梭子鱼病毒及垃圾邮件防火墙解决方案

梭子鱼病毒及垃圾邮件防火墙

解决方案

梭子鱼中国

2013年12月26日

第一章梭子鱼公司简介 (3)

第二章前言 (4)

1、企业防治垃圾邮件的重要性 (4)

2、垃圾邮件对企业造成的危害 (4)

第二章垃圾邮件特征分析 (6)

1. 垃圾邮件定义 (6)

2. 垃圾邮件通常含有如下特征： (6)

3. 垃圾邮件的类型 (7)

4. 垃圾邮件成为跨国有组织转发垃圾邮件的犯罪行为 (8)

5. 垃圾邮件业者取得名单的来源 (8)

6. 传统的反垃圾邮件技术 (9)

7. 传统技术的缺陷 (10)

第三章客户现状及需求 (11)

1. 邮件平台概况 (11)

2. 需求描述 (11)

3. 需求应答 (11)

第四章梭子鱼解决方案 (13)

1. 单机部署方案 (13)

2. 双机冗余部署方案 (14)

3. 梭子鱼病毒及垃圾邮件防火墙简介 (14)

3.1 梭子鱼垃圾邮件过滤技术介绍 (15)

4. 梭子鱼垃圾邮件防火墙12层防护体系特点 (19)

5. 梭子鱼垃圾邮件防火墙架设与管理 (21)

6. 梭子鱼功能一览表 (25)

7. 梭子鱼垃圾邮件防火墙的主要特性 (27)

第五章企业应用梭子鱼垃圾邮件防火墙效益分析 (29)

1、梭子鱼垃圾邮件防火墙投资报酬率分析 (29)

计算结果 (29)

2、梭子鱼垃圾邮件防火墙使用效益： (30)

3、世界各地客户证言 (30)

第一章梭子鱼公司简介

梭子鱼网络成立于2003年，秉承“复杂IT简单化”理念，为全球各行业组织与机构提供：性能卓越，简单易用，高效稳定的安全与存储解决方案。全球超过150,000组织与机构选择信赖梭子鱼，梭子鱼网络致力在安全与存储领域为用户提供行业领先，高满意度，高价值，定制化的IT 解决方案。

持续保持邮件和Web安全产品领先优势的同时，梭子鱼网络还将为用户提供一系列全方位的IT解决方案，其包括：邮件，Web，应用优化，网络安全，远程访问，存储与备份，邮件归档等，为各行业组织与机构提供真正的端到端的安全防护，同时支持硬件，虚拟，云端以及各类混合的灵活部署模式。

安全领域系列产品：

- 梭子鱼病毒及垃圾邮件防火墙

- 梭子鱼邮件安全服务系统

- 梭子鱼Web安全网关

- 梭子鱼Web安全服务系统

- 梭子鱼Web应用防火墙

- 梭子鱼下一代防火墙

- 梭子鱼防火墙

- 梭子鱼负载均衡机

- 梭子鱼应用交付控制器（ADC）

- 梭子鱼SSL VPN

存储领域系列产品：

- 梭子鱼备份系统

- 梭子鱼邮件归档

- Yosemite备份软件

- Copy

梭子鱼网络为全球超过150,000家组织与机构提供安全防护，应用优化和数据存储，拥有超过1亿客户端。梭子鱼网络核心客户主要集中在中级市场，覆盖行业包括：教育，政府，零售，金融和医疗等。

第二章前言

1、企业防治垃圾邮件的重要性

在近几年的时间里，企业面临垃圾邮件的威胁成指数级增长，垃圾邮件占电子邮件总通讯量的达到60%以上，而这一数字在三年前仅为8%；与此同时，垃圾邮件的类型以及发送手段也愈加复杂化、多样化；电子邮件也一跃成为病毒的主要传播方式；这一系列的变化对企业网络构成了严重的威胁，这种威胁不仅仅是造成用户时间的损失，还包括系统资源的损耗，严重的还造成系统破坏。

