|
||||||||
|
||||||||
|
|
Công Cụ | Xếp Bài |
02-04-2012, 10:08 AM | #1 |
Administrator
Gia nhập: Jul 2009
Trả Lời: 245
|
Antivirus & antispam cho hệ thống email
Kỹ thuật lọc thư rác:
DNS-based Blocklist Mô hình lọc thư rác dựa trên DNS-Based Blocklist Các thư rác được gửi từ những Mail server có cấu hình không hoàn chỉnh (open relay, không tuân thủ tiêu chuẩn RFC), những server không có thông tin rõ ràng về người quản trị (máy kết nối bằng dial-up, máy không có reverse DNS), hay từ những server mà tin tặc sử dụng để gửi spam.Các tổ chức chống spam đã lập danh sách những mail server “đen”, danh sách này được cập nhật thường xuyên, gọi chung là RBL (real-time blackhole list), hay DNSBL (DNS-based Blocklist). Ưu điểm của phương pháp này là kiểm tra nhanh ít hao tốn tài nguyên của server vì bước kiểm tra được thực hiện trước khi gửi mail và việc kiểm tra chỉ dựa vào kết quả tìm kiếm của DNS. Phương pháp sử dụng DNS black list chặn các email đến từ các địa chỉ nằm trong danh sách DNS blacklist. Có hai loại danh sách DNS Blacklist thường được sử dụng, đó là:
Phương pháp này có ưu điểm là các email có thể được kiểm tra trước khi tải xuống, do đó tiết kiệm được băng thông đường truyền. Nhược điểm của phương pháp này là không phát hiện ra được những email giả mạo địa chỉ người gửi. SURBL (SPAM URI Realtime Blocklists) Phương pháp này phát hiện spam dựa vào nội dung của email. Chương trình chống spam sẽ phân tích nội dung bên trong của email xem bên trong có chứa các liên kết đã được liệt kê trong SURBL list không. Mô hình lọc thư rác dựa trên SURBL Phương pháp sử dụng SURBL phát hiện spam dựa vào nội dung của email. Chương trình chống spam sẽ phân tích nội dung của email xem bên trong có chứa các liên kết đã được liệt kê trong Spam URI Realtime Blocklists (SURBL) hay không. SURBL chứa danh sách các miền và địa chỉ của các spammer đã biết. Cơ sở dữ liệu này được cung cấp và cập nhật thường xuyên tại địa chỉ www.surbl.org..Có nhiều danh sách SURBL khác nhau như sc.surbl.org, ws.surbl.org, ob.surbl.org, ab.surbl.org..., các danh sách này được cập nhật từ nhiều nguồn. Thông thường, người quản trị thường kết hợp các SURBL list bằng cách tham chiếu tới địa chỉ multi.surbl.org. Nếu một email sau khi kiểm tra nội dung có chứa các liên kết được chỉ ra trong SURBL list sẽ được đánh dấu là spam email. Phương pháp này có ưu điểm phát hiện được các email giả mạo địa chỉ người gửi để đánh lừa các bộ lọc. Nhược điểm của nó là email phải được tải xuống trước khi tiến hành kiểm tra, do đó sẽ chiếm băng thông đường truyền và tài nguyên của máy tính để phân tích các nội dung email. Block IP Đây là một phương pháp khá đơn giản. Khi một email đến, bộ lọc sẽ phân tích địa chỉ máy gửi và so sánh với danh sách IP bị chặn. Nếu Email đến từ máy có IP thuộc trong danh sách IP bị chặn thì nó coi đó là spam. Ngược lại, nếu Email đến từ máy có IP không thuộc danh sách IP bị chặn thì được coi là hợp lệ. SPF ( Sender Policy Framework) Phương pháp này dùng để kiểm tra địa chỉ người gửi email trước khi email được tải xuống nên tiết kiệm băng thông hệ thống. Kỹ thuật SPF cho phép chủ sở hữu của một tên miền Internet sử dụng các bản ghi DNS đặc biệt (gọi là bản ghi SPF) chỉ rõ các máy được dùng để gửi email từ miền của họ. Khi một email được gửi tới, bộ lọc SPF sẽ phân tích các thông tin trong trường “From” hoặc “Sender” để kiểm tra địa chỉ người gửi. Sau đó SPF sẽ đối chiếu địa chỉ đó với các thông tin đã được công bố trong bản ghi SPF của miền đó xem máy gửi email có được phép gửi email hay không. Nếu email đến từ một server không có trong bản ghi SPF mà miền đó đã công bố thì email đó bị coi là giả mạo. Bộ lọc Bayesian Bộ lọc Bayesian dựa trên thuật toán Bayes để tính toán xác suất xảy ra một sự kiện dựa vào những sự kiện xảy ra trước đó. Kỹ thuật tương tự như vậy dùng để phân loại spam. Mô hình lọc thư rác dựa trên kỹ thuật Bayesian Trước khi có thể lọc email bằng bộ lọc Bayesian, người dùng cần tạo ra cơ sở dữ liệu từ khóa và dấu hiệu (như là ký hiệu $, địa chỉ IP và các miền...) sưu tầm từ các spam và các email