攔截垃圾郵件的6大技巧

郵件使用者經常抱怨每天處 理的垃圾郵件比正常郵件還多，浪費了大量時間和精力。現在通過在電子郵件系統中建立垃圾郵件綜合防範體系，設定多達六道過濾攔截措施，就會成功地把垃圾郵件過濾掉96%以上。并且垃圾郵件的錯誤識别率也低于千分之一。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

●  反向DNS解析（PTR）

使用反向 DNS 解析（PTR）機制，可以基本确認郵件的來源是否合法。例如新浪通過smtp.vip.sina.com（對應IP 202.108.3.172）發送郵件，我們的郵件伺服器在接受新浪發來的郵件過程中，去進行反向DNS解析，查詢202.108.3.172該IP是否有對應的固定域名，如果查詢成功說明該IP确實是網際網路上一個具有固定IP位址的發信伺服器。現在國際上的反垃圾郵件組織普遍要求發信郵件伺服器需要設定PTR記錄，以此來确認這台郵件伺服器是否是在Internet上穩定存在的伺服器。大家應該為自己的發信郵件伺服器設定好PTR記錄，以免發生被國外拒收郵件的情況。如果你從ISP營運商處拿到的不是一個完整的C類網段，你就需要向ISP送出添加PTR記錄的申請。一般ISP可以在二周内完成。如果你的郵件系統是租用的，則你需要向出租方提出申請。

由于國内絕大多數中小型公司的郵件系統都沒有設定PTR，是以，在郵件系統中應該把反向DNS解析結合其他措施進行攔截，而不應該直接攔截。一般可以把PTR用于判斷該郵件是否是正常的郵件，用于減少垃圾郵件的誤判率。

●  黑名單、白名單、實時黑名單（RBL）

黑名單技術是最早出現的一種反垃圾郵件技術，一般的郵件伺服器都有該功能。黑名單技術的原理是确定已知垃圾郵件制造者及其ISP的域名或IP位址，然後将其整理成黑名單。郵件伺服器在接收郵件時，拒絕任何來自黑名單上的垃圾郵件制造者的郵件。黑名單服務是基于使用者投訴和采樣積累而建立的、由域名或IP組成的資料庫。實時黑名單是指網上提供的即時更新的黑名單資料庫，其具有很強的時效性。目前國際上提供免費第三方實時黑名單的組織有不少，根據本人多年的使用體驗，推薦下列組織Spamhaus、Spamcop、Dsbl、Sorb，其中Spamhaus和Spamcop的黑名單資料庫更龐大，更新更及時。國内的中國反垃圾郵件聯盟也提供類似的服務。這些資料庫儲存了頻繁發送垃圾郵件的主機名字或IP位址，供郵件伺服器中的郵件傳輸代理（MTA）進行實時查詢，以決定是否拒收相應的郵件。根據四年來的使用經驗，靠RBL實時黑名單可以過濾攔截60%以上的垃圾郵件。

黑名單技術可能會拒絕掉來自某站點的正常郵件，進而造成郵件不能正常的投遞。例如，國内的大型郵件系統營運商新浪、163、搜狐等發信伺服器的IP位址經常會進入國外的黑名單，甚至Hotmail、Yahoo的發信伺服器IP位址也會進入黑名單，這時就需要白名單，我們把國内外大多數大型郵件系統的IP位址列入白名單，進而防止錯誤攔截。

為了降低垃圾郵件的誤判率，我們對于上了黑名單的郵件并不直接攔截，而是對該郵件打分，一般打5分較适宜，再結合貝葉斯統計Spamassassin的分數進行綜合評定，這樣可以把垃圾郵件過濾掉90%，同時減少誤判率。

如果你的郵件伺服器的IP位址上了第三方組織的黑名單也不必過分擔心，可以到該組織網站自助删除黑名單資料庫中的IP位址或寫申訴信說明原因。自助删除IP位址一般4小時内生效，申訴信方式一般一天内解決。 ●  灰名單GrayList