因此，如何保护企业免受病毒邮件及垃圾邮件的侵袭，保证网络及企业信息安全成为每位网络或系统管理员的第一责任，也是企业信息化分管领导的重要职责所在。

2、垃圾邮件对企业造成的危害

垃圾邮件趋势（2012）

（1）垃圾邮件已占全球电子邮件的60%以上。在国际上每天有超过100多亿封垃圾邮件被发送出去，2012年全国有570亿封邮件流入了用户信箱，平均每人每天收到46.15封垃圾邮件。根据IDC的分析，到2013年，垃圾邮件数量将在2008年数量的基础上增加一倍。

（2）据Ferris Research研究报导指出，垃圾电子邮件每年让美国及欧洲企业分别损失高达89亿美元和25亿美元。(其中40亿美元是因员工删除垃圾邮件而造成工作效率的降低，平均删除1封垃圾邮件得花4.4秒钟。37亿美元的花费，是为了应对超大量的资料流量，企业因而添购带宽及性能更佳的服务器，其余的损失则是公司为降低员工因垃圾邮件产生的困扰，为员工提供的支持的费用。)

（3）除了上述金额的损失之外，垃圾邮件对企业的损害还可归类为：

◆消费者的信任——这是电子邮件使用者的第一大问题，由于垃圾邮件的泛滥，用户失去了对电

子邮件的信任；据调查约有29%的用户因此而减少了电子邮件的使用，对于企业而言，则可能造

成员工弃用企业邮箱，这不仅对企业以前网络投入的浪费，且有损企业形象。

◆降低工作效率—使用者会浪费无谓的时间阅读并处理这些无用的电子邮件。使用者工作效率降

低被认为是企业因垃圾邮件所导致的最大损失。

◆不当内容—垃圾邮件中可能包含攻击性文字，大多是人身攻击，此种邮件可能会伤害特定的个

人或群组。此外，还有相当数量的与色情、非法宗教、以及其他与国家法规相悖的信息，也将

对收件人造成不同程度的冲击。

◆浪费IT资源—进入网络的大量垃圾邮件，会影响企业的网络使用带宽。

◆对安全和隐私造成危害——例如邮件病毒、钓鱼诈骗邮件、身份盗窃邮件等。

第二章垃圾邮件特征分析

1.垃圾邮件定义

若从广泛来定义垃圾邮件，只要是收信者认为所收到的Email并非想阅读的内容，严重者甚至觉得信件内容或收信的频繁会让人嫌恶，都可称为垃圾邮件。若以信件内容及发送行为来定义垃圾邮件，泛指与内容无关，传送给多个收件者的邮件或粘贴物，且收件者并没有明确要求接受该邮件。也可以是传送给与邮件主题不相关的新闻组或者清单服务器的同一邮件的重复张贴物。国际上比较一致的看法，所谓垃圾邮件指未经用户许可，但却被强行塞入用户的电子邮件，垃圾邮件简称UCE（未经请求的商业广告邮件）或UBE（未经请求的大量寄送邮件），但是使用最广泛的则是SPAM，SPAM原为新泽西州的一种火腿罐头，后引申指无价值的东西。

