郵件過濾產品採購指南

所有上網的使用者這幾年來不斷感受到垃圾郵件帶來的困擾，不只是浪費個人管理訊息時間，也大規模地影響企業對內、外聯繫上的通訊安全。目前郵件濫發的狀況並沒有改善。如同IronPort在上半年發布的「2008年Internet安全趨勢」報告中所提出的統計數據，2007年統計所得的垃圾郵件數量，比起2006年要多出一倍，達到每天1,200億封的驚人數字，平均每人每天會收到20封左右的垃圾郵件。另外一家郵件資安廠商中華數位也表示，相對於2007年12月，2008年1到4月的垃圾郵件，出現5％到30％不等的成長率，從上述兩家廠商提供的統計結果來看，垃圾郵件仍然是企業必須積極解決的一項資安問題。

不單是數量上的持續增加，同時垃圾郵件也變得更加危險，IronPort在同一份報告中指出，2007年的垃圾郵件當中，有83％含有超連結，而透過郵件超連結發動的病毒攻擊，也成長了26％。

除此之外，經常伴隨垃圾郵件進行惡意攻擊的手法，還包括企圖提供不實的詐欺訊息，例如透過垃圾郵件向其他人散布不實的股票資訊，藉此達成炒作某一檔特定股票的目的，以及利用垃圾郵件當中的超連結實施網路釣魚。另一家郵件資安廠商Cellopoint表示，這些類型的垃圾郵件約占了2007年所有垃圾郵件數量的10％，而且數量仍然不斷地在增加當中。



對付不同種類的垃圾郵件，需用特定對應的方式加以過濾
在各家資安廠商收集得來的垃圾郵件樣本當中，文字型垃圾郵件的數量始終是高居第一，雖然現有的各種郵件過濾技術，很容易偵測出這類型的垃圾郵件，但由於體積輕巧，可以在短時間之內大量寄送，因此仍然是業者寄送垃圾郵件的首選。

圖片式垃圾郵件也是近年來受到矚目，它們是在2005年開始出現，曾經造成資安廠商，以及企業一陣手足無措。由於垃圾郵件業者將廣告文字內嵌於圖片，導致郵件過濾產品原本廣泛使用的內容過濾機制（主要是貝氏演算法）無法招架，因此造成大規模的垃圾郵件流量爆發。

針對這波新型態的垃圾郵件攻擊手法，郵件資安廠商提供了2種方式做為解決之道，其中一種是OCR（Optical Character Recognition），也就是將圖片內容還原成為文字，然後分析；另外一種則是特徵辨識，由上述廠商從收集得來的垃圾郵件樣本當中，擷取多道特徵，成為指紋，一旦日後有相同特徵的郵件通過垃圾郵件過濾設備，就會判別為垃圾信。由於特徵辨識不需要像OCR，必須使用較多的硬體資源加以運算，因此受到多數郵件資安廠商的青睞，成為用來過濾圖片式垃圾郵件的主流方式。

對於圖片式垃圾郵件，資安廠商既然已能有效加以控制，因此2007年圖片式垃圾郵件的數量較往年已經有所下降。本身也有郵件過濾產品的Symantec，也在他們發布的一份研究報告中表示，在2007下半年攔截到的垃圾郵件當中，圖片式垃圾郵件占了7％，較上半年的27％已有大幅減少的趨勢。

圖片式垃圾郵件之後，繼之興起的是2007年中，先後出現的PDF，以及MP3兩種附檔型式的垃圾郵件。寄發垃圾郵件業者希望能夠和圖片式垃圾郵件一樣，藉由製造多種不同附檔格式的垃圾郵件，提高垃圾郵件穿透資安設備攔阻的機率，不過他們的計畫並沒有完全成功。因為在電腦上安裝Acrobat之類的PDF閱讀軟體，並不是所有電腦都很普遍的一種習慣，就算是垃圾郵件最後可以成功送達使用者電腦的收件匣，也不保證這些附檔可以被成功開啟，因此，只有在這種手法剛推出時，曾經密集出現過短暫時間，隨後發送率降低的狀況也很明顯。

那麼MP3呢？為了避免造成頻寬浪費，許多企業原本就會整合現有的郵件過濾產品，或者採用其他防堵方式，禁止夾帶特定格式檔案的郵件，任意進出內部網路，MP3檔便是經常受到管制的其中一種類型，因此和剛才所提到的PDF垃圾郵件一樣，同樣無法造成大規模的垃圾郵件爆發。

垃圾郵件寄送型態持續推陳出新已經是必然，所以，垃圾郵件業者也嘗試透過另類方式，繼續向企業寄送不同於一般手法的垃圾郵件，其中退信攻擊（Backscatter spam）法，算是十分常見的一種。

