SpamKiller。SpamKiller擁有與SpamAssassin相同的評分系統，並內建750條過濾規則，每條規則都有相對應的正負分，當郵件通過時，系統會執行啟發式偵測（heuristic detection），分析郵件的標頭、內文和郵件結構等特徵，並產生「整體垃圾郵件評分」，如果評分超過設定的門檻，就視為垃圾郵件。以我們測試的一封垃圾郵件為例，總共「符合」17條過濾規則，包括「BIGFONT_W_COLORS」規則2分，「MIME_BASE64_NO_NAME」規則2分，「BIGFONT_W_TEXT」規則-1分，「HTML_FONT_BIG」規則0分，加總後的垃圾郵件分數為5.5。特別的是，SpamKiller不像其他產品是「違反」規則，而是採取「符合」規則，因為它使用正負分機制，所以有得分有正也有負，另外，這些規則都是由McAfee Security維護，每季會更新規則一次，使者無法變更規則的計分，只能選擇是否使用該規則。

為了方便管理，系統預設低（5分~10分）、中（10分~15分）、高（15分以上）及自訂等4級，一封5.5分的電子郵件，在低等級會被歸為垃圾郵件，在中等級則視為普通郵件。也就是說，低等級的垃圾郵件欄截率較高，但誤攔率也較高；相反的，高等級的垃圾郵件欄截率較低，但誤攔率也較低。

介紹完引擎，接下來是車體及輪子。SpamKiller是從行為面來分析電子郵件，整個流程會先從垃圾郵件掃描開始，然後比對黑白名單，最後再執行內容掃描、檔案篩選及使用者黑白名單。

除了Spamer會寄垃圾郵件，許多使用者也會郵寄勵志小品、笑話和影音等郵件，也許對他而言是有意義的信件，但對其他人就不一定，尤其是一些大型的影音檔，不僅會降低網路效能，還會佔據郵件伺服器的儲存空間，而內容掃描和檔案篩選就是為了解決這些問題。

系統預設只會對250kB以下的檔案進行垃圾郵件掃描，詳細分析郵件的各種特徵，計算整體垃圾郵件評分，如果寄件人屬於黑名單，則系統會套用很高的分數，相反的，如果是屬於白名單，則會套用很高的負分，此外，使用者還可以自行定義黑白名單，以補規則過濾的不足，畢竟每個人對垃圾郵件的定義都不同。

顧名思意，內容掃描就是利用關鍵字檢查郵件的內容，SpamKiller預設色情、暴力等10大類規則群組，並將敏感度分成高、中、低3級，等級越高，是垃圾郵件的機率也越高，例如色情高敏感度包含色情光碟、AV女優等字；檔案篩選則可過濾特定的檔案格式或大小，管理者可將超過限制的檔案取代成警告訊息，或禁止接收某類型的檔，例如Netsky病毒的「.PIF」檔案。完全中文化，操作簡易

我們在Exchange 2000伺服器上安裝SpamKiller for Microsoft Exchange「中文版」，包括安裝手冊、設定手冊、使用手冊、線上手冊和操作介面都是中文，與其他產品相比，SpamKiller的中文化做得很完整。

在安裝過程中，只要勾選所需的元件，包括防垃圾郵件、內容過濾、檔案篩選、網頁瀏覽器介面及黑白名單伺服器等模組，安裝程式就會自動偵測系統組態，完成安裝步驟。在安裝手冊中，NAI提供一組字串，只要在郵件本文輸入該字串，就能夠測試系統是否正常運作。已經建置ePolicy Orchestrator（ePO）的企業，還可以透過ePO從遠端派送安裝，並設定SpamKiller的過濾規則。

SpamKiller提供用戶端及網路管理介面，方便使用者進行管理。在啟動SpamKiller管理介面時，系統會要求執行Java 2 Runtime Environment（JRE）。在SpamKiller管理介面的首頁會顯示即時掃描的統計資料、產品版本及最近掃描的項目，管理者可以檢視偵測到的項目、執行工作排程（更新、報表），或是設定防垃圾郵件的組態。

「防垃圾郵件與不當內容」是SpamKiller最重要的功能，也關係到整個系統的成敗。這項功能主要設定防垃圾郵件、內容掃描及檔案篩選，由於產品已經中文化，光看字面意義就能掌握7成的功能，如果不清楚如何設定，還可以參考右側的線上手冊。以內容掃描為例，管理者要過濾「iThome」這個字，可以使用萬用字元（*、？）並忽略大小寫，指定該規則是套用在本文、主旨或附件之中，當規則被觸發時，採取何種動作（隔離、取代或通過），很輕鬆就能上手。

在防垃圾郵件與內容中，比較要注意的就是原則與規則。當首次安裝後，系統預設1個全域原則和10個規則群組，全域原則就是設定防垃圾郵件、內容掃描、檔案篩選及掃描程式控制，並可套用到所有的電子郵件信箱，之後還可依據此原則，建立其他部門或群組（編輯部、企畫部、業務部）的原則。而規則群組是由數個規則所組成，例如色情群組包含敏感度高、中、低等3個子群組，而這些規則都可以任由管理者變更。如果要使用這些群組，就必須將規則群組指派到原則中，例如編輯部的員工不能收到包含色情、賭博的廣告信，就必須將這兩個規則群組套用到編輯部的原則中。

用過Outlook 2003的人，應該就知道它新增一個垃圾郵件資料夾，這個概念就是來自於SpamKiller。當郵件被認定為垃圾郵件後，有5種處理方式，包括隔離在系統垃圾資料夾、使用者垃圾資料夾、使用者的收件匣、直接刪除或退回，我們建議先將郵件隔離到使用者的垃圾郵件資料夾，讓使用者有機會再次檢閱，以降低誤判率。

另外，我們也可以在郵件的主旨加入一些容易辦識的文字，例如「** SPAM **」，方便使用者識別。SpamKiller還能夠自動同步Exchange的連絡人，並設定成使用者個人白名單，當使用者新增或刪除連絡人時，系統也會自動更新。

也許有人會問，Exchange已經內建防垃圾郵件的SmartScreen技術，或利用免費的RBL垃圾郵件資料庫，有必要購買其他產品嗎？簡兆宏表示，SmartScreen的功能比較陽春，管理者能設定的項目不多，並有極高的誤判率，而RBL甚至將臺灣的Hinet、PChome、Yahoo奇摩！等入口網站的電子郵件信箱列為黑名單，實用性並不高。為了更有效阻隔垃圾郵件，下一版的SpamKiller將支援貝氏過濾法（Bayesian rules）。文⊙陳世煌