2.垃圾邮件通常含有如下特征：

（1）具有群发软件特有特征的邮件；

（2）邮件包含多个相似的收件人地址，并按照一定顺序排序；

（3）伪造各种MUA发出的邮件；

（4）伪造了邮件路由的邮件；

（5）邮件内容包含敏感的关键字，比如“伟哥”等；

（6）邮件MD5特征值完全相同的多个邮件；

（7）邮件信头的各种特征，例如：To的用户名在标题起始处；

（8）发送的Multipart邮件中包含text/plain及text/html，其中text/plain包含伪造内容，而text/html 包含垃圾内容；

（9）邮件中使用混淆的URL，使用URL编码字符；

（10） HTML邮件的内容或注释中含有大量无意义字串；

（11）邮件信头没有To字段。

3.垃圾邮件的类型

----引自https://www.wendangku.net/doc/3b4749588.html,

根据梭子鱼网络分析，目前垃圾邮件类型居前五位的依次是医药类、成人色情类、误导或非法产品广告、金融类广告以及营销类广告。参见上图。

用户收到的垃圾邮件的语言构成

上图是国内用户收到的垃圾邮件语言构成，因此用户应选择支持多语言过滤能力的垃圾邮件。

4.垃圾邮件成为跨国有组织转发垃圾邮件的犯罪行为

单靠一个国家的力量或单纯依靠技术很难应对，因此企业必须主动采取相应手段，防御垃圾邮件的威胁。

5.垃圾邮件业者取得名单的来源

当您收到垃圾邮件的时候，常常发现寄信者根本不认识，那对方为何有您的邮件地址呢？如果是「病毒或蠕虫」，一定是通讯簿中有您Email的朋友不小心中毒，然后发送出来的；如果是「广告邮件」，一般他们都是通过下面几种途径获得大量的邮件地址（按照最常见的取得方式介绍）：

1、购买

Internet上有很多人在售卖大量的邮件地址，相信不少人都收过这种贩卖邮件地址的广告信件，只要数百元，您就有少则百万个以上的邮件地址。而且很多还附上发广告信的软件，该软件会以伪造的发信者来发信，让收信者无法追踪来源。广告商就利用这份邮件名单开始大量寄送广告信件，名单中的人就会常常收到广告了。

2、邮址自动收集程序

Internet是个四通八达的世界，有人编写了邮件地址自动收集程序，在Internet上到处跑，将邮件地址

收集传回。广告商不一定要会自己开发程序，因为某些网站上面就可以下载得到，或者通过贩卖邮址自动

收集程序的广告，向广告商购买而得。

3、人工收集

如果发广告信的人无法取得邮址名单或地址自动收集程序（不知道去哪买、不会自己写），最后一招就是土法炼钢，到Internet上到处逛，手动方式将看到的邮件地址抄下来，建立自己的邮寄名单。

4、利用邮件服务器漏洞

利用邮件服务器的漏洞，将信件寄给此服务器上邮件账号的拥有人。通常，一台邮件服务器支持最多数千账号（因为太多系统会吃不消；所以大公司可能有好几台邮件服务器），而且使用此方法要有相当专业的知识或刚好知道方法，否则不可能使用这种方法。

6.传统的反垃圾邮件技术

客户端过滤

普通用户通常利用一些常见的电子邮件客户端工具的分拣和过滤功能设定一些规则，把接收下来的电子邮件进行检查和匹配，对符合垃圾邮件特征(如来自某个发件地址，主题或正文包含特定关键字)的邮件执行自动删除操作。

客户端工具

上一种方法的缺点是电子邮件必须在下载到用户的计算机后才能进行识别和处理。这样，用户的网络资源还是会被垃圾邮件浪费掉了。加装某些客户端工具可以在一定程度上弥补这个缺点，其原理是利用邮件下载协议(POP3或IMAP4)的一些特定指令先下载邮件的头部信息进行垃圾邮件的判断和识别。

服务器端过滤

为了尽可能避免对用户网络资源的占用和浪费，有的服务供应商提供了WebMail服务，通过WebMail 可以让用户在服务器上设定一些垃圾邮件的识别和处理规则。这样，垃圾邮件就可以在用户提取前被剔除掉了，进一步节省用户下载邮件的时间。

防火墙

即便如此，垃圾邮件毕竟也已进入了服务供应商的系统，仍然会占用服务供应商的网络出口带宽、主机处理时间和磁盘存储资源。于是，有的服务供应商便利用防火墙来禁止部分被怀疑发送垃圾邮件的Internet主机向其发送邮件，把部分垃圾邮件完全堵塞在系统之外。