在這種大量寄送方式中，垃圾郵件業者會以在網路上收集所得的電子郵件信箱，作為寄件者帳號，去發送垃圾郵件給網路上的所有郵件伺服器，一旦使用者信箱不存在的時候，該封郵件就會遭到退回，但特殊之處在於，這些退信不是寄給原本垃圾郵件來源地所在的郵件伺服器，而是彈給寄件者電子郵件信箱所在的郵件伺服器，以便達成傳送垃圾郵件的目的，同時，又可以藉此收集更多電子郵件帳號，這些帳號資料可以用來寄送垃圾郵件。

要解決退信攻擊式垃圾郵件，郵件過濾設備的做法是設法檢查外來郵件的檔頭，確認該封郵件發送出來的郵件伺服器IP位址，與目前要前往的郵件伺服器IP位址，兩者是否一致，如果答案是否定的，則視為退信攻擊，拒絕接收。

產品選擇關鍵：能否提供多種技術去過濾垃圾信

依據型態區分，現行的郵件過濾產品有軟、硬體兩種類型，常見的是包含硬體的一整套設備，許多廠商也提供軟體版本（像是中華數位的SPAM SQR、網擎的MailGates等），就功能而言，兩者大致相同。

採用軟體產品的最大好處，在於可以根據企業的實際需要，選擇所需的硬體配備，除了可以承受更高的郵件流量之外，日後升級也較為方便。為了減少安裝過程中，可能會出現的各種錯誤而導致產品的部署失敗，因此多數的軟體式郵件過濾產品會直接整合Linux、FreeBSD之類的作業系統，當這類作業系統安裝完畢，再經過幾個必要的設定步驟之後，就可以上線提供服務。唯一需要注意的是，企業購置的硬體是否可以和軟體相容，甚至達到效能的最佳化，如果企業在這方面有所疑慮，我們會建議購買硬體設備較為合適。

單一功能的設備之外，市面上具備郵件過濾能力的設備，還包括了具備多種網路與資安功能的UTM（Unified Threat Management）設備，對於有意導入硬體設備，擔心垃圾郵件不斷推陳出新的手法，可能嚴重影響本身營運的企業來說，我們建議購買單一功能的設備，除了效能較佳之外，在郵件過濾功能持續研發、調整的專業度和完備度，相對地也會比較高。

郵件過濾產品倒底是如何處理外來郵件，流程大致上可以區分為：儲存、掃描，以及轉寄等3個階段。

當外來郵件送達的時候，郵件過濾產品會先檢查這封郵件的表頭（Header），確認來源地IP位址不是位於垃圾郵件業者所有的郵件伺服器，或者是網路上被人用來自由轉信的跳板伺服器之後，才會接收整封郵件，並繼續執行後續的掃描分析，否則就直接予以退信丟棄。這麼做，主要是為了節省用來接收郵件所需的頻寬，以及掃描郵件內容所花費的系統資源。

至於如何判別來源IP位址的可靠程度？資安廠商常用的做法有2種，一種是來源黑名單，另外一種則是向IP資料庫進行查詢。

來源黑名單的做法相當簡單，主要是由企業用戶自行在郵件過濾產品的管理介面中，加入經常用來發送垃圾郵件的伺服器IP位址，當產品比對到郵件表頭當中的來源地IP位址，與來源黑名單的項目相符合時，就會將此封郵件加以退信、丟棄。

像IP資料庫則可以向下細分為2種，一種是取用網路上一些郵件安全組織所成立的免費RBL（Real-time Blackhole List），另外一種則是資安廠商自行維護建立的付費版本。就準確度而言，付費版本的IP資料庫較不容易有誤判的情況發生，不過需要由廠商花費大量人力、物力建立研究中心加以維護，一般來說，有能力提供這項機制的，多半是外商公司，以及他們所推出的產品。

郵件過濾產品還可以根據此一來源IP位址，在過去一段時間發送郵件的頻率，去判斷是否可能為用來癱瘓企業郵件系統的阻斷式服務攻擊，並採取暫時禁止連線的防護，以維護郵件系統的連線品質。
一般來說，郵件過濾產品掃描郵件內容的動作，主要是為了找出流量當中可能存在的垃圾郵件，以及病毒、惡意網址一類的安全威脅。

大多數的郵件過濾產品，分析外來郵件時，會同時採用內容過濾，以及郵件特徵等2種機制。內容過濾是資安廠商行之有年的偵測技術，主要是透過關鍵字名單，以及業界主流的貝氏演算法等引擎技術，找尋郵件內容是否含有符合垃圾郵件定義的文字、符號，然後依照企業在產品上所制定的管理政策，將這些郵件直接刪除，或者隔離起來，甚至讓使用者自行管理。

