梭子鱼垃圾邮件防火墙产品测试报告
[导读]本次测试的产品是博威特公司的旗舰产品梭子鱼反垃圾邮件BSF800型号,在梭子鱼系统产品中属于中高端设备。
一 测试方案
1 测试的目的
电子邮件系统是广西移动最基本的通讯手段之一,但是近年来,垃圾邮件的大幅度增加,使得广西移动电子邮件系统遭到的威胁。一方面是邮件服务器因为大量垃圾邮件始终高负荷运行,不断的攻击行为给邮件服务器的安全运行造成极大隐患;另一方面,大量的垃圾邮件也使得邮件用户不堪其扰,许多用户每天收到的垃圾邮件比正常邮件还要多。有鉴于此,广西移动携手博威特公司,进行了本次反垃圾邮件产品的测试。并希望通过本次试运行测试,直观的了解掌握梭子鱼垃圾防火墙的各种功能,检测产品运行性能。为设备选型及方案实施打下基础。
2 测试机型介绍:
本次测试的产品是博威特公司的旗舰产品梭子鱼反垃圾邮件BSF800型号,在梭子鱼系统产品中属于中高端设备。适合有数千上万的大中型企业使用,下表是该款设备的主要性能指标:
目前在国内使用这款设备的有,TCL国际,万科集团,中芯国际,暨南大学、远程教育集团、江西省政府网、上海市公安局等大中型企事业用户,以及中山电信、湛江电信、云南移动、NTT中国等电信行业用户。获得良好的评价。
更多梭子鱼的用户参见:http://www.barracudanetworks.com.cn/sucess.htm#dx
3 测试的方法:
本次测试采用“端口转发”的安装方式,如下图:
在防火墙上将SMTP流转发到梭子鱼上,梭子鱼过滤好邮件后,将正常邮件发往邮件服务器。这样能将来自外网的所有邮件进行过滤。避免外部的攻击和侵袭。
在邮件服务器上设置将所有外发的邮件发送到梭子鱼上,梭子鱼对外发的邮件进行扫描后再将邮件外发。防止向外发送垃圾邮件。
4测试时间与相关人员
1 测试的时间
2 与测试相关的人员。
2.测试结果分析
2.1总计分析
截至2006-6-27 中午11:10统计情况如下:
总计邮件数量:1,379,882封。
总计病毒邮件数量:10,556封。
病毒邮件占总邮件比例0.67%
总计允许邮件数量:139.691封
允许邮件占总邮件数量8.92%,允许的邮件中包括外网发来的正常邮件,以及广西移动外发的邮件。数据表明,广西移动的邮件通讯量中9成为垃圾邮件或不合法邮件,只有10%的邮件才是有用的邮件。
2.2 每小时及每日流量分析
上图中,有些时段的垃圾邮件量比正常的邮件量大很多,且存在大量因为速率控制(蓝色表示速率控制邮件)而阻断的邮件。
广西移动正常状态下,每日邮件总量25000封左右,正常邮件量约2500封左右,图中每日都有速率控制的邮件,表明广西移动几乎每天都经历邮件攻击行为。
2.3 梭子鱼反垃圾邮件技术统计分析。
梭子鱼对邮件进行十层过滤,并使用不同的技术对邮件进行过滤,每一种邮件技术相应的能过滤一部份邮件,以下是其对应的数据。
|
某项反垃圾邮件技术过滤的邮件占总邮件连接量的比例 |
技术手段 |
中文说明 |
|
33.97% |
Exte |
外部黑名单技术 |
|
13.27% |
Intent |
意图分析技术 |
|
12.08% |
Sende |
发件人重置,属于不成功的SMTP连接,邮件系统将重新连接,对收发邮件没有影响。 |
|
9.68% |
Spam |
垃圾邮件,贝叶斯与垃圾邮件规则评分技术 |
|
8.78% |
Rate Cont |
速率控制技术 |
|
5.3% |
Good |