7.传统技术的缺陷

不难看出，上述的技术方案存在着这样的一些缺陷：

没有标准。目前中国的各个邮件服务商往往自己定义一些规则，你认为是垃圾邮件，他却不认为是垃圾邮件，严重干扰了正常邮件的发送。

维护困难。需要手工为每台客户机或服务器分别配置垃圾邮件判别和处理规则。

实时性差、准确性低。由于规则维护困难，所以规则更新周期很长，难以因应新出现的垃圾邮件进行适当调整。

缺乏日志、统计和反馈机制。对于所采取的动作没有详细的日志可供查阅，也不可以对已作操作进行roll back。对于各种防范手段的成效没有统计，对当前服务情况也没有实时的统计，难以优化。

效率低，配置大量的垃圾邮件判别和处理规则，将会严重损害电子邮件系统的性能。灵活性差，对垃圾邮件的判断依据和处理方法缺乏可调整的尺度，不能针对本性灵活多变的垃圾邮件做出最恰当的处理。

由于这些缺点的存在，现行的技术方案还远未能抑制垃圾邮件的泛滥，在一定程度上甚至还培养了大量垃圾邮件发送工具软件的成长，使得垃圾邮件的特征变得越来越模糊而难以判别。

第三章客户现状及需求

1.邮件平台概况

公司对外邮件系统使用Exchange 2010，目前全集团用户约2000人，在调研中确认的邮箱用户有274 人。同时在线用户数为50%。每用户平均每日发送3封邮件，接收7封邮件，邮件平均大小为0.8M。

2.需求描述

1、稳定性设计：提供能够保障硬件设备及相关软件稳定运行的设计方案。

2、高可用性设计：提供双机热备的高可用性设计，保证硬件设备服务的连续性。

3、安全性设计：提供安全有效的垃圾邮件过滤功能以及敏感信息邮件过滤功能设计。

4、可扩展性设计：提供硬件设备及相关软件未来的可扩展性设计，软硬件的升级设计。

5、可管理性设计：提供软硬件的可管理性设计方案，包括软硬件的日常管理，报表及日志信息的分析

设计方案。

3.需求应答

1、稳定性设计：提供能够保障硬件设备及相关软件稳定运行的设计方案。

答复：此次部署梭子鱼反垃圾邮件网关采用硬件网关部署，梭子鱼本身提供硬盘RAID冗余，进一步

提高了系统的可靠性。并且梭子鱼支持双机热备，在以后的规划中可以把反垃圾邮件网关配置成双机模式。

2、高可用性设计：提供双机热备的高可用性设计，保证硬件设备服务的连续性。

答复：可提供双机堆叠，双MX记录部署，当一台梭子鱼反垃圾邮件设备下线后，不影响客户邮件

收发，梭子鱼反垃圾邮件设备的平均无故障时间为10万小时以上。

3、安全性设计：提供安全有效的垃圾邮件过滤功能以及敏感信息邮件过滤功能设计。

答复：多层邮件安全机制提供最完善的保护，并且优化每封邮件的处理过程，以次使邮件的处理能

力达到最好的性能。在梭子鱼首创的行业领先的发件人特征识别技术和梭子鱼实时保护技术的后面，是

12层邮件扫描技术，他们是：防DOS攻击和安全保护、速率控制、IP地址信誉评价、发送者验证、接收

者认证、病毒检测、策略控制(用户特殊规则)、垃圾邮件指纹检测、实时意图分析、图象分析、贝叶斯

过滤分析、和基于规则的评分技术。

4、可扩展性设计：提供硬件设备及相关软件未来的可扩展性设计，软硬件的升级设计。

答复：梭子鱼提供系统版本的升级，规则库和病毒库提供每小时的实时升级。

5、可管理性设计：提供软硬件的可管理性设计方案，包括软硬件的日常管理，报表及日志信息的分析设计方案。

答复：完全支持。并支持发送邮件过滤。自动发送系统报告。向收邮件和发邮件发送NDRs消息解释被阻挡原因。在日志内可以查看，并搜索所有的邮件进行重发，自定义黑白名单等管理。

