基于SMTP會話層的垃圾郵件行為識別技術(shù)

２０１０年第４期

中圖分類號：ＴＰ３９３．０８ 文獻標識碼：Ａ 文章編號：１００９－２５５２（２０１０）０４—０１２４—０４

基于ＳＭＴＰ會話層的垃圾郵件行為識別技術(shù)

梁雪松

（四川教育學院物理系，成都６１００４１）

摘要：反垃圾郵件問題是當前網(wǎng)絡(luò)安全研究的重要課題。現(xiàn)介紹了多種垃圾郵件行為識別技

術(shù)，闡述了它們在ＳＭＴＰ會話的不同階段對垃圾郵件進行識別和攔截的方法，分析了它們的技術(shù)

特點以及存在的問題，最后提出了在ｓｅｎｄｍａｉｌ郵件服務(wù)系統(tǒng)中應(yīng)用這些技術(shù)的基本方法。

關(guān)鍵詞：垃圾郵件；行為識別；認證；發(fā)送方策略框架

Ｓｐａｒｅ ｂｅｈａｖｉｏｒ ｒｅｃｏｇｎｉｔｉｏｎ ｔｅｃｈｎｏｌｏｇｙ ｂａｓｅｄ ｏｎ ＳＭＴＰ ｓｅｓｓｉｏｎ ｌａｙｅｒ

ＵＡＮＧ Ｘｕｅ．ｓｏｎｇ

（Ｄｅｐａｒｔｍｅｎｔ ｏｆ Ｐｈｙｓｉｃｓ，Ｓｌｃｈｕａｎ Ｃｏｌｌｅｇｅ ｏｆ Ｅｄｕｃａｔｉｏｎ，Ｃｈｅｎｇｄｕ ６１００４１，Ｃｈｉｎａ）

Ａｂｓｔｒａｃｔ：Ｔｈｅ ｑｕｅｓｔｉｏｎ ａｇａｉｎｓｔ ｓｐａｍ ａｌｒｅａｄｙ ｂｅｃｏｍｅｓ ｔｈｅ ｉｍｐｏｒｔａｎｔ ｒｅｓｅａｒｃｈ ｔｏｐｉｃ ｉｎ ｎｅｔｗｏｒｋ ｓａｆｅｔｙ．

Ｔｈｅ ｐａｐｅｒ ｉｎｔｒｏｄｕｃｅｓ ｓｏｍｅ ｓｐａｍ ｂｅｈａｖｉｏｒ ｒｅｃｏｇｎｉｔｉｏｎ ｔｅｃｈｎｏｌｏｇｉｅｓ，ｅｘｐｏｕｎｄｓ ｔｈｅｉｒ ｍｅｔｈｏｄ ｏｆ ｉｄｅｎｔｉｆｙｉｎｇ

ｎｄ ｂｌａｏｃｋｉｎｇ ｓｐａｍ ｉｎ ｄｉｆｅｒｅｎｔ ｐｈａｓｅ ｏｆ ＳＭＴＰ ｓｅｓｓｉｏｎ，ａｎａｌｙｚｅｓ ｔｈｅｉｒ ｔｅｃｈｎｉｃａｌ ｃｈａｒａｃｔｅｒｉｓｔｉｃｓ ａｎｄ

ｌｉｍｉｔａｔｉｏｎｓ．Ａｔ ｔｈｅ ｅｎｄ，ｉｔ ｐｒｅｓｅｎｔｓ ｔｈｅ ｍｅｔｈｏｄ ｆｏｒ ｄｅｐｌｏｙｉｎｇ ｔｈｅｓｅ ｔｅｃｈｎｏｌｏｇｉｅｓ ｔｏ ｓｅｎｄｍａｉｌ ｍａｉｌ ｓｙｓｔｅｍ．

Ｋｅｙ ｗｏｒｄｓ：ｓｐａｍ；ｂｅｈａｖｉｏｒ ｒｅｃｏｇｎｉｉｔｏｎ；ａｎｔｈｅｎｔｉｃａｔｉｏｎ；ＳＰＦ

０ 引言

電子郵件是互聯(lián)網(wǎng)主要的應(yīng)用之一，極大方便

應(yīng)對分布式垃圾郵件攻擊方面，卻很難發(fā)揮作用。

１．２實時黑名單技術(shù)