正常邮件,贝叶斯与垃圾邮件规则评分技术 |
|
3.33% |
Sco |
标记邮件,贝叶斯与垃圾邮件规则评分技术 |
|
3.16% |
Sende |
发件人放弃。 |
|
2.38% |
Sende |
发件人不合法,通过反欺骗保护技术 |
|
1.88% |
Message Size |
邮件大小, |
|
1.72% |
Fake Sende |
虚假发件人域,通过DNS解析识别 |
|
0.92% |
Whitelist |
白名单 |
|
0.87% |
Sende |
发件人超时 |
|
0.33% |
Vi |
病毒扫描 |
|
0.2% |
Mail P |
邮件协议 |
|
0.17% |
No Valid Recipients |
不存在的收件人 |
|
0.16% |
Se |
|
|
0.12% |
Subject |
主题关键字过滤 |
|
0.04% |
Body |
信体关键字过滤 |
|
0.04% |
Mail P |
|
意图分析技术
意图分析技术是梭子鱼独有的一项过滤技术,他检查邮件中的连接,如果该连接指向一个垃圾网站,则阻断这种邮件。比如:
这封邮件是宣传成人用品的邮件,意图分析能准确的识别这种邮件,在所有的邮件中近一成五的邮件可以因为这种技术而被识别。目前梭子鱼意图分析数据库中的不良网址数量已经达到了135596个,并且每天增加或更新200余个。
贝叶斯技术与垃圾邮件评分技术
在所有的邮件中约有30%会被评分。经过贝叶斯及垃圾邮件规则库的过滤,最终将95%以上的垃圾邮件过滤掉。
垃圾邮件评分技术是梭子鱼的核心技术之一,梭子鱼中含有近6000条各种规则,并依据这些规则对邮件进行评分,如果评分很高,就是垃圾邮件;反之,低于一定分值就是正常邮件。
贝叶斯技术对于提高邮件识别的准确率具有重要的意义。贝叶斯对邮件是垃圾邮件的可能性进行推算。对于正常的邮件贝叶斯将评负分,确保正常邮件不被误判。下图中正常邮件的得分总是很低的,甚至可能是负份,如红框中。
2.4 通过重点信箱查看梭子鱼过滤效果
上图为6-26日垃圾邮件收件人排行榜。其中仅service@gx.chinamobile.com信箱就过滤了88封垃圾邮件。再比如,lidejuan用户的邮件过滤为例,邮件日志中观察到梭子鱼对lidejuan信箱的防护细节:
3 梭子鱼功能评估
1 产品性能评估
这款BSF800设备,性能稳定,处理能力强大,完全可以满足广西电信现有的反垃圾需求。测试期间,已经阻挡的1万多封病毒邮件,130多万封垃圾邮件,平均每天2万多封。
2过滤技术的评估
梭子鱼过滤技术先进,综合采用了十几项过滤技术,从网络层、应用层对邮件进行分析。其中许多技术是其它同类产品无法比拟的:
1 基于规则的评分系统
其规则多达4000多条,另外有1000多条中文规则。是同类产品中最多的。
2 意图分析技术 梭子鱼独创的基于URL链接的识别技术,由全球最大的URL数据库支持。
3 邮件指纹识别技术
4 SPF和微软CALL ID技术
这些技术使得梭子鱼对垃圾邮件识别率更高,也更加准确
3.2 报表和统计功能,日志功能评价
梭子鱼具有数据库化的日志功能,梭子鱼对每封处理的邮件都留下日志记录,用户可以根据IP地址、收件人、发件人、处理动作,动作原因、得分多少等十数种方式进行过滤,方便用户查找邮件记录。并可生成不同的报表,参见前面的报表。查询简单,搜索方便,报表丰富。
3.3 梭子鱼的易用性
梭子鱼的安装、配置、使用十分方便。很容易掌握