第四章梭子鱼解决方案

1. 单机部署方案

梭子鱼在**网络环境中的局部简单部署位置示意图：

部署描述：

1)梭子鱼安装在和邮件服务器相同的区域，连接在交换机上，与邮件服务器处于同一网段。

根据**公司的网址规划配置内部IP地址、掩码、网关及DNS的配置。

2)在梭子鱼上设置将过滤好的邮件转发到**公司的邮件服务器上。

3)根据**公司对邮件安全的具体要求优化反垃圾邮件策略。

包括：评分的设定、关键字的设定、黑白名单的设定、贝叶斯培训等。（注：以上设定均有默认值）。

通过上述几个步骤，只需要半小时整个邮件安全网关的系统便可架设完毕。所有来自互联网的邮件在进入**公司邮件服务器之前必须经过梭子鱼的严格检查。

故障回退：

由于是做防火墙的SMTP端口映射，所以在梭子鱼发生故障时可以把防火墙上的映射指向邮件服务器，该过程需要由人工完成。

2. 双机冗余部署方案

梭子鱼在**网络环境中的局部简单部署位置示意图：

考虑到单机部署方案中的单点故障，我们可以考虑部署两台梭子鱼做双机热备。

双机热备的优点：

(1) 提供冗余和高可用性，其中一台梭子鱼发生故障也不会影响垃圾邮件防火墙系统的正常工作。

(2) 提供双倍的性能。两台梭子鱼通过负载均衡的方式处理邮件。

3. 梭子鱼病毒及垃圾邮件防火墙简介

梭子鱼垃圾邮件防火墙提供强大、丰富的垃圾邮件及病毒防护功能，可防止邮件服务器不堪重负。采用基于WEB的管理控制界面，操作简便，界面友好。整合了十数项垃圾邮件过滤技术，设置了12层垃圾及病毒过滤层，可有效地抵御垃圾邮件及病毒袭击。该产品易于安装， 10分内即可顺利安装并运行产品，且无需安装软件也无需对现有系统进行修改。它具备自动的更新功能，极大地减轻了管理负担，同时也使得邮件服务器达到最大程度的保护。

3.1 梭子鱼垃圾邮件过滤技术介绍

梭子鱼垃圾邮件防火墙的十二层过滤架构优化了每封电子邮件的处理，使产品处理能力达到每天百万封以上邮件。相对于软件来说，梭子鱼垃圾邮件防火墙能够极大地减少病毒和垃圾邮件对邮件服务器带来的负荷。

除此之外，梭子鱼垃圾邮件防火墙还包括附件扫描，病毒过滤，比率控制等技术，保证接收邮件都是合法无毒的。

梭子鱼的12层过滤机制，其中5层是连接控制过滤（防攻击层、速率控制层、IP过滤层、发件人认证、收件人检查），7层邮件内容过滤（病毒检查、用户自定义规则、邮件指纹检查、邮件意图分析检查、图片识别、贝叶斯分析、基于规则评分）。

3.1.1连接控制过滤

梭子鱼（Barracuda）在连接控制将首先检查TCP/IP的合法性以防止DOS攻击或其它类型的非法连接，接着将对SMTP连接的频率进行统计，防止非法发送者大量的发送垃圾邮件；接着，通过多重RBL（Realtime Blackhole List）检查核实发件者IP地址是否合法。在同类产品中，只有梭子鱼提供多重的RBL检测，即梭子鱼公司RBL服务器、国际组织RBL服务器和用户自定义RBL服务器。梭子鱼还率先使用SPF/微软Call ID技术验证发件人的合法性。当然，管理员可以定义自己的IP黑名单，拒绝来自这些IP地址的连接；梭子鱼提供了IP攻击的报表，以方便管理员决策是否将这些IP列入黑名单。管理员还可以定义IP地址白名单，对来自这些IP地址的邮件不进行垃圾检查，但是仍然执行病毒扫描及附件的检查。