了人們的通信與交流。然而隨之而來的垃圾郵件也

日益猖獗。大量的垃圾郵件不但浪費合法郵件用戶

的時間，極大消耗網(wǎng)絡(luò)資源，嚴重危害網(wǎng)絡(luò)安全，而

且傳播色情、反動等內(nèi)容，對現(xiàn)實社會造成危害。由

于垃圾郵件問題的嚴重性，垃圾郵件的識別與過濾

成為了當前網(wǎng)絡(luò)安全研究的重要課題之一。

現(xiàn)在許多反垃圾郵件組織提供實時黑名單

（Ｒｅａｌｔｉｍｅ Ｂｌａｃｋｈｏｌｅ Ｌｉｓｔ，ＲＢＬ）服務(wù)，將已知的垃圾

郵件制造者的地址收集在一起，放置在開放的動態(tài)

數(shù)據(jù)庫（目前主要是ＤＮＳ服務(wù)器）中，提供全世界的

郵件服務(wù)器查詢使用。目前著名的ＲＢＬ提供商有

Ｓｐａｍｈａｕｓ、Ｓｐａｍｃｏｐ、以及我國的ＣＡＳＡ等。ＲＢＬ技

基于ＳＴＭＰ會話層的垃圾郵件行為識別技術(shù)是

目前一種主要的反垃圾郵件手段，通過在ＳＭＴＰ會話

階段對垃圾郵件的連接頻度、ＩＰ地址、發(fā)件人地址等

發(fā)信特征進行識別，使得收件服務(wù)器在垃圾郵件的信

體發(fā)送之前就拒絕其投遞嘗試，能很大程度上提高郵

件過濾速度、減少網(wǎng)絡(luò)延遲，節(jié)省網(wǎng)絡(luò)帶寬。

術(shù)減輕了郵件管理員自己維護黑名單的負擔。然

而，許多ＲＢＬ提供商采用的是從嚴認定的標準，將

各種可能發(fā)送垃圾郵件的ＩＰ地址都列入名單中，其

中包括一些合法的開放代理和動態(tài)ＩＰ，導(dǎo)致來自這

些ＩＰ的合法郵件被拒收。由于垃圾郵件制造者經(jīng)

常會改變其ＩＰ地址，也使得該技術(shù)的整體效力大幅

１ 垃圾郵件行為識別技術(shù)分析

１．１連接控制 １．３郵件源頭認證技術(shù)

下降。因此ＲＢＬ的誤判率與漏判率較高。

短時間內(nèi)大量發(fā)送郵件是垃圾郵件制造者的一

種行為特征。通過限制每個ＩＰ的可用帶寬以及并

ＳＭＴＰ協(xié)議缺少必要的身份認證機制，使得郵

收稿日期：２００９一ｏ９—２４

發(fā)ＳＭＴＰ連接數(shù)，可以達到遏制垃圾郵件的目的。

作者簡介：梁雪松（１９７２一），男，講師，碩士，主要研究方向為計算

機教學和計算機教育研究。

這種技術(shù)能較好地防范來源單一的垃圾郵件，但在

一

１２４一

件信封或信頭中的各類地址很容易被偽造，給惡意

用戶發(fā)動垃圾郵件攻擊帶來了便利。比如偽造郵件 郵件接收方對該域的認證失敗，出現(xiàn)誤判。此問題

Ｍａｉｌ Ｆｒｏｍ中仍沿用原始郵件發(fā)送方的地址，會導(dǎo)致

的ＨＥＬＯ／ＥＬＨＯ主機名、Ｍａｉｌ Ｆｒｏｍ地址，隱藏郵件 的解決方案包括：在郵件接收方中部署可信的轉(zhuǎn)發(fā)

