反垃圾郵件技術心得分析 (ORDB --> 反垃圾郵件計畫喊停)

雖然 ORDB 這個著名的 RBL 已經宣佈終止了、Spamhaus 也面臨官司的糾紛。但不可誨言的是，RBL的確是anti-spam technology不可或缺的一環。

如同本文所提，RBL逐漸失去它的優勢，而且經常發生誤攔的情況。個人認為 RBL 的優勢能在垃圾郵件尚未進到組織內部，便利用對方伺服主機的 helo 訊息，利用 dns query的方式，判定該IP address是否被列進黑名單之中。若是，則 reject message；反之繼續進行郵件的流程。

其他相關的anti-spam technology包含了content inspect、grey list、message digest、SURBL等，以及結合了上述技術的全方面型的open source的spamassassin。

grey list能在郵件首次到達之時，將郵件相關訊息記錄在本地端郵件主機，並給予該封信件defer的訊息；而對方主機在收到defer訊息之後，會等待一段時間之後 query run，再次寄送該封信件。而本地端主機再次接收到該封郵件，會檢查grey list DB，檢視該封信件是否重送而來，再判斷是否接收該信件。

由於 spammer在寄送spam時，通常採用的都是一次性的投遞，而無對方主機回應4.x.x defer訊息的應對機制，這相對的也減少寄送的成本。也因此 grey list 對於處理spam，能得到不錯效果的原因之一。

至於 grey list的缺點則是「時效性」，信件經過第一次的defer，而queue在本地端的mail server，再經過queue run的時間，在在皆影響了郵件的時效性。而目前企業組織訊息傳遞多仰賴E-mail，也考驗著企業組織對於採用grey list的意願。

SURBL (Spam URI Realtime Blocklists)技術與RBL類似，主要是過濾信件中的URI是否被列進相關的黑名單之中。此技術需要parsing mail body中的URI，若是信件被MIME編碼過，則必須decode之後，再進行分析。

垃圾郵件有大半份是屬於廣告信，而此類廣告信件也都加入了相關的廣告網址。spammer總不會偽造不實的網址吧，頂多是將URI進行變化來逃避SURBL的過濾，這也是SURBL的優點之一。

但是缺點則是耗費資源與提高誤判的可能性。SURBL必須接收整封信件後，分析郵件內容中是否有被列入黑名單的URI，再進行處理，也因此浪費了網路頻寬與伺服器的資源；再者，此類信件多是利用使用者回報機制來更新資料庫內容，相對也增加了誤判與錯判的可能性。

Message Digest，則是將垃圾郵件的「部份」內容以相關的摘要演算法進行計算，得出一組訊息摘要 digest，並上傳此組digest至提供查詢服務的伺服器。

由於弟尚未使用過Message Digest此類的技術，因此由文件資料得知Message Digest是將spam的部份內容進行計算而得出digest，因此可以規避垃圾信件藉由「變種」的方法躲避相關技術的過濾。

至於 Message Digest 的缺點也是耗費網路頻寬與系統資源。但最重要的是垃圾信件的digest資料量的多寡，更可看出此類技術的效益所在。

Spamassassin 是一套 open source anti-spam software。但是小弟擅長歐洲大廠 SOPHOS 的 PureMessage。二套軟體功能類似，皆提供了全方位的防堵垃圾信的服務。日後再提供一些PureMessage的相關訊息供大家分享。

反垃圾郵件計畫喊停

CNET新聞專區：Richard Thurton　　27/12/2006

為反制垃圾郵件氾濫所成立的Open Relay Database（簡稱ORDB），因無法持續提供有效的防護，於日前宣布終止。

ORDB是在5年前網路業泡沫破裂後不久，由一群志願者所成立。其目的是阻止垃圾郵件發信者使用SMTP代理伺服器（或稱開放郵件轉寄主機），在網路上濫發垃圾郵件。

這些代理伺服器最初被用作發信來源至收信目標的「中間者」，而非直接在網路上發信。但最後卻被有心人用來發送大量的垃圾郵件，並躲避查緝。ORDB提供一份開放轉寄主機的黑名單，以便系統管理員阻擋這些來源發出的郵件。

但近來ORDB的名單少有增加，志願者的興趣也逐漸減退。雖然在5年前，高達九成的垃圾郵件是透過開放轉寄主機發出，現在已降到1%以下。目前絕大多數的垃圾郵件轉而利用被病毒控制的疆屍網路發送。

ORDB是在18日宣布終止的決定。該組織以聲明表示：「我們很遺憾地通知各位，ORDB.org即將關閉。團隊的共識是，開放轉寄黑名單已不再是阻擋垃圾郵件進入網路的最有效方法，因垃圾郵件發信者在近年來改變手法，反垃圾郵件社群也隨之應變。」

ORDB表示，使用其名單的組織應立即移除其系統內的檢查機制，並考慮使用其他郵件過濾方法。他們建議採取結合可疑名單與內容分析的方法，如dspam計畫、bmf或Spam Assassin。

另一個製作垃圾郵件黑名單的組織近來也成為焦點。顧客遍及全球的英國公司Spamhaus，被其黑名單所列的一家公司求償1,100萬美元，並控訴其行為違法。

但不只是ORDB和Spamhaus在對抗垃圾郵件的大戰中受挫，負責維護大眾隱私權的英國資訊官辦公室（Information Commissioner's Office , ICO）也承認，僅管相關法令早在3年前通過，至今當局從未成功起訴任何英國的垃圾郵件發信商。 ICO表示他們缺少對抗垃圾郵件的力量，並將此歸咎於英國政府的無能。

在此同時，垃圾郵件數量仍持續暴增。根據電郵安全軟體商IronPort的統計，2006年10月份單日的垃圾郵件訊息高達630億封，去年同期為310 億封。11月則有兩個區段暴增至單日平均850億封，分別是11月13日至22日，和11月26日至28日。（陳智文/譯）