Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 02-04-2012, 09:08 AM   #1
emailhoc
Administrator
 
Gia nhập: Jul 2009
Trả Lời: 245
Antivirus & antispam cho hệ thống email
Kỹ thuật lọc thư rác:

DNS-based Blocklist
Mô hình lọc thư rác dựa trên DNS-Based Blocklist
Các thư rác được gửi từ những Mail server có cấu hình không hoàn chỉnh (open relay, không tuân thủ tiêu chuẩn RFC), những server không có thông tin rõ ràng về người quản trị (máy kết nối bằng dial-up, máy không có reverse DNS), hay từ những server mà tin tặc sử dụng để gửi spam.

Các tổ chức chống spam đã lập danh sách những mail server “đen”, danh sách này được cập nhật thường xuyên, gọi chung là RBL (real-time blackhole list), hay DNSBL (DNS-based Blocklist).

Ưu điểm của phương pháp này là kiểm tra nhanh ít hao tốn tài nguyên của server vì bước kiểm tra được thực hiện trước khi gửi mail và việc kiểm tra chỉ dựa vào kết quả tìm kiếm của DNS.

Phương pháp sử dụng DNS black list chặn các email đến từ các địa chỉ nằm trong danh sách DNS blacklist. Có hai loại danh sách DNS Blacklist thường được sử dụng, đó là:
  • Danh sách các miền gửi spam đã biết, danh sách các miền này được liệt kê và cập nhật tại địa chỉ http://spamhaus.org/sbl.
  • Danh sách các Mail server cho phép hoặc bị lợi dụng thực hiện việc chuyển tiếp spam được gửi đi từ những spammer (người thực hiện spam mail ). Danh sách này được liệt kê và cập nhật thường xuyên tại địa chỉ http://www.ordb.org. Cơ sở dữ liệu Open Relay Database này được duy trì bởi ORDB.org là một tổ chức phi lợi nhuận.
Khi một email được gửi đi, nó sẽ đi qua một số SMTP server trước khi chuyển tới địa chỉ người nhận. Địa chỉ IP của các SMTP server mà email đó đã chuyển qua được ghi trong phần header của email. Các chương trình chống spam sẽ kiểm tra tất cả các địa chỉ IP đã được tìm thấy trong phần header của email đó sau đó so sánh với cơ sở dữ liệu DNS Blacklist đã biết. Nếu địa chỉ IP tìm thấy trong phần này có trong cơ sở dữ liệu về các DNS Blacklist sẽ bị xem là spam, ngược lại các email được xem là hợp lệ.

Phương pháp này có ưu điểm là các email có thể được kiểm tra trước khi tải xuống, do đó tiết kiệm được băng thông đường truyền. Nhược điểm của phương pháp này là không phát hiện ra được những email giả mạo địa chỉ người gửi.

SURBL (SPAM URI Realtime Blocklists)

Phương pháp này phát hiện spam dựa vào nội dung của email. Chương trình chống spam sẽ phân tích nội dung bên trong của email xem bên trong có chứa các liên kết đã được liệt kê trong SURBL list không.


Mô hình lọc thư rác dựa trên SURBL
Phương pháp sử dụng SURBL phát hiện spam dựa vào nội dung của email. Chương trình chống spam sẽ phân tích nội dung của email xem bên trong có chứa các liên kết đã được liệt kê trong Spam URI Realtime Blocklists (SURBL) hay không. SURBL chứa danh sách các miền và địa chỉ của các spammer đã biết. Cơ sở dữ liệu này được cung cấp và cập nhật thường xuyên tại địa chỉ www.surbl.org..

Có nhiều danh sách SURBL khác nhau như sc.surbl.org, ws.surbl.org, ob.surbl.org, ab.surbl.org..., các danh sách này được cập nhật từ nhiều nguồn. Thông thường, người quản trị thường kết hợp các SURBL list bằng cách tham chiếu tới địa chỉ multi.surbl.org. Nếu một email sau khi kiểm tra nội dung có chứa các liên kết được chỉ ra trong SURBL list sẽ được đánh dấu là spam email.

Phương pháp này có ưu điểm phát hiện được các email giả mạo địa chỉ người gửi để đánh lừa các bộ lọc. Nhược điểm của nó là email phải được tải xuống trước khi tiến hành kiểm tra, do đó sẽ chiếm băng thông đường truyền và tài nguyên của máy tính để phân tích các nội dung email.