的真實來源；或仿冒郵件信封中的Ｍａｉｌ Ｆｒｏｍ地址， 系統(tǒng)白名單；或在郵件轉(zhuǎn)發(fā)系統(tǒng)中使用ＳＲＳ＿３ 等技

并利用合法郵件系統(tǒng)的退信機制將其垃圾郵件反彈 術(shù)改寫郵件的Ｍａｉｌ Ｆｒｏｍ地址。

給被仿冒的用戶，造成該用戶收到從未發(fā)送過的郵

件的響應(yīng)郵件，既反向散射郵件（ｂａｃｋｓｃａｔｔｅｒ） Ｊ。

因此在ＳＭＴＰ會話階段，對郵件的ＨＥＬＯ／ＥＬＨＯ主

機名和Ｍａｉｌ Ｆｒｏｍ地址進行認證，能在很大程度上

解決垃圾郵件問題。主要的技術(shù)有正向ＤＮＳ解析、

反向ＤＮＳ解析、ＳＰＦ等。

正向ＤＮＳ解析利用ＨＥＬＯ／ＥＨＬＯ主機名或

Ｍａｉｌ Ｆｒｏｍ域名去查詢ＤＮＳ，判斷郵件來源的真實

性。如果查詢獲取的ＩＰ地址與發(fā)件方的實際ＩＰ不 目前主要采用對稱加密機制，要求一個郵件系統(tǒng)的

匹配、主機名不可解析、Ｍａｉｌ Ｆｒｏｍ域名不存在或域

內(nèi)沒有有效的ＭＸ或Ａ記錄時，郵件就被認定為偽

造的。

反向ＤＮＳ解析根據(jù)發(fā)件方的ＩＰ地址去查詢

ＤＮＳ中的ＰＴＲ記錄，如果查詢獲取的主機名與發(fā)件

方在ＨＥＬＯ／ＥＨＬ０命令中所聲稱的主機名不一致， 果該郵件的Ｒｃｐｔ Ｔｏ地址中不包含ＢＡＴＶ標記，或

就可以基本確認郵件的來源是非合法的。

ＳＰＦ（Ｓｅｎｄｅｒ Ｐｏｌｉｃｙ Ｆｒａｍｅｗｏｒｋ，發(fā)送方策略框

架） 用于驗證郵件Ｍａｉｌ Ｆｒｏｍ或ＨＥＬＯ／ＥＨＬＯ域

名的真實性。該技術(shù)依賴郵件發(fā)送方通過ＤＮＳ對

外公布ＳＰＦ記錄，說明本域中外發(fā)郵件服務(wù)器的ＩＰ

地址列表。在每次接收郵件時，收件方服務(wù)器首先

從郵件的Ｍａｉｌ Ｆｒｏｍ地址中提取發(fā)件域，若Ｍａｉｌ

Ｆｒｏｍ地址為空，則從ＨＥＬＯ／ＥＨＬＯ主機名中獲取發(fā)

件域，然后通過查詢ＤＮＳ中的ＳＰＦ記錄獲取該域公 許多郵件系統(tǒng)在其前端部署了安全郵件網(wǎng)關(guān)，

布的ＩＰ地址列表，并與發(fā)件方實際的ＩＰ進行比較， 所有外來郵件需經(jīng)過網(wǎng)關(guān)過濾后才轉(zhuǎn)送到后端郵件

根據(jù)校驗的結(jié)果判定發(fā)件域是否為偽造的。 服務(wù)器。如果郵件網(wǎng)關(guān)不知道本郵件系統(tǒng)所有的收

上述郵件認證機制的主要缺陷表現(xiàn)為：（１）是 件人賬號，就可能出現(xiàn)郵件網(wǎng)關(guān)向后端郵件服務(wù)器

一

種點到點的認證方式，在使用郵件列表、郵件轉(zhuǎn)發(fā) 轉(zhuǎn)發(fā)郵件時，因收件人賬號未知導(dǎo)致郵件投遞失敗

等服務(wù)的多跳郵件投遞路徑中，必須所有的中間郵

件服務(wù)器都承擔驗證工作，才能構(gòu)建一個完整的信

任鏈。（２）只負責核實郵件是否來自其聲稱的發(fā)件 解決方法是在郵件系統(tǒng)中部署數(shù)據(jù)庫系統(tǒng)或輕型目

域，但無法保證發(fā)件人以該域的真實郵件地址發(fā)送

郵件。（３）垃圾郵件制造者也可能注冊廉價的域名

并發(fā)布ＰＴＲ、ＳＰＦ等記錄。（４）很多合法的郵件系統(tǒng) 存在的外來郵件。

沒有正確設(shè)置ＤＮＳ，使得這種認證機制存在一定的

局限性。（５）高度依賴ＤＮＳ系統(tǒng)的可靠性、安全性。 灰名單（Ｇｒｅｙｌｉｓｔｉｎｇ） 是一種利用基于郵件重

此外，不同的認證方式也存在自身的不足，主要表現(xiàn)

為：（１）對于ＨＥＬＯ／ＨＥＬＯ主機名未遵循ＲＦＣ所規(guī)

