[发明专利]一种智能反垃圾反病毒网关及其过滤方法

说明书

技术领域

本发明属于互联网应用服务领域，尤指提供邮件的传递收发与过滤服务。

背景技术

随着互联网的发展，电子邮件已成为人们进行日常联系和文件传输的一种重要方式，但是现在的电子邮箱大都是开放式的，即任何人都可向该邮箱发送邮件，这就给一些广告邮件、垃圾邮件及病毒创造了机会。目前电子邮件受到时的攻击主要有下面四种：

邮件病毒攻击-病毒寄生于电子邮件快速传播，造成邮件服务器不堪重负而宕机。如今年8月的″冲击波″病毒攻击，造成全球大范围的邮件服务器宕机，上百万的计算机感染病毒；

用户名单探测-电子邮件地址列表往往是网络营销者们的热门货。为得到电子邮件系统的用户名单，攻击者往往采用穷举法向服务器大量发送垃圾邮件，给邮件服务器造成巨大冲击；

口令探测-攻击者为了获得用户的口令，以达到获取商业信息或登录服务器或获取中继转发的权限的目的，常采用″字典攻击″的方法攻击邮件服务器；

垃圾邮件攻击-有些垃圾邮件发送组织或是非法信息传播者，为了大面积撒布信息，常采用多台机器同时巨量发送的方式攻击邮件服务器，造成邮件服务器大量带宽损失，并严重干扰邮件服务器进行正常的邮件递送工作；

恶意攻击-采用巨量空邮件、大邮件轰炸等恶意针对邮件服务器的攻击。

现阶段国际上主要用下述几类方法抵御垃圾邮件：

IP地址、域名、邮件地址黑白名单方式

这种技术手段是最传统的方式，它通过黑名单技术对垃圾邮件进行屏蔽，通过白名单技术对允许的邮件进行放行。

基于信头、信体、附件的内容过滤方式

该项技术目前尚不成熟，因为现在的群发程序自动生成和发送的垃圾邮件对于发件人、收件人、邮件主题甚至邮件内容都是随机生成的，使得该种技术目前应用范围日趋狭窄。

基于统计分析的贝叶斯算法技术

基于统计的原则，采用标记权重的方式，根据对用户认为的垃圾邮件和非垃圾邮件进行统计计算，生成过滤规则，具有学习渐进的功能，可以逐渐取得好的效果。

基于连接频率的动态规则方式

由于一个正常用户发送邮件的数量和频率远远低于垃圾邮件发送者，因此我们可以根据垃圾邮件发送具有一定时间内邮件数量和邮件连接频率都非常大的情况，从频率和数量对垃圾发送者的连接行为进行控制。

但采用上述过滤方法时，每一种功能都通过独立的软件来完成，需要有处理的先后顺序，同时邮件须先接收到代理服务器，需排队才能进行过滤，如邮件带病毒，代理服务器就可能感染病毒而无法工作，不能传输邮件而造成巨大损失。

发明内容

本发明的目的在于提供一种可实时进行综合过滤，且只有经过过滤的邮件才能接收到代理服务器的智能网关及过滤方法。

为达成上术目的，本发明一种智能反垃圾反病毒网关，在MTA的前端运行有MXPROXY，该MXPROXY由smtpproxy模块、RBL Server模块、DB Updater及管理界面组成。

一种智能反垃圾反病毒网关的过滤方法，其步骤如下：

a)智能过滤网关接收到邮件；

b)网关对原始SMTP会话原文跟踪分析，综合运用动态黑名单、静态黑名单、IP阻断、DNS反向解析、邮件打分等多种技术手段，同时使用多种病毒特征进行过滤；根据在每一个规则过滤中判断的结果实时地应答发送方的操作；

c)把系统过滤后的邮件发送到集群中的目的邮件服务器进行存储；

完成网关的过滤，并更新采集到的信息到样本库中。

MX Proxy的架构是这样的：

1)在没有收到第一个RCPT TO指令之前维护HELO/EHLE，MAI1FROM，NOOP，QUIT，RSET这几个指令的状态，并且作250 OKdelayed/r/n应答；

2)在收到第一个RCPT TO指令后，根据收件人域名决定Proxy到哪一个后端MTA，并且进入透明Proxy状态，同时对中间传输的数据包做分析；

3)维护一定大小的上下文，以做更准确的过滤。

所述的过滤方法中，针对不同层次采用不同的过滤方法：

1)IP层过滤：设定单位时间内的每个IP的并发连接数，连接频率，出错频率，流量上限，如果达到上限，则临时阻断该IP若干秒；

2)SMTPWF会话层过滤：HELO字串是否触发了过滤规则；MAI1FROM的发件人域名是否有SPF记录，如果有来源IP是否在SPF内，MAIL FROM是否在RBL中；如果有，则检查来源IP是否在其中，不再其中说明是垃圾邮件伪造的发件人，可以拒绝连接；