計算機(jī)網(wǎng)絡(luò)外文翻譯----smtp 路徑分析

1、<p><b>　　SMTP 路徑分析</b></p><p><b>　　摘要</b></p><p>　　大部分域名認(rèn)證的支持者建議合并域名認(rèn)證和信譽(yù)服務(wù).這篇論文為你介紹一種學(xué)習(xí)郵件域名和IP地址聲譽(yù)的新算法，它以分析傳輸已知的垃圾郵件和好郵件的路徑為基礎(chǔ)．它將產(chǎn)生一個有效的算法來提供合并域名認(rèn)證需要的信譽(yù)信息,以此來進(jìn)行過濾的決

2、定．這個算法實(shí)現(xiàn)了許多由域名認(rèn)證系統(tǒng)提供的有益的服務(wù)，如黑名單服務(wù)，白名單服務(wù)，不需要任何基礎(chǔ)設(shè)施成本和首次展示的需要．</p><p><b>　?。?簡介</b></p><p>　　驗證發(fā)送郵件域名的機(jī)制已經(jīng)變得越來越普遍，規(guī)范而且受到激烈的爭論．最短路徑優(yōu)先算法的目標(biāo)，訪客ID,發(fā)送者ID基本上是相同的—它們都被設(shè)計為通過使域名所有者發(fā)布一個包含外發(fā)郵件服務(wù)器

3、的名單來阻止”欺騙”．通過這些測試的消息可以可靠的與一個參與發(fā)送消息的域名關(guān)聯(lián)．然而這個信息不能充分的過濾垃圾郵件．此外，想知道一個負(fù)責(zé)任的域名，垃圾郵件過濾需要了解哪些域名發(fā)送垃圾郵件．因此大多數(shù)域名認(rèn)證的支持者建議合并域名認(rèn)證和信譽(yù)服務(wù)．</p><p>　　這篇論文為你介紹一種學(xué)習(xí)郵件域名和IP地址聲譽(yù)的新算法，它以分析傳輸已知的垃圾郵件和好郵件的路徑為基礎(chǔ)．此信息結(jié)合一個新算法用于過濾欺騙性郵件標(biāo)題，以確

4、保垃圾郵件發(fā)送者不能規(guī)避分析。其結(jié)果是一個有效的算法,它提供域名認(rèn)證所需要的信譽(yù)信息用來做過濾決定.</p><p>　　有趣的是，該算法的分析表明，部分或大部分域名認(rèn)證系統(tǒng),黑名單,白名單所得到的優(yōu)勢,可以通過本地學(xué)習(xí)而不需要大量的采取域名認(rèn)證或者第三方的黑白名單服務(wù).我們描述的算法只使用來自收到的郵件的頭部中的標(biāo)準(zhǔn)”收到”行中提到的IP地址,來分析此消息是否是垃圾郵件.這是一個學(xué)習(xí)算法,在此算法中我們假設(shè)它

5、在一種具有代表性的根據(jù)選定的IP地址分類的郵件上鍛煉.隱含在此算法后的直覺是來自相同或相似IP地址的郵件很可能享有共同的分類.實(shí)驗證據(jù)證明,此直覺是正確的.</p><p>　　該算法在識別垃圾郵件或者非垃圾郵件上是非常精確的,但是它不能準(zhǔn)確的標(biāo)記含有資源很少的網(wǎng)站.對于其他的,使用其他技術(shù)比如樸素貝葉斯或者重桂的篩選器可以更精確的區(qū)分.例如,雖然SMTP路徑分析不如普通使用了貝葉斯的垃圾郵件篩選器精確,它認(rèn)為貝

6、葉斯篩選器處理的信息通常最優(yōu),在那個領(lǐng)域的那些方面它做的更好.其結(jié)果可以糾正貝葉斯篩選器做出的錯誤評估,而貝葉斯篩選器可以在數(shù)據(jù)信息不足的時候做有效的路徑分析.一個聚合的分析器使用兩種結(jié)果比只用其中任何一個結(jié)果更有效.</p><p>　　比較這種方法和域名驗證計劃如SPF是非常有趣的.SPF讓一個域名聲明它的傳出郵件網(wǎng)關(guān).如果SPF信息是正確的所有通過那個域的郵件必須通過這些網(wǎng)關(guān).如果一個消息通過SPF檢查,而

