繼上海機(jī)場集團(tuán)、寧波黎社國際機(jī)場之后，近日，杭州某國際機(jī)場亦選用梭子魚反垃圾及病毒郵件防火墻對垃圾郵件進(jìn)行過濾。至此，一年之內(nèi)，華東地區(qū)三大機(jī)場（集團(tuán)）均選用或改用梭子魚保護(hù)郵件安全；在全國范圍內(nèi)，則半數(shù)以上的機(jī)場（集團(tuán)）都是用梭子魚保護(hù)電子郵件安全。

上海機(jī)場系“一市兩場”空港格局，管理浦東國際機(jī)場和虹橋國際機(jī)場兩大機(jī)場，2010年旅客總吞吐量超過7000萬人次，僅次于首都國際機(jī)場。上海機(jī)場此前使用其他廠商的郵件網(wǎng)關(guān)，后來因為該公司被收購，技術(shù)人員流失，導(dǎo)致技術(shù)服務(wù)難以持續(xù)。梭子魚則專注于郵件安全領(lǐng)域，持續(xù)的更新各種垃圾郵件規(guī)則庫，為用戶提供穩(wěn)定的技術(shù)服務(wù)，過濾效果出眾，且在華東及全國擁有龐大的用戶群，處于市場領(lǐng)先地位，因而獲得上海機(jī)場集團(tuán)的青睞。

2011年，垃圾郵件界流行“盜號發(fā)送”：垃圾郵件發(fā)送者通過破解用戶弱密碼取得用戶的合法身份后大量外發(fā)垃圾郵件，致使企業(yè)IP地址被列入黑名單影響正常郵件發(fā)送。調(diào)查發(fā)現(xiàn)，目前有不少企業(yè)的郵箱用戶其郵箱密碼為弱密碼，表現(xiàn)為幾種形式：

1.郵箱密碼為簡單數(shù)字組合：如123456,123123、11111、8888等

2.郵箱密碼為簡單的英文單詞、字母和數(shù)字組合（如：password、iloveyou、qwerty、abc123等）；

3.郵箱密碼與用戶名相同，或者采用用戶名與簡單的數(shù)字組合作為郵箱密碼（如：username1、username2、username123、username111等）；

這樣使用黑客能輕易的破解這些弱密碼，然后利用合法身份大量外發(fā)垃圾郵件，即盜號發(fā)送，其危害如下。

1.濫發(fā)垃圾郵件，導(dǎo)致企業(yè)郵件系統(tǒng)IP地址甚至域名被列入垃圾郵件黑名單中，正常郵件外發(fā)大量被拒。發(fā)送垃圾郵件、竊取個人郵箱的相關(guān)資料、郵件內(nèi)容泄露等。

2.郵件系統(tǒng)及個人信箱產(chǎn)生大量退信，造成隊列積壓，導(dǎo)致服務(wù)器負(fù)載增加或隊列服務(wù)停止甚至死機(jī)。

3.黑客利用弱密碼竊取個人郵箱的相關(guān)資料，造成郵件內(nèi)容泄漏以及其他的黑客行為。

盜號發(fā)送的周期性

垃圾郵件發(fā)送者取得了合法的身份，開始大量發(fā)送垃圾郵件。初期，垃圾郵件發(fā)送成功率比較高；一段時間后，企業(yè)的郵件服務(wù)器的IP因為大量發(fā)送垃圾郵件被列入RBL中，很多正常發(fā)送的郵件也被阻止，企業(yè)正常的郵件發(fā)送收到嚴(yán)重干擾，企業(yè)郵件服務(wù)器管理員不得不忙于向各種RBL阻止申訴，同時忙于逐一通知內(nèi)部用戶修改其弱密碼。此時，垃圾郵件發(fā)送者發(fā)現(xiàn)發(fā)送成功率降低之后，他們會向蝗蟲一樣，轉(zhuǎn)場到其他擁有弱密碼用戶的企業(yè)，繼續(xù)其貪婪的垃圾郵件發(fā)送行為。

盜號發(fā)送的防御

此種垃圾郵件發(fā)送方式，因其取得合法身份，傳統(tǒng)的垃圾郵件行為過濾技術(shù)幾乎無能為力。解決方法有：

強(qiáng)制強(qiáng)密碼：要求用戶必須是強(qiáng)密碼且定期修改

避免SMTP直接面向Internet。更改部署模式，不允許內(nèi)部用戶在外網(wǎng)直接使用SMTP方式發(fā)送郵件，如采用outlook、foxmail等。

然而，現(xiàn)實中這些方法可能影響到用戶使用郵件的習(xí)慣，可能需要全員動員才能執(zhí)行，因而實施難度較大。此時則可以利用梭子魚多層外發(fā)過濾技術(shù)予以防治：

1.多層郵件外發(fā)內(nèi)容過濾技術(shù)。

梭子魚綜合采用外發(fā)關(guān)鍵字過濾、意圖分析、郵件指紋、貝葉斯過濾及垃圾郵件評分技術(shù)，對外發(fā)郵件進(jìn)行全面的內(nèi)容評估，可將絕大部分此類垃圾郵件都過濾掉，使得這種盜號發(fā)送行為難以奏效。

2.外發(fā)速率控制技術(shù)

梭子魚可限制某個發(fā)件人外發(fā)郵件的速率，單位時間內(nèi)，如果某用戶外發(fā)郵件超過一定數(shù)量，梭子魚就予以阻止，而無需進(jìn)行進(jìn)一步的內(nèi)容分析。這樣，當(dāng)有海量的盜號發(fā)送行為時，梭子魚能***限度的予以抑制。

3.統(tǒng)計報表預(yù)警弱密碼

梭子魚4.0以上版本新增了外發(fā)郵件數(shù)量及流量排行榜。通常，企業(yè)中郵件用戶收件量與發(fā)件量具有一定的規(guī)律性，即某些人外發(fā)郵件量總是很大，其他人則通常不會很大。梭子魚按發(fā)件人統(tǒng)計外發(fā)郵件數(shù)量，并將該報表以日、周、月等形式自動發(fā)送到管理員的郵箱中，管理員觀察這些統(tǒng)計清單，能輕易的將那些平時外發(fā)郵件量很小卻突然進(jìn)入外發(fā)郵件top榜的用戶檢出，結(jié)合日志查詢，就能判定該用戶郵箱密碼被盜用。從而及時通知相關(guān)人員修改密碼。

雖然通過檢索郵件系統(tǒng)，也能找出那些用戶郵件量異常，當(dāng)相對梭子魚直觀的報表方式，在郵件系統(tǒng)中進(jìn)行檢索無疑太費力了。

上述用戶中，在2011年都曾經(jīng)面臨或發(fā)生過這種盜號發(fā)送行為，采用梭子魚病毒及垃圾郵件防火墻產(chǎn)品，在不改變用戶原有郵件系統(tǒng)使用習(xí)慣的基礎(chǔ)上，悄然解決了這一難題。