梭子鱼（Barracuda）在SMTP连接应用层进行五道检查，分别是发件人认证、发件人黑白名单、收件人核实、邮件协议与属性检查和邮件路由。

发件人认证包括两层含义，其一是转发控制，默认情况下，梭子鱼关闭（Open Relay），不会转发邮

件；其二如果需要梭子鱼发送邮件，梭子鱼将认证发件人的合法性。认证的方式包括指定转发IP，指定信任域、指定信任发件人，SMTP认证，LDAP认证。

发件人黑白名单针对邮件地址的黑白名单。例如：管理员可以把本公司重要客户的发信人地址列入到白名单，这些邮件将不会进行垃圾检查而快速的通过过滤网关到达用户的邮箱。梭子鱼（Barracuda）还具有几项独特的功能，如发件人欺骗保护，这项功能阻止垃圾邮件仿冒用户的邮件域给用户发信。再如，收件人黑白名单功能，如公司内部使用的一些邮件群不需要接收外部邮件，此时可以将之加入收件人黑名单中，拒绝外部垃圾邮件的骚扰。

邮件协议与属性控制连接是否符合邮件协议，检查邮件的大小、每SMTP连接的邮件数、连接的时长等信息，避免不合法、长时间占用系统资源或大范围的群发和垃圾邮件攻击。

梭子鱼（Barracuda）支持通过SMTP或LDAP方式对收件人的地址进行核实，避免垃圾邮件者对服务器发动字典攻击、DHA攻击，避免邮件服务器接收不存在的收件人邮件，从而减少了数据流，减轻了邮件服务器的负担。

邮件路由包括基于邮件域的路由、基于主机地址的路由、流量控制与延时投递，共同保证正常邮件从网关有控制、有保障的转发到后台邮件服务器。在邮件服务器发生故障时，梭子鱼（Barracuda）将保留邮件48小时（默认时间），从而保证邮件服务器发生故障时用户的重要信息不会丢失。

3.1.2内容过滤

内容过滤是梭子鱼（Barracuda）产品的核心竞争力，梭子鱼通过邮件指纹技术、意图分析技术、图片分析技术、贝叶斯过滤技术、基于规则的评分系统等拦截垃圾邮件，并独创双层病毒扫描引擎对邮件病毒进行高效的扫描。梭子鱼还对附件进行垃圾和病毒扫描。

邮件指纹技术

垃圾邮件发送的商业模型是大规模的发出同样的邮件，通常几天或者几周内甚至几个月内发送数以百万计的邮件，这些邮件虽然可能在细微处有所变化，但是通过特定的算法，却可以将这些邮件的共同特征提取出来。为此，博威特公司设置了大量“蜜罐”，或者说诱骗邮件地址，是用于收集大量的垃圾邮件。再依靠特定的算法，将这些邮件的共同特征――邮件指纹提取出来，形成邮件指纹库。梭子鱼收到邮件后，发送相关的信息到远程的邮件指纹数据库中进行核对，从而迅速的确认这封邮件是否是垃圾邮件。

这种指纹分析的方法和当前反病毒体系中病毒特征码的原理是一样的。在面对一些最新出现的或罕见的

垃圾邮件时，它没有多大效用。但是对于那些大量发送的相同的垃圾邮件，这种方法却具有最高的效率。而且这种方法几乎不会产生误判。梭子鱼（Barracuda）每天更新数百个邮件指纹信息。

意图分析技术

垃圾邮件技术如今变得愈加复杂，许多垃圾邮件变得与正常的邮件几乎一样，在这些邮件中含有URL 链接，这个链接往往指向一些不健康的网站，或某个商品促销的网站。梭子鱼为此创建了意图分析技术，构建了全球最大、含盖了全球十几个语种的垃圾邮件URLS地址数据库。它检查邮件中的URL链接，确定邮件是否为垃圾邮件。

这类垃圾邮件，采用其它的过

滤技术基本上是无法过滤的。

只有梭子鱼的意图分析才是其

“特效药”

