梭子魚垃圾郵件防火墻技術白皮書 梭子魚垃圾郵件防火墻（BarracudaSpamFireware）提供強大、易于使用、成本效益高的企業級垃圾與病毒郵件解決方案，全球用戶數超過50000家，是電子郵件安全設備的領導品牌。 梭子魚（Barracuda）基于業界最堅固的Linux內核，并進行了專門的優化；采用自由且功能強大的Perl建構了開放穩定的系統內核，具有先進的系統架構，帶給用戶最輕松的使用體驗。安全的Linux內核＋健壯的MTA＋服務器陣列，提供了企業級的容錯與負載均衡，能高效、靈活、準確的處理用戶企業中的所有郵件。 十分鐘！梭子魚（Barracuda）提供給用戶是非常易于使用的產品。用戶打開包裝箱，把梭子魚安裝在19英寸標準機架上，進行簡單的配置后梭子魚立刻開始對企業郵箱提供全面的保護。這一過程僅僅只需要十分鐘。梭子魚（Barracuda）提供給用戶的是一種“即插即忘”式的產品，無需用戶進行復雜的系統操作，管理員通過WEB瀏覽器就可以對設備進行遠程的管理，一旦系統調整完畢，管理員無需經常登錄系統進行管理，系統運行的各種數據會定時的發送到管理員或相應的每個郵件用戶的信箱中。 梭子魚產品核心設計理念是“垃圾郵件的雞尾酒療法”，即采用多種不同的反垃圾郵件技術，對郵件的不同特征進行權方位的檢查與過濾；而梭子魚產品設計架構則采用了分層過濾技術，每個過濾層結合不同的反垃圾郵件技術，多達十二層過濾機制，使辨識率達到98%。

梭子魚的12層過濾機制，其中5層是連接控制過濾（防攻擊層、速率控制層、IP過濾層、發件人認證、收件人檢查），7層郵件內容過濾（病毒檢查、用戶自定義規則、郵件指紋檢查、郵件意圖分析檢查、圖片識別、貝葉斯分析、基于規則評分）。連接控制過濾梭子魚（Barracuda）在連接控制將首先檢查TCP/IP的合法性以防止DOS攻擊或其它類型的非法連接：接著將對SMTP連接的頻率進行統計，防止非法發送者大量的發送垃圾郵件；接著，通過多重RBL（RealtimeBlackholeList）檢查核實發件者IP地址是否合法。在同類產品中，只有梭子魚提供多重的RBL檢測，即梭子魚公司RBL服務器、國際組織RBL服務器和用戶自定義RBL服務器。梭子魚還率先使用SPF/微軟CallID技術驗證發件人的合法性。當然，管理員可以定義自己的IP黑名單，拒絕來自這些IP地址的連接；梭子魚提供了IP攻擊的報表，以方便管理員決策是否將這些IP列入黑名單。管理員還可以定義IP地址白名單，對來自這些IP地址的郵件不進行垃圾檢查，但是仍然執行病毒掃描及附件的檢查。梭子魚（Barracuda）在SMTP連接應用層進行五道檢查，分別是發件人認證、發件人黑白名單、收件人核實、郵件協議與屬性檢查和郵件路由。發件人認證包括兩層含義，其一是轉發控制，默認情況下，梭子魚關閉（OpenRelay），不會轉發郵件；其二如果需要梭子魚發送郵件，梭子魚將認證發件人的合法性。認證的方式包括指定轉發IP，指定信任域、指定信任發件人，SMTP認證，LDAP認證。 發件人黑白名單針對郵件地址的黑白名單。例如：管理員可以把本公司重要客戶的發信人地址列入到白名單，這些郵件將不會進行垃圾檢查而快速的通過過濾網關到達用戶的郵箱。梭子魚（Barracuda）還具有幾項獨特的功能，如發件人欺騙保護，這項功能阻止垃圾郵件仿冒用戶的郵件域給用戶發信。