导言
显然,垃圾邮件制造者、网络欺诈者和病毒作者更喜欢隐藏他们的身份。他们伪造信息头,将链接隐藏在信息正文中,并借助其它各种技术伪装自己,意图逃过检查,偷偷溜进收件箱里。
相应地,如果能知道这些发送者是谁以及他们的状态,那些与之战斗的人们无疑将得到莫大的好处。为了解发送者过去表现出来的行为类别,并利用该资料判定某信息是否有威胁,电子邮件安全厂商创造了信誉系统,告诉他们发送者都做过什么,并预测发送者可能会做些什么,无论所做是好是坏。
内容检查已不能满足要求
不幸的是,许多企业所依赖的电子邮件安全解决方案仅仅停留在信息内容检查上,而从未将识别某特定信息的来源纳入考虑范畴。这种方法在对付含有特定垃圾邮件标志的信息时还能起到一定作用,但若想阻止那些采取了新技术的垃圾邮件就完全无能为力了。新技术包括例如伪造邮件头、内嵌链接及其它无数种偷偷潜入企业网关进入收件箱的方法等。
电子邮件安全与信誉
全面的电子邮件安全方案应同时涉及对信息内容和发送者历史的检查。根据过去行为对发送者进行评估,人们可以更精确地描述出他们的目的和合法性。他们是否曾经发送过垃圾邮件?传播过病毒?或实施过欺诈攻击?如果是,一个有效的信誉系统就能知道并给信息加上相应标签。发送者是新出现的吗?如果是,信誉系统就会密切关注他以确定该发送者是否为黑客远程控制的“僵尸”机器。
信誉系统增加了企业对电子邮件安全所作努力的价值,表现在以下方面:
·增加了有效性 —— 如果一个已知的垃圾邮件制造者试图使用新的技术以规避检查,一个精确的信誉系统就会辨别出信息的来源,并将其拦截。未使用信誉系统的电子邮件安全解决方案在面对新的威胁时将无法保持其有效性。
·降低了服务器负载 —— 通过识别和拦截已知的“坏”IP地址,信誉系统可以降低网络多达50%的信息流入量。这对处理不断增加的电子邮件负载来说是相当关键的。
与最初相比,信誉系统无论在概念上,还是在其支持技术上,都有了重大的进步。
信誉系统定义了什么
其实很简单,信誉系统对发送者行为进行跟踪,看其发送行为是好(如发送合法的电子邮件信息)、是坏(如发送垃圾邮件或恶意代码)还是介于两者之间。
通过长时间对发送者行为的跟踪,CipherTrust的发送者信誉数据库保持了持续增长和改进。现在我们来看一下信誉系统相对简短的历史,您不难发现其发展的迅速:
第一代信誉系统
在垃圾邮件发展的“早期”(大约2001年),世界上收件箱里开始出现扰人的信息,这时简单的黑名单和白名单(BL/WL)似乎是一种合宜的响应。黑名单包含已知的垃圾邮件制造者、网络欺诈者和病毒发送者的IP地址,白名单则包含已知合法发送者的IP地址。参考这些名单能帮助企业过滤掉邮件总流量的一部分,暂时遏制了垃圾信息的冲击。但几乎在一夜之间,黑名单白名单的缺点变得惨痛的显而易见:
·黑/白名单是反应式的,不是前瞻式的。为保持名单的更新,最终用户必须先收到惹人讨厌的信息,然后才能手动报告给系统管理员。而那时已经太晚了;垃圾邮件已经进入用户的收件箱。
·黑/白名单是轶事性的。就像有关海怪的故事如大脚毛人和“逃脱之人”一样,白名单和黑名单可能是也可能不是完全建立在事实的基础上。警戒员可能只是稍微甚至没有研究发送者的实际发送习惯,就将他们不分青红皂白或恶意地加入名单之中。
·黑/白名单很容易出错。合法电子邮件发送者发现自己常常因为错误信息而被列入黑名单;不幸的是,将自己从黑名单上消除就像去除头发上的口香糖一样困难。或许更麻烦的是,有些“付费拉单”式白名单允许任何人扮成合法发送者并绕过垃圾邮件过滤器,只要他们有足够的金钱(包括垃圾邮件制造者)。
·黑/白名单速度慢。任何单纯依靠名单的防御技术总会落后垃圾邮件制造者好几步。当黑名单更新一个新地址时,全世界的最终用户已经收到了垃圾信息,并暴露在可能附加的任何有毒物中。反过来,来自合法发送者的电子邮件可能会被误认为是垃圾邮件,直到该发送者的IP地址被添加到白名单中,然而信息已经丢失了。
·这不是一个黑白分明的世界。对于手动的、主观的且经常出错的名单来说,常常存在太多灰色的阴影而无法以“翘起拇指”和“拇指朝下”对发送者做出简单的判断。第一代信誉系统并没有考虑到那些处在“好”与“坏”之间的发送者。
在黑名单和白名单有效性下降的背后固然还有其他一些因素,但总而言之,这些名单作为电子邮件安全解决方案的失败主要还在于它们无法将信息质量因素包括其中。
第一代信誉系统根据不准确、轶事性的黑名单和白名单赋予发送者“好”或“坏”的等级。本应属于中间位置的IP地址就被赶到两个极端之一上。