定的ＦＱＤＮ形式的郵件，無法進行ＨＥＬＯ／ＨＥＬＯ身

份認證。（２）傳統(tǒng)的郵件轉(zhuǎn)發(fā)系統(tǒng)在轉(zhuǎn)發(fā)郵件時，

１．４收件人地址過濾

對郵件的Ｒｃｐｔ Ｔｏ地址進行過濾，能有效解決

兩個方面的問題：（１）過濾外來的反向散射郵件；

（２）防止郵件系統(tǒng)成為垃圾郵件制造者發(fā)動反向散

射郵件攻擊的跳板。以下介紹兩種主要的技術(shù)。

１．４．１ ＢＡＴｖ

ＢＡＴＶ（Ｂｏｕｎｃｅ Ａｄｄｒｅｓｓ Ｔａｇ Ｖａｌｉｄａｔｉｏｎ，反彈地址

標記驗證） 用于驗證反彈郵件的合法性。該技術(shù)

發(fā)件與收件服務(wù)器中必須部署相同加密密鑰。發(fā)件

服務(wù)器負責生成并插入一個標記到外發(fā)郵件的Ｍａｉｌ

Ｆｒｏｍ地址的＜ｌｏｃａｌ－ｐａｒｔ＞中，標記中包括密鑰序

號、時問戳、以及對郵件原Ｍａｉｌ Ｆｒｏｍ地址的ＨＭＡＣ－

ＳＨＡ１數(shù)字簽名；收件服務(wù)器接收到反彈郵件時，如

標記中的簽名驗證失敗，就會作為非法的反彈郵件

被拒收。

由于插入到Ｍａｉｌ Ｆｒｏｍ地址中的標記與郵件的

正文不存在必要的聯(lián)系，因而ＢＡＴＶ易受郵件重放

攻擊。ＢＡＴＶ還與一些郵件服務(wù)或反垃圾郵件技術(shù)

（比如挑戰(zhàn)／響應(yīng)系統(tǒng)、以及某些郵件列表服務(wù)等）

發(fā)生沖突。

１．４．２拒絕收件人不存在的郵件

而產(chǎn)生退信。這一弱點很可能致使郵件系統(tǒng)成為垃

圾郵件制造者發(fā)動反向散射郵件攻擊的跳板。一種

錄服務(wù)ＬＤＡＰ，實現(xiàn)郵件網(wǎng)關(guān)與后端郵件服務(wù)器的

郵件賬號同步，使得郵件網(wǎng)關(guān)能直接拒絕收件人不

１．５灰名單

發(fā)機制的反垃圾郵件技術(shù)。采用灰名單技術(shù)的收件

服務(wù)器接收郵件時，先提取郵件的ｔｒｉｐｌｅｔ，即ＩＰ地

址、ＭＡＩＬ ＦＲＯＭ地址和Ｒｃｐｔ Ｔｏ地址的統(tǒng)稱。如果

該ｔｒｉｐｌｅ在此之前未登入灰名單的歷史記錄中，那

一

】２５—

么就認定相應(yīng)的郵件為初次投遞。于是收件服務(wù)器

將此ｔｒｉｐｌｅｔ記下，同時向發(fā)送方回送臨時性拒絕碼

ｍｃ中使用命令“ＨＸ—ＲＤＮＳ—Ｒｅｓｕｌｔ：Ｓｌ ｃｌｉｅｎｔ—ｒｅｓｏｌｖｅ｝”，

將其值插入到一個自定義的郵件頭ｘ－ＲＤＮＳ－Ｒｅｓｕｌｔ

中，然后再使用內(nèi)容過濾器Ｓｐａｍａｓｓａｓｓｉｎ對該報頭進行

評分。

４ｘｘ。在灰名單指定的時間間隔后，郵件發(fā)送方使用

相同的ｔｒｉｐｌｅｔ再次投遞該郵件，才能順利通過灰

名單。

大多數(shù)垃圾郵件群發(fā)軟件考慮的是發(fā)送效率，

希望在最短時問內(nèi)發(fā)送盡量多的郵件，不會花時間 的訪問數(shù)據(jù)庫指定ｓｅｎｄｍａｉｌ可以接收來自１９２．１６８．１．

去檢測郵件是否已成功投遞，當然也就不會去實現(xiàn)