7、且主要的域不發(fā)送垃圾郵件,,那么直接通過這個郵件通路傳給用戶是安全的.由于垃圾郵件發(fā)送者同時也注冊了域名發(fā)布了SPF記錄,我們不能假設(shè)通過SPF驗證的郵件來自于無垃圾郵件的域名.這就需要一些方法來決定這些域名的信譽(yù).</p><p>　　這里所描述的算法直接使用IP地址,建立了它們的信譽(yù),有時候基于附近的IP地址,而不是由一個外部的聲明集對它們進(jìn)行分組然后根據(jù)分組學(xué)習(xí)它們的信譽(yù).在這一點(diǎn)SPF擁有的主要的優(yōu)勢是:

8、</p><p>　　1 SPF可以將不同的地址分到一個組,所以為這個組產(chǎn)生一個信譽(yù)信息會需要較少的信息.</p><p>　　2 SPF,明確的說明這些范圍的邊界.</p><p>　　SPF或許可以聲明另一種優(yōu)勢,在這種優(yōu)勢里它可以(如果聲稱的發(fā)送域發(fā)布了SPF)區(qū)分通過合法的網(wǎng)關(guān)發(fā)送的郵件和從僵尸進(jìn)程直接發(fā)往互聯(lián)網(wǎng)的郵件.然而我們的算法事實(shí)上擅于識別合法的

9、網(wǎng)關(guān)以及篩選直接從僵尸進(jìn)程主機(jī)(或者”僵尸網(wǎng)絡(luò)”;查閱Honeynet, 2005)發(fā)送的郵件,所以這個優(yōu)勢并不會像它被認(rèn)為的那樣優(yōu)秀.SPF信息無疑可以在適當(dāng)?shù)臅r候和我們的算法結(jié)合,如果不結(jié)合那么我們的算法將依靠自己.注意,雖然SPF在聲明的域名沒有發(fā)布SPF信息的時候不能識別任何東西,但是我們的算法可以從發(fā)送路徑來學(xué)習(xí)而不管什么域名被聲明為信息源.</p><p>　　這篇論文剩下的部分包括此算法更詳細(xì)的描述

10、--對我們所做實(shí)驗的解釋,對實(shí)驗的討論以及我們的結(jié)論.</p><p><b>　　2 收到的頭部</b></p><p>　　SMTP協(xié)議指定,每個用于發(fā)送郵件信息的SMTP中繼必須在消息頭部列表中添加”received”行,包括(至少)收到消息的服務(wù)器的信息和從哪里收到的消息,以及一個說明添加頭部時間的時間戳.這些頭部共同提供了用于傳遞消息的SMTP路徑的記錄.&

11、lt;/p><p>　　然而,收到消息中的SMTP路徑信息不能完全相信.消息頭部沒有署名或者以任何方式驗證,所以很容易被偽造.沿路徑的任何SMTP服務(wù)器可以插入虛假頭部,使此消息好像來自發(fā)送者選擇的任何一個路徑.</p><p>　　盡管如此,某些收到的消息的頭部是可信任的.例如,所有你自己的域的入站SMTP服務(wù)器添加的頭部是可信任的.一個網(wǎng)站可能也信收到的由經(jīng)常合作的組織產(chǎn)生的行,假設(shè)它們可

12、以識別這些組織的出站服務(wù)器.但是,一旦隱含的收到的行中的SMTP路徑指向一個未知的或者不可信任的服務(wù)器的時候,那么聲稱的剩下的SMTP路徑信息不可信任.</p><p>　　就像下面所討論的,開發(fā)一個根據(jù)收到的行進(jìn)行分析的有效的垃圾郵件篩選器的一個關(guān)鍵挑戰(zhàn)就是決定哪些記錄在收到的行中的SMTP路徑信息是可信任的.</p><p><b>　　3 算法</b></

13、p><p>　　SMTP路徑分析通過根據(jù)以往發(fā)自此IP的郵件的記錄來學(xué)習(xí)IP地址的優(yōu)良來進(jìn)行工作. 該算法的學(xué)習(xí)階段需要一套預(yù)歸類是為垃圾郵件或非垃圾郵件標(biāo)記的郵件作為輸入 .學(xué)習(xí)算法提取每個消息中的IP地址序列,這些IP用來到達(dá)消息接收者,并且記錄IP地址的數(shù)據(jù).在它的分類階段,此算法提取目標(biāo)信息的IP序列,然后根據(jù)可能用于傳送此消息的網(wǎng)關(guān)的IP地址為這個消息產(chǎn)生一個評分. 該分?jǐn)?shù)可以經(jīng)過一個閾值，產(chǎn)生或不產(chǎn)生一個

