2007 技術通報 - 多層次的垃圾郵件與釣魚郵件防護技術SPS(Spam Protection Service)
趨勢科技針對新型態的垃圾郵件,提供了多層次的垃圾郵件與釣魚郵件防護技術-SPS(Spam Protection Service),包含Email Reputation Service(電子郵件信譽評等服務)、IP Profiler(客製化IP評等機制)與TMASE(複合式垃圾郵件防護引擎),SPS技術目前已整合在趨勢科技InterScan Messaging Security Suite與InterScan Messaging Security Appliance 5000產品上。
當部署IMSS/IMSA時,一般會修改企業之DNS MX record,以便外部郵件伺服器欲傳送郵件到企業並查詢DNS MX record時,判別企業之郵件伺服器為IMSS/IMSA,並將郵件直接傳送到IMSS/IMSA,郵件經IMSS/IMSA檢查後,才會轉送(Mail Relay)到企業的郵件伺服器。
茲將其功能分述如下:
第一關:ERS 拒絕已知垃圾郵件伺服器闖關
IMSS/IMSA收到外部郵件時,首先採用ERS -Email Reputation Service(電子郵件信譽評等服務)技術使用DNS通訊協定查詢ERS之評分DNS伺服器,查明是否為已知的垃圾郵件伺服器寄出。若是,則直接在IMSS/IMSA上拒絕此垃圾郵件之傳送。趨勢科技ERS是全球最大且受信任的垃圾郵件信譽資料庫,其前身為RBL(Real-time Block-hole List),RBL多年來一直被全球各地數以十萬計的郵件伺服器做為參考以辨別郵件來源是否有問題。趨勢科技自2005年收購後,加強發展其技術,更支援全球不同廠商繼續使用RBL(包含趨勢科技同類型產品的競爭廠商)。其資料庫分為下列兩種:
- 標準信譽資料庫(RBL+):
標準信譽資料庫通常是經由人工分析並且建立與維護的資料庫,IMSS/IMSA查詢標準信譽資料庫且確認為垃圾郵件來源時,IMSS/IMSA會在垃圾郵件資料開始傳輸前拒絕該連線,標準信譽資料中包含:- 有發送垃圾郵件前科的郵件伺服器
- 不該是郵件來源的IP位址:包含了ISP確認的動態IP以及殭屍電腦時常嘗試發送的郵件伺服器
- 動態信譽資料庫:
動態信譽資料庫採用啟發式、複合式演算法且作即時監控,每五分鐘更新一次且能立即查詢到更新後的資料。由於使用動態信譽資料庫查詢到的垃圾郵件來源是動態的,在IMSS/IMSA上建議設定為暫時的拒絕該連線,倘若來源為一般正常的郵件伺服器,將會在一段時間後重新寄發該郵件。動態信譽資料庫判別垃圾郵件與釣魚郵件的方式如下:- 主動監控網際網路流量模式
- 資料庫的判別依據為發送垃圾郵件的頻率與等級
- 當殭屍電腦及魁儡電腦開始發送垃圾郵件時,辨識其是否為新的垃圾郵件與釣魚郵
標準信譽資料庫與動態信譽資料庫的資料並不會重複且其為互補。
登入IMSS/IMSA 網頁主控台後,點選IP Filtering->Overview,可於選單中點選是否要啟動ERS。
點選IP Filtering->NRS勾選Enable可啟用ERS。並可於選單中選擇採用
- 預設的智慧型動作:
- 當郵件來源IP位址存在於標準信譽資料庫時,永久的拒絕連線(回覆SMTP錯誤碼550)
- 當郵件來源IP位置存在於動態信譽資料庫時,暫時的拒絕連線(回覆SMTP錯誤碼450)
- 客製化的動作:
拒絕連線並採用自行輸入之SMTP錯誤回覆碼或是SMTP錯誤字串
此外,除可在IMSS/IMSA產品設定頁面上設定ERS外,還可使用SPS AC Code(啟動碼)到https://securecloud.com/ 註冊一個企業專屬帳號。使用此企業專屬帳號登入ERS網站,除可檢視目前全球各大ISP發送垃圾郵件狀態外,並能在設定企業的單位名稱、網域名稱及郵件伺服器IP位址後,設定企業的專屬ERS政策。企業專屬ERS政策的設定可分為兩個部份:
- 黑白名單的設定:可依照國家、ISP及IP位址來做阻擋或是許可。
- Reputation Setting:設定ERS的阻擋的靈敏程度,假設現有的設定仍使企業郵件伺服器收到許多垃圾郵件,則可將靈敏度調高。若發現有些正常郵件被ERS阻擋,則可將ERS靈敏度調低。
這個ERS專屬網站也提供企業專屬的ERS報表,企業專屬ERS報表包含下列幾種:
- 使用標準電子郵件信譽評等與動態電子郵件信譽評等攔截垃圾郵件的比例
- 每小時標準/動態電子郵件信譽評等阻擋及許可的郵件數量
- 每天標準/動態電子郵件信譽評等阻擋及許可的郵件數量
- 阻擋發送垃圾郵件的來源殭屍電腦報表
第二關:IP Profiler遏止特定攻擊 自我設定拒絕往來 IP