再如，收件人黑白名單功能，如公司內部使用的一些郵件群不需要接收外部郵件，此時可以將之加入收件人黑名單中，拒絕外部垃圾信的騷擾。 郵件協議與屬性控制連接是否符合郵件協議，檢查郵件的大小、每SMTP連接的郵件數、連接的時長等信息，避免不合法、長時間占用系統資源或大范圍的群發和垃圾郵件攻擊。 梭子魚（Barracuda）支持通過SMTP或LDAP方式對收件人的地址進行核實，避免垃圾郵件者對服務器發動字典攻擊、DHA攻擊，避免郵件服務器接收不存在的收件人郵件，從而較少了數據流，減輕了郵件服務器的負擔。 郵件路由包括基于郵件域的路由、基于主機地址的路由、流量控制與延時投遞，共同保證正常郵件從網關有控制、有保障的轉發到后臺郵件服務器。在郵件服務器發生故障時，梭子魚（Barracuda）將保留郵件48小時（默認時間），從而保證郵件服務器發生故障時用戶的重要信息不會丟失。內容過濾 內容過濾是梭子魚（Barracuda）產品的核心競爭力，梭子魚通過郵件指紋技術、意圖分析技術、圖片分析技術、貝葉斯過濾技術、基于規則的評分系統等攔截垃圾郵件，并獨創雙層病毒掃描引擎對郵件病毒進行高效的掃描。梭子魚還對附件進行垃圾和病毒掃描。郵件指紋技術 垃圾郵件發送的商業模型是大規模的發出同樣的郵件，通常幾天或者幾周內甚至幾個月內發送數以百萬計的郵件，這些郵件雖然可能在細微處有所變化，但是通過特定的算法，卻可以將這些郵件的共同特征提取出來。為此，博威特公司設置了大量“蜜罐”，或者說誘騙郵件地址，是用于收集大量的垃圾郵件。再依靠特定的算法，將這些郵件的共同特征――郵件指紋提取出來，形成郵件指紋庫。梭子魚收到郵件后，發送相關的信息到遠程的郵件指紋數據庫中進行核對，從而迅速的確認這封郵件是否是垃圾。這種指紋分析的方法和當前反病毒體系中病毒特征碼的原理是一樣的。在面對一些最新出現的或罕見的垃圾郵件時，它沒有多大效用。但是對于哪些大量發送的相同的垃圾郵件，這種方法卻具有最高的效率。而且這種方法幾乎不會產生誤判。梭子魚（Barracuda）每天更新數百個郵件指紋信息。意圖分析技術 垃圾郵件技術如今變得愈加復雜，許多垃圾郵件變得與正常的郵件幾乎一樣，在這些郵件中含有URL鏈接，這個鏈接往往指向一些不健康的網站，或某個商品促銷的網站。梭子魚為此創建了意圖分析技術，構建了全球最大、含蓋了全球十幾個語種的垃圾郵件URLS地址數據庫。它檢查郵件中的URL鏈接，確定郵件是否為垃圾郵件。這類垃圾郵件，采用其它的過濾技術基本上是無法過濾的。只有梭子魚的意圖分析才是其“這類垃圾郵件，采用其它的過濾技術基本上是無法過濾的。只有梭子魚的意圖分析才是其“特效藥” 該數據庫中的不良網址數量已經超過20萬，并且每天增加或更新數百個。圖象識別技術（OCR）及PDF識別技術2006年下半年以來，圖象類垃圾郵件的數量越來越多，如下圖，梭子魚采用了OCR技術對圖片中的文字進行識別，在依據圖片規則進行評分。對于特別復雜的圖片，梭子魚還能將之做成郵件指紋予以判斷。2007年來，PDF類型的垃圾郵件又迅速增加，梭子魚有開發了PDF識別技術，對PDF文件內容進行垃圾郵件評分。

