記者/洪于婕
垃圾郵件氾濫,為了躲避垃圾郵件防堵機制的過濾、矇騙使用者開啟,資安公司指出,有越來越多垃圾郵件會採取「附加檔案」或「電子賀卡」的型式來散播,呼籲網友要仔細分辨。
賽門鐵克日前發表八月號垃圾郵件報告,指出今(2007)年一月發展達到巔峰的圖像式垃圾郵件,因為防禦技術成功攔截了大部分圖像式垃圾郵件,使得其占所有垃圾郵件的比例已由當時的52%大幅下降至七月的8%,但在七月起被發現且快速竄起的Excel、Word、PDF等商業郵件常會用的檔案做為掩護的附加式垃圾郵件或電子賀卡式垃圾郵件,則來勢洶洶,有取代圖像式垃圾郵件的可能。
而大陸專業電子郵件服務提供商21CN 在第一時間就對PDF垃圾郵件進行深入研究,並得出PDF附件名模式匹配分析和虛假路由分析兩項獨特的過濾技術,使PDF垃圾郵件不再成為「漏網之魚」。
21CN發現:PDF附件的文件名都有規律可循──通常是從某個財經類詞庫隨機選擇1-2個詞,再加入一個隨機干擾字符之後產生。於是21CN通過PDF附件名模式匹配技術,即分析產生PDF附件文件名的基本詞和干擾資訊對其進行過濾。另一方面,PDF附件垃圾一般由殭屍機直接連接收件人的接收(MX)郵件伺服器發送,不像普通的郵件需要通過發件人的伺服器認証後中轉,因此需要偽造收件時間、郵件來源、接收伺服器名稱等資訊,即偽造Received信頭。21CN則採取虛假路由分析方法識別這些偽造的信頭。
據了解,除了以上兩種方法,21CN還會採取分析一個IP的發送行為是否屬於正常概率等方法,對PDF垃圾郵件進行綜合防禦。