14、垃圾郵件的分類，或者可以作為聚合篩選器的輸入.此算法不考慮其它信息;特別的,它不另外的分析消息的內(nèi)容或者考慮任何域名信息.</p><p>　　在我們的算法的大多數(shù)基本形式中,為每個IP地址收集的數(shù)據(jù)只是簡單的垃圾或者非垃圾郵件出現(xiàn)的次數(shù).這些計數(shù)然后就被用于估計一個經(jīng)過任何以前的IP地址的郵件是否是垃圾郵件.概率估計是順利的而且對糾正小樣本是有必要的.在分類中,我們觀察被用來傳遞消息的IP地址序列,根據(jù)我們有充

15、分?jǐn)?shù)據(jù)的鏈中最后一個IP地址分配給這個消息一個分?jǐn)?shù).</p><p>　　在以上的算法輪廓看似合理之前有兩個問題必須解決:</p><p>　　1. 很多機(jī)器(尤其是那些在鏈開始的位置,它們可能是僵尸電腦或者垃圾郵件制作者鏈接到它們的服務(wù)提供者)不具有固定的IP地址,看到相同的訓(xùn)練集中的IP地址就像我們嫩試圖分類的消息的概率比我們想象的小.</p><p>　　2.

16、 上述技術(shù)容易被欺騙.那就是這個消息可能來自一個平凡的IP地址,這個機(jī)器可能聲稱它正在傳遞一個來自合法發(fā)送者的消息.</p><p>　　當(dāng)沒有充分的數(shù)據(jù)來給當(dāng)前IP地址做一個可信任的決定的時候我們通過結(jié)合當(dāng)前IP和那些附近IP的數(shù)據(jù)解決動態(tài)IP問題.有多種可用于此目的的”附近”的定義.我們的解決辦法是建立一個我們目前所看到的IP地址的樹.樹跟節(jié)點(diǎn)有256個子樹.每個子樹對應(yīng)一個IP地址第一個字節(jié) 可能的變化.反

17、過來,每個子樹擁有256個子樹,每個子樹對應(yīng)于一個IP地址第二字節(jié)可能的變化.對于第三第四自己都是一樣的,當(dāng)然隨著我們走到樹的下部,分支變得稀疏,產(chǎn)生一個帶有少于232個節(jié)點(diǎn)的樹.</p><p>　　在每個節(jié)點(diǎn)n我們存儲垃圾郵件的數(shù)目,Sn以及非垃圾郵件的數(shù)目NSn此節(jié)點(diǎn)所代表的 IP地址或者范圍已經(jīng)出現(xiàn)了.一個概率將被計算出來,用來衡量此節(jié)點(diǎn)有多么普通,概率是Sn/(Sn+NSn):垃圾郵件數(shù)目除以通過此地址

18、或者此范圍的郵件總數(shù).</p><p>　　我們不能簡單的按照這個概率的樣子來使用它,再一次,這里有兩個問題:</p><p>　　1.我們試圖為內(nèi)部節(jié)點(diǎn)記錄的是可以在我們得到一個IP地址但是在此節(jié)點(diǎn)下沒有完全匹配的情況下幫助我們的信息.那個值應(yīng)該受到平均IP子集的變化的影響,而不是受到這些范圍內(nèi)某些特定的IP的變化的影響.這可能非常重要在這個情況下,這些IP被垃圾郵件制造者使用,但是此范

19、圍總的來說不是這樣,所以我們平均子節(jié)點(diǎn)的活躍性,而不是根據(jù)通過他們的郵件總數(shù)來衡量.</p><p>　　2.如果一個節(jié)點(diǎn)只看到一片垃圾郵件和沒有非垃圾郵件 ,那么下一條消息是垃圾郵件的可能性不是100%.</p><p>　　我們解決兩個問題的辦法是我們計算出該IP地址的評分.我們加一個0.5分的人為的新根 .我們多次到達(dá)包含實(shí)際IP的子樹如果有一個可用的話.在該子樹我們計算了他的子樹和