貝葉斯過濾技術貝葉斯分析：命名于著名數學家托馬斯?貝葉斯（1702-1761)，他發展了一個數學領域全新的可能性推論理論。貝葉斯分析采用過去事件的知識預測未來事件。應用到反垃圾郵件領域，貝葉斯過濾與以前收到的垃圾郵件與合法郵件的中相同詞語與短語出現的頻率對比此郵件中有問題的詞語與短語的來確定垃圾郵件的可能性。他能自動適應垃圾郵件變化。是一種動態的智能過濾技術。貝葉斯過濾器是非常強大的，也是阻斷垃圾郵件最為精確的技術。大多數報告顯示，當貝葉斯過濾器被“有效培訓”以后，過濾器過濾垃圾郵件的準確率達到99%。為了培訓貝葉斯過濾器，需要該收件人大約200封有效郵件及200封垃圾郵件。在目標收件人中有越多的歷史數據庫，過濾器越準確。參見PaulGraham先生著作的“優化貝葉斯過濾器”/better.html。 梭子魚的貝葉斯過濾技術領先于其它產品，它采用了全新的分詞技術，同時支持單字節和雙字節語種，需要學習的樣本數量更少。貝葉斯能保正系統始終具有較高的過濾率，其它的過濾技術是一種靜態的技術，依賴于規則庫或特征庫的更新。而貝葉斯是智能的技術，他能自動學習新的垃圾郵件，調整自己的字詞頻度表，使得系統始終維持較高的過濾水準。 采用了分用戶貝葉斯后，使得不同郵件用戶個性化的需求得以真正的實現。一般反垃圾郵件分用戶個性化設置僅限于個人黑白名單。無法滿足不同用戶對郵件的不同偏好，然而用戶通過調整培訓自己的分用戶貝葉斯數據庫，就可以簡單的實現這一功能。基于規則的評分系統垃圾郵件制造者清楚反垃圾郵件的原理，因此也越來越狡猾，其中常用的一種辦法經常將一些單詞拼錯，“Viagra”可能被有意地拼寫為“V1agra”或者任何一種可能的變體，這樣普通的詞語過濾器就無法識別。基于規則的評分系統也被稱為人工智能（AI）系統，博威特網絡基于海量郵件的分析，定義了近6000條垃圾郵件規則，每一條規則對應一定的評分，一封郵件與規則庫進行比較，每符合一條規則加上該規則評分，獲得的分數越高，該郵件是垃圾郵件的可能性就越高。如果一封郵件超過一定得分門檻（閾值），該郵件將被分類為垃圾郵件。在這些規則中，可以用來識別變化的詞語或短語，例如垃圾郵件引擎偵測到變化型文字，垃圾郵件引擎會自動回復到原先字詞，例如V.I.A.G.R.A回復為VIAGRA。這些規則不僅包括語義分析，還包括對垃圾郵件發送工具的檢測、對郵件中含有圖片形態和比重的檢測，對于HTML格式的各種特征的規則等。通過對一封郵件所有相關的信息都進行相關的智能分析，最終能夠準確的判定一封郵件。由于垃圾郵件發送人及制造垃圾郵件的程序不是靜態的，因此博威特持續追蹤互聯網上的垃圾郵件的變化，及時更新規則庫。采用這項技術，可以清除90%的收到郵件中的垃圾郵件。梭子魚還專門定義了中文簡體、繁體、日語等規則分庫，以適應雙字節郵件的過濾。DigitalConsultantsComputerlandDigitalConsultants公司的總裁兼CEOGregorySirakides先生說“這個產品易于安裝，易學易用，幾乎不用配置，很低的維護成本，優秀的價格性能比，博威特垃圾郵件防火墻非常適合我們的客戶。”梭子魚（Barracuda）還提供了豐富強大的自定義過濾策略：用戶可以對郵件信頭、主題、信體設立阻斷、隔離、標記、關鍵字白名單等不同類型的關鍵字。再所有檢查都進行完畢后，根據用戶設立的評分策略，對郵件進行允許、標記、隔離、阻斷等操作。