Block IP

Đây là một phương pháp khá đơn giản. Khi một email đến, bộ lọc sẽ phân tích địa chỉ máy gửi và so sánh với danh sách IP bị chặn. Nếu Email đến từ máy có IP thuộc trong danh sách IP bị chặn thì nó coi đó là spam. Ngược lại, nếu Email đến từ máy có IP không thuộc danh sách IP bị chặn thì được coi là hợp lệ.



SPF ( Sender Policy Framework)

Phương pháp này dùng để kiểm tra địa chỉ người gửi email trước khi email được tải xuống nên tiết kiệm băng thông hệ thống. Kỹ thuật SPF cho phép chủ sở hữu của một tên miền Internet sử dụng các bản ghi DNS đặc biệt (gọi là bản ghi SPF) chỉ rõ các máy được dùng để gửi email từ miền của họ.


Khi một email được gửi tới, bộ lọc SPF sẽ phân tích các thông tin trong trường “From” hoặc “Sender” để kiểm tra địa chỉ người gửi. Sau đó SPF sẽ đối chiếu địa chỉ đó với các thông tin đã được công bố trong bản ghi SPF của miền đó xem máy gửi email có được phép gửi email hay không. Nếu email đến từ một server không có trong bản ghi SPF mà miền đó đã công bố thì email đó bị coi là giả mạo.

Bộ lọc Bayesian

Bộ lọc Bayesian dựa trên thuật toán Bayes để tính toán xác suất xảy ra một sự kiện dựa vào những sự kiện xảy ra trước đó. Kỹ thuật tương tự như vậy dùng để phân loại spam.
Mô hình lọc thư rác dựa trên kỹ thuật Bayesian
Trước khi có thể lọc email bằng bộ lọc Bayesian, người dùng cần tạo ra cơ sở dữ liệu từ khóa và dấu hiệu (như là ký hiệu $, địa chỉ IP và các miền...) sưu tầm từ các spam và các email không hợp lệ khác.
Mỗi từ hoặc mỗi dấu hiệu sẽ được cho một giá trị xác suất xuất hiện, giá trị này dựa trên việc tính toán có bao nhiêu từ thường hay sử dụng trong spam, mà trong các email hợp lệ thường không sử dụng. Việc tính toán này được thực hiện bằng cách phân tích những email gửi đi của người dùng và phân tích các kiểu spam đã biết. Để bộ lọc Bayesian hoạt động chính xác và có hiệu quả cao, cần phải tạo ra cơ sở dữ liệu về các email thông thường và spam phù hợp với đặc thù kinh doanh của từng công ty.
Cơ sở dữ liệu này được hình thành khi bộ lọc trải qua giai đoạn “huấn luyện”. Người quản trị phải cung cấp khoảng 1000 email thông thường và 1000 spam để bộ lọc phân tích tạo ra cơ sở dữ liệu cho riêng nó.

Black/White Lists

Black list là cơ sở dữ liệu các địa chỉ email và các miền mà bạn không bao giờ muốn nhận các email từ đó. Các email gửi tới từ các địa chỉ này sẽ bị đánh dấu là spam.
White list là cơ sở dữ liệu các địa chỉ email và các miền mà bạn mong muốn nhận email từ đó. Nếu các email được gửi đến từ những địa chỉ nằm trong danh sách này thì chúng luôn được cho qua.
Thông thường các bộ lọc có tính năng tự học, khi một email bị đánh dấu là spam thì địa chỉ người gửi sẽ được tự động đưa vào danh sách black list. Ngược lại, khi một email được gửi đi từ trong công ty thì địa chỉ người nhận sẽ được tự động đưa vào danh sách white list.

Mô hình kỹ thuật lọc thư rác dựa trên Black/White list
Challenge/Respond

Tính năng này sẽ yêu cầu người lần đầu gửi email xác nhận lại email đầu tiên mà họ đã gửi.Sau khi xác nhận, địa chỉ email của người gửi được bổ sung vào danh sách White list và từ đó trở về sau các email được gửi từ địa chỉ đó được tự động cho qua các bộ lọc.Do spammer sử dụng các chương trình gửi email tự động và họ không thể xác nhận lại tất cả các email đã gửi đi, vì thế những email không được xác nhận sẽ bị coi là spam.
Phương pháp này có hạn chế là nó yêu cầu những người gửi mới phải xác nhận lại email đầu tiên mà họ gửi. Để khắc phục nhược điểm này, người quản trị chỉ nên sử dụng phương pháp này đối với những email mà họ nghi ngờ là spam.

