文/高雅欣|2005-11-23發表

一般企業發送企業或行銷電子報的情況越來越多,因為發送電子報經檢舉而被列入黑名單的情形常常發生,再加上今年大規模的傀儡程式或網址轉嫁攻擊時有所聞,一旦企業有短時間大量發送電子報或垃圾信的紀錄,發信伺服器IP就會被列為RBL黑名單(Realtime Block List,RBL)。

有些企業可以說是背負著RBL原罪,像是提供免費電子郵件的服務商,以及必須透過發送大量電子報的電子商務網站或行銷公司。未來這些公司的發信行為必須更加精確且小心,事先取得消費者的諒解,不然將難逃持續被鎖定為黑名單的命運。

不應只以黑名單作為垃圾信件判定依據

網護科技工程部經理蕭朝文表示,光以黑名單作為垃圾郵件判斷很危險,因為郵件很容易偽造,像yahoo.com.tw或pchome.com.tw這類擁有大量用戶基礎的免費郵件服務,光是檢查信頭或地址很難判斷是不是垃圾郵件,需要進一步透過垃圾郵件行為模式判斷。

像是之前中正大學發表的Nopam過濾技術,或是透過個人用戶的回報,經過「全民公投」後,認定哪些是垃圾郵件哪些不是,以減低垃圾性的誤攔率,如果企業只根據RBL資料庫攔阻黑名單上的所有信件來源,誤攔合法信件的機率會很高。

ISP應該作為RBL第一道警覺機制

也因為大部分郵件伺服器軟體都具有RBL功能,被列入黑名單的企業,寄送信件和SMTP連線都可能被視為發送垃圾信,將導致什麼信都送不出去,郵件系統等於停擺。

網擎產品經理江巧軍指出,ISP應該作為RBL的第一道警覺機制,能夠最先發現哪些IP有瞬間鉅量發送信件的行為,率先做出抵擋的動作,避免讓大量垃圾郵件送出。嚴謹的RBL服務也不會隨便鎖定只在短時間發送大量郵件的發信伺服器IP,應該是出現很多次類似行為後,才將其列入黑名單。

中毒後成為大量發信的傀儡,也可能被列入黑名單

今年出現大量的傀儡程式攻擊,垃圾郵件業者為了隱藏真實身分,多藉由病蠕蟲、木馬或惡意程式操縱企業的郵件伺服器,企業往往在不知情的情況下發出大量垃圾信,而且常常是在信件送不出去,發現自己被舉發列為黑名單之後,才發現自己曾經遭受入侵攻擊。

所以企業必須要注意自己有沒有異常收發信件的動作,尤其是主機中毒之後,特別注意是否有自動散布大量信件的情形。現在的過濾機制也多加上限制郵件發送量的功能,像是一次只能發送多少封信,要信件「依序排隊」。

知己知彼,定期蒐集與檢查各個RBL資料庫

首先網管人員必須做好最幾個重要的基本工作,一定要安裝防火牆阻隔,防止外寄伺服器服務被利用,那就是關閉Open Relay和 Open Proxy 的功能,不允許Open Relay和Open Proxy,如果真的被駭客入侵,也比較不容易淪為發信工具。

企業如果不幸被列入黑名單,除了先換一個郵件伺服器IP,或是透過其他管道代發信件,開始檢查自己名列多少黑名單資料庫,或是被哪些ISP封鎖,開始與這些資料庫或大型ISP交涉,提出解除禁令的申請之前,必須改善本身在郵件管理上的疏失,解決被列入黑名單的癥結,對方在測試檢查後,就會解除封鎖禁令。

企業採用RBL資料庫這類服務,最好多同時找幾個付費或免費的不同資料庫,透過交叉比對的方式,只將出現機率比較高的IP列入黑名單,以降低誤判的機率。

在發信伺服器前端加入侵偵測/入侵防禦等功能,提早發現病毒入侵與異常的攻擊,以降低淪為發信工具的機會。很多廠商在「一朝被蛇咬」後,便會養成定期蒐集與檢查各個RBL資料庫的習慣。同時將平常的狀況如實記錄下來,不時比對檢查郵件是否異常,如果真有異常情況發生也能及時發覺、早期處理。文⊙高雅欣

RBL黑名單如何設定?

●不要隨便引用或開啟RBL功能,容易誤擋信件
●可以多參考幾個RBL服務,交叉比對確認後再正式列為黑名單
●養成定期蒐集與檢查各個RBL資料庫的習慣
●加強發信主機的安全防護,避免成為發信傀儡

ISP業者持續研擬垃圾郵件對策

多年來美國的網路服務業者積極參與垃圾郵件的防制,包括AOL、微軟、Sendmail、Yahoo!等廠商都積極制定發信來源認證標準。網路詐騙和傀儡程式攻擊的猖獗,讓「無辜的」垃圾發信者越來越多,反垃圾郵件組織也希望ISP改變現行的電子郵件發送方式,希望藉由發收發信兩端的身分認證,辨別收發信來源,正確掌握哪些是假冒信或垃圾信,但因為無人能扮演「一統江湖」的角色,建立讓所有人認同的單一標準,所以現階段垃圾郵件防制仍然停留在防堵與過濾階段。

「濫發商業電子郵件管理條例草案」還在立法院等候表決,今年臺灣也出現不少垃圾郵件防禦應該從網路服務供應商(ISP)開始的聲音,再加上日前消費者控告HiNet付費信箱垃圾信件太多的事件,引起大家對網路服務商的疑慮,究竟他們為客戶做了什麼垃圾郵件把關。中華電信趕緊對外說明接下來在垃圾郵件防制上的投資與建置,對評估已久的賽門鐵克Birtghtmail產品也開始積極起來,希望建置一道更完善的防護機制,將防堵率提升到90%以上。

臺灣固網行銷處副理沈志峰不諱言的表示,因為網路加值這塊市場對於固網業者來說還算新,客戶較少的情況下,這部分的資安投資也相當有限。資訊人員對垃圾郵件的專業知識也不夠,不但成為垃圾信攻擊的箭靶,也成為垃圾信轉發的基地。

今年年中被雅虎奇摩列為黑名單後,臺固開始接到客戶收不到雅虎奇摩信的客訴報怨,的確影響到企業客戶的權益。沈志峰今年7月正式接掌郵件代管服務後,也開始制定內部的郵件政策,並新增很多人力建立「人工撈取」機制,新增LDAP獨立備援機制後,才讓雅虎奇摩在不到10天的時間解除黑名單榜名。這時ISP與用戶相互合作也相互牽制,將用戶檢舉的發信者列入黑名單,如果被警告多次仍未改善,將會受到停信處置,還要付違約金。

沈志峰覺得郵件代管服務的確很難做,收不到、收太多、收到不該收的都會受到客戶抱怨。服務業者很難拿捏過濾的界限,儘管所謂的商業電子報被視為垃圾信件,有沒有收到這類信件卻都可能受到用戶抱怨。文⊙高雅欣

相關文章:
企業防護架構,決定垃圾郵件命運

建置過濾機制前,企業應確立一套垃圾郵件政策

企業該不該開放個人黑白名單,見仁見智

郵件特徵更新速度,決定垃圾郵件學習時間差

企業防護架構,決定垃圾郵件命運-案例篇

熱門新聞

Advertisement