20、父節(jié)點(diǎn)的平均值.也就是說，如果有9個子節(jié)點(diǎn)，我們采取10個節(jié)點(diǎn)的平均：父節(jié)點(diǎn)和9個子節(jié)點(diǎn)。對于葉節(jié)點(diǎn)我們采用父節(jié)點(diǎn)和由包含此葉節(jié)點(diǎn)的消息總數(shù)的葉節(jié)點(diǎn)的比率的平均值.當(dāng)然,有時候我們沒有到達(dá)一個葉節(jié)點(diǎn),如果我們從來沒有在我們的訓(xùn)練集中見過這種確切的IP地址.當(dāng)我們收到一個新消息,我們查看每個IP地址,從最后一個IP開始--最靠近我們收消息的機(jī)器的地址.我們計算它的分?jǐn)?shù),一個介于0和1的數(shù)字，然后與下一個地址的分?jǐn)?shù)結(jié)合起來.我們采取了兩個I

21、P地址spamminess加權(quán)平均，使用的權(quán)等于1/（秒*（1 - s））的其中s是上述spamminess .其理由是，一個IP地址很可能是垃圾郵件或非垃圾郵件是一個郵件的本質(zhì)的較好的指標(biāo)- 即分?jǐn)?shù)最極端的的地址是計算的最重要部分.我們持續(xù)使用這種將目前的平均成績和下一個IP垃圾性相關(guān)聯(lián)的計算方法一直到最后結(jié)束.</p><p>　　如上所述，上述技術(shù)容易受到欺騙 .如果垃圾郵件發(fā)送者通過偽裝來欺騙我們的算法，

22、這些來自垃圾地址的郵件會顯示為來自合法的地址.為了解決這個問題, 我們?yōu)槊恳粋€中間地址建立一個信譽(yù)值,如果地址是不可信的，我們至少可以部分地忽略剩余的地址.</p><p>　　經(jīng)過算法的實(shí)驗我們發(fā)現(xiàn)了兩個有用的改進(jìn).</p><p>　　我們發(fā)現(xiàn)，在實(shí)踐中，如果在我們的訓(xùn)練設(shè)置的IP地址有任何序列完全匹配，當(dāng)我們只找到一個內(nèi)部節(jié)點(diǎn)的時候,它是一種比上面給出的分?jǐn)?shù)更好的指標(biāo). 因此，我們給

23、予精確匹配更多的權(quán)重.</p><p>　　我們發(fā)現(xiàn)，在產(chǎn)生消息的地址和作為網(wǎng)關(guān)的地址之間有一個區(qū)別,我們將源地址和中間地址分開統(tǒng)計. 在我們方面，當(dāng)IBM公司開發(fā)了互聯(lián)網(wǎng)的存在,大多數(shù)以前有過互聯(lián)網(wǎng)電子郵件地址的研究所的用戶,從研究所的內(nèi)部網(wǎng)關(guān)轉(zhuǎn)移到全體范圍的網(wǎng)關(guān)是很緩慢的.由于垃圾郵件的增加，研究網(wǎng)關(guān)現(xiàn)在似乎很少被用于合法郵件-通過這些網(wǎng)關(guān)其中之一的郵件98%是垃圾郵件,但是一些研究人員仍然在使用它.因此，從

24、那里傳向IBM的其他部門的郵件將被標(biāo)記為"可能為垃圾郵件".,根據(jù)接對收到的行的分析.我們通過將最后一個IP(被推測為源站點(diǎn))的數(shù)據(jù)和其它地址的數(shù)據(jù)分開來修復(fù)這個問題.因此，如果一個地址范圍收到的垃圾郵件很多，但以它附近的地址為源的所有郵件都是好的，那么我們給它一個好成績.</p><p><b>　　4 實(shí)驗方法</b></p><p>　　我們

25、的實(shí)驗是針對一個數(shù)據(jù)庫，這個數(shù)據(jù)庫是從一個包括兩百名成員的國際組織中收集來的，其中含有約170000封郵件.這些郵件最初被標(biāo)記為請求用戶對進(jìn)入他們垃圾郵件文件夾的垃圾郵件和正常郵件進(jìn)行投票. 200名用戶全部是IBM的員工，他們知道這些信息將被用于研究目的.</p><p>　　我們的數(shù)據(jù)庫得到了進(jìn)一步的“凈化“采用了類似的技術(shù),包括相似信息的分類和處理異常值. 我們一直注意不要在清理我們的數(shù)據(jù)庫的過程中使用我們