Mô hình kỹ thuật Challenge/Respond
CHECK HEADER

Phương pháp này sẽ phân tích các trường trong phần header của email để đánh giá email đó là email thông thường hay là spam. Spam thường có một số đặc điểm như:
  • Để trống trường From: hoặc trường To:
  • Trường From: chứa địa chỉ email không tuân theo các chuẩn RFC.
  • Các URL trong phần header và phần thân của message có chứa địa chỉ IP được mã hóa dưới dạng hệ hex/oct hoặc có sự kết hợp theo dạng username/password (ví dụ các địa chỉ: http://00722353893457472/hello.com, www.citibank.com@scammer.com ).
  • Phần tiêu đề của email có thể chứa địa chỉ email người nhận để cá nhân hóa email đó. Lưu ý khi sử dụng tính năng này với các địa chỉ email dùng chung có dạng như sales@company.com . Ví dụ khi một khách hàng phản hồi bằng cách sử dụng tính năng auto-reply với tiêu đề “your email to sales” có thể bị đánh dấu là spam.
  • Gửi tới một số lượng rất lớn người nhận khác nhau.
  • Chỉ chứa những file ảnh mà không chứa các từ để đánh lừa các bộ lọc.
  • Sử dụng ngôn ngữ khác với ngôn ngữ mà người nhận đang sử dụng.

Dựa vào những đặc điểm này của spam, các bộ lọc có thể lọc chặn.

Ví dụ: Thông tin header của email
White list là cơ sở dữ liệu các địa chỉ email và các miền mà bạn mong muốn nhận email từ đó. Nếu các email được gửi đến từ những địa chỉ nằm trong danh sách này thì chúng luôn được cho qua.Thông thường các bộ lọc có tính năng tự học, khi một email bị đánh dấu là spam thì địa chỉ người gửi sẽ được tự động đưa vào danh sách black list. Ngược lại, khi một email được gửi đi từ trong công ty thì địa chỉ người nhận sẽ được tự động đưa vào danh sách white list.

TRIỂN KHAI ANTISPAM/ANTIVIRUS CHO HỆ THỐNG POSTFIX MAIL

Antispam với SpamAssassin

SpamAssassin là một project được phát triển bởi Apache, được ứng dụng khá nhiều trên các mail server dùng nền Linux. SpamAssassin có các tính năng chính sau để xác định và ngăn chặn các spam email:
  • Kiểm tra Header and Body.
  • Bayesian filtering.
  • Blacklist/Whitelist
  • DNS Blocklists
  • ……

Ưu điểm: Dùng SpamAssassin là ít thay đổi cấu hình mặc định của postfix và có thể xây dựng quy tắc kiểm tra spam cho riêng mình.

Khuyết điểm: SpamAssassin tiêu tốn khá nhiều tài nguyên (cpu, memory, thời gian xử lý) của server, đặc biệt khi phải xử lý những mail có size lớn.
Antivirus với ClamAV

ClamAV là một antivirus mã nguồn mở chạy trên hệ thống Linux. ClamAV có các tính năng:
  • Có bộ quét sử dụng bằng dòng lệnh.
  • Nhanh, đa luồng thực thi quét giúp tăng tốc phát hiện và ngăn chặn virus.
  • Cập nhật liên tục khi có dấu hiệu nhận dạng mới.
  • Mặc định hỗ trợ các format: Zip, RAR, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS và các định dạng khác.
  • Mặc định hỗ trợ tất cả cá định dạng email file.
  • Hoạt động ổn định, nhanh, và tương đối hiệu quả.
Kiến trúc Mail Server với Postfix

Postfix:

Postfix là một MTA dễ quản lý, nhanh, an toàn. Không yêu cầu server có cấu hình cao. Ngày nay postfix là một trong nhưng MTA khá phổ biến trên các mail server.
Cyrus Imapd:

Cyrus Imapd là một MAA nhanh, dễ quản lý và bảo mật. Nó cung cấp các dịch vụ IMAP và POP3 được cài phổ biến trên các CentOS.
SquirrelMail :

SquirrelMail là một trong những Web mail phổ biến nhất trên các Mail Server, nó hỗ trợ cả các giao thức IMAP/POP3 và SMTP, giúp người dùng có thể đọc và quản lý e-mail của mình trong môi trường Web.
emailhoc vắng mặt   Trả lời ngay kèm theo trích dẫn này
Gửi trả lời


Công Cụ
Xếp Bài

Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 04:01 PM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.