除了傳送擾人的廣告訊息之外，有時垃圾郵件當中還會夾雜著病毒等有害程式，以及釣魚連結之類的惡意網址，在企業內部造成更多的資安危害。許多廠商的郵件產品，大多會提供一個以上的掃毒引擎，甚至有些產品的掃毒引擎還多達3到4個，讓企業用戶可以擇一使用，或者在效能許可的情況下，一次啟動多個引擎，掃除郵件中的有害程式。

比對、掃描完畢之後，郵件過濾產品會將視為正常內容的郵件，再轉寄到後方的郵件伺服器，讓使用者可以透過Outlook等軟體，將郵件下載到自己的電腦，便於離線閱讀。

各家的攔截率差異有限，後續的技術服務最為重要
許多廠商會提出垃圾郵件的攔截率，便於企業快速了解產品功能的強弱。不過，根據我們持續實測這類型產品的親身經驗來說，多數廠商的郵件過濾產品在攔截率的表現上，彼此之間並沒有出現很大的落差，事實上，購買產品之後要如何妥善地因應企業本身的需求與收發信習慣來調整，進一步加強產品對於外來郵件的判別精準度，以及能夠提供足夠又及時的技術支援，協助企業處理難解的垃圾郵件類型，才是重點所在。

一些技術能力較強，或者是後來才加入郵件過濾市場的廠商，都有所謂線上回報的機制，讓使用者可以直接向原廠的研究中心回報樣本，待分析完成之後，便能夠迅速修改垃圾郵件的過濾規則，並透過線上更新的方式，統一發送給全世界的同一品牌設備。

隨著機密資料保護意識的抬頭，有些郵件過濾產品可以針對郵件本文，以及附加檔案進行掃描，避免任何與企業運作相關的資料透過電子郵件流出，另外，郵件備份、稽核的功能也可以在一些產品身上看到，讓企業可以透過一臺設備因應所有的郵件管理需求，但是基於效能考量，我們會建議企業最好還是分開購買。

小型企業實施郵件過濾的自救術
對於垃圾郵件業者來說，寄送對象不會因為這是一般個人，還是企業員工，而有所區別，只要是暴露在網際網路上的電子郵件信箱，就有可能被垃圾郵件業者以各種方式擷取，用來寄送電子郵件。

對規模較大的企業而言，郵件過濾設備已經成為資安架構的基本配備之一，任何外寄進來的郵件都必須經過這類設備的檢查，確認內容正常，而且沒有夾帶病毒一類的惡意程式，才會放行通過，轉寄到員工的郵件帳號。

在人數不多的小型企業環境中，往往受限於預算，往往無力購買垃圾郵件過濾產品部署在內部網路，甚至這些公司原本就沒有專屬的郵件伺服器。

網路上有許多可供利用的免費套件，其中最有名的，莫過於目前隸屬於Apache基金會的開源專案SpamAssassin，企業可以架設專屬的郵件伺服器，然後在這臺設備上安裝這項元件。

相較於一些市面上的垃圾郵件過濾產品，SpamAssassin的功能並不遜色，舉凡一些常見的垃圾郵件過濾機制，例如黑白名單、貝氏演算法等，套件本身都有提供，甚至於商業等級的產品，有些本身就是直接整合SpamAssassin，用這項元件的技術去針對外部流入的郵件內容實施過濾。

自行架設郵件伺服器、再加裝開源軟體的郵件過濾引擎，可以協助企業在低成本的狀況下，降低垃圾郵件侵襲的機會，但問題在於需要專業的人力來架設和維護。不過，也還有別的方法。目前許多免費申請或需要付費才能使用的電子郵件代管信箱，普遍都會提供垃圾郵件過濾，乃至於病毒掃描的安全機制，透過網路服務業者的管理機制，企業並不需要投注太多心力，就能達成防堵垃圾郵件的目的。

以Google Apps為例，只要企業已經申請好一個網域名稱，就可以利用Google Apps的免費服務，在Google網站上架設一臺專屬的虛擬郵件伺服器。對於中、小型的企業來說，利用免費版本的Google Apps，最多可以建立100個員工的電子郵件帳號，除了能夠使用Gmail的網頁介面收發郵件之外，也同樣享有垃圾郵件過濾，以及病毒掃描的服務。

對於小型企業來說，Google Apps不失為一個可行度很高的郵件過濾解決方案。

可透過法令進行防治
除了依賴各種產品阻擋垃圾郵件之外，法令也是用來制止垃圾郵件散布的重要工具之一，美國是最早一個針對垃圾郵件制定相關法規的國家，2003年，反垃圾郵件法（CAN-SPAM Act）通過之後，對於美國境內的垃圾郵件業者，政府就可以援引該法令的相關法條進行處罰。

繼美國之後，日本、香港等地也先後制定了防制垃圾郵件發送的相關法規，臺灣在2005年制定了「濫發商業電子郵件管理條例草案」，預計在今年能夠獲得通過，成為正式法令，屆時可以針對垃圾郵件案者處以罰款。文⊙楊啟倫