灰名單不是針對郵件進行内容過濾，而是基于大多數垃圾郵件對一封垃圾信隻發送一次，發送失敗不重試的特點。對于垃圾郵件發送人來說，他要發的郵件至少百萬封以上，如果發送失敗重試的話，會大大影響發送速度和系統資源。灰名單技術隻是利用了一個簡單的smtp協定——smtp 450 錯誤。對于第一次接受到的郵件打上時間戳，并且拒絕該郵件，拒絕資訊是“服務暫時不可用，請稍候再次發送”。如果是正常的郵件伺服器發送的郵件，那麼，一段時間後會自動第二次發送。第二次發送接收到後，進行時間戳的對比，如果超過了配置中設定的延遲時間，就會自動接收該郵件，否則就會拒絕。

在我們的郵件伺服器中，把内網的IP位址網段加入白名單，這樣，内網發信及内部員工發信就不受影響。根據經驗，灰名單可以攔截40%左右的垃圾郵件。

●   貝葉斯智能分析

貝葉斯智能分析聽起來高深莫測，事實上，這個智能分析就是一個統計學上貝葉斯定律的應用而已。這 個智能分析其實是将IP阻擋名單、域名阻擋名單、垃圾郵件指紋檢查、統計規律結合起來，進而實作反垃圾郵件的智能分析。

最著名的利用貝葉斯統計算法的反垃圾郵件系統是Spamassassin，在很多郵件系統中可以內建該子產品功能。據統計，利用Spamasassin可以過濾70%以上的垃圾郵件，且誤判率極低。

為了提高貝葉斯統計反垃圾郵件系統的準确性，平時應該收集誤判的郵件送出系統進行自學習。誤判的郵件包含兩類，一類是把正常郵件誤判為垃圾郵件，另一類是把垃圾郵件誤判為正常郵件。根據我們的經驗，Spamassassin的評分值達到11，判斷為垃圾郵件比較合适。 ●  驗證電子郵件發件人位址技術SPF

SPF是一種較好的垃圾郵件解決方案，旨在應對垃圾郵件中的一個特别問題——發送方假冒問題。很多垃圾郵件假冒是Hotmail、Gmail、新浪、163、Yahoo等的郵件營運商發送的，以前很難辨識，現在有了SPF技術就能很友善地辨識。而且越來越多的域已經釋出了各自的SPF記錄。

SPF原理分為兩步：第一，發送方向接收方發送一封電子郵件。第二，郵件接收伺服器接收電子郵件并執行如下操作：檢查哪一個域聲稱發送了該郵件并檢查該域DNS中的SPF記錄；确定發送伺服器的IP位址是否與SPF記錄中的某個已釋出IP位址相比對；對電子郵件進行打分：如果IP位址比對，則郵件通過身份驗證并獲得一個正分。如果IP位址不比對，則郵件無法通過身份驗證并獲得一個負分。然後，結合其他的的防垃圾郵件篩選政策進行綜合判斷。

例如，一份郵件聲明是來自Hotmail的，其IP位址為111.23.45.67，接收方郵件伺服器通過DNS查詢Hotmail釋出的SPF記錄，而在Hotmail釋出的SPF記錄中該IP位址不屬于他們的發信伺服器，這樣，很明顯地說明了該郵件是冒充Hotmail發送的垃圾郵件，直接拒絕就行。

SPF是一個非常有效的反垃圾郵件方案，其在smtp握手通信的時候就進行檢查，而不是在收完信後才檢查，這樣可以減少帶寬的消耗。

通過檢查SPF記錄，可以把絕大多數冒充大型郵件營運商的垃圾郵件直接攔截。據統計，可以減少垃圾郵件10%。随着使用SPF方案的使用者越來越多，效果會越來越好。微軟的反垃圾郵件Send ID方案和SPF方案相類似，建議可以結合使用。

●  減少無效過濾

反垃圾郵件系統占用大量系統資源，一封信要經過7至8道不同方案的分析過濾攔截。是以，如何減少無效過濾也非常關鍵。

對大于200K的郵件不進行任何分析過濾處理。由于垃圾郵件發送商要在短時間内發送成百上千萬封的郵件，是以，過大的郵件會占用大量的帶寬，使發送速度減慢。

經我們統計，絕大多數垃圾郵件都是小于100K的，是以設定200K是一個比較合适的參數。

一些通過群發軟體發送的垃圾郵件有時會在郵件頭中的X-mailer項标明群發軟體的名稱，例如JiXing、Jp-GroupMailer、Jpfree。可以在系統中設定過濾條件，如果X-Mailer包含有那些群發軟體的名稱的郵件，可以判斷為垃圾郵件，直接删除即可。

轉載于:https://blog.51cto.com/sucre/274308