IP Profiler(客製化IP評等機制)為手動設定規則監控所有的郵件來源IP位址的行為,當到達設定門檻值時隨即拒絕來自該IP位址之連線,這些規則需要IMSS/IMSA管理者自行設定。
- 防大量垃圾攻擊(SPAM)
點選IP Filtering->Rules->Spam,勾選Enable以啟動該規則。以下圖規則為例,設定該郵件伺服器在20個小時內寄達至少1000封郵件,且其中80%的郵件為垃圾郵件時,則IMSS/IMSA暫時的拒絕接收來自該郵件伺服器的信件(也可設定永遠拒絕)
- 防病毒(Virus)攻擊
點選IP Filtering->Rules->Virus,勾選Enable以啟動該規則。以下圖規則為例,設定該郵件伺服器在20個小時內寄達至少1000封郵件,且其中80%的郵件中內含病毒時,則IMSS/IMSA暫時的拒絕接收來自該郵件伺服器的信件(也可設定永遠拒絕)。
- 防帳號蒐集攻擊(DHA-Directory Harvest Attack)
帳號蒐集攻擊(DHA)為垃圾郵件散播者使用字典檔為收件者發送大量垃圾郵件,當IMSS/IMSA與企業之LDAP伺服器整合時,即可點選IP Filtering->Rules->DHA,勾選Enable以啟動該規則。以下圖規則為例,設定該郵件伺服器在20個小時內寄達至少1000封郵件,且80%郵件中的收件者超過100個,且所有的收件者皆為有效(查詢LDAP伺服器)。則IMSS/IMSA暫時的拒絕接收來自該郵件伺服器的信件(也可設定永遠拒絕)
- 防郵件退回攻擊(Bounced Mail)
郵件退回攻擊(Bounced Mail)為垃圾郵件散播者欲發送垃圾郵件至A企業。先將寄件地址偽裝成A企業使用者的郵件地址,使得A企業的使用者的郵件地址成了退信地址,再將郵件寄到B企業一個不存在的使用者信箱,如此一來,B 企業的郵件伺服器就會將郵件郵件退回寄到 A 企業中被假冒的郵件地址。可點選IP Filtering->Rules->BouncedMail,勾選Enable以啟動該規則。以下圖規則為例,設定該郵件伺服器在20個小時內寄達至少1000封郵件,且80%郵件中為退回郵件時。則IMSS/IMSA暫時的拒絕接收來自該郵件伺服器的信件(也可設定永遠拒絕)。
第三關:TMASE(複合式垃圾郵件防護引擎)支援各語文 把關最底線
TMASE(Trend Micro Anti-Spam Engine)為趨勢科技自行開發的複合式垃圾郵件偵測引擎,其採用啟發式偵測技術與特徵比對技術偵測郵件內容是否為垃圾郵件。TMASE除了可偵測英文語系垃圾郵件外,還支援繁體中文、簡體中文、日文、韓文、俄文、德文、法文、泰文及西班牙文。
當郵件經ERS與IP Profiler檢查接收後,TMASE採用下圖的流程來辨別其是否為垃圾郵件。
欲設定TMASE,點選Policy->Policy List->選擇新增Rule,在Step2:Select Scanning Conditions頁面中的Spam/Phish設定中,點選Spam Detection Setting,可先使用預設值Medium。後續若欲提高垃圾郵件偵測率,再選擇High,若覺得誤判率太高則可選擇Low。選擇完畢後點選最下方的Save回到Step2:Select Scanning Conditions頁面,勾選Spam/Phish設定中的Spam Detection Setting以及Phish,接著設定其他選項。
SPS垃圾郵件攔截率可達97% 發現3%漏網之魚請通報趨勢科技
趨勢科技Spam Prevent ion Solution是一套可以將垃圾郵件和釣魚攻擊阻絕於閘道端之外的高效能垃圾郵件防禦解決方案。整合三層式垃圾郵件及釣魚攻擊的防護功能,包括Email Reputation郵件信譽評等技術、IP Profiler(客製化IP評等技術)及複合式垃圾郵件防護引擎(TMASE)。它採用專門的智慧型啟發式技術,根據郵件的多項特徵來評量、辨識和監測現有與新型的垃圾郵件,可達到相當精確的垃圾郵件捕捉率,將垃圾郵件所造成的時間浪費和成本損失降至最低。
雖然目前Spam Prevention Solution的垃圾郵件攔截率可達97%,但仍會有些漏網之魚,且垃圾郵件的技術日新月異。倘若您的企業已經擁有SPS防護但仍接收到垃圾郵件或是發現正常郵件被SPS誤判為垃圾郵件,趨勢科技非常歡迎您將這些垃圾郵件另存新檔儲存為.msg或是.eml的檔案格式附加在郵件中傳送到趨勢科技提供給我們的內容安全研發團隊分析,讓SPS能夠做到更好。
未能攔截的垃圾郵件,請寄到spam@cs.trendmicro.com
未能偵測到的詐欺郵件,請寄到antifraud@cs.trendmicro.com
正常郵件遭受誤判為垃圾郵件,請寄到false@cs.trendmicro.com