（３）訪問（ａｃｃｅｓｓ）數(shù)據(jù)庫：允許根據(jù)ＩＰ地址、Ｍａｉｌ

Ｆｒｏｍ地址和Ｒｃｐｔ Ｔｏ地址對郵件進行過濾。例１所示

０／２４網(wǎng)絡(luò)的郵件、但拒收Ｍａｉｌ Ｆｒｏｍ地址為ｕｓｅｒ＠

ｓｐａｍ．ｏｒｇ以及Ｒｃｐｔ Ｔｏ地址為ｕｓｅｒ＠ｈａｃｋｅｒ．ｏｒｇ的

延遲重發(fā)，因而發(fā)送的垃圾郵件會被灰名單完全阻

擋。由于灰名單設(shè)定了重傳時間間隔，因而能阻止

通過在短時間向同一用戶大量發(fā)送垃圾郵件來繞過

灰名單檢測的企圖。另外，灰名單也能有效地對付

來自動態(tài)ＩＰ的垃圾郵件。

灰名單也會產(chǎn)生一些負面作用，主要表現(xiàn)在：

（１）會造成正常郵件的延遲送達。（２）一些大型的

郵件系統(tǒng)部署了郵件服務(wù)器集群，由于每次投遞嘗

試可能使用不同的郵件服務(wù)器，因而灰名單會讓郵

件送達的時間成倍增加。（３）一些郵件服務(wù)器（比

如某些Ｍａｉｌｉｎｇ Ｌｉｓｔ Ｓｅｒｖｅｒｓ）對每一次重發(fā)的郵件都

郵件。

例１：訪問數(shù)據(jù)庫舉例：

Ｃｏｎｎｅｃｔ：１９２．１６８．１ ＯＫ

Ｆｒｏｍ： ｕｓｅｒ＠ｓｐａｒｎ．ｏｒｇ ＲＥＪＥＣＴ

Ｔｏ： ｕｓｅｒ＠ｈａｃｋｅｒ．ｏｒｇ ＲＥＪＥＣＴ

（４）ＤＮＳＢＬ（ＤＮＳ－ｂａｓｅｄ Ｂｌａｃｋｈｏｌｅ）：查詢基于

ＤＮＳ的實時黑名單，拒收ＩＰ地址被列入該名單的郵

件。由于該技術(shù)的誤判率較高，本文改寫了ｓｅｎｄ—

ｍａｉｌ實現(xiàn)該功能的代碼，僅將驗證的結(jié)果存放在自

定義的ｓｅｎｄｍａｉｌ變量與郵件頭中，以便后續(xù)的過濾

器用來決定如何處理郵件。

例２：設(shè)置ｓｅｎｄｍａｉｌ．ｍｃ文件，使用ＣＡＳＡ提供

的黑名單服務(wù)ＣＢＬ Ｊ，并將驗證的結(jié)果（ＮｏＦｏｕｎｄ／

Ｆｏｕｎｄ／ＴｅｍｐＥｒｒｏｒ）存放在自定義的ｓｅｎｄｍａｉｌ變量

采用不同的信封發(fā)件人，這會使得郵件永遠也無法

通過灰名單。

１．６ ＳＭ ＩＩＰ Ｔａｒｐｉｔ

ＳＭＴＰ Ｔａｒｐｉｔ技術(shù)是指收件服務(wù)器在ＳＭＴＰ會

話階段加入延遲，減緩ＳＭＴＰ會話進程，使得郵件制

造者群發(fā)郵件以及實施郵件地址探測攻擊需要花費

相當長的時間，這將有力于阻止他們以后不再企圖

｛ＣＡＳＡ—ＣＢＬ｝與郵件頭Ｘ—ＣＡＳＡ－ＣＢＬ—Ｒｅｓｕｌｔ中。

Ｋｄｎｓｂｌ ｄｎｓ—ＲＡ．Ｔ＜ＴＭＰ＞

Ｋｓｔｏｒａｇｅ ｍａｃｒｏ

對該服務(wù)器進行同樣的操作。該技術(shù)也存在不足，

可能會減緩合法郵件的投遞速度。

ＳＬｏｃａ１ ｒｅｌａｙ

ｃｈｅｃｋ

．

——

２ 在Ｓｅｎｄｍａｉｌ中應(yīng)用垃圾郵件行為

識別技術(shù)