该数据库中的不良网址数量已经超过20万，并且每天增加或更新数百个。

图象识别技术（OCR）及PDF识别技术

2006年下半年以来，图象类垃圾邮件的数量越来越多，如下图，梭子鱼采用了OCR技术对图片中的文字进行识别，在依据图片规则进行评分。对于特别复杂的图片，梭子鱼还能将之做成邮件指纹予以判断。2007年来，PDF类型的垃圾邮件又迅速增加，梭子鱼有开发了PDF识别技术，对PDF文件内容进行垃圾邮件评分。

贝叶斯过滤技术

贝叶斯分析：命名于著名数学家托马斯?贝叶斯（1702-1761)，他发展了一个数学领域全新的可能性推论理论。贝叶斯分析采用过去事件的知识预测未来事件。

应用到反垃圾邮件领域，贝叶斯过滤与以前收到的垃圾邮件与合法邮件中相同词语与短语出现的频率对比此邮件中有问题的词语与短语来确定垃圾邮件的可能性。他能自动适应垃圾邮件变化。是一种动态的智能过滤技术。

贝叶斯过滤器是非常强大的，也是阻断垃圾邮件最为精确的技术。大多数报告显示，当贝叶斯过滤器被“有效培训”以后，过滤器过滤垃圾邮件的准确率达到99%。为了培训贝叶斯过滤器，需要该收件人大约200封有效邮件及200封垃圾邮件。在目标收件人中有越多的历史数据库，过滤器越准确。参见Paul Graham 先生著作的“优化贝叶斯过滤器” https://www.wendangku.net/doc/3b4749588.html,/better.html。

梭子鱼的贝叶斯过滤技术领先于其它产品，它采用了全新的分词技术，同时支持单字节和双字节语种，需要学习的样本数量更少。贝叶斯能保正系统始终具有较高的过滤率，其它的过滤技术是一种静态的技术，依赖于规则库或特征库的更新。而贝叶斯是智能的技术，他能自动学习新的垃圾邮件，调整自己的字词频度表，使得系统始终维持较高的过滤水准。

采用了分用户贝叶斯后，使得不同邮件用户个性化的需求得以真正的实现。一般反垃圾邮件分用户个性化设置仅限于个人黑白名单。无法满足不同用户对邮件的不同偏好，然而用户通过调整培训自己的分用户贝叶斯数据库，就可以简单地实现这一功能。

基于规则的评分系统

垃圾邮件制造者清楚反垃圾邮件的原理，因此也越来越狡猾，其中常用的一种办法经常将一些单词拼错，“Viagra”可能被有意地拼写为“V1agra”或者任何一种可能的变体，这样普通的词语过滤器就无法识别。

基于规则的评分系统也被称为人工智能（AI）系统，博威特网络基于海量邮件的分析，定义了近6000条垃圾邮件规则，每一条规则对应一定的评分，一封邮件与规则库进行比较，每符合一条规则加上该规则评分，获得的分数越高，该邮件是垃圾邮件的可能性就越高。如果一封邮件超过一定得分门槛（阈值），该邮件将被分类为垃圾邮件。

在这些规则中，可以用来识别变化的词语或短语，例如垃圾邮件引擎侦测到变化型文字，垃圾邮件引擎会自动回复到原先字词，例如V.I.A.G.R.A回复为VIAGRA。

这些规则不仅包括语义分析，还包括对垃圾邮件发送工具的检测、对邮件中含有图片形态和比重的检测，对于HTML格式的各种特征的规则等。通过对一封邮件所有相关的信息都进行相关的智能分析，最终能够准确的判定一封邮件。

由于垃圾邮件发送人及制造垃圾邮件的程序不是静态的，因此博威特持续追踪互联网上的垃圾邮件的变化，及时更新规则库。采用这项技术，可以清除90%的收到邮件中的垃圾邮件。梭子鱼还专门定义了中文简体、繁体、日语等规则分库，以适应双字节邮件的过滤。

梭子鱼（Barracuda）还提供了丰富强大的自定义过滤策略：用户可以对邮件信头、主题、信体设立阻断、隔离、标记、关键字白名单等不同类型的关键字。在所有检查都进行完毕之后，根据用户设立的评分策略，对邮件进行允许、标记、隔离、阻断等操作。梭子鱼（Barracuda）支持完全的正则表达式，为了方便用户使用，梭子鱼公司提供了不同语种的关键字模版。