梭子魚（Barracuda）支持完全的正則表達式，為了方便用戶使用，梭子魚公司提供了不同語種的關鍵字模版。安全性與易用性 梭子魚建構在加固的linux平臺下，去除了不安全的服務，系統運行穩定。管理員可以指定IP訪問列表，只有列表中的IP才能對梭子魚（Barracuda）進行遠程的管理。也可以設置SNMP和API的IP訪問列表。并可以通過動態對稱的加密的HTTPs通道進行。梭子魚（Barracuda）支持通過LDAP驗證收件人地址的合法性，可以避免DHA攻擊；若用戶郵件系統不支持LDAP，梭子魚還可以使用SMTP方式進行驗證。梭子魚的速率控制機制能夠有效的阻止某個IP發動的海量郵件攻擊。梭子魚提供豐富多樣的報表，將系統運行的相關數據定時發送到管理員的信箱中，便于管理員及時的了解系統的運行狀態。梭子魚還提供數據庫化的日志功能，對每封郵件所做的處理作了詳細記錄，并且提供了便捷的日志搜索功能，管理員可以方便的查找到所需的日志記錄，在必要的時候，日志系統記錄的郵件還可以重新進行發送，這樣作為郵件系統的備份，保護了數據的安全。梭子魚服務的核心—博威特中心博威特建立了運營支持中心，24小時在線支持梭子魚的運行，運行中的梭子魚將可以自動下載病毒特征代碼，垃圾郵件規則庫，最新的內核程序。并提供指紋庫、黑名單庫、意圖分析庫的實時查詢。梭子魚（Barracuda）內的所有運行數據均可以備份：包括分用戶數據的備份、貝葉斯數據庫的備份，系統設置的備份。更可以自動備份數據。此外，電源中斷回復后，可自動啟動。系統某服務工作不正常時，通過重新啟動可自動糾正錯誤。梭子魚還提供內核版本“倒車”功能。即如果當前版本發生軟件故障，用戶可以恢復到上一次正常工作的版本，直至恢復到出廠設置。個性化定制和個人隱私保護梭子魚（Barracuda）是一款國際化的產品，其使用界面可以選擇包括中文簡體、繁體、英語、日語等在內的九種語言。梭子魚使用UTF-8編碼解決了雙字節文字（漢語、日語、韓語）在內的各種語言編碼的郵件過濾問題。梭子魚發出的各種報表、通知信息用戶均可以定制，也可以選擇梭子魚提供的不同語言通知。梭子魚（Barracuda）支持分用戶隔離與設置功能，用戶將能收到梭子魚發給用戶的隔離郵件的報告，發送報告的時間及報告的語言類型用戶均可以自行設定。用戶在該郵件中無需登錄系統就能對郵件進行相關操作。在登錄系統之后，用戶可以定義對郵件的處理方式，比如可以選擇需要或不需要隔離郵件。可以定義用戶自己的黑白名單，通過設定自己的貝葉斯庫設定自己對郵件的偏好。可以制定完全個人化的垃圾郵件過濾策略，滿足了用戶個人性化的需求，同時也有效的減輕了管理員的負擔，保護了個人隱私。關于博威特BarracudaNetworks成立于2002年，公司總部位于美國加州硅谷，是全球提供企業級垃圾郵件解決方案的領導者。在全球屢獲殊榮,包括NetworkComputing雜志的Editor'sChoiceAward、BestofShowAward。主要產品BarracudaSPAMFirewall系列，為世界各地超過50,000個客戶提供電子郵件安全防護，銷售量穩占全球第一。大量國際知名用戶如Adaptec、KnightRidder、Caltrans、CBS、喬治亞洲技術學院、IBM、NASA、PizzaHut、UnionPacificRailroad、和美