Ｓｅｎｄｍａｉｌ是目前應(yīng)用最為廣泛的郵件服務(wù)系

統(tǒng)，主要提供了以下幾種垃圾郵件行為識別功能。

Ｒ￥女￥：￥＆｛ｃｌｉｅｎｔ—ａｄｄｒ｝

Ｒ￥．．￥．．￥．．￥．￥：＜？＞￥（ｄｎｓｂｌ￥４．￥

３．￥２．￥１．ｃｂ１．ａｎｔｉ—ｓｐａｍ．ｏｒｇ．ｃｎ．￥：ＯＫ￥）

Ｒ＜？＞ＯＫ￥：￥（ｓｔｏｒａｇｅ｛ＣＡＳＡ—ＣＢＬ｝￥＠

ＮｏＦｏｕｎｄ￥）

Ｒ＜？＞￥＋＜ＴＭＰ＞￥：￥（ｓｔｏｒａｇｅ｛ＣＡＳＡ—

ＣＢＬ｝￥＠ＴｅｍｐＥｒｍｒ￥）

Ｒ＜？＞￥＋￥：￥（ｓｔｏｒａｇｅ｛ＣＡＳＡ—ＣＢＬ｝￥

＠Ｆｏｕｎｄ￥）

ＨＸ．ＣＡＳＡ．ＣＢＬ—Ｒｅｓｕｌｔ：￥｛ＣＡＳＡ—ＣＢＬ｝

（５）Ｍａｉｌ Ｆｒｏｍ域名正向解析：對Ｍａｉｌ Ｆｒｏｍ域

（６）ＬＤＡＰ郵件路由：可部署在郵件入站網(wǎng)關(guān)

中，根據(jù)Ｒｃｐｔ Ｔｏ地址查詢ＬＤＡＰ服務(wù)器決定郵件的

轉(zhuǎn)發(fā)路徑，拒收收件人不在ＬＤＡＰ中的郵件。 失敗）、ＦＡＩＬ（永久性失敗，比如ＰＩＲ記錄不存在）和

（１）連接控制：提供了一些配置參數(shù)與特性，對

服務(wù)器并發(fā)生成的子進程數(shù)、每秒的最大ＳＭＴＰ連

接數(shù)目、每個ＩＰ每分鐘的ＳＭＴＰ連接數(shù)以及并發(fā)連

接數(shù)等進行限制，可用于處理拒絕服務(wù)攻擊。

（２）反向ＤＮＳ解析：根據(jù)發(fā)件方的ＩＰ地址進行

正向ＤＮＳ解析，并將獲取的ＩＰ地址與發(fā)件方的實際

進行比對，校驗的結(jié)果可以是ＯＫ、ＴＥＭＰ（臨時性

反向ＤＮＳ解析，然后再依據(jù)查詢返回的主機名進行

名進行正向ＤＮＳ解析，拒收該域不可解析的郵件ｏ

ＦＯＲＧＥＤ（偽造，即ＩＰ地址不匹配），并保存在ｓｅｎｄ—

（７）ＳＭＴＰ Ｔａｒｐｉｔ：提供了以下兩種ＳＭＩＰ Ｔａｒｐｉｔ技術(shù)ｏ

ｄｅｆｉｎｅ（ ｃｏｎｆＢＡＤ—ＲＣＰＴ—ＴＨＳＯＴｒＬＥ ， ｎ）：設(shè)