4.梭子鱼垃圾邮件防火墙12层防护体系特点

每一封进入梭子鱼的邮件，都要经过多达十二层的反垃圾过滤，只有通过了全部十二层过滤，才会由梭子鱼转发给邮件服务器，从而保障了邮件服务器不受垃圾邮件侵扰，这十层过滤依次是：1）拒绝服务攻击及安全防护层：可有效地阻止针对邮件服务器的DoS或DDoS攻击。

2）速率控制：该层检查每个IP的连接频率，如超过用户定义值，则阻止其连接，直至符合规定。该层还可限定每连接邮件数、每连接时长等。保护邮件服务器免受海量邮件攻击。

3） IP过滤层：该层对邮件的IP来源进行分析，阻止不良IP来源的邮件。包括梭子鱼实时黑白名单库分析，国际国内公共RBLs分析，用户自定义的IP黑白名单分析。该层可过滤超过30%的垃圾邮件，在某

些地区甚至可阻断90%以上的垃圾邮件。

4）发送者验证：该层对发件人的合法性进行分析，阻止不良或虚假的发件人。包括：发件人域名合法性检测，真假性检测，是否伪造成别人的域在发邮件，是否可以通过SMTP认证等。

5）收件人验证：该层对收件人的合法性进行分析，拒绝不存在的收件人邮件。包括：是否属于转发判断，通过SMTP或LDAP方式查询收件人是否存在。通过上述检测，有效防止字典攻击，目录攻击。

6）双层病毒防护：采用open resource的clamd防毒引擎以及梭子鱼公司原创的防毒引擎，进行严格的双层交互病毒防护。不断可以防止各种病毒，还能够识别网络钓鱼邮件及部分间谍软件。该层也对压缩文件进行病毒检查。

7）用户自定义规则：用户自定义的各种规则的检查，如关键字检查、附件类型等。

8）垃圾邮件指纹检查：该层依托梭子鱼庞大的邮件指纹库进行核查。梭子鱼垃圾邮件的样本来源有，1、博威特公司在全球设置的大量蜜罐。这是指纹样本的主要来源。2、全球数万台梭子鱼分类出的垃圾邮件。3、某些型号的梭子鱼用户个人发送的垃圾邮件样本。

9）意图分析：该层依托博威特公司建立的bsf数据库对邮件中的URL地址进行检查。梭子鱼时最早采用意图分析技术的产品。博威特公司每天更新数百个URL地址。

10）图片分析：从2006年6月起，图片垃圾邮件占垃圾邮件的比例已经超过1/4。传统的过滤技术无法对图片进行识别过滤。博威特公司一直关注和监控互联网垃圾邮件的最新变化和趋势。最早发布的图片垃圾邮件预报和预警。又最早提出了图片垃圾邮件的解决方案。即以第三代OCR技术为主，以邮件指纹技术为辅的方法对图片进行识别。

11）贝叶斯分析：贝叶斯分析是最经典的反垃圾邮件技术之一，它对邮件的可能性进行推理分析。贝叶斯技术使得梭子鱼能够根据不同用户的垃圾邮件及正常邮件特点，有针对性的进行判断。提高过滤精度，减少误判，贝叶斯技术使梭子鱼更加“聪明”。

12）垃圾邮件值评分：根据规则对邮件进行评分，并整合垃圾邮件指纹检查、贝叶斯分析给出的评分，给出邮件的最终得分。

这十二层过滤经过了精心的安排，其检测过程符合四条法则：

垃圾邮件终止法则：若某一层过滤判定该邮件不合法或为垃圾，则立即阻断该邮件，结束进程，后面的各层检查不再进行。

按序检查法则：一个完整的smtp邮件发送从helo命令开始，因此梭子鱼从该进程的第一条命令开始依次进行检查。如发现为垃圾，其余数据将不再接收。