26、正在研究的算法和類似的技術(shù). 然而，在我們的評價中小數(shù)量的明顯錯誤已得到糾正. 這種情況的數(shù)量很少，不會大幅影響整體效果. </p><p><b>　　5 實(shí)驗結(jié)果</b></p><p>　　圖1使用標(biāo)準(zhǔn)的ROC曲線比較了SMTP路徑分析的和傳統(tǒng)的樸素貝葉斯分類器的性能.圖中所示的算法產(chǎn)生一個評分,而不是產(chǎn)生一個黑白名單的結(jié)論. ROC曲線顯示不同組合的垃圾郵件捕

27、獲率和假陽性率,這些概率可以通過選擇阻斷垃圾郵件的不同的分?jǐn)?shù)闕值來實(shí)現(xiàn).</p><p>　　SMTP路徑分析分類器的執(zhí)行效果是非常好的,捕獲到一千封中所有假陽性率小于1的垃圾郵件的70%.與現(xiàn)在的SPF和DNSRBL黑名單所能做的工作相比這毫不遜色. 然而，它的性能隨著現(xiàn)在基于貝葉斯的反垃圾郵件過濾器所能做的工作而下降.</p><p>　　關(guān)于SMTP路徑分析有趣的是,它發(fā)現(xiàn)垃圾郵件的

28、方法和貝葉斯文本分類的方法毫不相關(guān).SMTP路徑分析只根據(jù)郵件如何被路由而做決定,完全忽略郵件內(nèi)容. 同樣地，典型的貝葉斯分類器無法有效利用受到的行頭,因為它對郵件如何被路由的一無所知. 其結(jié)果是，利用分類聚合技術(shù)結(jié)合這兩種算法可以相當(dāng)成功. </p><p>　　圖1：SMTP路徑分析的ROC曲線</p><p>　　圖1還顯示了結(jié)合貝葉斯和SMTP路徑分析用線性回歸聚合（西格爾，200

29、5年）的性能. 結(jié)果表明該SMTP路徑分析，可以減少一半任何給定的假陽性率垃圾郵件錯誤的數(shù)量.</p><p>　　圖2，下頁，顯示四行. 紅線是5000訓(xùn)練和5000測試; 藍(lán)色的虛線顯示每個10,000; 綠色顯示每個40000; 黃色的是全部數(shù)據(jù)庫中所有的在測試桶中的85000封郵件和在訓(xùn)練桶中的85000封郵件. 正如從圖中可以看出，該算法的尺度非常好. 結(jié)果表明數(shù)據(jù)的每翻一番該算法的準(zhǔn)確性大約翻一番.

30、該算法也很有效的，因為它只觀察消息的一小部分. 因此，它可以作為一個更復(fù)雜的算法的非常有用的預(yù)過濾器.</p><p><b>　　6 討論和比較</b></p><p>　　目前還沒有標(biāo)準(zhǔn)的企圖用更少的活動得到更好地處理有關(guān)誰發(fā)送的電子郵件的方法. 最相關(guān)的活動在身份驗證領(lǐng)域, 而且在郵件跟蹤頭的標(biāo)準(zhǔn)的改進(jìn)活動中. 其中許多活動可以，一旦被實(shí)施和廣泛的應(yīng)用，與上述觀

31、點(diǎn)結(jié)合起來協(xié)同工作.</p><p>　　在我們解析接收到的行的過程中，我們經(jīng)常發(fā)現(xiàn)失蹤的IP地址.現(xiàn)行標(biāo)準(zhǔn)將收到行頭中的IP地址作為可選的元素. 如果網(wǎng)關(guān)不包括一個IP地址，我們就忽略它，不能獲得該一跳的信息. 這樣看起來,一個垃圾郵件制造者可以只設(shè)立一個不包括IP地址的設(shè)置,然后這垃圾郵件發(fā)送者將逃避一些東西.終止它的是這樣的現(xiàn)實(shí)，接收網(wǎng)關(guān)它的網(wǎng)關(guān)地址放入接收行中,它將在這里被拾起,我們將知道它是一封垃圾郵件

32、. 然而,包括一個簡單到IP地址解析的方式的標(biāo)準(zhǔn)將使我們的工作要容易得多.</p><p>　　圖2：縮放的SMTP分析</p><p>　　我們的實(shí)驗使用的IP地址范圍，在字節(jié)邊界劃分，已經(jīng)產(chǎn)生了非常有益的成果. 很明顯，雖然，這并不總是正確的方法來確定IP地址的關(guān)系. 我們計劃用樹結(jié)構(gòu)的進(jìn)一步實(shí)驗，允許將IP地址范圍內(nèi)的字節(jié)處進(jìn)行劃分（例如,處理一個255.255.192.0的子網(wǎng)掩碼

