SMB - Anti-Spam
0x1 Spam定义
国内没有特别明确的垃圾邮件定义和相关法律条文,因此同其他网络术语一样需要参考国外的定义。垃圾邮件的英文为Spam或者Junk mail,通常分为包括UCE、UBE等几大类,之前还会明确包括URE和UPE,不过目前已从各大组织的定义中删除,这里主要介绍前两者。UCE(Unsolicited Commercial Mail)和UBE(Unsolicited Bunk Mail)都采用了Unsolicited这个单词,指“未经要求自动发出的”,在邮件环境中理解为“未经收件人主动订阅或浪费收件人时间的”,简单理解就是未经收件人主动订阅的、与收件人非直接相关的、或批量发送的商业邮件。
0x2 Anti-spam法规
邮件诞生于“网络平等可信”的那个年代,在其产生之初并没有足够的安全和垃圾信息防护的技术理论和实现。随着互联网的发展邮件服务受众越来越多,在20世纪90年代垃圾邮件出现了,Spammer(指垃圾邮件制造者)通过向互联网采集/购买到邮件地址发送大量(十万,甚至百万以上数量级)各类内容的垃圾邮件,来获取少量中招用户的经济或其他利益。Spammer收集邮件地址的行为逐渐催生来一类黑产,就是售卖可信收件人地址的交易,和传统通过工具在互联网漫无目的的搜索网页爬取邮件地址方式不同,这类黑产以黑客入侵服务系统、企业内部人员泄露、业务中介泄露、行业会议采集等等行为以更能够获取到真实有效的邮件地址数据,因此对于Spammer来讲是有足够的诱惑力的,有诱惑就产生了价值,进而有了市场交易。Spammer向收件人列表发出邮件中,虽然只有极少量的收件人查看、回复或产生购买等行为,但相比于发送邮件的低到可以忽略不计的成本收益还是相对巨大的。欧美国家在20世纪90年代逐渐发布了垃圾邮件相关法律,比如美国的CAN-SPAN ACT等,我国没有针对垃圾邮件的专门法律法规,个人理解相关的应该是网络安全法或者信息安全法规。
0x3 Spam分类
垃圾邮件跟进信息来源和类型大致可以分为几大类:商业广告类、欺诈类、钓鱼类、病毒类等。商业广告类邮件数量随着Anti-spam技术发展近些年已逐渐大幅降低,这类垃圾邮件以来自可信发信人(可追踪、可验证、真实存在的)的商业信息推广为主,例如网站推广、企业推广、EDM(不要以为EDM就不是垃圾邮件,呵呵)等;欺诈类邮件可以以十余年前的遗产诈骗类邮件为代表,收件人收到一封来自国外的E文邮件,发件人声称有一笔数额巨大的遗产因受限于法律等因素无法领取,希望以收件人的身份共同接收这笔巨额遗产,惊喜吧?真实情况是这只是在网络上诈骗手续费的早期模型;钓鱼类邮件相对来说具有较高的技术含量,发件人伪装成银行或商业机构,以邮件方式向收件人推送价格极具诱惑性的产品广告,诱使有户在线支付或订阅服务,通常会使用同银行或商业机构相近的域名或雷同的页面设计,且为了提高可信度邮件中的链接都是可以直接验证的,其目标客户就是那些能够使用网络但又没有足够防范意识的用户;病毒类邮件是通过邮件正文或附件中脚本或病毒文件在用户打开或执行附件的过程中感染用户本地文件系统,完成病毒传播工作,并在后续执行既定或按需任务,以实现利益最大化。可见,垃圾邮件这几大类型,从商业广告类到病毒类,随着技术含量的增加给收件人带来的风险也越来越大,从低成本的时间浪费,一直到成本不可控的金钱和个人信息损失。
0x4 Why Anti-Spam
垃圾邮件对社会、企业、家庭、个人等各类主体都存在非常高的风险,即包括商业推广类垃圾邮件带来的时间、存储空间浪费,也包括欺诈类、钓鱼类垃圾邮件带来的财务风险(如身份信息泄露、银行卡信息泄露等),还包括如CAN-SPANACT关注的可能给未成年人带来的风险等。
0x5 SMB Anti-Spam
国内Anti-spam工作从管理角度大致可分为两方面,一是国家层面采用简单粗暴的网络管理方法,企业可采购的网络接入、服务托管、云主机等服务默认全部禁用TCP PORT 25,使得在国内自行架设邮件服务器的流程极其复杂,同时采用合法租赁的网络发送垃圾邮件无异于自投罗网,由此很大程度上降低了Spammer的生存空间;二是行业内没有可信的RBL也无法提供RBL解除等服务,各大运营商如腾讯、网易等可能有自己的RBL但不向公众开放,导致自建邮件服务的企业在IP地址被列入RBL后,除了申诉很难有其他途径处理,而向国外RBL(如Spamhaus等)部分商业列表申诉则要求申诉方必须是IP地址所有者,在国内企业用户只能是IP地址租用/使用者,且大部分企业对商业信息安全和保密等要求不高,因此企业自建并运维邮件服务的意愿较低。综上,对于购买邮件服务的企业来说,所有Anti-spam功能全部依赖于服务商,受限于国情和企业需求情况,国内并没有产生诸如Barracuda等Anti-spam方案的厂商。