không hợp lệ khác.Mỗi từ hoặc mỗi dấu hiệu sẽ được cho một giá trị xác suất xuất hiện, giá trị này dựa trên việc tính toán có bao nhiêu từ thường hay sử dụng trong spam, mà trong các email hợp lệ thường không sử dụng. Việc tính toán này được thực hiện bằng cách phân tích những email gửi đi của người dùng và phân tích các kiểu spam đã biết. Để bộ lọc Bayesian hoạt động chính xác và có hiệu quả cao, cần phải tạo ra cơ sở dữ liệu về các email thông thường và spam phù hợp với đặc thù kinh doanh của từng công ty. Cơ sở dữ liệu này được hình thành khi bộ lọc trải qua giai đoạn “huấn luyện”. Người quản trị phải cung cấp khoảng 1000 email thông thường và 1000 spam để bộ lọc phân tích tạo ra cơ sở dữ liệu cho riêng nó. Black/White Lists Black list là cơ sở dữ liệu các địa chỉ email và các miền mà bạn không bao giờ muốn nhận các email từ đó. Các email gửi tới từ các địa chỉ này sẽ bị đánh dấu là spam. White list là cơ sở dữ liệu các địa chỉ email và các miền mà bạn mong muốn nhận email từ đó. Nếu các email được gửi đến từ những địa chỉ nằm trong danh sách này thì chúng luôn được cho qua. Thông thường các bộ lọc có tính năng tự học, khi một email bị đánh dấu là spam thì địa chỉ người gửi sẽ được tự động đưa vào danh sách black list. Ngược lại, khi một email được gửi đi từ trong công ty thì địa chỉ người nhận sẽ được tự động đưa vào danh sách white list. Mô hình kỹ thuật lọc thư rác dựa trên Black/White list Challenge/RespondTính năng này sẽ yêu cầu người lần đầu gửi email xác nhận lại email đầu tiên mà họ đã gửi.Sau khi xác nhận, địa chỉ email của người gửi được bổ sung vào danh sách White list và từ đó trở về sau các email được gửi từ địa chỉ đó được tự động cho qua các bộ lọc.Do spammer sử dụng các chương trình gửi email tự động và họ không thể xác nhận lại tất cả các email đã gửi đi, vì thế những email không được xác nhận sẽ bị coi là spam. Phương pháp này có hạn chế là nó yêu cầu những người gửi mới phải xác nhận lại email đầu tiên mà họ gửi. Để khắc phục nhược điểm này, người quản trị chỉ nên sử dụng phương pháp này đối với những email mà họ nghi ngờ là spam. Mô hình kỹ thuật Challenge/Respond CHECK HEADERPhương pháp này sẽ phân tích các trường trong phần header của email để đánh giá email đó là email thông thường hay là spam. Spam thường có một số đặc điểm như:
Dựa vào những đặc điểm này của spam, các bộ lọc có thể lọc chặn. Ví dụ: Thông tin header của email White list là cơ sở dữ liệu các địa chỉ email và các miền mà bạn mong muốn nhận email từ đó. Nếu các email được gửi đến từ những địa chỉ nằm trong danh sách này thì chúng luôn được cho qua.Thông thường các bộ lọc có tính năng tự học, khi một email bị đánh dấu là spam thì địa chỉ người gửi sẽ được tự động đưa vào danh sách black list. Ngược lại, khi một email được gửi đi từ trong công ty thì địa chỉ người nhận sẽ được tự động đưa vào danh sách white list.TRIỂN KHAI ANTISPAM/ANTIVIRUS CHO HỆ THỐNG POSTFIX MAIL Antispam với SpamAssassin SpamAssassin là một project được phát triển bởi Apache, được ứng dụng khá nhiều trên các mail server dùng nền Linux. SpamAssassin có các tính năng chính sau để xác định và ngăn chặn các spam email:
Ưu điểm: Dùng SpamAssassin là ít thay đổi cấu hình mặc định của postfix và có thể xây dựng quy tắc kiểm tra spam cho riêng mình. Khuyết điểm: SpamAssassin tiêu tốn khá nhiều tài nguyên (cpu, memory, thời gian xử lý) của server, đặc biệt khi phải xử lý những mail có size lớn. Antivirus với ClamAV ClamAV là một antivirus mã nguồn mở chạy trên hệ thống Linux. ClamAV có các tính năng:
Postfix: Postfix là một MTA dễ quản lý, nhanh, an toàn. Không yêu cầu server có cấu hình cao. Ngày nay postfix là một trong nhưng MTA khá phổ biến trên các mail server. Cyrus Imapd: Cyrus Imapd là một MAA nhanh, dễ quản lý và bảo mật. Nó cung cấp các dịch vụ IMAP và POP3 được cài phổ biến trên các CentOS. SquirrelMail : SquirrelMail là một trong những Web mail phổ biến nhất trên các Mail Server, nó hỗ trợ cả các giao thức IMAP/POP3 và SMTP, giúp người dùng có thể đọc và quản lý e-mail của mình trong môi trường Web. |
|
|