33、）.</p><p>　　緩存的對“名目項”數(shù)據(jù)庫的查詢還可以幫助關(guān)聯(lián)不能在同一分組網(wǎng)絡(luò)掩碼的IP地址. 托管域可能仍然是一個問題，其中有兩個無關(guān)的域擁有”相鄰的IP”,這是他們使用同一個服務(wù)器的服務(wù)的好處. 在這種情況下，雖然，托管服務(wù)將是地址范圍的最終所有者, 并且必須承擔(dān)其客戶行為的一些責(zé)任. 我們認(rèn)為，服務(wù)條款的實(shí)施將緩解這一問題，但是還需要此領(lǐng)域的更多實(shí)驗.</p><p>　　

34、我們期待著在更大程度上使用SPF的資料-到目前為止，我們已經(jīng)做了我們的算法與SPF算法有限的比較,而且發(fā)現(xiàn)使他們能夠相互補(bǔ)充得方法. SPF被越來越廣泛的部署，我們想將它和我們上面討論的算法結(jié)合起來. 我們最新的例子是135k的消息，其中約23k不是垃圾郵件，樣品顯示了3K的“軟故障“和2K“硬故障“15.7k通過SPF的測試. 但是，垃圾郵件發(fā)送者也已注冊和發(fā)布了域名的SPF記錄，而我們的貝葉斯算法發(fā)現(xiàn)15.7k通過了SPF檢查，35

35、84封垃圾郵件.根據(jù)已知的我們的貝葉斯篩選器的性能,我們預(yù)計,最多有4封被它識別為垃圾郵件的郵件其實(shí)是正常的郵件. 所以我們獲得了本身并不令人吃驚的結(jié)果SPF依靠它自己將不能阻止足夠多的垃圾郵件. 我們還注意到這樣一個事實(shí)，我們直接使用IP地址，而不是嘗試將他們關(guān)聯(lián)到域或發(fā)件人(也就是說，我們不試圖驗證發(fā)件人或檢測欺騙，而是旨在確定交付路徑的垃圾性),避免SPF含有的關(guān)于轉(zhuǎn)發(fā)器和郵件列表的困難. 如果從aol.com到ieee.org再

36、到ibm.com的路徑不是含有垃圾的,那么ieee.org在傳輸路徑中間受到損害將是無所謂的. 這表明，我們的機(jī)制可能是</p><p>　　有兩種技術(shù)，我們打算嘗試：</p><p>　　將來自SPF域名內(nèi)部的所有郵件映射到一個IP地址,然后將我們的算法用于此結(jié)果.我們將收縮此域名內(nèi)的所有地址為一個入口.</p><p>　　當(dāng)郵件從此域名內(nèi)部的任何地方發(fā)送,為每

37、一個SPF域名在域邊界上插入一個固定的ID. 這將不會取代現(xiàn)有的IP地址，但會添加域標(biāo)識符序列.</p><p>　　我們已經(jīng)表明，受益可以從檢查IP地址中得到，即使沒有利用SPF等域驗證機(jī)制. 接下來我們討論我們的算法與SPF相結(jié)合的價值.</p><p>　　在過很長一段時間就會有不部署SPF的域出現(xiàn),所以這里描述的技術(shù)對于來自他們的郵件特別有用. 此外，這里描述的技術(shù)，建立一個有學(xué)問

38、的聲譽(yù)系統(tǒng)，并可能部分被用于建立一個信譽(yù)服務(wù). 許多人相信，我們的實(shí)驗也認(rèn)為，信譽(yù)服務(wù)是授權(quán)域驗證技術(shù)所必要的.</p><p>　　在IBM北美公司大約有10個郵件網(wǎng)關(guān), 可能有10倍的關(guān)于IBM的信息需要收集. 如果在一個域中的機(jī)器有的已經(jīng)成為僵尸機(jī)器,而且僵尸通過郵件網(wǎng)關(guān)發(fā)送,這些僵尸電腦所發(fā)送的郵件將通過SPF測試.在我們用大量數(shù)據(jù)描述的算法中,這些僵尸電腦的信譽(yù)可以和這個域中其它機(jī)器相區(qū)分,因為被用于發(fā)