ｍａｉｌ的變量｛ｃｌｉｅｎｔ—ｒｅｓｏｌｖｅ｝中。用戶可依據(jù)該變量

來確定郵件的處理方式，比如在配置文件ｓｅｎｄｍａｉｌ．

定一旦“收件人未知”錯誤數(shù)超過閾值ｎ，將在該

一

１２６一

ＳＭＴＰ會話所收到的每條后續(xù)Ｒｃｐｔ Ｔｏ命令后延遲１

秒。該特性能有效阻止郵件地址探測攻擊。另外，

也可以使用配置參數(shù)“ｃｏｎｆＭＡＸ—ＲＣＰＴＳ—ＰＥＲ—

ＭＥＳＳＡＧＥ”直接限定每封郵件的Ｒｃｐｔ Ｔｏ命令數(shù)。

ｆｅａｔｕｒｅ（ ｇｒｅｅｔ—ｐａｕｓｅ ，～ｎ）：設(shè)定在ＳＭＴＰ連接

建立后，收件服務(wù)器延遲回送歡迎信息（ｗｅｌｃｏｍｅ

ｇｒｅｅｔ）的時間。對于在此延遲期間發(fā)出任何命令的

發(fā)件方，其郵件會被拒收。

（８）Ｍｉｌｔｅｒ接口提供了功能強大的Ｍｉｈｅｒ郵件

過濾ＡＰＩ，定義了一組用于ＳＭＴＰ不同會話階段的

回調(diào)函數(shù)，使得第三方郵件過濾程序可以通過該接

口在ＳＭＴＰ會話的各個階段對郵件進行訪問處理，

包括：郵件接受、丟棄、暫時拒絕、拒絕、日志記錄，以

及修改郵件頭或郵件的正文信息等。目前已有許多

基于Ｍｉｈｅｒ接口的郵件過濾軟件，其中開放源碼的

ｂａｔｖ—ｍｉｌｔｅｒ與ｍｉｌｅｒ—ｇｒｅｙｌｉｓｔ能分別實現(xiàn)ＢＡＴＶ、ＳＰＦ

和灰名單技術(shù)。

ｂａｔｖ—ｍｉｌｅｒ ７ Ｊ實現(xiàn)ＢＡＴＶ認證，能直接拒收認證

失敗的郵件，并提供白名單功能，對發(fā)往或來自該白

名單所列站點的郵件免予簽名或驗證，解決ＢＡＴＶ

與其它郵件系統(tǒng)可能存在的沖突問題，減小誤判的

概率。

ｍｉｌｔｅｒ—ｇｒｅｙｌｉｓｔ 集成了ＳＰＦ與灰名單兩大功

能，并提供了訪問控制列表（例３所示），以應(yīng)對這

兩種過濾技術(shù)存在的負作用。

例３：ｍｉｈｅｒ—ｇｒｅｙｌｉｓｔ訪問控制列表范例：

ｌｉｓｔ”ｖａｌｉｄ ｍｔａ ａｄｄｒ ｊ

１９２．１６８．１．１＼＃ｍａｉｌ ｇａｔｅｗａｙ

｝

ｒａｃｌ ｗｈｉｔｅｌｉｓｔ ｌｉｓｔ ｖａｌｉｄ ｒａｔａＨ

馓定可信主機的白名單（包括可能被列入

ＲＢＬ的合法主機、可信的轉(zhuǎn)發(fā)系統(tǒng)等）

ｒａｃｌ ｂｌａｃｋｌｉｓｔ ｓｐｆ ｆａｉｌ ｍｓｇ ｆＳＰＦ ｆａｉｌｅｄ

＃直接拒收ＳＰＦ認證結(jié)果為“Ｆａｉｌ”的郵件

ｇｒｅｙｌｉｓｔ １５ｍ

＃設(shè)定郵件初次投遞嘗試后，被灰名單暫時拒收

的時間為１５分鐘

ｒａｃｌ ｇｒｅｙｌｉｓｔ ｓｐｆ ｎｅｕｔｒａｌ

ｒａｅｌ ｇｒｅｙｌｉｓｔ ｓｐｆ ｓｏｆｆｆａｉｌ

ｓｍ

—

ｍａｃｒｏ”ＲＤＮＳ ＦＯＲＧＥＤ””｛ｃｌｉｅｎｔ—ｌ＇ｅｓｏｌｖｅ｝”

”Ｆ０ＲＧＥＤ”

ｒａｃｌ ｇｒｅｙｌｉｓｔ ｓｍ ｍａｃｒｏ ＲＤＮＳ ＦＯＲＧＥＤ

ｓｍ

—

ｍａｃｒｏ ＣＡＳＡ

ＣＢＬ ＼ＣＡＳＡ—ＣＢＬ＼ ”