39、送垃圾郵件的僵尸電腦會發(fā)送大量的郵件.后者不能被一個純粹的基于域的系統(tǒng)做到.</p><p>　　然而,一個純粹的基于域的系統(tǒng)比一個純粹的基于IP的系統(tǒng)需要的學(xué)習(xí)數(shù)據(jù)要少,因為一個純IP系統(tǒng)在一個組織打開了一個在此地址范圍內(nèi)與舊網(wǎng)關(guān)在不同部分的網(wǎng)關(guān)的時候會感到迷惑. 雖然本組織可以確保在此網(wǎng)關(guān)部署以前,SPF記錄包含了新的網(wǎng)關(guān), 但是我們的算法需要一些時間來了解它.</p><p>　　古

40、德曼介紹了使用接收行的機(jī)制和問題, 因為它們不可信而且不能總是被可靠地解析(古德曼，2004）.她特別地開發(fā)了新技術(shù),來識別內(nèi)部可信的SMTP服務(wù)器和外部不可信的SMTP服務(wù)器的邊界. 這里介紹的根據(jù)歷史來學(xué)習(xí)哪些IP地址可信的方法很好地回避了這個問題; 從而，暗中確定可信任的內(nèi)部和外部,從而提供可靠的接收頭.</p><p><b>　　7 結(jié)論</b></p><p&

41、gt;　　我們已經(jīng)確定，檢查IP地址對于阿森納社區(qū)是一種寶貴反垃圾郵件團(tuán)體可以使用的新增工具. 當(dāng)它和貝葉斯過濾器結(jié)合使用,它的性能大約是這個貝葉斯過濾器的準(zhǔn)確度的兩倍.理解它在和域名認(rèn)證結(jié)合起來是如何工作的,這在精煉此算法以及理解域名認(rèn)證技術(shù)本身的價值都是很重要的下一步.</p><p>　　致謝作者想要感謝IBM的反垃圾郵件研究小組的其他成員,他們參加了討論和技術(shù)工作為此篇論文做出了貢獻(xiàn).涉及到的人員包括Na

42、thaniel Borenstein, Jason Crawford, Schlomo Hershkop, and Jeffrey Kephart.</p><p><b>　　參考文獻(xiàn)</b></p><p>　　Lentczner, M. and Wong, M. “Sender Policy</p><p>　　Framework: Au

43、thorizing Use of Domains in MAIL</p><p>　　FROM”, Internet Draft,</p><p>　　http://www.ietf.org/internet-drafts/draft-lentcznerspf-</p><p>　　00.txt, October, 2004.</p><p>

44、;　　Wong, M. and Schlitt, W. “Sender Policy Framework:</p><p>　　Authorizing Use of Domains in E-MAIL”, Internet</p><p>　　Draft, http://www.ietf.org/internet-drafts/draftschlitt-</p><p&

45、gt;　　spf-classic-00.txt, December, 2004.</p><p>　　Lyon, J. and Wong, M. “Sender ID: Authenticating EMail”,</p><p>　　Internet Draft, http://www.ietf.org/internetdrafts/</p><p>　　draf

46、t-lyon-senderid-core-00.txt, October,</p><p><b>　　2004.</b></p><p>　　Lyon, J. “Purported Responsible Address in E-Mail</p><p>　　Messages”, Internet Draft,</p><

47、;p>　　http://www.ietf.org/internet-drafts/ draft-lyonsenderid-</p><p>　　pra-00.txt, October, 2004.</p><p>　　Klensin, J. “Simple Mail Transfer Protocol”, Internet</p><p>　　Engineer

48、ing Task Force, RFC 2821, April, 2001.</p><p>　　Rigoutsos, I. and Huynh, T. “Chung-Kwei: a Patterndiscovery-</p><p>　　based System for the Automatic</p><p>　　Identification of Unsol

49、icited E-mail Messages</p><p>　　(SPAM)”, Conference on Email and Anti-Spam</p><p>　　2004, July, 2004.</p><p>　　Segal, R. “Combining Multiple Classifiers”, Virus</p><p>

50、　　Bulletin, February 2005.</p><p>　　The Honeynet Project & Research Alliance. “Know</p><p>　　Your Enemy: Tracking Botnets”,</p><p>　　http://honeynet.org/papers/bots/, March, 200