Ｆｏｕｎｄ“

ｒａｃｌ ｇｒｅｙｌｉｓｔ ｓｍ ｍａｃｒｏ ＣＡＳＡ ＣＢＬ

鍛定對疑似垃圾郵件（比如ＳＰＦ認證結(jié)果為

“

ｓｏｆｔｆａｉｌｆｎｅｕｔｒａｌ”、未通過ｓｅｎｄｍａｉｌ的反向ＤＮＳ解析

認證、或被列入ＲＢＬ等）需要進行灰名單過濾處理。

ｒａｃｌ ｗｈｉｔｅｌｉｓｔ ｄｅｆａｕｌｔ

＃指定在默認情況下，郵件將免予灰名單過濾

處理。

利用ｍｉｌｔｅｒ—ｇｒｅｙｌｉｓｔ對疑似垃圾郵件進行灰名單

處理，雖然降低了該技術(shù)的效能，但能大大減小誤判

的概率，并能保證絕大多數(shù)合法郵件的投遞不會被

灰名單延遲。

３ 結(jié)束語

分析了基于ｓＴＭＰ會話層的垃圾郵件行為識別

技術(shù)，在垃圾郵件的信體發(fā)送之前就對其實施過濾，

是對當前郵件過濾技術(shù)的一種有益補充。然而，要

解決垃圾郵件問題，不僅需要依靠技術(shù)措施，還應(yīng)當

采取法律手段以及提高用戶的安全意識，才能取得

良好的防范效果。

參考文獻：

［１］Ｗｉｋｉｐｅｄｉａ．Ｂａｃｋｓｅａｔｔｅｒ（ｃ－ｍａｉｌ）［ＥＢ／ＯＬ］ ｈｔｔｐ：／／ｅｎ．ｗｉｋｉｐｅｄｉａ．

ｏｒｇ／ｗｉｋｉ／Ｂａｃｋｓｅａｔｔｅｒ

一

（ｅ．ｍａｉｌ），Ａｕｇ ２００９．

［２ ３ Ｗｏｎｇ Ｍ，Ｓｅｈｌｉｔｔ Ｗ．ＲＦＣ ４４０８，Ｓｅｎｄｅｒ Ｐｏｌｉｃｙ Ｆｒａｍｅｗｏｒｋ（ＳＰＦ）

ｆｏｒＡｕｔｈｏｒｉｚｉｎｇ Ｕｓｅ ｏｆ Ｄｏｍａｉｎｓ ｉｎ Ｅ－Ｍａｉｌ Ｖｅｒｓｉｏｎ １［Ｓ］．ＩＥＴＦ，

Ａｐｒｉｌ ２００６．

［３］ｌｉｂｓｒｓ２．ｏｒｇ．Ｓｅｎｄｅｒ Ｒｅｗｒｉｔｉｎｇ Ｓｃｈｅｍｅ［ＥＢ／ＯＬ］．ｈｔｔｏ：／／ｗｗｗ．１ｉｂ－

ｓｒｓ２．ｏｒｇ／ｓｒｓ／ｓｒｓ．ｐｄｆ，Ｊｕｎｅ ２００５．

［４］Ｌｅｖｉｎｅ Ｊ，Ｃｒｏｃｋｅｒ Ｄ，Ｓｉｌｂｅｒｍａｎ Ｓ，ｅｔ ａ１．Ｂｏｕｎｃｅ Ａｄｄｒｅｓｓ Ｔａｇ Ｖａｌｉ?

ｄａｔｉｏｎ（ＢＡＴＶ）［ＥＢ／ＯＬ］．ｈｔ￡ｐ：／／ｍｉｐａｓｓｏｃ．ｏｒｇ／ｂａｔｖ／ｄｒａｆｔ?ｌｅ—

ｖｉｎｅ－ｌｎｉｔｙ－０３．ｔｘｔ．Ｊｕｌｙ ２００７．

［５］Ｈａｒｒｉｓ Ｅｖａｎ．Ｔｈｅ Ｎｅｘｔ Ｓｔｅｐ ｉｎ ｔｈｅ Ｓｐａｍ Ｃｏｎｔｒｏｌ Ｗａｒ：Ｇｒｅｙｌｉｓｉｆｎｇ

［ＥＢ／ＯＬ］．ｈｔｔｐ：／／ｗｗｗ．ｇｒｅｙｌｉｓｉｆｎｇ．ｏｒｇ／ａｒｔｉｄｅｓ／ｗｈｉｔｅｐａｐｅｒ．ｓｈｔ—

ｍｌ，Ａｕｇ ２００３．

［６］中國反垃圾郵件聯(lián)盟．黑名單服務(wù)［ＥＢ／ＯＬ］．ｈｔｔｐ：／／ｗｗｗ．ａｎ—

ｔｉ－ｓｐａｍ．ｏｒｇ．ｃｎ／ＣＩＤ／１，Ｄｅｃ ２００７．

［７］Ｇｓｈａｐｉｒｏ，Ｒｒｏｇｎｌｉｅ，Ｓｎｉ－ｕｒｓｋ．ｂａｔｖ－ｍｉｈｃｒ［ＥＢ／ＯＬ］．［２ｏｏ９￣ｓ一１６］．

ｈｔｔｐ：／／ｓｏｕｍｅｆｏｒｇｅ．ｎｅｔ／ｐｒｏｊｅｅｔｓ／ｂａｔｖ－ｍｉｌｔｅｒ／，Ａｐｒ ２００９－８?１６．

［８］ Ｅｍｍａｎｕｅｌ Ｄｒｅｙｆｕｓ．Ｔｉｒｅｄ ｏｆ ｓｏｒｔｉｎｇ ｙｏｕｒ ｓｐａｒｅ？Ｔｒｙ ｏｕｔ ｍｉｈｅｒ?

ｇｒｅｙｌｉｓｔ［ＥＢ／ＯＬ］．ｈｔｔｐ：／／ｈｃｐｎｅｔ．ｆｒｅｅ．ｆｒ／ｍｉｈｅｒ－ｇｅｒｙｌｉｓｔ／，Ａｕｇ

２００９．

責任編輯：肖濱

一

１２７—